Amazon VPC VPN接続設定 参考資料

Amazon VPC VPN接続設定 参考資料

• 1.
  Amazon VPC VPN 接続設定参考資料料 2015.04.16                
• 2.
  Amazon  Web  Services –  Amazon  VPC    VPN 接続設定  参考資料料   2     1.   イントロダクション  ..............................................................................  3   1.1.   ⽤用語集  ......................................................................................................  3   1.2.   ⽬目的  ........................................................................................................  3   1.3.   AWS が提供する VPN 接続  ............................................................................  3   2.   事前準備  ............................................................................................  4   2.1.   オンプレミス側ルータ(Customer  Gateway)の準備  ............................................  4   2.2.   設定⽤用パラメータの準備  ...............................................................................  5   3.   設定⼿手順  ............................................................................................  6   3.1.   AWS マネージメントコンソールの設定  ............................................................  7   3.1.1.   VPC およびサブネットの作成  ..................................................................  8   3.1.2.   Virtual  Private  Gateway の設定  ............................................................  10   3.1.3.   VPN  Connection の作成  .......................................................................  11   3.1.4.   Customer  Gateway コンフィグレーションファイルのダウンロード  ...............  12   3.1.5.   サブネットのルーティング設定  ..............................................................  13   3.2.   Customer  Gateway の設定  ........................................................................  15   3.2.1.   IKE の設定  ........................................................................................  15   3.2.2.   IPsec の設定  ......................................................................................  17   3.2.3.   Tunnel インタフェースの設定  ...............................................................  19   3.2.4.   ルーティング設定  ...............................................................................  20   3.3.   動作確認  .................................................................................................  21   4.   参考情報  ..........................................................................................  22       ⽬目次
• 3.
  Amazon  Web  Services –  Amazon  VPC    VPN 接続設定  参考資料料   3 1. イントロダクション 1.1. ⽤用語集 ⽤用語   説明   VPN(Virtual  Private  Network)   インターネット回線上に、暗号化技術を利利⽤用して専⽤用の経路路 を確⽴立立する技術   Amazon  VPC(Virtual  Private  Cloud)   AWS 上に論論理理的な領領域を定義し、仮想ネットワークを作成す ることができるサービス   Customer  Gateway   オンプレミスのネットワークに設置されているお客様ルータ   VGW(Virtual  Private  Gateway)   AWS 上で作成される仮想ルータ   1.2. ⽬目的 本書は Amazon  Web  Services をご利利⽤用のお客様で、Amazon  VPC(Virtual  Private  Cloud)とデータセ ンター・オフィスなどのオンプレミス拠点を VPN(Virtual  Private  Network)  接続するための⼿手順につ いて記述しています。     1.3. AWS が提供する VPN 接続 Amazon  VPC の機能で提供している VPN はサイト間 VPN となります。オンプレミス環境に設置されて いるハードウェアルータと Amazon 側の Virtual  Private  Gateway 間は、インターネット経由で暗号化 された通信路路を確⽴立立し、拠点間通信を⾏行行います。    
• 4.
