Amazon Web Services (AWS) - ARX640S
接続設定例
《Static Routing》
※ 当社検証結果に基づき記載していますが、全てのお客様環境の動作を保証するものではありません。 ※ 2015年2月現在の仕様に基いて記載しています。今後の仕様変更によっては接続できない可能性があります。
目次
1. 概要
1. 概要
2. 設定例の構成
3. IPsecのパラメータ
2. Amazon VPCの設定
1. はじめに
2. Amazon VPCの設定
3. ARX640Sの設定
1. はじめに
2. ARX640Sの設定
3. 設定の確認
4. 動作確認
1. IPsecの確認
2. 経路の確認
3. 通信の確認
4. 経路冗長の確認(参考)
1-1.概要
本書では、ARX640S とAmazon Web Services (以下 AWS) との接続についての設定例を
説明します。
Amazon Virtual Private Cloud(以下 Amazon VPC)を通じてAWSと接続します。
Amazon VPCは、AWSに接続するためのVPN機能を提供しています。
AWS側には、Amazon Elastic Compute Cloud(以下 Amazon EC2)と呼ばれる仮想サー
バを用意しています。
本設定例では、ARX640S配下の端末からインターネット上のサーバーに直接通信(平文通
信)できます。
ARX640Sはファームウェアバージョン5.1.5以降をご利用下さい。
http://www.allied-telesis.co.jp/support/list/router/arx640s/download.html
Amazon VPCに関する技術情報は以下をご参照ください。
http://aws.amazon.com/jp/vpc/
1-2.設定例の構成
Amazon VPCでは2つのゲートウェイが用意されています。
ARX640Sは2本のIPsec(ESP)トンネルで接続します。
インターネット ゲートウェイ ゲートウェイ Amazon EC2 ※AWS側の構成図はイメージです。 tunnel 1 tunnel 2 20.0.0.1 20.0.0.2AWS
10.0.0.0/16 Gigabit 固定アドレスが必要 10.0.1.11-3.IPsecのパラメータ
下記パラメータで設定します。
IKEフェーズ1(ISAKMP SAのネゴシエーション)
IKEフェーズ2(IPsec SAのネゴシエーション)
認証方式 事前共有鍵(pre-shared key) IKE交換モード Mainモード Diffie-Hellman(Oakley)グループ Group2(1024ビットMODP) ISAKMPメッセージの暗号化方式 AES128 ISAKMPメッセージの認証方式 SHA-1 ISAKMP SAの有効期限(時間) 28800秒(8時間) SAモード トンネルモード セキュリティープロトコル ESP(暗号化+認証) Diffie-Hellman(Oakley)グループ Group2(1024ビットMODP)、PFS有効 暗号化方式 AES128 認証方式 SHA-1 IPsec SAの有効期限(時間) 3600秒(1時間)2-1.はじめに
Amazon VPCを設定します。
AWSのWebサイトでアカウントを作成し、「AWS Management Console」
を起動します。アカウント作成の流れについては以下をご参照ください。
http://aws.amazon.com/jp/register-flow/
次頁より主要設定を記載しますが、詳細は以下をご参照ください。
http://docs.amazonwebservices.com/ja_jp/AmazonVPC/latest/GettingStartedGuide/
GetStarted.html
次頁から掲載している設定画面は2015年2月現在の情報です。
今後、設定画面が変更される場合がございますのでご了承ください。
2-2. Amazon VPCの設定
ウィザードの開始
• 画面左上「Services」から「VPC」を選択します。
2-2. Amazon VPCの設定
ネットワーク構成の選択
ネットワーク構成に合わせて項目を選択します。本例では、「VPC with a Private
Subnet Only and Hardware VPN Access」を選び、「Select」を押します。
2-2. Amazon VPCの設定
AWS側の設定
• AWS内で使用するサブネットを登録します。下記を参考に空欄を埋めてください。
本例では、「IP CIDR block」を「10.0.0.0/16 」、「Private Subnet」を「
10.0.1.0/24」として登録します。
• 登録を終えたら「Next」を押します。
VPCで使用可能なIPアドレスの範囲を指定します。サブネットマスクは/16~/28の間で指定します。 VPCの名称を指定します。
上記IP CIDR blockで指定した範囲内でプライベートサブネットを指定します。プライベートサブネット は後ほど追加することもできます。
Availability Zoneを指定します。「No Preference」にすると自動選択します。 プライベートサブネットの名称を指定します。
DNS名を割り当てるかどうかを選択します。
ハードウェア専有インスタンスの設定です。詳細については以下をご参照ください。
2-2. Amazon VPCの設定
ARX640SのWAN側/LAN側IPアドレスの登録
• ARX640SのWAN側IPアドレス(固定アドレス)を登録します。
本例では、「12.34.56.78」を登録しています。
• 「Routing Type」で「Static」を選択し、 ARX640SのLAN側IPサブネットを登録しま
す。本例では、「192.168.0.0/16」 をLAN側サブネットとして登録しています。
• 「Create VPC」を押します。
2-2. Amazon VPCの設定
VPCの生成
• 処理が完了すると下のような画面が表示されます。
2-2. Amazon VPCの設定
設定のダウンロード
• 左側のメニューバーから「VPN Connections」を選択します。
• 作成したVPN名を選択し、「Download Configuration」を押します。
