milan米兰体育ネットワーク機器の総合ブランド ファイテルネット
milan米兰体育官方网站例
Amazon Virtual Private Cloud (milan米兰体育官方网站) とVPN接続する
概要
Amazon Virtual Private Cloud(Amazon VPC)に接続するためのmilan米兰体育官方网站例です。
補足・注意点
Amazon Virtual Private Cloud(milan米兰体育官方网站)では、Amazon Web Services(AWS)Cloud のプライベートで孤立したセクションをプロビジョンすることができます。
詳細はWebで提供されている技術資料をご覧ください。
詳細はWebで提供されている技術資料をご覧ください。
Amazon VPCのmilan米兰体育官方网站
下記の文書にしたがってAmazon VPCをmilan米兰体育官方网站します。
http://docs.amazonwebservices.com/AmazonVPC/latest/GettingStartedGuide/
以下、主要なmilan米兰体育官方网站画面について説明していきます
1.VPCタブを選択・リージョンを選択
VPC等はリージョンごとに独立しています。
AWS Management Console上から実行するウィザードで基本的なmilan米兰体育官方网站はほとんど行うことができます。
2.「milan米兰体育官方网站 Console Dashboard」から「Get started creating a VPC」というボタンを押す。
3.ネットワーク構成の選択
「VPC with a Private Subnet Only and Hardware VPN Access」を選び、「Continue」ボタンを押します。
4.ルーターのIPアドレスのmilan米兰体育官方网站
VPN接続のためのユーザ側アドレスの入力を求められるので、「Customer Gateway:」にmilan米兰体育官方网站のEWAN側IPアドレスを入力し、「Continue」ボタンを押します。
5.milan米兰体育官方网站の確認
VPCとVPN接続のmilan米兰体育官方网站確認が表示されるので、問題がなければ「CreateVPC」ボタンを押します。
6.VPCの生成
milan米兰体育官方网站生成処理が行われ、完了画面が表示されます。
「Download Configuration」ボタンを押して、カスタマー側のルータに適用するmilan米兰体育官方网站をダウンロードします。
7.milan米兰体育官方网站のダウンロード
VPN接続作成のウィザードの最後に、カスタマー側のルータに適用するmilan米兰体育官方网站を「Yes, Download」ボタンを押して、ダウンロードします。
「Vender:」は「Generic」を選択してください。
確認済みメーカー(Cisco/Juniper/Yamaha)用のmilan米兰体育官方网站は各社のコンフィグ形式に合わせたものがダウンロードできますが、IKE, IPsec, Tunnel, BGPといった必須となる構成要素の部分だけのmilan米兰体育官方网站となりますので、手動での調整が必要です。
Generic用milan米兰体育官方网站がテキスト形式ファイルでダウンロードできるので、作業用PCに保存して内容を確認してください。
注意点
・Pre-Shared Key:IKE SAの事前共有鍵(テキスト形式)
milan米兰体育官方网站。
・ Outside IP Address:SAを張るアドレス
“ Virtual Private Gateway”がSAのピアとなるAmazon側のアドレス
“Customer Gateway”はF200のWAN側アドレスが入っています。
・ Inside IP Address:IPsecインターフェイスのアドレス
“Customer Gateway”がF200のIPsecインターフェイスにmilan米兰体育官方网站すべきアドレス
8.Amazon VPC側milan米兰体育官方网站完了確認
VPCmilan米兰体育官方网站画面-VPN Connections で確認できます。 ※下記画面は、ルータ側が未milan米兰体育官方网站のためDOWN状態となっています。
ルータmilan米兰体育官方网站の例
ルータへのmilan米兰体育官方网站パラメータはダウンロードしたGeneric用milan米兰体育官方网站の内容を適用する必要があります。
IPsecmilan米兰体育官方网站 〜Phase1〜
認証方式:Pre-Shared Key
milan米兰体育官方网站
認証アルゴリズム:SHA-1
暗号化アルゴリズム:AES-128-CBC
ネゴシエーションモード:Main
DH group:Group 2
ライフタイム:28800 sec
Pre-Shared Key:milan米兰体育官方网站。
VPNピア IPアドレス:Virtual Private Gatewayを指定します。
milan米兰体育官方网站
認証アルゴリズム:SHA-1
暗号化アルゴリズム:AES-128-CBC
ネゴシエーションモード:Main
DH group:Group 2
ライフタイム:28800 sec
Pre-Shared Key:milan米兰体育官方网站。
VPNピア IPアドレス:Virtual Private Gatewayを指定します。
