NECのルータIX2105からVPCのVPNに接続する
ソリューションアーキテクト部の荒木(ar1)です。
UNIVERGE IX2000/IX3000シリーズ : UNIVERGE IX2105 | NECを試すことができたのでVPCに対してVPN接続してみました。
結果から言うと
- あっさりつながる
- 小さい
- (ふんでも)壊れにくそう
- (消費電力が小さいので)熱くならない。静か。
というのは間違いなさそう。十分に速い線がないので、パフォーマンスについては言及できません。
今回は、IPアドレスを固定で1つ割り当てられるサービスを使っています。準備として、VPCをつくって、Customerゲートウェイを作成するまでをAWSのマネージメントコンソールで行います。
- AWS Management ConsoleのVPCページを開ける
- ”Start VPC Wizard”ボタンを押して作成開始
- “VPC with a Private Subnet Only and Hardware VPN Access”シナリオを選択
- IX2105につけるIPアドレスをいれる
- “Use dynamic routing (requires BGP)”を選択してVPCを作成
- VPN CONNECTIONS->VPN Connectionsから、作成されたVPN接続の設定ファイルをダウンロードする。ベンダのところには対応していないのでGenericを入手する。
すると、以下のようなファイルが入手できているはず。とりあえず、vpn-ix2105.txtとでもしておきます。
Amazon Web Services Virtual Private Cloud VPN Connection Configuration ================================================================================ AWS utilizes unique identifiers to manipulate the configuration of a VPN Connection. Each VPN Connection is assigned a VPN Connection Identifier and is associated with two other identifiers, namely the Customer Gateway Identifier and the Virtual Private Gateway Identifier. (以下続く)
ファイルをひとつひとつ見てもいいのですが、さきに入れるべき情報を整理します。
IPSecで使う鍵の入手
$ grep '\-\ Pre-Shared Key' vpn-ix2105.txt - Pre-Shared Key : トンネル1の鍵 - Pre-Shared Key : トンネル2の鍵
設定に必要なAWS側のIPアドレスの入手
$ grep "\-\ Virtual\ Private\ Gateway" vpn-ix2105.txt - Virtual Private Gateway : 27.0.1.16 - Virtual Private Gateway : 169.254.252.25/30 - Virtual Private Gateway : 27.0.1.144 - Virtual Private Gateway : 169.254.252.29/30
- Virtual Private Gateway ASN : <Virtual Private Gateway ASN>
$ grep "\-\ Customer\ Gateway" vpn-ix2105.txt - Customer Gateway : IX2105につけるIPアドレス - Customer Gateway : 169.254.252.26/30 - Customer Gateway ASN : 65000 - Customer Gateway : IX2105につけるIPアドレス - Customer Gateway : 169.254.252.30/30 - Customer Gateway ASN : 65000
ここまで整理したら、IX2105にシリアルコンソールを挿して設定です。AWS側のIPアドレスは人によってことなることがあります。
まずは初期化してしまいましょう。
Router# Router# configure Enter configuration commands, one per line. End with CNTL/Z. Router(config)# erase startup-config Are you sure you want to erase the startup-configuration? (Yes or [No]): yes Router(config)# exit Router# default-console command-line % You must RELOAD the router for this configuration to take effect. Router#
初期化後の設定はごちゃごちゃ解説するよりそのもの貼ったほうがわかりやすいので
はっておきます!Good luck!
! timezone +09 00 ! logging buffered 131072 logging subsystem all warn logging timestamp datetime ! ! ip ufs-cache enable ip route default GigaEthernet0.1 ip access-list sec-list permit ip src any dest any ! ! ! ike proposal ike-prop encryption aes hash sha group 1024-bit ! ike policy ike-policy1 peer 27.0.1.16 key bbbbbbaaaaaaaaaaaaamavO8waikpkWlL ike-prop ike keepalive ike-policy1 10 3 ! ike policy ike-policy2 peer 27.0.1.144 key cccccccccdddddddddddddda49yt ike-prop ike keepalive ike-policy2 10 3 ! ipsec autokey-proposal ipsec-prop esp-aes esp-sha lifetime time 3600 ! ipsec autokey-map ipsec-map1 sec-list peer 27.0.1.16 ipsec-prop pfs 1024-bit ! ipsec autokey-map ipsec-map2 sec-list peer 27.0.1.144 ipsec-prop pfs 1024-bit ! ppp profile pppoe authentication myname [email protected] authentication password [email protected] xxxxxxxxxxxxxxxxx ! router bgp 65000 neighbor 169.254.252.25 remote-as 10124 neighbor 169.254.252.25 timers 10 30 neighbor 169.254.252.25 receive-capability override neighbor 169.254.252.29 remote-as 10124 neighbor 169.254.252.29 timers 10 30 neighbor 169.254.252.29 receive-capability override address-family ipv4 unicast originate-default always ! device GigaEthernet0 ! device GigaEthernet1 ! interface GigaEthernet0.0 no ip address shutdown ! interface GigaEthernet1.0 description == admin net == ip address 192.168.1.205/24 no shutdown ! interface GigaEthernet0.1 description == flets == encapsulation pppoe auto-connect ppp binding pppoe ip address ipcp ←動的にIPアドレスを取得する設定 ip napt enable ip napt static GigaEthernet0.1 udp 500 ip napt static GigaEthernet0.1 50 no shutdown ! interface Loopback0.0 no ip address ! interface Null0.0 no ip address ! interface Tunnel0.0 description == Tunnel 1 == tunnel mode ipsec ip address 169.254.252.26/30 ip tcp adjust-mss auto ipsec policy tunnel ipsec-map1 out no shutdown ! interface Tunnel1.0 description == Tunnel #2 == tunnel mode ipsec ip address 169.254.252.30/30 ip tcp adjust-mss auto ipsec policy tunnel ipsec-map2 out no shutdown
速度については、試した環境が100Mのフレッツなので負荷をかけるには至りませんでしたが、ルータが足をひっぱることはないようでした。
いずれにせよ、省スペースでらくらく使えるルータとして、候補にあげておくルータだと思います。消費電力も小さいですし。気になるお値段ですが、希望小売価格がWebにでてました。
コメント