① ② ③2-2. Amazon VPCの設定
設定のダウンロード
• 設定例をダウンロードします。
本例では、「Generic」を選択しています。
右下の「Yes, Download」を押します。
• 設定例が表示されますので、ローカルディスクに保存します。
次頁の「ARX640S の設定」で使用しますので、大切に保管してください。
3-1.はじめに
ARX640Sの設定に必要な情報は下記です。
設定前に情報をまとめておくと便利です。
※「Amazon VPC VPN tunnel(1)(2)」と「Preshared key (1)(2) 」は、次頁を参考に
ご記入ください。
設定項目 本例 お客様情報 PPPユーザー名 user@ispA PPPパスワード isppasswdA ARX640S eth0(WAN側)IPアドレス 12.34.56.78/32 ARX640S vlan1(LAN側)IPアドレス 192.168.1.254/24 Amazon VPC VPN tunnel(1) 20.0.0.1Preshared key(1) ABCDEFGHIJKLMNOPQRSTUVWXYZ1234
Amazon VPC VPN tunnel(2) 20.0.0.2
3-1.はじめに
15ページで保存した設定例をテキストエディターで開きます。
2本のIPSecトンネルの「Pre-Shared Key」と「Virtual Private Gateway( Outside IP
Addresses )」を確認します。
※ダウンロードした設定によって記載方法が異なります。下記は「Generic」の場合の例です。
IPSec Tunnel #1
========================================================= #1: Internet Key Exchange Configuration
Configure the IKE SA as follows
- Authentication Method : Pre-Shared Key
- Pre-Shared Key : ABCDEFGHIJKLMNOPQRSTUVWXYZ1234 :
:
Outside IP Addresses:
- Customer Gateway : 12.34.56.78 - Virtual Private Gateway : 20.0.0.1 :
:
IPSec Tunnel #2
========================================================= #1: Internet Key Exchange Configuration
Configure the IKE SA as follows
- Authentication Method : Pre-Shared Key
- Pre-Shared Key : 1234abcdefghijklmnppqrsutvwxyz : : Outside IP Addresses: - Customer Gateway : 12.34.56.78 Amazon VPC VPN tunnel(1) Preshared key(1) Amazon VPC VPN tunnel(2)
3-2. ARX640Sの設定
ログイン
• ARX640Sにログインします。 工場出荷時設定のCLIの ログインID/PW は下記の通りです。 login: manager Password: friend ←実際には表示されません Allied Telesis EATOS System SoftwareCentreCOM ARX640S Software, Version 5.1.5 (RELEASE SOFTWARE) Router>
モードの移行
• 非特権EXECモードから、特権EXECモードに移行します。 Router> enable
• 特権EXECモードからグローバルコンフィグモードに移行します。 Router# configure terminal
3-2. ARX640Sの設定
PPPoE設定
• ISPから通知されたPPPユーザー名やパスワード等のPPP設定情報を作成します。 Router(config)# ppp profile pppoe0
*Router(config-ppp-profile)# my-username user@ispA password isppasswdA
*Router(config-ppp-profile)# exit
WAN 0インターフェース設定
• WAN 0インターフェース(gigabitEthernet 0)を有効にします。 *Router(config)# interface gigabitEthernet 0
*Router(config-if)# no shutdown *Router(config-if)# exit
3-2. ARX640Sの設定
PPPoEインターフェース設定
• WAN 0インターフェース上にPPPoEインターフェース(gigabitEthernet 0.1)を作成し、イン ターフェースを使用できるようにします。 • WAN側のIPアドレスを設定し、インターフェース上で使用するPPP設定情報を括り付けます。 • LAN側インターフェースに接続されている全ての端末がENAT(NAPT)機能を使用できるよう設 定します。 • 外部からのアタック検出時やアタック発生中にパケットを破棄するように設定します。 *Router(config)# interface gigabitEthernet 0.1*Router(config-subif)# ip address 12.34.56.78/32
*Router(config-subif)# ip tcp mss auto *Router(config-subif)# no shutdown *Router(config-subif)# pppoe enable
*Router(config-pppoe-if)# ppp bind-profile pppoe0 *Router(config-pppoe-if)# ip napt inside any
3-2. ARX640Sの設定
LANインターフェース設定
• LAN側インターフェース(vlan 1)にIPアドレスを設定します。 *Router(config)# interface vlan 1
