2本のIPsecを使用したAWS(vRX)-拠点間接続(冗長構成)

管理番号:YMHRT-20662

本設定例では、IPsecトンネル機能を使用しています。

IPsecトンネル機能の対応機種は、RTX5000RTX3500RTX1220RTX1210RTX830NVR700WFWX120vRXです。

構成図

ヤマハルーターとAWSにデプロイしたvRX間を、2本のIPsecトンネルで接続する冗長構成の設定例です。

AWS Lambdaを利用して、SNMPでIPsecトンネルの状態を監視するプログラムを実行します。このプログラムの実行中は、vRX(1)のIPsecトンネルがダウンした場合でも、VPCルーターの経路をvRX(2)のIPsecトンネルに切り替えて通信を継続できます。
AWSリソースの構築と、Lambda関数の作成は、CloudFormation(クラウドフォーメーション)のテンプレートを利用して自動で行います。

本設定例をご利用の際は、事前に、AWSアカウントを取得しておく必要があります。
AWSアカウントの作成方法は、AWSアカウント作成の流れ をご参照ください。その他、Amazon VPCに関する情報および設定方法については、アマゾン ウェブ サービス(AWS)にお問い合わせください。
※AWSは、米国その他の諸国における、Amazon.com, Inc. の商標です。

本設定例のCloudFormationのテンプレートでは、以下のセットアップを行います。
   ・vRX環境用のVPCの作成
   ・サブネット(LAN1、LAN2)の作成
   ・ルートテーブルの作成
   ・インターネットゲートウェイの作成
   ・セキュリティーグループの作成
   ・EC2インスタンスの作成
   ・Elastic IPの作成、EC2インスタンスに関連付け
   ・Lambda関数の作成、動作環境の構築
※テンプレートの形式バージョンは「2010-09-09」です。最新の形式バージョンは、CloudFormation ユーザーガイド でご確認ください。

本機能の対応機種のうち、設定例を掲載している機種は、以下のとおりです。

機種 掲載内容 備考
AWS vRX(1)、vRX(2) 設定例
テンプレート
 
拠点 RTX1220 RTX1210 RTX830 NVR700W コマンド設定例  

AWS 仮想ルーターvRX

下記の設定(Config)を取り出すことができます。

設定の概要

以下の手順で設定を行います。

キーペアの作成

1. AWSにログインします。

図 説明画像

2.「EC2」をクリックします。

図 説明画像

3.「キーペア」をクリックします。

図 説明画像

4.「キーペアの作成」をクリックします。

図 説明画像

5. キーペアの情報を入力して、「キーペアを作成」をクリックします。

名前 任意の名前
ファイル形式 「pem」を選択
図 説明画像

6. キーペア(プライベートキー)が作成されました。

図 説明画像

7. プライベートキーファイルを、任意の場所に保存します。
   ※プライベートキーファイルは、SSHを使用してvRXへ接続するときに使用します。大切に保管しておいてください。

