4-1. IPsecの確認
ISAKMP SAの確立状態
• 下記コマンドを実行し、ISAKMP SAの確立状態がEstablishであることを確認します。
• 上記のように表示されない場合は、ISAKMP SAの確立に失敗しています。
Preshared keyやISAKMPポリシー、ISAKMP proposalが正しく設定されているか ご確認ください。
Router# show isakmp sa Side : Init - Initiator Resp - Responder
Policy Status Cookie Peer address Life time Side Options
isakmp_1 Establish d5a09b8dc30eadcb:b9bcece0b8fea6a9 172.30.0.1 51/ 28800 Resp DPD
isakmp_2 Establish d65d209ef99f367f:257ba60b6057f9e2 172.31.0.1 54/ 28800 Resp DPD
4-1. IPsecの確認
IPsec SAの確立状態
• 下記コマンドを実行し、IPsec SAの確立状態がEstablishであることを確認します。
Router# show ipsec sa
Proto: ESP - Encapsulating Security Payload AH - Authentication Header
ESP(U) - UDP encapsulation ESP Side : Init - Initiator
Resp - Responder
Policy Proto Status In:Out SPI Peer address Life time Life byte Side ipsec_1 ESP Establish 1b4d87b2:ad371f89 172.30.0.1 53/ 3600 --- / --- Init ipsec_2 ESP Establish a1d564b6:f57ae98a 172.31.0.1 59/ 3600 --- / --- Init
4-2. 経路の確認
下記コマンドを実行し、BGPのセッションが確立できていることを確認します。
Router#show ip bgp summary
BGP router identifier 192.168.1.254, local AS number 65000 BGP table version is 1
2 BGP AS-PATH entries 0 BGP community entries
Neighbor V AS MsgRcvd MsgSent TblVer InQ OutQ Up/Down State/PfxRcd 172.16.0.1 4 10124 367 437 1 0 0 00:07:57 1 172.17.0.1 4 10124 55 66 1 0 0 00:07:19 1 Number of neighbors 2
Router#
4-2. 経路の確認
下記コマンドを実行し、AWS(10.0.0.0/16)への経路を確認します。
Router# show ip route
Codes: C - connected, S - static, R - RIP, B - BGP O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area PR - Static route via protocol
* - candidate default
Gateway of last resort is 0.0.0.0 to network 0.0.0.0
S* 0.0.0.0/0 [1/0] is directly connected, gigabitEthernet 0.1 B 10.0.0.0/16 [20/0] via 172.16.0.1, tunnel 1, 00:05:17 C 172.29.0.1 /32 is directly connected, gigabitEthernet 0.1 C 172.20.0.1 /32 is directly connected, gigabitEthernet 0.1
4-3. AWSの確認
メニューバーの「VPN Connection」内の「Tunnel Details」タブを選択し、両方のトンネ
ルのStatusが「UP」になっていることを確認してください。
4-3. AWSの確認
Statusが「DOWN」の際、IPsecの接続に失敗している場合はDetailsの欄に
「IPSEC IS DOWN」と、IPsecの接続には成功しているがBGPセッションの
確立に失敗している場合はDetailsに「IPSEC IS UP」と表示されます。
4-4. 通信の確認
Amazon EC2 と通信ができることを確認します。
• Amazon EC2 の作成方法については、AWSの技術資料をご参照ください。
http://aws.amazon.com/jp/documentation/ec2/
• ARX640SのLAN側からAmazon EC2 のIPアドレス(本例では「10.0.1.1」)に対してpingが通 ることを確認します。
• pingは、キーボードの「Ctrl」+「C」で停止できます。
Router# ping 10.0.1.1 source vlan 1 PING 10.0.1.1 (10.0.1.1): 56 data bytes
64 bytes from 10.0.1.1: icmp_seq=0 ttl=126 time=22.403 ms 64 bytes from 10.0.1.1: icmp_seq=1 ttl=126 time=22.413 ms 64 bytes from 10.0.1.1: icmp_seq=2 ttl=126 time=22.703 ms 64 bytes from 10.0.1.1: icmp_seq=3 ttl=126 time=22.729 ms 64 bytes from 10.0.1.1: icmp_seq=4 ttl=126 time=22.770 ms 64 bytes from 10.0.1.1: icmp_seq=5 ttl=126 time=23.514 ms