*Router(config-if)# ip address 192.168.1.254/24
*Router(config-if)# exit
デフォルトルート設定
• デフォルトルートを設定します。
*Router(config)# ip route default gigabitEthernet 0.1
3-2. ARX640Sの設定
ファイアーウォール設定
• ISAKMPパケットは通しつつ他の外側からの通信を遮断し、内側からの通信は自由に行えるよう にファイアウォール機能を設定し 、PPPoEインターフェース上に割り当てます。
*Router(config)# access-list ip extended ipsec *Router(config-acl-ip-ext)# permit ip any any *Router(config-acl-ip-ext)# exit
*Router(config)# access-list ip extended pppoe0-in
*Router(config-acl-ip-ext)# dynamic permit udp any interface gigabitEthernet 0.1 eq 500 *Router(config-acl-ip-ext)# exit
*Router(config)# access-list ip extended pppoe0-out *Router(config-acl-ip-ext)# dynamic permit ip any any *Router(config-acl-ip-ext)# exit
*Router(config)# interface gigabitEthernet 0.1
*Router(config-pppoe-if)# ip traffic-filter pppoe0-in in *Router(config-pppoe-if)# ip traffic-filter pppoe0-out out *Router(config-pppoe-if)# exit
3-2. ARX640Sの設定
IPsec設定
Phase 1のProposal、およびISAKMPポリシーを設定します。
*Router(config)# isakmp proposal isakmp encryption aes128 hash sha1 group 2 *Router(config)# isakmp proposal isakmp lifetime 28800
*Router(config)# isakmp policy isakmp_1 *Router(config-isakmp-policy)# peer 20.0.0.1
*Router(config-isakmp-policy)# auth preshared key ABCDEFGHIJKLMNOPQRSTUVWXYZ1234
*Router(config-isakmp-policy)# proposal isakmp *Router(config-isakmp-policy)# keepalive enable *Router(config-isakmp-policy)# keepalive interval 10 *Router(config-isakmp-policy)# keepalive dpd periodic *Router(config-isakmp-policy)# exit
*Router(config)# isakmp policy isakmp_2 *Router(config-isakmp-policy)# peer 20.0.0.2
*Router(config-isakmp-policy)# auth preshared key 1234abcdefghijklmnppqrsutvwxyz
*Router(config-isakmp-policy)# proposal isakmp *Router(config-isakmp-policy)# keepalive enable *Router(config-isakmp-policy)# keepalive interval 10 *Router(config-isakmp-policy)# keepalive dpd periodic *Router(config-isakmp-policy)# exit
3-2. ARX640Sの設定
IPsec設定
• Phase 2のProposal、およびIPsecポリシーを設定します。
*Router(config)# ipsec proposal ipsec esp encryption aes128 hash sha1 *Router(config)# ipsec policy-name-link enable
*Router(config)# ipsec policy ipsec_1
*Router(config-ipsec-policy)# peer 20.0.0.1
*Router(config-ipsec-policy)# pfs 2
*Router(config-ipsec-policy)# access-list ipsec *Router(config-ipsec-policy)# local-id 0.0.0.0/0 *Router(config-ipsec-policy)# remote-id 0.0.0.0/0 *Router(config-ipsec-policy)# proposal ipsec
*Router(config-ipsec-policy)# always-up-sa *Router(config-ipsec-policy)# exit
*Router(config)# ipsec policy ipsec_2
*Router(config-ipsec-policy)# peer 20.0.0.2
*Router(config-ipsec-policy)# pfs 2
*Router(config-ipsec-policy)# access-list ipsec *Router(config-ipsec-policy)# local-id 0.0.0.0/0 *Router(config-ipsec-policy)# remote-id 0.0.0.0/0 ARX640Sが、応答者(Responder)として動作する 場合、フェーズ2のネゴシエーションに使用する IPsecポリシーとして、 フェーズ1のネゴシエーショ ンに使用したISAKMPポリシーと同一名のIPsecポリ シーを優先的に選択する設定です。