図 説明画像

Lambda関数用ファイルの準備

1. Lambda関数用のファイル をダウンロードします。

2.「AWS」をクリックして、トップページに戻ります。

図 説明画像

3.「S3」をクリックします。

図 説明画像

4.「バケットを作成する」をクリックします。

図 説明画像

5. バケットの詳細を入力して、「次へ」をクリックします。

バケット名 任意の名前
リージョン アジアパシフィック(東京)
図 説明画像

6.「次へ」をクリックします。

図 説明画像

7.「パブリックアクセスをすべてブロック」にチェックが入っていることを確認して、「次へ」をクリックします。

図 説明画像

8. 設定内容を確認して問題がなければ、「バケットを作成」をクリックします。

図 説明画像

9. 作成したバケットをクリックします。

図 説明画像

10.「アップロード」をクリックします。

図 説明画像

11.「ファイルを追加」をクリックします。

図 説明画像

12. 手順1 でダウンロードした Lambda関数用ファイルを選択して、「開く」をクリックします。

図 説明画像

13. ファイル名を確認して、「アップロード」をクリックします。

図 説明画像

14. Lambda関数用ファイルがアップロードされたことを確認します。

図 説明画像

AWSリソースの構築

1. CloudFormationテンプレートファイル をダウンロードします。

2.「AWS」をクリックして、トップページに戻ります。

図 説明画像

3.「CloudFormation」をクリックします。

図 説明画像

4.「スタックの作成」をクリックします。

図 説明画像

5.「新しいリソースを使用(標準)」をクリックします。

図 説明画像

6.「テンプレートファイルのアップロード」を選択します。

図 説明画像

7.「ファイルの選択」をクリックします。

図 説明画像

8. 手順1 でダウンロードした CloudFormationテンプレートファイルを選択して、「開く」をクリックします。

図 説明画像

9. ファイル名を確認して、「次へ」をクリックします。

図 説明画像

10. スタックの詳細を入力して、「次へ」をクリックします。

スタックの名前 任意の名前
VPC Network Address Class Amazon VPCで使用するネットワークアドレスを指定
   ClassA:10.0.0.0/16
   ClassB:172.16.0.0/16
   ClassC:192.168.0.0/16
EC2 Key Pair いずれかのEC2キーペアを指定
  - キーペアの作成で作成したEC2キーペア
  - すでにお持ちのEC2キーペア
S3 Backet Name Lambda関数用ファイルの準備で作成したバケット名
License User Name vRXのユーザーID
License Password vRXのユーザーパスワード
vRX1 Basic License vRX(1) 基本ライセンス
vRX1 Option License vRX(1) VPNオプションライセンス
vRX2 Basic License vRX(2) 基本ライセンス
vRX2 Option License vRX(2) VPNオプションライセンス
IPsec Ike Remote Name 拠点のセキュリティー・ゲートウェイの名前
   ※拠点ルーター「VPN(IPsec)の設定」の ipsec ike local name コマンドと設定を合わせます。
Pre-Shared Key 拠点との事前共有鍵
   ※拠点ルーター「VPN(IPsec)の設定」の ipsec ike pre-shared-key コマンドと設定を合わせます。
図 説明画像

11.「次へ」をクリックします。

図 説明画像

12. 設定内容を確認して問題がなければ、「AWS CloudFormation によって IAMリソースが作成される場合があることを承認します」にチェックを入れて、「スタックの作成」をクリックします。

図 説明画像

13. スタックのステータスを確認します。「CREATE_IN_PROGRESS」が「CREATE_COMPLETE」と表示されるまで、数分間待ちます。

図 説明画像

14.「CREATE_COMPLETE」と表示されました。以上で、CloudFormationテンプレートによるAWSリソースの構築は完了です。

図 説明画像

AWSリソースの確認

1.「リソース」タブをクリックします。

図 説明画像

2. リソースの構築状況を確認します。
   すべてのリソースのステータスが「CREATE_COMPLETE」であれば、利用可能な状態です。リソースの構築に失敗した場合は、空欄になります。

図 説明画像

3. ElasticIPを確認します。
   ElasticIPは、拠点-vRX のトンネルを設定するときや、SSHを使用してvRXへ接続するときに利用しますので、ひかえておいてください。

図 説明画像

vRXの設定(Config)は、SSHでvRXに接続後に確認できます。コマンドは「show config」です。
vRXに接続する手順は、vRX ユーザーガイド「SSHを使用して本製品へ接続する」でご確認ください。