crypto isakmp policy 1 authentication prekey encryption aes 128 group 2 hash sha key ascii ******************************** lifetime 28800 negotiation-mode main peer-identity address 27.0.1.16 exit crypto isakmp policy 2 authentication prekey encryption aes 128 group 2 hash sha key ascii ################################ lifetime 28800 negotiation-mode main peer-identity address 27.0.1.144 exit
IPsecmilan米兰体育官方网站 〜VPNセレクタ・Phase2・IPsecif〜
認証方式:Pre-Shared Key
milan米兰体育官方网站
認証アルゴリズム:SHA-1
暗号化アルゴリズム:AES-128-CBC
ネゴシエーションモード:Main
DH group:Group 2
ライフタイム:28800 sec
IPsecインターフェイスのアドレス:Inside IP AddressのCustomer Gatewayを指定します。
(以下、推奨milan米兰体育官方网站)
・DPDを有効にする
Interval:10 sec
リトライ回数:3
・その他
TCP MSS Adjustment:1396 bytes
DFビット消去:有効
フラグメント:暗号化の前(pre-fragment)
milan米兰体育官方网站
認証アルゴリズム:SHA-1
暗号化アルゴリズム:AES-128-CBC
ネゴシエーションモード:Main
DH group:Group 2
ライフタイム:28800 sec
IPsecインターフェイスのアドレス:Inside IP AddressのCustomer Gatewayを指定します。
(以下、推奨milan米兰体育官方网站)
・DPDを有効にする
Interval:10 sec
リトライ回数:3
・その他
TCP MSS Adjustment:1396 bytes
DFビット消去:有効
フラグメント:暗号化の前(pre-fragment)
ipsec access-list 1 ipsec ip any any ipsec access-list 2 ipsec ip any any ipsec access-list 64 bypass ip any any ipsec transform-set AES128-SHA esp-aes-128 esp-sha-hmac crypto map MAP1 1 match address 1 set peer address 27.0.1.16 set security-association lifetime seconds 3600 set security-association always-up set transform-set AES128-SHA exit crypto map MAP2 2 match address 2 set peer address 27.0.1.144 set security-association lifetime seconds 3600 set security-association always-up set transform-set AES128-SHA exit crypto security-association ikealive retry max 3 ikealive retry timer 10 ikealive freq 10 exit interface ipsecif 1 crypto map MAP1 ip address 169.254.252.18 255.255.255.252 ip mtu 1390 exit interface ipsecif 2 crypto map MAP2 ip address 169.254.252.22 255.255.255.252 ip mtu 1390 exit
BGPmilan米兰体育官方网站
・カスタマー側ネットワークとVPC側ネットワークの経路交換に使用されます。
・milan米兰体育官方网站内で、milan米兰体育官方网站の内側のIPアドレスを用いてピアを張ります。
・一方のmilan米兰体育官方网站が障害等によりダウンすると、もう一方のmilan米兰体育官方网站に経路が切り替わります。
milan米兰体育官方网站パラメータ(Genericmilan米兰体育官方网站ファイルより)
カスタマーゲートウェイのASN:65000
仮想プライベートゲートウェイのASN:10124
ネイバーのIPアドレス:169.254.252.17, 169.254.252.21
ネイバーのHold Time:30 sec
default-originate でデフォルト経路広告
soft-reconfiguration inbound
・milan米兰体育官方网站内で、milan米兰体育官方网站の内側のIPアドレスを用いてピアを張ります。
・一方のmilan米兰体育官方网站が障害等によりダウンすると、もう一方のmilan米兰体育官方网站に経路が切り替わります。
