動作確認

4-1. IPsecの確認

 ISAKMP SAの確立状態

• 下記コマンドを実行し、ISAKMP SAの確立状態がEstablishであることを確認します。

• 上記のように表示されない場合は、ISAKMP SAの確立に失敗しています。

Preshared keyやISAKMPポリシー、ISAKMP proposalが正しく設定されているかご確認ください。

Router# show isakmp sa Side : Init - Initiator Resp - Responder

Policy Status Cookie Peer address Life time Side Options

isakmp_1 Establish d5a09b8dc30eadcb:b9bcece0b8fea6a9 20.0.0.1 51/ 28800 Resp DPD

isakmp_2 Establish d65d209ef99f367f:257ba60b6057f9e2 20.0.0.2 54/ 28800 Resp DPD

4-1. IPsecの確認

 IPsec SAの確立状態

• 下記コマンドを実行し、IPsec SAの確立状態がEstablishであることを確認します。

• 上記のように表示されない場合は、IPsec SAの確立に失敗しています。

IPsecポリシー、IPsec proposalが正しく設定されているかご確認ください。

Router# show ipsec sa

Proto: ESP - Encapsulating Security Payload AH - Authentication Header

ESP(U) - UDP encapsulation ESP Side : Init - Initiator

Resp - Responder

Policy Proto Status In:Out SPI Peer address Life time Life byte Side ipsec_1 ESP Establish 1b4d87b2:ad371f89 20.0.0.1 53/ 3600 --- / --- Init ipsec_2 ESP Establish a1d564b6:f57ae98a 20.0.0.2 59/ 3600 --- / --- Init

4-2. 経路の確認

 下記コマンドを実行し、AWS（172.16.0.0/16）への経路を確認します。

本例では、AWS（10.0.0.0/16）宛ての通信は tunnel 1 を経由しています。

Router# show ip route

Codes: C - connected, S - static, R - RIP, B - BGP O - OSPF, IA - OSPF inter area

N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2

i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area PR - Static route via protocol

* - candidate default

Gateway of last resort is 0.0.0.0 to network 0.0.0.0

S* 0.0.0.0/0 [1/0] is directly connected, gigabitEthernet 0.1 C 12.34.56.78 /32 is directly connected, gigabitEthernet 0.1 C 87.65.43.21 /32 is directly connected, gigabitEthernet 0.1 S 10.0.0.0/16 [1/0] is directly connected, tunnel 1

4-3. 通信の確認

 Amazon EC2 と通信ができることを確認します。

• Amazon EC2 の作成方法については、AWSの技術資料をご参照ください。

http://aws.amazon.com/jp/documentation/ec2/

• Amazon EC2 のIPアドレス（本例では「10.0.1.1」）に対してpingが通ることを確認します。

• pingは、キーボードの「Ctrl」+「C」で停止できます。

Router# ping 10.0.1.1 source vlan 1 PING 10.0.1.1 (10.0.1.1): 56 data bytes

64 bytes from 10.0.1.1: icmp_seq=0 ttl=126 time=22.403 ms 64 bytes from 10.0.1.1: icmp_seq=1 ttl=126 time=22.413 ms 64 bytes from 10.0.1.1: icmp_seq=2 ttl=126 time=22.703 ms 64 bytes from 10.0.1.1: icmp_seq=3 ttl=126 time=22.729 ms 64 bytes from 10.0.1.1: icmp_seq=4 ttl=126 time=22.770 ms 64 bytes from 10.0.1.1: icmp_seq=5 ttl=126 time=23.514 ms

----10.0.1.1 PING Statistics----

6 packets transmitted, 6 packets received, 0.0% packet loss

round-trip min/avg/max/stddev = 22.403/22.758/23.514/0.370 ms

4-4. 経路冗長の確認（参考）

 Amazon VPCのゲートウェイの一方がダウンしたときの経路の冗長性を確認します。

• 実際のゲートウェイのダウンを待つことはできないので、ここでは tunnel 1 を通るパケットを強制的にフィルタリングすることで障害をシミュレートします。

Router# configure terminal

Enter configuration commands, one per line. End with CNTL/Z.