  Amazon  Web  Services –  Amazon  VPC    VPN 接続設定  参考資料料   4 2. 事前準備 VPN 接続の前に、ルータ、設定パラメータの準備が必要となります。   2.1. オンプレミス側ルータ(Customer Gateway)の準備 オンプレミス側の VPN エンドポイントとなるルータ(以下、Customer  Gateway)は以下の機能を利利⽤用で きる必要があります。AWS で検証済のルータ⼀一覧も以下のリンクに掲載しておりますのでご参考くださ い。掲載されていないルータでも、要件を満たしていればご利利⽤用いただけます。     検証済ルータ⼀一覧：https://aws.amazon.com/jp/vpc/faqs/#C9     ■以下の IPsec 通信設定が可能であること   設定項⽬目   内容   IKE（フェーズ 1）：モード   メインモード   IKE（フェーズ 1）：暗号アルゴリズム   AES  128-‐‑‒bit   IKE（フェーズ 1）：認証⽅方式   Pre-‐‑‒Shared  Key   IKE（フェーズ 1）：ハッシュアルゴリズム   SHA-‐‑‒1   IKE（フェーズ 1）：DH グループ   グループ 2   IKE（フェーズ 1）：lifetime   28800 秒   IPsec（フェーズ 2）：モード   トンネルモード   IPsec（フェーズ 2）：暗号アルゴリズム   AES  128-‐‑‒bit   IPsec（フェーズ 2）：認証アルゴリズム   HMAC   IPsec（フェーズ 2）：ハッシュアルゴリズム   SHA-‐‑‒1   IPsec（フェーズ 2）：PFS グループ   グループ 2   IPsec（フェーズ 2）：lifetime   3600 秒     ■暗号化処理理前にフラグメント可能であること。     ■論論理理トンネルインタフェースが作成できること。     ■インターネットと直接通信可能なパブリック IP が利利⽤用できること。        NAT を利利⽤用した IPsec 通信（NAT トラバーサル）はサポート対象外となりますのでご注意ください。  
• 5.
  Amazon  Web  Services –  Amazon  VPC    VPN 接続設定  参考資料料   5   ■BGP(Border  Gateway  Protocol)が利利⽤用できること（オプション）     Static ルートでの設定も可能ですが、BGP を利利⽤用すると障害時の経路路⾃自動変更更やルーティングテーブ ルの動的更更新などがルーティングプロトコルでサポートされているため、複雑な構成の場合は BGP のご 利利⽤用をお勧めします  。     ■IPSec  Dead  Peer  Detection が利利⽤用できること。（オプション）       2.2. 設定⽤用パラメータの準備 VPN 設定にあたり、お客様側で以下のパラメータをご⽤用意いただく必要があります。   項⽬目   内容   Customer  Gateway 側 VPN エンドポイント IP ア ドレス   インターネットに直接通信可能な IP アドレスをご ⽤用意ください。   オンプレミス側 AS 番号(BGP の場合)   プライベート AS  64512~∼65534 をご利利⽤用くださ い。   オンプレミス側ネットワークアドレス   VPC と通信したいオンプレミスのネットワークを 環境に合わせて設定してください。        
• 6.
  Amazon  Web  Services –  Amazon  VPC    VPN 接続設定  参考資料料   6 3. 設定⼿手順 具体的な設定を元に⼿手順について記載します。     説明で利利⽤用する構成は、１台の Customer  Gateway から VPC へ接続する⼀一般的な構成とします。          
• 7.
  Amazon  Web  Services –  Amazon  VPC    VPN 接続設定  参考資料料   7 本ドキュメントで利利⽤用する設定情報はこちらです。お客様にご準備いただいた設定以外に、AWS から割 当てられる設定があります。   項⽬目   内容   補⾜足   AWS 側 VPN エンドポイント  #A   72.21.209.225   AWS から割り当てられるものです。変更更 はできません。また、こちらのアドレスは サンプルであり、実際の環境では異異なる IP アドレスとなる場合があります。   AWS 側 VPN エンドポイント  #B   72.21.209.193   Customer  Gateway 側   203.0.113.100   実際の環境ではお客様にてご⽤用意いただき ます。   トンネル A ネットワークアドレス   169.254.255.0/30   AWS から割り当てられるものです。変更更 はできません。また、こちらのアドレスは サンプルであり、実際の環境では異異なる IP アドレスとなる場合があります。   AWS 側トンネル A アドレス   169.254.255.1   Customer  Gateway 側   トンネル A アドレス   169.264.255.2   トンネル B ネットワークアドレス   169.254.255.4/30   AWS 側トンネル B アドレス   169.254.255.5   Customer  Gateway 側   トンネル B アドレス   169.254.255.6   オンプレミス側 AS 番号   65001   お客様側でプライベート AS   64512~∼65534 をご利利⽤用ください。   オンプレミス側   ネットワークアドレス   192.168.10.0/24   実際の環境ではお客様にてご⽤用意いただき ます。     3.1. AWS マネージメントコンソールの設定 AWS マネージメントコンソールでは、以下の順序で設定を⾏行行います。     ①VPC、サブネットの作成   通信したい AWS のリソースが稼働するためのネットワークを作成します。     ②VGW(Virtual  Gateway)の設定   AWS 側での VPN エンドポイントとなる Virtual  Gateway を作成し、利利⽤用したい VPC へのアタッチを⾏行行 います。  
• 8.
