管理番号:YMHRT-20656
(最終更新日: 2023/7/20)
本設定例では、IPsecトンネル機能を使用しています。
IPsecトンネル機能の対応機種は、RTX5000、RTX3510、RTX3500、RTX1300、RTX1220、RTX1210、RTX830、NVR700W、FWX120、vRXです。
ヤマハルーターとAWSにデプロイしたvRX間を、IPsecトンネルで接続する構成です。
IPsec アグレッシブモードで設定しますので、拠点のグローバルIPアドレスが動的に割り当てられる場合でもご利用いただけます。
本設定例では、CloudFormation(クラウドフォーメーション)のテンプレートを利用して、AWSリソースを自動構築する方法をご紹介します。
本設定例をご利用の際は、事前に、AWSアカウントを取得しておく必要があります。AWSマネジメントコンソールにアクセスできる環境が整っていれば、誰でも簡単にvRXの運用を開始できます。
AWSアカウントの作成方法は、AWSアカウント作成の流れ をご参照ください。その他、Amazon VPCに関する情報および設定方法については、アマゾン ウェブ サービス(AWS)にお問い合わせください。
※AWSは、米国その他の諸国における、Amazon.com, Inc. の商標です。
本設定例のCloudFormationのテンプレートでは、以下のセットアップを行います。
・vRX環境用のVPCの作成
・サブネット(LAN1、LAN2)の作成
・ルートテーブルの作成
・インターネットゲートウェイの作成
・セキュリティーグループの作成
・EC2インスタンスの作成
・Elastic IPの作成、EC2インスタンスに関連付け
※テンプレートの形式バージョンは「2010-09-09」です。最新の形式バージョンは、CloudFormation ユーザーガイドでご確認ください。
本機能の対応機種のうち、設定例を掲載している機種は、以下のとおりです。
以下の手順で設定を行います。
1. AWSにログインします。
2.「EC2」をクリックします。
3.「キーペア」をクリックします。
4.「キーペアの作成」をクリックします。
5. キーペアの情報を入力して、「キーペアを作成」をクリックします。
| 名前 | 任意の名前 |
|---|---|
| ファイル形式 | 「pem」を選択 |
6. キーペア(プライベートキー)が作成されました。
7. プライベートキーファイルを、任意の場所に保存します。
※プライベートキーファイルは、SSHを使用してvRXへ接続するときに使用します。大切に保管しておいてください。
1. CloudFormationテンプレートファイル をダウンロードします。
2.「AWS」をクリックして、トップページに戻ります。
3.「CloudFormation」をクリックします。
4.「スタックの作成」をクリックします。
5.「新しいリソースを使用(標準)」をクリックします。
6.「テンプレートファイルのアップロード」を選択します。
7.「ファイルの選択」をクリックします。
8. 手順1 でダウンロードした CloudFormationテンプレートファイルを選択して、「開く」をクリックします。
9. ファイル名を確認して、「次へ」をクリックします。
10. スタックの詳細を入力して、「次へ」をクリックします。
| スタックの名前 | 任意の名前 |
|---|---|
| VPC Network Address Class | Amazon VPCで使用するネットワークアドレスを指定 ClassA:10.0.0.0/16 ClassB:172.16.0.0/16 ClassC:192.168.0.0/16 |
| EC2 Key Pair | いずれかのEC2キーペアを指定 - キーペアの作成で作成したEC2キーペア - すでにお持ちのEC2キーペア |
| License User Name | vRXのユーザーID |
| License Password | vRXのユーザーパスワード |
| vRX Basic License | vRX 基本ライセンス |
| vRX Option License | vRX VPNオプションライセンス |
| IPsec Ike Remote Name | 拠点のセキュリティー・ゲートウェイの名前 ※拠点ルーター「VPN(IPsec)の設定」の ipsec ike local name コマンドと設定を合わせます。 |
| Pre-Shared Key | 拠点との事前共有鍵 ※拠点ルーター「VPN(IPsec)の設定」の ipsec ike pre-shared-key コマンドと設定を合わせます。 |
11.「次へ」をクリックします。
12. 設定内容を確認して問題がなければ、「スタックの作成」をクリックします。
13. スタックのステータスを確認します。「CREATE_IN_PROGRESS」が「CREATE_COMPLETE」と表示されるまで、数分間待ちます。
14.「CREATE_COMPLETE」と表示されました。以上で、CloudFormationテンプレートによるAWSリソースの構築は完了です。
1.「リソース」タブをクリックします。
2. リソースの構築状況を確認します。
すべてのリソースのステータスが「CREATE_COMPLETE」であれば、利用可能な状態です。リソースの構築に失敗した場合は、空欄になります。
3. ElasticIPを確認します。
ElasticIPは、拠点-vRX のトンネルを設定するときや、SSHを使用してvRXへ接続するときに利用しますので、ひかえておいてください。
vRXの設定(Config)は、SSHでvRXに接続後に確認できます。コマンドは「show config」です。
vRXに接続する手順は、vRX ユーザーガイド「SSHを使用して本製品へ接続する」でご確認ください。
※ネットワーク機器を安全にお使いいただくために、管理パスワードの変更を奨励します。
| ゲートウェイの設定 | ip route default gateway pp 1 ip route (172.16.0.0/16) gateway tunnel 1 |
|---|---|
| LANインターフェースの設定 (LAN1ポートを使用) |
ip lan1 address 192.168.100.1/24 |
| WANインターフェースの設定 (LAN2ポートを使用) |