拠点 ルーター

※ネットワーク機器を安全にお使いいただくために、管理パスワードの変更を奨励します。

ゲートウェイの設定 ip route default gateway pp 1
ip route (172.16.0.0/16) gateway tunnel 1
LANインターフェースの設定
(LAN1ポートを使用)
ip lan1 address 192.168.100.1/24
WANインターフェースの設定
(LAN2ポートを使用)
pp select 1
pp always-on on
pppoe use lan2
pp auth accept pap chap
pp auth myname (ISPへ接続するID) (ISPへ接続するパスワード)
ppp lcp mru on 1454
ppp ipcp ipaddress on
ppp ipcp msext on
ip pp mtu 1454
ip pp secure filter in 1020 1030 2000
ip pp secure filter out 1010 1011 1012 1013 1014 1015 3000 dynamic 100 101 102 103 104 105 106 107
ip pp nat descriptor 1
pp enable 1
vRX(1)に対する
VPN(IPsec)の設定
tunnel select 1
description tunnel "AWS AZ1"
ipsec tunnel 1
ipsec sa policy 1 1 esp aes-cbc sha-hmac
ipsec ike keepalive log 1 off
ipsec ike keepalive use 1 on heartbeat 3 3
ipsec ike local address 1 192.168.100.1
ipsec ike local name 1 (セキュリティー・ゲートウェイの名前) key-id # 注釈1
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text (事前共有鍵) # 注釈1
ipsec ike remote address 1 (vRX(1)のElasticIP)
tunnel backup tunnel 2
ip tunnel tcp mss limit auto
tunnel enable 1
vRX(2)に対する
VPN(IPsec)の設定
tunnel select 2
description tunnel "AWS AZ2"
ipsec tunnel 2
ipsec sa policy 2 2 esp aes-cbc sha-hmac
ipsec ike keepalive log 2 off
ipsec ike keepalive use 2 on heartbeat 3 3
ipsec ike local address 2 192.168.100.1
ipsec ike local name 2 (セキュリティー・ゲートウェイの名前) key-id # 注釈1
ipsec ike nat-traversal 2 on
ipsec ike pre-shared-key 2 text (事前共有鍵) # 注釈1
ipsec ike remote address 2 (vRX(2)のElasticIP)
ip tunnel tcp mss limit auto
tunnel enable 2
ipsec auto refresh on
フィルターの設定 ip filter source-route on
ip filter directed-broadcast on
ip filter 1010 reject * * udp,tcp 135 *
ip filter 1011 reject * * udp,tcp * 135
ip filter 1012 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 1013 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 1014 reject * * udp,tcp 445 *
ip filter 1015 reject * * udp,tcp * 445
ip filter 1020 reject 192.168.100.0/24 *
ip filter 1030 pass * 192.168.100.0/24 icmp
ip filter 2000 reject * *
ip filter 3000 pass * *
ip filter dynamic 100 * * ftp
ip filter dynamic 101 * * www
ip filter dynamic 102 * * domain
ip filter dynamic 103 * * smtp
ip filter dynamic 104 * * pop3
ip filter dynamic 105 * * submission
ip filter dynamic 106 * * tcp
ip filter dynamic 107 * * udp
NATの設定 nat descriptor type 1 masquerade
nat descriptor masquerade static 1 1 192.168.100.1 udp 500
nat descriptor masquerade static 1 2 192.168.100.1 udp 4500
DHCPの設定 dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.100.2-192.168.100.191/24
DNSの設定 dns server (ISPから指定されたDNSサーバーのIPアドレス)
dns private address spoof on

[注釈の説明]

注釈:
vRX「AWSリソースの構築 手順10」の IPsec Ike Remote Name および Pre-Shared Key の設定と合わせます。

接続状態の確認

本設定例では、SSHでvRXに接続して、接続状態を確認します。
vRXに接続する手順は、vRX ユーザーガイド「SSHを使用して本製品へ接続する」でご確認ください。

・「show status tunnel 1」コマンドで、VPNの接続状態を確認できます。

[コンソール]
# show status tunnel 1
TUNNEL[1]:
説明:
インタフェースの種類: IPsec ★
トンネルインタフェースは接続されています ★
開始: yyyy/mm/dd hh:mm:ss
通信時間: 12分21秒
受信: (IPv4) 15 パケット [1252 オクテット]
(IPv6) 0 パケット [0 オクテット]
送信: (IPv4) 15 パケット [1252 オクテット]
(IPv6) 0 パケット [0 オクテット]
#
[解説]
トンネルインターフェースの接続状態が表示されます。
コマンドの詳細は、トンネルインタフェースの状態の表示 をご覧ください。

・「show status license vrx」コマンドで、vRXのライセンス情報を確認できます。

[コンソール]
# show status license vrx
ユーザーID: vrx_user
インスタンスID: 12345678
基本ライセンス:
=========================================================
品番 速度 有効期限
---------------------------------------------------------
*vRX-1Y10G 10G 2019/11/01 - 2020/11/30
オプションライセンス:
vRX-VPN1K x2
#
[解説]
ライセンスの品番、状態、有効期限が表示されます。本設定例は、トライアルライセンスの表示になっています。
コマンドの詳細は、ライセンス情報の表示 をご覧ください。

【ご注意】
本設定例は、設定の参考例を示したもので、動作を保証するものではございません。
ご利用いただく際には、十分に評価・検証を実施してください。

メール

ご相談・お問い合わせ