milan米兰体育官方网站パラメータ(Genericmilan米兰体育官方网站ファイルより)
カスタマーゲートウェイのASN:65000
仮想プライベートゲートウェイのASN:10124
ネイバーのIPアドレス:169.254.252.17, 169.254.252.21
ネイバーのHold Time:30 sec
default-originate でデフォルト経路広告
soft-reconfiguration inbound
BGPmilan米兰体育官方网站 interface loopback 1 # ループバックのアドレスはBGPのrouter-idとして使用する ip address 192.168.100.254 exit router bgp 65000 bgp router-id 192.168.100.254 # Loopback1にmilan米兰体育官方网站したアドレスにmilan米兰体育官方网站 neighbor 169.254.252.17 activate enable neighbor 169.254.252.17 default-originate neighbor 169.254.252.17 ebgp-multihop neighbor 169.254.252.17 remote-as 10124 neighbor 169.254.252.17 soft-reconfiguration inbound neighbor 169.254.252.17 timers 10 30 neighbor 169.254.252.21 activate enable neighbor 169.254.252.21 default-originate neighbor 169.254.252.21 ebgp-multihop neighbor 169.254.252.21 remote-as 10124 neighbor 169.254.252.21 soft-reconfiguration inbound neighbor 169.254.252.21 timers 10 30 network 192.168.100.0 255.255.255.0 exit
9.milan米兰体育官方网站へのVPN接続確立
milan米兰体育官方网站が確立するとStatusがUPの状態になります。
10.ルーティング情報milan米兰体育官方网站
IPsec SAが確立しBGPセッションも確立すると、自分のVPCへの経路がBGPで広告されます。
NexthopはIPsecmilan米兰体育官方网站のAmazon側端点となります。
- selected route, * - FIB route, p - stale info.milan米兰体育官方网站0.0.0.0/16 [20/0] via 169.254.252.17, IPSECIF1, 00:11:56milan米兰体育官方网站69.254.252.20/30 is directly connected, IPSECIF2
10.疎通milan米兰体育官方网站
ルータ配下のPCより、milan米兰体育官方网站のインスタンスへのPINGによる疎通確認をおこないます。
インスタンスの起動の仕方については、milan米兰体育官方网站の技術情報を参照してください。
PING疎通確認先はインスタンスが持つアドレス(プライベートアドレス)となります。
ping 10.0.1.10
10.0.1.10 に ping を送信しています 32 バイトのデータ:
10.0.1.10 からの応答: バイト数 =32 時間 =12ms TTL=61
10.0.1.10 からの応答: バイト数 =32 時間 =9ms TTL=61
10.0.1.10 からの応答: バイト数 =32 時間 =9ms TTL=61
10.0.1.10 からの応答: バイト数 =32 時間 =11ms TTL=61
10.0.1.10 の ping 統計:
パケット数: 送信 = 4、受信 = 4、損失 = 0 (0% の損失)、
ラウンド トリップの概算時間 (ミリ秒):
最小 = 9ms、最大 = 12ms、平均 = 10ms
11.トンネル冗長 切り替わりのmilan米兰体育官方网站
11-1.正常時
正常時(milan米兰体育官方网站2本up)の経路情報
milan米兰体育官方网站0.0.0.0/16 [20/0] via 169.254.252.17, IPSECIF1, 00:02:36←VPC宛ての経路がmilan米兰体育官方网站1を向いています。milan米兰体育官方网站92.168.100.0/24 is directly connected, LAN
11-2.milan米兰体育官方网站1 障害発生時
discard crypto isakmp idコマンドを実行して、Amazon VPCへの経路に使用されているIPsecトンネル(milan米兰体育官方网站1)を強制的にdownさせます。
milan米兰体育官方网站1 down後のBGPネイバ状態