pp select 1 pp always-on on pppoe use lan2 pp auth accept pap chap pp auth myname (ISPへ接続するID) (ISPへ接続するパスワード) ppp lcp mru on 1454 ppp ipcp ipaddress on ppp ipcp msext on ip pp mtu 1454 ip pp secure filter in 1020 1030 2000 ip pp secure filter out 1010 1011 1012 1013 1014 1015 3000 dynamic 100 101 102 103 104 105 106 107 ip pp nat descriptor 1 pp enable 1 |
| VPN(IPsec)の設定 | tunnel select 1 ipsec tunnel 1 ipsec sa policy 1 1 esp aes-cbc sha-hmac ipsec ike keepalive log 1 off ipsec ike keepalive use 1 on heartbeat 3 3 ipsec ike local address 1 192.168.100.1 ipsec ike local name 1 (セキュリティー・ゲートウェイの名前) key-id # 注釈1 ipsec ike nat-traversal 1 on ipsec ike pre-shared-key 1 text (事前共有鍵) # 注釈1 ipsec ike remote address 1 (vRXのElasticIP) ip tunnel tcp mss limit auto tunnel enable 1 ipsec auto refresh on |
| フィルターの設定 | ip filter source-route on ip filter directed-broadcast on ip filter 1010 reject * * udp,tcp 135 * ip filter 1011 reject * * udp,tcp * 135 ip filter 1012 reject * * udp,tcp netbios_ns-netbios_ssn * ip filter 1013 reject * * udp,tcp * netbios_ns-netbios_ssn ip filter 1014 reject * * udp,tcp 445 * ip filter 1015 reject * * udp,tcp * 445 ip filter 1020 reject 192.168.100.0/24 * ip filter 1030 pass * 192.168.100.0/24 icmp ip filter 2000 reject * * ip filter 3000 pass * * ip filter dynamic 100 * * ftp ip filter dynamic 101 * * www ip filter dynamic 102 * * domain ip filter dynamic 103 * * smtp ip filter dynamic 104 * * pop3 ip filter dynamic 105 * * submission ip filter dynamic 106 * * tcp ip filter dynamic 107 * * udp |
| NATの設定 | nat descriptor type 1 masquerade nat descriptor masquerade static 1 1 192.168.100.1 udp 500 nat descriptor masquerade static 1 2 192.168.100.1 udp 4500 |
| DHCPの設定 | dhcp service server dhcp server rfc2131 compliant except remain-silent dhcp scope 1 192.168.100.2-192.168.100.191/24 |
| DNSの設定 | dns host lan1 dns server (ISPから指定されたDNSサーバーのIPアドレス) dns private address spoof on |
注釈:
vRX「AWSリソースの構築 手順10」の IPsec Ike Remote Name および Pre-Shared Key の設定と合わせます。
本設定例では、SSHでvRXに接続して、接続状態を確認します。
vRXに接続する手順は、vRX ユーザーガイド「SSHを使用して本製品へ接続する」でご確認ください。
・「show status tunnel 1」コマンドで、VPNの接続状態を確認できます。
[コンソール]
# show status tunnel 1
TUNNEL[1]:
説明:
インタフェースの種類: IPsec ★
トンネルインタフェースは接続されています ★
開始: yyyy/mm/dd hh:mm:ss
通信時間: 12分21秒
受信: (IPv4) 15 パケット [1252 オクテット]
(IPv6) 0 パケット [0 オクテット]
送信: (IPv4) 15 パケット [1252 オクテット]
(IPv6) 0 パケット [0 オクテット]
#
|
| [解説] トンネルインターフェースの接続状態が表示されます。 コマンドの詳細は、トンネルインタフェースの状態の表示 をご覧ください。 |
・「show status license vrx」コマンドで、vRXのライセンス情報を確認できます。
[コンソール]
# show status license vrx
ユーザーID: vrx_user
インスタンスID: 12345678
基本ライセンス:
=========================================================
品番 速度 有効期限
---------------------------------------------------------
*vRX-TR-B1 10G 2020/01/06 - 2020/01/25
オプションライセンス:
vRX-TR-V1
#
|
| [解説] ライセンスの品番、状態、有効期限が表示されます。本設定例は、トライアルライセンスの表示になっています。 コマンドの詳細は、ライセンス情報の表示 をご覧ください。 |
ご相談・お問い合わせ