Embed Size (px)
Citation preview
【クラウド接続】
「Windows Azure」との接続
2013 年 10 月
目次
はじめに.............................................................................................................................. 3
ネットワーク構成................................................................................................................ 3
オンプレミス側ネットワーク .......................................................................................... 3
Windows Azure 側ネットワーク ..................................................................................... 4
Windows Azure での設定.................................................................................................... 4
仮想ネットワークの作成.................................................................................................. 4
ゲートウェイの作成......................................................................................................... 9
オンプレミス(Si-R)での設定 ............................................................................................. 11
IPsec 設定項目............................................................................................................... 11
config............................................................................................................................. 14
ether ポートの設定........................................................................................................ 16
PPPoE の設定................................................................................................................ 16
lan 側アドレスの設定 .................................................................................................... 17
IPsec の設定 .................................................................................................................. 17
IPsec 確立確認方法 ........................................................................................................... 20
はじめに
Si-R G シリーズは富士通が提供する企業向けアクセスルータです。本頁では、Si-R G100
を使用してWindows Azure 仮想ネットワークの IPsecゲートウェイと IPsec接続する設定
について解説します。
以降は Si-R G100 を使用することを前提として記述します。
ネットワーク構成
本設定例では、以下の構成について解説します。
オンプレミス側ネットワーク
項目 環境情報
接続メディア ADSL/FTTH など
接続プロトコル PPPoE
WAN 固定グローバルアドレス
LAN 192.168.10.0/24
オンプレミス側ネットワークでは、Si-R で PPPoE(アドレス固定)を行います。固定のア
ドレスを使用して、Azure ネットワークに対して、IPsec 接続を動作させます。
IPsec
オンプレミス側
192.168.10.0/24
Azure 側
172.16.0.0/12
Gateway subnet
172.16.10.0/24
Windows Azure 側ネットワーク
Windows azure 仮想ネットワークでは、172.16.0.0/12 のアドレス空間の中に、1 つのサ
ブネットが存在します。
サブネット名 アドレス範囲
Gateway subnet 172.16.10.0/24
オンプレミス側と Windows Azure 側での IPsec により、IPsec トンネルを介して、オンプ
レミスから Azure 側のサブネットに対して通信をすることが可能となります。
Windows Azure での設定
本章ではオンプレミス側との IPsec接続をするための Azureでの設定について説明します。
仮想ネットワークの作成
Windows Azure ポータルサイトにログインし、[ネットワークサービス]-[仮想ネットワー
ク]-[カスタム作成]の順に選択します。
仮想ネットワークの詳細
[名前],[地域],[アフィニティグループ],[アフィニティグループ名]を入力、または選択します。
既に存在するアフィニティグループを使用する場合は、[地域],[アフィニティグループ名]の
入力項目は出現しません。
設定内容 設定値
名前 Azure-G100
地域 東アジア
アフィニティグループ 新しいアフィニティグループの作成
アフィニティグループ名 Azure-G100
DNS サーバーおよび VPN 接続
サイト間接続にチェックを入れ、[ローカルネットワーク]の項目として「新しいローカルネ
ットワークを指定する」を選択します。
DNS サーバについては設定しなくても問題はありません。
設定内容 設定値
DNS サーバ なし
ポイント対サイト接続 なし
サイト間 VPN の構成 チェック
ローカルネットワーク 新しいローカルネットワークを指定する
サイト間接続
オンプレミス側の設定をします。[名前],[VPN デバイスの IP アドレス],[開始 IP],[CIDR(ア