Router(config)# access-list ip extended pppoe0-in

Router(config-acl-ip-ext)# deny ip 20.0.0.1/32 any sequence 1

*Router(config-acl-ip-ext)# exit

*Router(config)# access-list ip extended pppoe0-out

*Router(config-acl-ip-ext)# deny ip any 20.0.0.1/32 sequence 1

*Router(config-acl-ip-ext)# exit

*Router(config)# exit

赤字には、Amazon VPC VPN tunnel（1）とサブネットマスクを入力ください。

4-4. 経路冗長の確認（参考）

 しばらく待つと tunnel 1 の IPsec が切断され、経路が tunnel 2に切替ります。

 下記コマンドで経路の切り替わりを確認してください。

*Router# show ip route

Codes: C - connected, S - static, R - RIP, B - BGP O - OSPF, IA - OSPF inter area

N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2

i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area PR - Static route via protocol

* - candidate default

Gateway of last resort is 0.0.0.0 to network 0.0.0.0

C 192.168.1.0/24 is directly connected, vlan 1

4-4. 経路冗長の確認（参考）

 この状態で Amazon EC2 に対してpingが通ることを確認します。

*Router# ping 10.0.1.1 source vlan 1 PING 10.0.1.1 (10.0.1.1): 56 data bytes

64 bytes from 10.0.1.1: icmp_seq=0 ttl=126 time=25.715 ms 64 bytes from 10.0.1.1: icmp_seq=1 ttl=126 time=25.973 ms 64 bytes from 10.0.1.1: icmp_seq=2 ttl=126 time=26.244 ms 64 bytes from 10.0.1.1: icmp_seq=3 ttl=126 time=25.546 ms 64 bytes from 10.0.1.1: icmp_seq=4 ttl=126 time=26.084 ms

----10.0.1.1 PING Statistics----

5 packets transmitted, 5 packets received, 0.0% packet loss

round-trip min/avg/max/stddev = 25.546/25.912/26.244/0.281 ms

4-4. 経路冗長の確認（参考）

 経路の切り替わりを確認したら、先ほどのフィルタリングを消去します。

*Router# configure terminal

Enter configuration commands, one per line. End with CNTL/Z.

*Router(config)# access-list ip extended pppoe0-in

*Router(config-acl-ip-ext)# no deny ip 20.0.0.1/32 any sequence 1

*Router(config-acl-ip-ext)# exit

*Router(config)# access-list ip extended pppoe0-out

*Router(config-acl-ip-ext)# no deny ip any 20.0.0.1/32 sequence 1 Router(config-acl-ip-ext)# exit

Router(config)# exit

 しばらく待つと、経路が再び tunnel 1 に切り戻りますので、「show ip route」でご確認ください。

赤字には、Amazon VPC VPN tunnel（1）とサブネットマスクを入力ください。

ドキュメント内 ARX640SとAmazon Web Services(AWS)接続設定例 (ページ 32-41)

4-1. IPsecの確認

 ISAKMP SAの確立状態

4-1. IPsecの確認

 IPsec SAの確立状態

4-2. 経路の確認

 下記コマンドを実行し、AWS（172.16.0.0/16）への経路を確認します。

本例では、AWS（10.0.0.0/16）宛ての通信は tunnel 1 を経由しています。

4-3. 通信の確認

 Amazon EC2 と通信ができることを確認します。

4-4. 経路冗長の確認（参考）

 Amazon VPCのゲートウェイの一方がダウンしたときの経路の冗長性を確認します。

4-4. 経路冗長の確認（参考）

 しばらく待つと tunnel 1 の IPsec が切断され、経路が tunnel 2に切替ります。

 下記コマンドで経路の切り替わりを確認してください。

4-4. 経路冗長の確認（参考）

 この状態で Amazon EC2 に対してpingが通ることを確認します。

4-4. 経路冗長の確認（参考）

 経路の切り替わりを確認したら、先ほどのフィルタリングを消去します。

 しばらく待つと、経路が再び tunnel 1 に切り戻りますので、「show ip route」で ご確認ください。

 しばらく待つと、経路が再び tunnel 1 に切り戻りますので、「show ip route」でご確認ください。