  Amazon  Web  Services –  Amazon  VPC    VPN 接続設定  参考資料料   8   ③オンプレミス側のルータ（Customer  Gateway）の登録   オンプレミス側の VPN エンドポイントとなる Customer  Gateway の設定を⾏行行います。本解説ではシス コシステムズ社のルータを設定例例として取り上げます。     ④VPN  Connection の作成   ①、②で設定したそれぞれの VPN エンドポイント間の VPN 接続を設定します。     ⑤サブネットのルーティングテーブル設定   オンプレミスに対するトラフィックが VGW を経由するように、サブネットで利利⽤用しているルーティン グテーブルを設定します。     それぞれの⼿手順について解説します。     3.1.1. VPC およびサブネットの作成 マネージメントから、[Services]-‐‑‒[VPC]を選択し、”VPC  Dashboard”を開きます。メイン画⾯面 の”Create  VPC”を選択します。         “Create  VPC”画⾯面で、”Name  tag”に VPC 名、”CIDR  block”に VPC で利利⽤用するネットワークアドレス を⼊入⼒力力してください。このネットワークアドレスの中からサブネットを切切り出していくことになるため、 ⼤大きめのネットワークで設定することをおすすめします。また、作成後の変更更はできません。         リストに作成された VPC が表⽰示されます。  
• 9.
  Amazon  Web  Services –  Amazon  VPC    VPN 接続設定  参考資料料   9       次に、サブネットの作成をします。”VPC  Dashboard”のメニューから”Subnets”をクリックします。次 に、”Create  Subnet”ボタンをクリックします。       “Create  subnet”画⾯面で、   ”Name  tag”に VPC 名、   “VPC”のプルダウンメニューから該当の VPC を選択、   “Availability  Zone”を指定する場合はプルダウンメニューから選択、   “CIDR  block”にサブネットで利利⽤用するネットワークアドレス(VPC で指定したアドレスの範囲内である 必要があります。)   を⼊入⼒力力し、”Yes,  Create”をクリックします。       リストに作成されたサブネットが表⽰示されます。    
• 10.
  Amazon  Web  Services –  Amazon  VPC    VPN 接続設定  参考資料料   10 3.1.2. Virtual Private Gateway の設定 マネージメントコンソールから、[Services]-‐‑‒[VPC]を選択し、左メニューの”VPC  Connection”にあ る”Virtual  Private  Gateway”をクリックし、メイン画⾯面の”Create  Virtual  Private  Gateway”のボタン をクリックします。       “Create  Virtual  Private  Gateway”の画⾯面で”Name  tag”に VGW 名を⼊入⼒力力し、”Yes,  Create”をクリッ クします。       リストに作成した VGW が表⽰示されます。作成した VGW を選択し、”Attach   to   VPC”をクリックします。       “Attach  to  VPC”の画⾯面で”VPC“のプルダウンから利利⽤用したい VPC を選択し、”Yes,  Attach”をクリック します。       リスト中で、VGW の Status 欄を確認してください。操作直後は”attaching”ですが、”attached”にな ったら完了了です。                           ↓  
• 11.