ドレス数)]を入力します。[VPN デバイスの IP アドレス]は、Si-R の固定グローバルアドレ
スを、[開始 IP],[CIDR(アドレス数)]には、Si-R LAN 側のローカルアドレスを設定します。
設定内容 設定値
名前 Si-RG100
VPN デバイスの IP アドレス Si-RWAN 側の固定グローバルアドレス
xxx.xxx.xxx.xxx
開始 IP 192.168.10.1
CIDR(アドレス数) /24(256)
仮想ネットワークアドレス空間
Windows Azure 側のアドレス空間を設定します。ゲートウェイの[開始 IP],[CIDR(アドレス
数)]を設定します。
※default 値として、サブネットが定義されています。[ゲートウェイサブネットの追加]を
押下して、ゲートウェイサブネットを追加してください。ゲートウェイサブネットがない
と、先に進めません。
設定内容 設定値
開始 IP(ゲートウェイ) 172.16.10.0
CIDR(アドレス数) /24(256)
以上で、仮想ネットワークの作成が完了します。
ゲートウェイの作成
次に、VPN を張るためのゲートウェイを作成します。
ポータルの[ネットワーク]を選択し、先ほど作成したネットワーク名が存在することを確認
します。作成したネットワークを選択し、クリックします。
選択したネットワークの詳細が表示されます。このネットワークに対して、ゲートウェイ
を作成します。
[ゲートウェイの作成]-[静的ルーティング]の順にクリックします。
設定内容 設定値
ゲートウェイの作成 静的ルーティング
静的ルーティングをクリックすると、「ゲートウェイを作成しますか?」と聞かれるので、
「はい」をクリックします。しばらく待っていると、ゲートウェイ作成が完了した旨が表
示されます。
オンプレミス(Si-R)での設定
本章では、Windows Azure と IPsec 接続するための Si-R の設定について解説します。
IPsec 設定項目
IPsec 設定値については、以下のような内容になります。
IKE フェーズ 1
項目 設定値
自側トンネルエンドポイントアドレス xxx.xxx.xxx.xxx/32(ISP より割当)
相手側トンネルエンドポイントアドレス yyy.yyy.yyy.yyy
ポータルサイトより確認
IKE 交換モード main
lan 側ローカルアドレス 192.168.10.1/24
暗号情報 aes-cbc-256
認証(ハッシュ)情報 hmac-sha256
DH グループ group 2(modp1024)
IKE SA 有効時間 8h
NAT-TRAVERSAL on
IKE セッション共有鍵 ポータルサイトより確認
IKE フェーズ 2
項目 設定値
IPsec 情報のセキュリティプロトコル esp
暗号情報 aes-cbc-256
認証(ハッシュ)情報 hmac-sha256
DH グループ off
IPsec SA 有効時間 1h
IPsec SA 有効パケット量 100000m
IPsec 対象範囲(送信元) 192.168.10.0/24
IPsec 対象範囲(宛先) 172.16.0.0/12
相手側トンネルエンドポイントアドレスの確認
ポータルサイトより、[ネットワーク]選択し、対象の仮想ネットワークをクリックします。
ダッシュボードに表示された[ゲートウエイ IP アドレス]が、相手側エンドポイントアドレ
スとなります。
IKE セッション共有鍵の確認
上記ダッシュボードのページより、下部中央の[キーの管理]をクリックします
共有キーの管理という枠が出てきますので、コピーします。
config
config の全体像としては以下のような内容になります。
config は大きく分けて、ether ポート定義、lan 定義、PPPoE 定義、IPsec 定義に分けられ
ます。それぞれについて順を追って説明していきます。
ether 1 1 vlan untag 1
ether 2 1 vlan untag 2
ether 2 2 vlan untag 2
ether 2 3 vlan untag 2
ether 2 4 vlan untag 2
lan 1 ip address 192.168.10.1/24 3
lan 1 vlan 2
remote 0 name PPPoE
remote 0 mtu 1454
remote 0 ap 0 name PPPoE
remote 0 ap 0 datalink bind vlan 1
remote 0 ap 0 ppp auth send id@isp pass@isp
remote 0 ap 0 keep connect
remote 0 ap 0 ike proposal 0 prf hmac-sha384
remote 0 ppp ipcp vjcomp disable
remote 0 ip address local 202.248.1.1
remote 0 ip route 0 default 1 1
remote 0 ip nat mode multi any 1 5m
remote 0 ip nat static 0 xxx.xxx.xxx.xxx 500 xxx.xxx.xxx.xxx 500 17
remote 0 ip nat static 1 xxx.xxx.xxx.xxx 4500 xxx.xxx.xxx.xxx 4500 17
remote 0 ip nat static 2 xxx.xxx.xxx.xxx any xxx.xxx.xxx.xxx any 50
remote 0 ip msschange 1414
remote 1 name Azure
remote 1 ap 0 name IPSec
remote 1 ap 0 datalink type ipsec
remote 1 ap 0 ipsec type ike
remote 1 ap 0 ipsec ike protocol esp
remote 1 ap 0 ipsec ike range 192.168.10.0/24 172.16.0.0/12
remote 1 ap 0 ipsec ike encrypt aes-cbc-256
remote 1 ap 0 ipsec ike auth hmac-sha256
remote 1 ap 0 ipsec ike lifetime 1h
remote 1 ap 0 ipsec ike lifebyte 100000m
remote 1 ap 0 ipsec extension-range 0 192.168.10.0/24 172.16.0.0/16
remote 1 ap 0 ike mode main
remote 1 ap 0 ike shared key text abcdefghijklmnopqrstuvwxyz12345
remote 1 ap 0 ike proposal 0 encrypt aes-cbc-256
remote 1 ap 0 ike proposal 0 hash hmac-sha256
remote 1 ap 0 ike proposal 0 pfs modp1024
remote 1 ap 0 ike proposal 0 lifetime 8h