3-2. ARX640Sの設定
トンネルインターフェース設定
• トンネルインターフェース(tunnel 1、2)を作成し、インターフェースを使用できるようにし ます。トンネルインターフェースに対応するIPsecポリシーを設定します。
*Router(config)# interface tunnel 1
*Router(config-if-tunnel)# tunnel mode ipsec *Router(config-if-tunnel)# ip unnumbered vlan 1 *Router(config-if-tunnel)# ip tcp mss auto
*Router(config-if-tunnel)# no shutdown
*Router(config-if-tunnel)# tunnel policy ipsec_1 *Router(config-if-tunnel)# exit
*Router(config)# interface tunnel 2
*Router(config-if-tunnel)# tunnel mode ipsec *Router(config-if-tunnel)# ip unnumbered vlan 1 *Router(config-if-tunnel)# ip tcp mss auto
*Router(config-if-tunnel)# no shutdown
*Router(config-if-tunnel)# tunnel policy ipsec_2 *Router(config-if-tunnel)# exit
3-2. ARX640Sの設定
スタティックルート設定
• AWS(10.0.0.0/16)宛のルートを設定します。 本例では、通常時はtunnel 1 の経路を優先するように設定します。 また、Amazon VPCとIPSecが接続されるまでは、このルートは使用できないように 設定します。*Router(config)# ip route 10.0.0.0/16 tunnel 1 *Router(config)# ip route 10.0.0.0/16 tunnel 2 2 *Router(config)# ip route 10.0.0.0/16 null 254
3-2. ARX640Sの設定
設定の保存
• DHCPサーバー(デフォルト有効)を無効にします。 *Router(config)# no ip dhcp pool vlan 1
*Router(config)# no dhcp-server ip enable *Router(config)# exit
• 設定は以上です。起動時に読み込むコンフィグとして保存します。 *Router# copy running-config startup-config
Writing flashrom: "startup-config“ .
[OK] Router#
• 再起動します。 Router# reload
reboot system? (y/n): y
Copyright (C) 2006-2011 Allied Telesis Holdings K.K. All rights reserved. Allied Telesis Boot Monitor: Ver.1.1.5
3-2. ARX640Sの設定
設定の確認
• 再度ログインし、設定(ランニングコンフィグ)を表示します。 login: manager
Password: friend ←実際には表示されません Allied Telesis EATOS System Software
CentreCOM ARX640S Software, Version 5.1.5 (RELEASE SOFTWARE) Router> enable
Router# show running-config
3-3.設定の確認
• 入力コマンド一覧(1)
– 「show running-config」で設定を確認できます。下記のように表示されているかご確認く ださい。 service password-encryption ! clock timezone JST 9 ! ! ppp profile pppoe0 my-username “PPPユーザ名” password 8 “PPPパスワードを暗号化 した文字列” ! interface gigabitEthernet 0 no shutdown ! interface gigabitEthernet 0.1 ip address 12.34.56.78/32 ip tcp mss auto no shutdown pppoe enable ppp bind-profile pppoe0 ip napt inside anyip traffic-filter pppoe0-in in ip traffic-filter pppoe0-out out ip ids in protect ! interface gigabitEthernet 1 shutdown ! interface gigabitEthernet 2 no shutdown ! interface gigabitEthernet 3 no shutdown ! interface gigabitEthernet 4 no shutdown ! interface gigabitEthernet 5 no shutdown ! interface loop 0 shutdown ! interface loop 1 shutdown ! interface tunnel 1 tunnel mode ipsec ip unnumbered vlan 1 ip tcp mss auto
no shutdown
tunnel policy ipsec_1
!
interface tunnel 2 tunnel mode ipsec ip unnumbered vlan 1 ip tcp mss auto
no shutdown
tunnel policy ipsec_2
!