  Amazon  Web  Services –  Amazon  VPC    VPN 接続設定  参考資料料   11     3.1.3. VPN Connection の作成 マネージメントコンソールから、[Services]-‐‑‒[VPC]を選択し、左メニューの”VPC  Connections”にあ る”VPN  Connections”をクリックし、メイン画⾯面の”Create  VPN  Connection”のボタンをクリックしま す。   ルーティング設定(BGP と Static)によって、設定画⾯面が異異なります。     <BGP の場合>   “Create   VPN   Connection”から、”Routing   Options”に”Dynamic   (Requires   BGP)”にチェックを⼊入れ、   “Name  tag”に VPN コネクション名、   “Virtual  Private  Gateway”に前項で作成した VGW を選択、   “Customer  Gateway”で”New”にチェックを⼊入れ、   “IP  Address”で Customer  Gateway のパブリック IP アドレスを⼊入⼒力力、   “BGP  ASN”に AS 番号を⼊入⼒力力し、   “Yes  Create”をクリックします。         <Static の場合>   “Create  VPN  Connection”から、”Routing  Options”に”Static”にチェックを⼊入れ、   “Name  tag”に VPN コネクション名、   “Virtual  Private  Gateway”に前項で作成した VGW を選択、  
• 12.
  Amazon  Web  Services –  Amazon  VPC    VPN 接続設定  参考資料料   12 “Customer  Gateway”で”New”にチェックを⼊入れ、   “IP  Address”で Customer  Gateway のパブリック IP アドレスを⼊入⼒力力、   “Static  IP  Prefixes”にオンプレミスで利利⽤用しているネットワークアドレスを⼊入⼒力力  、   “Yes  Create”をクリックします。         リストに作成した VPN  Connection が表⽰示されます。       3.1.4. Customer Gateway コンフィグレーションファイルのダウンロード Customer  Gateway で利利⽤用するコンフィグレーションはマネージメントコンソールからダウンロードす ることが可能です。AWS 側の VPN エンドポイントの IP アドレスや IPsec の設定内容も記載されていま すので、ご利利⽤用の機種に合ったコンフィグレーションファイルをダウンロードしてください。     VPN  Connection の⼀一覧の上にある”Download  Configuration”をクリックします。      
• 13.
  Amazon  Web  Services –  Amazon  VPC    VPN 接続設定  参考資料料   13 “Vender”、”Platform”、”Software”からそれぞれの環境に合わせてコンフィグレーションをダウンロー ドしてください。       3.1.5. サブネットのルーティング設定 マネージメントコンソールから、[Services]-‐‑‒[VPC]を選択し、左メニューの”Subnets”をクリックしま す。メイン画⾯面のリストから作成したサブネットをクリックし、画⾯面下のサブ画⾯面の”Route  Table”タブ をクリックします。”Route  Table:”の rtb-‐‑‒から始まるルートテーブル ID をクリックします。       リストから該当のルートテーブルを選択し、画⾯面下のサブ画⾯面の”Routes”タブをクリックします。”Edit” をクリックします。  
• 14.
  Amazon  Web  Services –  Amazon  VPC    VPN 接続設定  参考資料料   14   “Destination”にオンプレミスのネットワークアドレス、”Target”に作成した VGW の ID を⼊入⼒力力してく ださい。（VGW の欄はカーソルを合わせると候補が表⽰示されます。）その後、Save をクリックします。   完了了後、ルーティングが登録されます。    
• 15.
  Amazon  Web  Services –  Amazon  VPC    VPN 接続設定  参考資料料   15 3.2. Customer Gateway の設定 それぞれの項⽬目毎の設定について記述します。こちらの設定は AWS  documentation の”Amazon   Virtual  Private  Cloud  Network  Administrator  Guide”に記載しております。   http://docs.aws.amazon.com/AmazonVPC/latest/NetworkAdminGuide/Cisco.html     3.2.1. IKE の設定 VPN 接続における、フェーズ１  IKE(インターネット鍵交換プロトコル)の設定を⾏行行います。   Tunnel  #A   !   crypto  isakmp  policy  200        encryption  aes  128        authentication  pre-‐‑‒share        group  2        lifetime  28800        hash  sha   exit   !   crypto  keyring  keyring-‐‑‒vpn-‐‑‒xxxxxxxx-‐‑‒0        pre-‐‑‒shared-‐‑‒key  address  72.21.209.225  key  plain-‐‑‒text-‐‑‒password1   exit   !   crypto  isakmp  profile  isakmp-‐‑‒vpn-‐‑‒xxxxxxxx-‐‑‒0        match  identity  address  72.21.209.225        keyring  keyring-‐‑‒vpn-‐‑‒xxxxxxxx-‐‑‒0   exit   !            