^C
----10.0.1.1 PING Statistics----
6 packets transmitted, 6 packets received, 0.0% packet loss
round-trip min/avg/max/stddev = 22.403/22.758/23.514/0.370 ms
4-5. 経路冗長の確認(参考)
Amazon VPCのゲートウェイの一方がダウンしたときの経路の冗長性を確認します。
• ARX640SはBGPで同じ宛先への経路を複数通知された際は、初めに通知された経路を使用します。
そのためVPCに接続するたびに使用する経路が変わる場合があります。もし経路情報を確認し、
AWSへの経路がtunnel2経由である際は以下の説明のtunnel1とtunnel2を置き換えてください。
• 実際のゲートウェイのダウンを待つことはできないので、ここでは tunnel 1 を通る パケットを強制的にフィルタリングすることで障害をシミュレートします。
Router# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)# access-list ip extended pppoe0-in
Router(config-acl-ip-ext)# deny ip 172.30.0.1/32 any sequence 1
*Router(config-acl-ip-ext)# exit
*Router(config)# access-list ip extended pppoe0-out
*Router(config-acl-ip-ext)# deny ip any 172.30.0.1 sequence 1
*Router(config-acl-ip-ext)# exit
*Router(config)# exit
赤字には、Amazon VPC VPN tunnelと サブネットマスクを入力ください。
4-5. 経路冗長の確認(参考)
しばらく待つと tunnel 1 の IPsec が切断され、経路が tunnel 2に切替ります。
下記コマンドで経路の切り替わりを確認してください。
*Router# show ip route
Codes: C - connected, S - static, R - RIP, B - BGP O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area PR - Static route via protocol
* - candidate default
Gateway of last resort is 0.0.0.0 to network 0.0.0.0
S* 0.0.0.0/0 [1/0] is directly connected, gigabitEthernet 0.1 B 10.0.0.0/16 [20/0] via 172.17.0.1, tunnel 2, 00:08:34
C 12.34.56.78 /32 is directly connected, gigabitEthernet 0.1 C 87.65.43.21 /32 is directly connected, gigabitEthernet 0.1 C 192.168.1.0/24 is directly connected, vlan 1
4-5. 経路冗長の確認(参考)
この状態でARX640SのLAN側から Amazon EC2 に対してpingが通ることを確認します。
*Router# ping 10.0.1.1 source vlan 1 PING 10.0.1.1 (10.0.1.1): 56 data bytes
64 bytes from 10.0.1.1: icmp_seq=0 ttl=126 time=25.715 ms 64 bytes from 10.0.1.1: icmp_seq=1 ttl=126 time=25.973 ms 64 bytes from 10.0.1.1: icmp_seq=2 ttl=126 time=26.244 ms 64 bytes from 10.0.1.1: icmp_seq=3 ttl=126 time=25.546 ms 64 bytes from 10.0.1.1: icmp_seq=4 ttl=126 time=26.084 ms
^C
----10.0.1.1 PING Statistics----
5 packets transmitted, 5 packets received, 0.0% packet loss
round-trip min/avg/max/stddev = 25.546/25.912/26.244/0.281 ms
4-5. 経路冗長の確認(参考)
経路の切り替わりを確認したら、先ほどのフィルタリングを消去します。
*Router# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
*Router(config)# access-list ip extended pppoe0-in
*Router(config-acl-ip-ext)# no deny ip 172.17.0.1/32 any sequence 1
*Router(config-acl-ip-ext)# exit
*Router(config)# access-list ip extended pppoe0-out
*Router(config-acl-ip-ext)# no deny ip any 172.17.0.1/32 sequence 1 Router(config-acl-ip-ext)# exit
Router(config)# exit
BGPでルート交換を行っている場合は、IPsecが復旧しても元のルートに切り替わらず、障 害発生時のルートを使用し続けます。
赤字には、Amazon VPC VPN tunnelと サブネットマスクを入力ください。