interface vlan 1
ip address 192.168.1.254/24
no shutdown
!
ip route default gigabitEthernet 0.1 ip route 10.0.0.0/16 tunnel 1 ip route 10.0.0.0/16 tunnel 2 2
3-3.設定の確認
!
access-list ip extended ipsec permit ip any any
access-list ip extended pppoe0-in
dynamic permit udp any interface gigabitEthernet 0.1 eq 500 access-list ip extended pppoe0-out
dynamic permit ip any any
!
isakmp proposal isakmp encryption aes128 hash sha1 group 2 isakmp proposal isakmp lifetime 28800
!
isakmp policy isakmp_1 peer 20.0.0.1
auth preshared key 8 “Preshared key(1)を暗号化した文字列”
proposal isakmp keepalive enable keepalive interval 10 keepalive dpd periodic
!
isakmp policy isakmp_2 peer 20.0.0.2
auth preshared key 8 “Preshared key(2)を暗号化した文字列”
proposal isakmp keepalive enable keepalive interval 10 keepalive dpd periodic
!
ipsec proposal ipsec esp encryption aes128 hash sha1
!
ipsec policy-name-link enable
!
ipsec policy ipsec_1 peer 20.0.0.1 pfs 2 access-list ipsec local-id 0.0.0.0/0 remote-id 0.0.0.0/0 proposal ipsec always-up-sa !
ipsec policy ipsec_2 peer 20.0.0.2 pfs 2 access-list ipsec local-id 0.0.0.0/0 remote-id 0.0.0.0/0 proposal ipsec always-up-sa ! !
http-server username manager password 8 $1$EJO/tsuy$RzBmhy7… http-server ip enable ! telnet-server ip enable ! end
• 入力コマンド一覧(2)
4-1. IPsecの確認
ISAKMP SAの確立状態
• 下記コマンドを実行し、ISAKMP SAの確立状態がEstablishであることを確認します。
• 上記のように表示されない場合は、ISAKMP SAの確立に失敗しています。
Preshared keyやISAKMPポリシー、ISAKMP proposalが正しく設定されているか ご確認ください。
Router# show isakmp sa Side : Init - Initiator Resp - Responder
Policy Status Cookie Peer address Life time Side Options
isakmp_1 Establish d5a09b8dc30eadcb:b9bcece0b8fea6a9 20.0.0.1 51/ 28800 Resp DPD
isakmp_2 Establish d65d209ef99f367f:257ba60b6057f9e2 20.0.0.2 54/ 28800 Resp DPD
4-1. IPsecの確認
IPsec SAの確立状態
• 下記コマンドを実行し、IPsec SAの確立状態がEstablishであることを確認します。
• 上記のように表示されない場合は、IPsec SAの確立に失敗しています。
IPsecポリシー、IPsec proposalが正しく設定されているかご確認ください。 Router# show ipsec sa
Proto: ESP - Encapsulating Security Payload AH - Authentication Header
ESP(U) - UDP encapsulation ESP Side : Init - Initiator
Resp - Responder
Policy Proto Status In:Out SPI Peer address Life time Life byte Side ipsec_1 ESP Establish 1b4d87b2:ad371f89 20.0.0.1 53/ 3600 --- / --- Init ipsec_2 ESP Establish a1d564b6:f57ae98a 20.0.0.2 59/ 3600 --- / --- Init
4-2. 経路の確認
下記コマンドを実行し、AWS(172.16.0.0/16)への経路を確認します。
本例では、AWS(10.0.0.0/16)宛ての通信は tunnel 1 を経由しています。
Router# show ip route
Codes: C - connected, S - static, R - RIP, B - BGP O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area PR - Static route via protocol
* - candidate default
Gateway of last resort is 0.0.0.0 to network 0.0.0.0
S* 0.0.0.0/0 [1/0] is directly connected, gigabitEthernet 0.1 C 12.34.56.78 /32 is directly connected, gigabitEthernet 0.1 C 87.65.43.21 /32 is directly connected, gigabitEthernet 0.1
4-3. 通信の確認
Amazon EC2 と通信ができることを確認します。
• Amazon EC2 の作成方法については、AWSの技術資料をご参照ください。