• 16.
  Amazon  Web  Services –  Amazon  VPC    VPN 接続設定  参考資料料   16 Tunnnel  #B   !   crypto  isakmp  policy  201        encryption  aes  128        authentication  pre-‐‑‒share        group  2        lifetime  28800        hash  sha   exit   !   crypto  keyring  keyring-‐‑‒vpn-‐‑‒xxxxxxxx-‐‑‒1        pre-‐‑‒shared-‐‑‒key  address  72.21.209.193  key  plain-‐‑‒text-‐‑‒password2   exit   !   crypto  isakmp  profile  isakmp-‐‑‒vpn-‐‑‒xxxxxxxx-‐‑‒1        match  identity  address  72.21.209.193        keyring  keyring-‐‑‒vpn-‐‑‒xxxxxxxx-‐‑‒1   exit   !    
• 17.
  Amazon  Web  Services –  Amazon  VPC    VPN 接続設定  参考資料料   17 3.2.2. IPsec の設定 次に、VPN 接続のフェーズ２  IPsec の設定を⾏行行います。   Tunnel  #A   !   crypto  ipsec  transform-‐‑‒set  ipsec-‐‑‒prop-‐‑‒vpn-‐‑‒xxxxxxxx-‐‑‒0  esp-‐‑‒aes  128  esp-‐‑‒sha-‐‑‒hmac          mode  tunnel   exit   !   crypto  ipsec  profile  ipsec-‐‑‒vpn-‐‑‒xxxxxxxx-‐‑‒0        set  pfs  group2        set  security-‐‑‒association  lifetime  seconds  3600        set  transform-‐‑‒set  ipsec-‐‑‒prop-‐‑‒vpn-‐‑‒xxxxxxxx-‐‑‒0   exit   !   crypto  ipsec  df-‐‑‒bit  clear   !   crypto  isakmp  keepalive  10  10  on-‐‑‒demand   !   crypto  ipsec  security-‐‑‒association  replay  window-‐‑‒size  128   !     Tunnel  #B   !   crypto  ipsec  transform-‐‑‒set  ipsec-‐‑‒prop-‐‑‒vpn-‐‑‒xxxxxxxx-‐‑‒1  esp-‐‑‒aes  128  esp-‐‑‒sha-‐‑‒hmac          mode  tunnel   exit   !   crypto  ipsec  profile  ipsec-‐‑‒vpn-‐‑‒xxxxxxxx-‐‑‒1        set  pfs  group2        set  security-‐‑‒association  lifetime  seconds  3600        set  transform-‐‑‒set  ipsec-‐‑‒prop-‐‑‒vpn-‐‑‒xxxxxxxx-‐‑‒1   exit  
• 18.
  Amazon  Web  Services –  Amazon  VPC    VPN 接続設定  参考資料料   18 !   crypto  ipsec  df-‐‑‒bit  clear   !   crypto  isakmp  keepalive  10  10  on-‐‑‒demand   !    
• 19.
