4-1. IPsecの確認
ISAKMP SAの確立状態
• 下記コマンドを実行し、ISAKMP SAの確立状態がEstablishであることを確認します。
• 上記のように表示されない場合は、ISAKMP SAの確立に失敗しています。
Preshared keyやISAKMPポリシー、ISAKMP proposalが正しく設定されているか ご確認ください。
Router# show isakmp sa Side : Init - Initiator Resp - Responder
Policy Status Cookie Peer address Life time Side Options
isakmp_1 Establish d5a09b8dc30eadcb:b9bcece0b8fea6a9 20.0.0.1 51/ 28800 Resp DPD
isakmp_2 Establish d65d209ef99f367f:257ba60b6057f9e2 20.0.0.2 54/ 28800 Resp DPD
4-1. IPsecの確認
IPsec SAの確立状態
• 下記コマンドを実行し、IPsec SAの確立状態がEstablishであることを確認します。
• 上記のように表示されない場合は、IPsec SAの確立に失敗しています。
IPsecポリシー、IPsec proposalが正しく設定されているかご確認ください。
Router# show ipsec sa
Proto: ESP - Encapsulating Security Payload AH - Authentication Header
ESP(U) - UDP encapsulation ESP Side : Init - Initiator
Resp - Responder
Policy Proto Status In:Out SPI Peer address Life time Life byte Side ipsec_1 ESP Establish 1b4d87b2:ad371f89 20.0.0.1 53/ 3600 --- / --- Init ipsec_2 ESP Establish a1d564b6:f57ae98a 20.0.0.2 59/ 3600 --- / --- Init
4-2. 経路の確認
下記コマンドを実行し、AWS(172.16.0.0/16)への経路を確認します。
本例では、AWS(10.0.0.0/16)宛ての通信は tunnel 1 を経由しています。
Router# show ip route
Codes: C - connected, S - static, R - RIP, B - BGP O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area PR - Static route via protocol
* - candidate default
Gateway of last resort is 0.0.0.0 to network 0.0.0.0
S* 0.0.0.0/0 [1/0] is directly connected, gigabitEthernet 0.1 C 12.34.56.78 /32 is directly connected, gigabitEthernet 0.1 C 87.65.43.21 /32 is directly connected, gigabitEthernet 0.1 S 10.0.0.0/16 [1/0] is directly connected, tunnel 1
4-3. 通信の確認
Amazon EC2 と通信ができることを確認します。
• Amazon EC2 の作成方法については、AWSの技術資料をご参照ください。
http://aws.amazon.com/jp/documentation/ec2/
• Amazon EC2 のIPアドレス(本例では「10.0.1.1」)に対してpingが通ることを確認します。
• pingは、キーボードの「Ctrl」+「C」で停止できます。
Router# ping 10.0.1.1 source vlan 1 PING 10.0.1.1 (10.0.1.1): 56 data bytes
64 bytes from 10.0.1.1: icmp_seq=0 ttl=126 time=22.403 ms 64 bytes from 10.0.1.1: icmp_seq=1 ttl=126 time=22.413 ms 64 bytes from 10.0.1.1: icmp_seq=2 ttl=126 time=22.703 ms 64 bytes from 10.0.1.1: icmp_seq=3 ttl=126 time=22.729 ms 64 bytes from 10.0.1.1: icmp_seq=4 ttl=126 time=22.770 ms 64 bytes from 10.0.1.1: icmp_seq=5 ttl=126 time=23.514 ms
^C
----10.0.1.1 PING Statistics----
6 packets transmitted, 6 packets received, 0.0% packet loss
round-trip min/avg/max/stddev = 22.403/22.758/23.514/0.370 ms
4-4. 経路冗長の確認(参考)
Amazon VPCのゲートウェイの一方がダウンしたときの経路の冗長性を確認します。
• 実際のゲートウェイのダウンを待つことはできないので、ここでは tunnel 1 を通る パケットを強制的にフィルタリングすることで障害をシミュレートします。
Router# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)# access-list ip extended pppoe0-in
Router(config-acl-ip-ext)# deny ip 20.0.0.1/32 any sequence 1
*Router(config-acl-ip-ext)# exit
*Router(config)# access-list ip extended pppoe0-out
*Router(config-acl-ip-ext)# deny ip any 20.0.0.1/32 sequence 1
*Router(config-acl-ip-ext)# exit
*Router(config)# exit
赤字には、Amazon VPC VPN tunnel(1)と サブネットマスクを入力ください。
4-4. 経路冗長の確認(参考)
しばらく待つと tunnel 1 の IPsec が切断され、経路が tunnel 2に切替ります。
下記コマンドで経路の切り替わりを確認してください。
*Router# show ip route
Codes: C - connected, S - static, R - RIP, B - BGP O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area PR - Static route via protocol
* - candidate default
Gateway of last resort is 0.0.0.0 to network 0.0.0.0
S* 0.0.0.0/0 [1/0] is directly connected, gigabitEthernet 0.1 C 12.34.56.78 /32 is directly connected, gigabitEthernet 0.1 C 87.65.43.21 /32 is directly connected, gigabitEthernet 0.1 S 10.0.0.0/16 [1/0] is directly connected, tunnel 2
C 192.168.1.0/24 is directly connected, vlan 1
4-4. 経路冗長の確認(参考)
この状態で Amazon EC2 に対してpingが通ることを確認します。
*Router# ping 10.0.1.1 source vlan 1 PING 10.0.1.1 (10.0.1.1): 56 data bytes
64 bytes from 10.0.1.1: icmp_seq=0 ttl=126 time=25.715 ms 64 bytes from 10.0.1.1: icmp_seq=1 ttl=126 time=25.973 ms 64 bytes from 10.0.1.1: icmp_seq=2 ttl=126 time=26.244 ms 64 bytes from 10.0.1.1: icmp_seq=3 ttl=126 time=25.546 ms 64 bytes from 10.0.1.1: icmp_seq=4 ttl=126 time=26.084 ms
^C
----10.0.1.1 PING Statistics----
5 packets transmitted, 5 packets received, 0.0% packet loss
round-trip min/avg/max/stddev = 25.546/25.912/26.244/0.281 ms
4-4. 経路冗長の確認(参考)
経路の切り替わりを確認したら、先ほどのフィルタリングを消去します。
*Router# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
*Router(config)# access-list ip extended pppoe0-in
*Router(config-acl-ip-ext)# no deny ip 20.0.0.1/32 any sequence 1
*Router(config-acl-ip-ext)# exit
*Router(config)# access-list ip extended pppoe0-out
*Router(config-acl-ip-ext)# no deny ip any 20.0.0.1/32 sequence 1 Router(config-acl-ip-ext)# exit
Router(config)# exit
しばらく待つと、経路が再び tunnel 1 に切り戻りますので、「show ip route」で ご確認ください。
赤字には、Amazon VPC VPN tunnel(1)と サブネットマスクを入力ください。