http://aws.amazon.com/jp/documentation/ec2/
• Amazon EC2 のIPアドレス(本例では「10.0.1.1」)に対してpingが通ることを確認します。 • pingは、キーボードの「Ctrl」+「C」で停止できます。
Router# ping 10.0.1.1 source vlan 1 PING 10.0.1.1 (10.0.1.1): 56 data bytes
64 bytes from 10.0.1.1: icmp_seq=0 ttl=126 time=22.403 ms 64 bytes from 10.0.1.1: icmp_seq=1 ttl=126 time=22.413 ms 64 bytes from 10.0.1.1: icmp_seq=2 ttl=126 time=22.703 ms 64 bytes from 10.0.1.1: icmp_seq=3 ttl=126 time=22.729 ms 64 bytes from 10.0.1.1: icmp_seq=4 ttl=126 time=22.770 ms 64 bytes from 10.0.1.1: icmp_seq=5 ttl=126 time=23.514 ms ^C
----10.0.1.1 PING Statistics----
6 packets transmitted, 6 packets received, 0.0% packet loss
4-4. 経路冗長の確認(参考)
Amazon VPCのゲートウェイの一方がダウンしたときの経路の冗長性を確認します。
• 実際のゲートウェイのダウンを待つことはできないので、ここでは tunnel 1 を通る パケットを強制的にフィルタリングすることで障害をシミュレートします。
Router# configure terminal
Enter configuration commands, one per line. End with CNTL/Z. Router(config)# access-list ip extended pppoe0-in
Router(config-acl-ip-ext)# deny ip 20.0.0.1/32 any sequence 1 *Router(config-acl-ip-ext)# exit
*Router(config)# access-list ip extended pppoe0-out
*Router(config-acl-ip-ext)# deny ip any 20.0.0.1/32 sequence 1 *Router(config-acl-ip-ext)# exit
*Router(config)# exit
赤字には、Amazon VPC VPN tunnel(1)と サブネットマスクを入力ください。
4-4. 経路冗長の確認(参考)
しばらく待つと tunnel 1 の IPsec が切断され、経路が tunnel 2に切替ります。
下記コマンドで経路の切り替わりを確認してください。
*Router# show ip route
Codes: C - connected, S - static, R - RIP, B - BGP O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area PR - Static route via protocol
* - candidate default
Gateway of last resort is 0.0.0.0 to network 0.0.0.0
S* 0.0.0.0/0 [1/0] is directly connected, gigabitEthernet 0.1 C 12.34.56.78 /32 is directly connected, gigabitEthernet 0.1 C 87.65.43.21 /32 is directly connected, gigabitEthernet 0.1
S 10.0.0.0/16 [1/0] is directly connected, tunnel 2
4-4. 経路冗長の確認(参考)
この状態で Amazon EC2 に対してpingが通ることを確認します。
*Router# ping 10.0.1.1 source vlan 1 PING 10.0.1.1 (10.0.1.1): 56 data bytes
64 bytes from 10.0.1.1: icmp_seq=0 ttl=126 time=25.715 ms 64 bytes from 10.0.1.1: icmp_seq=1 ttl=126 time=25.973 ms 64 bytes from 10.0.1.1: icmp_seq=2 ttl=126 time=26.244 ms 64 bytes from 10.0.1.1: icmp_seq=3 ttl=126 time=25.546 ms 64 bytes from 10.0.1.1: icmp_seq=4 ttl=126 time=26.084 ms ^C
----10.0.1.1 PING Statistics----
5 packets transmitted, 5 packets received, 0.0% packet loss
4-4. 経路冗長の確認(参考)
経路の切り替わりを確認したら、先ほどのフィルタリングを消去します。
*Router# configure terminal
Enter configuration commands, one per line. End with CNTL/Z. *Router(config)# access-list ip extended pppoe0-in
*Router(config-acl-ip-ext)# no deny ip 20.0.0.1/32 any sequence 1 *Router(config-acl-ip-ext)# exit
*Router(config)# access-list ip extended pppoe0-out
*Router(config-acl-ip-ext)# no deny ip any 20.0.0.1/32 sequence 1 Router(config-acl-ip-ext)# exit
Router(config)# exit
しばらく待つと、経路が再び tunnel 1 に切り戻りますので、「show ip route」で
ご確認ください。
赤字には、Amazon VPC VPN tunnel(1)と サブネットマスクを入力ください。
社会品質を創る。アライドテレシス