  Amazon  Web  Services –  Amazon  VPC    VPN 接続設定  参考資料料   19 3.2.3. Tunnel インタフェースの設定 Tunnel インタフェースに IP アドレスを設定します。実際のルーティングはこの Tunnel インタフェー スを利利⽤用しています。   Tunnel  #A   !   interface  Tunnel1        ip  address  169.254.255.2  255.255.255.252        ip  virtual-‐‑‒reassembly        tunnel  source  203.0.113.100        tunnel  destination  72.21.209.225          tunnel  mode  ipsec  ipv4        tunnel  protection  ipsec  profile  ipsec-‐‑‒vpn-‐‑‒xxxxxxxx-‐‑‒0        !  This  option  causes  the  router  to  reduce  the  Maximum  Segment  Size  of        !  TCP  packets  to  prevent  packet  fragmentation.        ip  tcp  adjust-‐‑‒mss  1396          no  shutdown   exit   !     Tunnel  #B   !   interface  Tunnel2        ip  address  169.254.255.6  255.255.255.252        ip  virtual-‐‑‒reassembly        tunnel  source  203.0.113.100        tunnel  destination  72.21.209.193          tunnel  mode  ipsec  ipv4        tunnel  protection  ipsec  profile  ipsec-‐‑‒vpn-‐‑‒xxxxxxxx-‐‑‒1        !  This  option  causes  the  router  to  reduce  the  Maximum  Segment  Size  of        !  TCP  packets  to  prevent  packet  fragmentation.        ip  tcp  adjust-‐‑‒mss  1396          no  shutdown  
• 20.
  Amazon  Web  Services –  Amazon  VPC    VPN 接続設定  参考資料料   20 !     3.2.4. ルーティング設定 BGP と Static で設定内容が異異なりますので、ご注意ください。     <BGP の場合>   !   router  bgp  65001        neighbor  169.254.255.1  remote-‐‑‒as  7224        neighbor  169.254.255.1  activate        neighbor  169.254.255.1  timers  10  30  30        address-‐‑‒family  ipv4  unicast                neighbor  169.254.255.1  remote-‐‑‒as  7224              neighbor  169.254.255.1  timers  10  30  30              neighbor  169.254.255.1  default-‐‑‒originate              neighbor  169.254.255.1  activate              neighbor  169.254.255.1  soft-‐‑‒reconfiguration  inbound              network  0.0.0.0        exit   exit   !     <Static の場合>   !    ip  route  10.0.0.0  255.255.0.0  Tunnel1  track  100    ip  route  10.0.0.0  255.255.0.0  Tunnel2  track  200   !   ip  sla  100        icmp-‐‑‒echo  169.254.255.1  source-‐‑‒interface  Tunnel1        timeout  1000        frequency  5  
• 21.
  Amazon  Web  Services –  Amazon  VPC    VPN 接続設定  参考資料料   21 exit   ip  sla  schedule  100    life  forever  start-‐‑‒time  now   track  100  ip  sla  100  reachability   !   ip  sla  200        icmp-‐‑‒echo  169.254.255.5  source-‐‑‒interface  Tunnel2        timeout  1000        frequency  5   exit   ip  sla  schedule  200    life  forever  start-‐‑‒time  now   track  200  ip  sla  200  reachability   !     3.3. 動作確認 AWS マネージメントコンソール上で[VPC]-‐‑‒[VPN  Connections]を選択し、該当の VPN 接続をクリック します。メイン画⾯面下部の”Tunnel  Dtails”をクリックし、”State”が”UP”となっていることを確認して ください。      
• 22.
  Amazon  Web  Services –  Amazon  VPC    VPN 接続設定  参考資料料   22 4. 参考情報 VPN 設定にあたり、こちらの情報もご参考ください。     ■Amazon  Virtual  Private  Cloud  ユーザガイド   http://docs.aws.amazon.com/ja_̲jp/AmazonVPC/latest/UserGuide/VPC_̲Introduction.html     ■Amazon  Virtual  Private  Cloud ネットワーク管理理者ガイド   http://docs.aws.amazon.com/AmazonVPC/latest/NetworkAdminGuide     ■AWS  Black  Belt  Tech シリーズ  Amazon  VPC   http://www.slideshare.net/AmazonWebServicesJapan/aws-‐‑‒black-‐‑‒belt-‐‑‒tech-‐‑‒amazon-‐‑‒vpc