remote 1 ap 0 ike nat-traversal use on
remote 1 ap 0 tunnel local xxx.xxx.xxx.xxx
remote 1 ap 0 tunnel remote yyy.yyy.yyy.yyy
remote 1 ip route 0 172.16.0.0/16 1 1
remote 1 ip msschange 1350
ether ポートの設定
各 ether ポートに VLAN(untag)を割り当てます。これは、後の lan 定義や、PPPoE の定義
と結びつきます。
wan 側のポートに対して vlan 1 を、lan 側のポートに対して vlan 2 を設定します。
PPPoE の設定
WAN 側に PPPoE の設定をします。PPPoE の送出先として vlan 1(ether 1 1 )を指定しま
す。
項目 設定値
ID(PPPoE) id@isp
PASS(PPPoE) pass@isp
グローバルアドレス xxx.xxx.xxx.xxx
mtu 値、mss 値については回線により異なります。回線側にご確認ください。
PPPoE のインタフェースに対してデフォルトルートを設定します。
ether 1 1 vlan untag 1
ether 2 1-4 vlan untag 2
remote 0 name PPPoE
remote 0 mtu 1454
remote 0 ap 0 name PPPoE
remote 0 ap 0 datalink bind vlan 1
remote 0 ap 0 ppp auth send id@isp pass@isp
remote 0 ap 0 keep connect
remote 0 ppp ipcp vjcomp disable
remote 0 ip address local xxx.xxx.xxx.xxx
remote 0 ip msschange 1414
remote 0 ip route 0 default 1 1
ファイアウォールの設定
PPPoE の定義にファイアウォールの設定を追加します。
mode multi の設定により、NAPT の設定が有効になります。nat static の定義により、グ
ローバルアドレス(固定)宛ての ISAKMP,ESP,NAT-T を Si-R で受けることができるように
します。
lan 側アドレスの設定
lan 側のアドレスを 192.168.10.1/24 に設定します。この lan インタフェースは vlan 2 の物
理ポートと結びつきます。
IPsec の設定
まず、設定するインタフェースを IPsec ができるようにするため、インタフェースの転送方
式、IPsec タイプを設定します。
lan 1 ip address 192.168.10.1/24 3
lan 1 vlan 2
remote 0 ip nat mode multi any 1 5m
remote 0 ip nat static 0 xxx.xxx.xxx.xxx 500 xxx.xxx.xxx.xxx 500 17
remote 0 ip nat static 1 xxx.xxx.xxx.xxx 4500 xxx.xxx.xxx.xxx 4500 17
remote 0 ip nat static 2 xxx.xxx.xxx.xxx any xxx.xxx.xxx.xxx any 50
remote 1 ap 0 datalink type ipsec
remote 1 ap 0 ipsec type ike
IKE フェーズ 1
IPsec 設定項目:IKE フェーズ 1 表にて提示した内容を設定します。
事前共有鍵(ike shared key)、相手側トンネルエンドポイント(tunnel remote)については、
Windows Azure ポータルサイトにて確認した内容を設定します。
IKE フェーズ 2
IPsec 設定項目:IKE フェーズ2表にて提示した内容を設定します。
ike range 設定の対向側のセグメントについては注意が必要です。ゲートウェイサブネット
ではなく、仮想ネットワークのセグメントを設定してください。
remote 1 ap 0 ike mode main
remote 1 ap 0 ike shared key text abcdefghijklmnopqrstuvwxyz12345
remote 1 ap 0 ike proposal 0 encrypt aes-cbc-256
remote 1 ap 0 ike proposal 0 hash hmac-sha256
remote 1 ap 0 ike proposal 0 pfs modp1024
remote 1 ap 0 ike proposal 0 lifetime 8h
remote 1 ap 0 ike nat-traversal use on
remote 1 ap 0 tunnel local xxx.xxx.xxx.xxx
remote 1 ap 0 tunnel remote yyy.yyy.yyy.yyy
remote 1 ap 0 ipsec ike protocol esp
remote 1 ap 0 ipsec ike range 192.168.10.0/24 172.16.0.0/12
remote 1 ap 0 ipsec ike encrypt aes-cbc-256
remote 1 ap 0 ipsec ike auth hmac-sha256
remote 1 ap 0 ipsec ike lifetime 1h
その他
ルート設定、MSS 値の設定をします。この MSS 値はカプセル化の方式によって変わりま
す。今回は 1350 を設定します。
以上で設定が完了です。
最後に設定を save して再起動します。
remote 1 ip route 0 172.16.0.0/16 1 1
remote 1 ip msschange 1350
save
reset
IPsec 確立確認方法
Windows Azure での IPsec は、Azure 側でゲートウェイ作成後、[接続]をクリックすると、
Azure 側からネゴシエーションが開始されます。
Si-R を接続し、少し時間がたってから show access-point コマンドを実行して確認してくだ
さい。正常に IPsec が確立できていれば下記のような結果が得られます。
IKE SA,IPsec SA ともに established、status connected となっていれば接続ができていま
す。
#show access-point
remote 1 ap 0 : Azure.IPSec
status : connected
since : Sep 6 05:56:28 2013
speed : not available
send traffic : not available
receive traffic : not available
type : IPsec/IKE
IKE Version : 1
exchange type : main
IKE SA : established
IPsec SA : established