Router#show ip bgp summary BGP router identifier 192.168.100.254, local AS number 10124 BGP AS-PATH entries BGP community entries Neighbor V AS MsgRcvd MsgSent TblVer InQ OutQ Up/Down State/PfxRcd 169.254.252.17 4 10124 25 33 0 0 0 00:00:23 Active←milan米兰体育官方网站1側のBGPがdownします。169.254.252.21 4 10124 34 36 0 0 0 00:04:37 1
milan米兰体育官方网站1 down後の経路情報
milan米兰体育官方网站0.0.0.0/16 [20/0] via 169.254.252.21, IPSECIF2, 00:00:54←VPC宛ての経路がmilan米兰体育官方网站2に切り替わります。milan米兰体育官方网站92.168.100.0/24 is directly connected, LAN
11-3.milan米兰体育官方网站1 復旧
no discard crypto isakmpコマンドを実行して、Amazon VPCへの経路に使用されているIPsecトンネル(milan米兰体育官方网站1)を復旧させます。
milan米兰体育官方网站1 復旧後のBGPネイバ状態
Router#show ip bgp summary BGP router identifier 192.168.100.254, local AS number 10124 BGP AS-PATH entries BGP community entries Neighbor V AS MsgRcvd MsgSent TblVer InQ OutQ Up/Down State/PfxRcd 169.254.252.17 4 10124 36 45 0 0 0 00:00:57 1←milan米兰体育官方网站1側のBGPがUPします。169.254.252.21 4 10124 46 48 0 0 0 00:06:29 1
milan米兰体育官方网站1 復旧後の経路情報
milan米兰体育官方网站0.0.0.0/16 [20/0] via 169.254.252.21, IPSECIF2, 00:02:45←VPC宛ての経路はmilan米兰体育官方网站2向きのままmilan米兰体育官方网站92.168.100.0/24 is directly connected, LAN
11-4.milan米兰体育官方网站2 障害発生時
discard crypto isakmpコマンドを実行して、Amazon VPCへの経路に使用されているIPsecトンネル(milan米兰体育官方网站2)を強制的にdownさせます。
milan米兰体育官方网站2 down後のBGPネイバ状態
Router#show ip bgp summary BGP router identifier 192.168.100.254, local AS number 10124 BGP AS-PATH entries BGP community entries Neighbor V AS MsgRcvd MsgSent TblVer InQ OutQ Up/Down State/PfxRcd 169.254.252.17 4 10124 76 85 0 0 0 00:07:16 1 169.254.252.21 4 10124 80 85 0 0 0 00:00:18 Active←milan米兰体育官方网站2側のBGPがdownします。
milan米兰体育官方网站2 down後の経路情報
milan米兰体育官方网站0.0.0.0/16 [20/0] via 169.254.252.17, IPSECIF1, 00:00:35←VPC宛ての経路がmilan米兰体育官方网站1に切り替わります。milan米兰体育官方网站92.168.100.0/24 is directly connected, LAN
11-5.milan米兰体育官方网站2 復旧
no discard crypto isakmpコマンドを実行して、Amazon VPCへの経路に使用されているIPsecトンネル(milan米兰体育官方网站2)を復旧させます。
milan米兰体育官方网站2 復旧後のBGPネイバ状態
Router#show ip bgp summary BGP router identifier 192.168.100.254, local AS number 10124 BGP AS-PATH entries BGP community entries Neighbor V AS MsgRcvd MsgSent TblVer InQ OutQ Up/Down State/PfxRcd 169.254.252.17 4 10124 88 97 0 0 0 00:09:08 1 169.254.252.21 4 10124 90 95 0 0 0 00:00:48 1←milan米兰体育官方网站2側のBGPがupします。
milan米兰体育官方网站2 復旧後の経路情報
milan米兰体育官方网站0.0.0.0/16 [20/0] via 169.254.252.17, IPSECIF1, 00:02:29←VPC宛ての経路はmilan米兰体育官方网站1向きのままmilan米兰体育官方网站92.168.100.0/24 is directly connected, LAN
All Rights Reserved, Copyright(C) FURUKAWA ELECTRIC CO., LTD. 2013