« ちょいとしたつぶやき[252] | トップページ | TOEIC受験申込 »

エンジニア備忘録[45]

こんにちわ。

先日、AWSのカスタマーゲートウェイ側の
構築をやってきたのでメモとして書いとく。

コンフィグはAWSから提供されるので
そのコンフィグ+インターフェースの設定を入れれば
基本は動作するようになってます。

んで、ネットワーク構成の概要はこんな感じ。

AWS構成概要

ちなみに今回CWSに使用した機種はCisco892シリーズ。

ググれば出てくるけど
各パラメータのアドレスも書いておきます。

CGW側エンドポイントアドレス:1.1.1.1
AWS側エンドポイントアドレス①:2.2.2.2
AWS側エンドポイントアドレス②:3.3.3.3
トンネルネットワークアドレス①:10.10.10.4/30
トンネルネットワークアドレス②:10.10.10.8/30

そして、いろいろ通信要件も書いておく。

【IKE/IPSec】

■IKE(フェース1)
 ・モード:MAINモード
 ・暗号アルゴリズム:AES 128-bit
 ・認証方式:Pre-Shared Key
 ・ハッシュアルゴリズム:SHA-1
 ・DHグループ:2
 ・lifetime:28800秒
■IPSec(フェーズ2)
 ・暗号アルゴリズム:AES 128-bit
 ・認証アルゴリズム:HMAC
 ・ハッシュアルゴリズム:SHA-1
 ・PFSグループ:2
 ・lifetime:3600秒

【WAN側接続方式】

WAN側はPPPoE接続で行い
グローバルアドレスは1個を使用。

【ルーティング】

BGPありなしで選択できるらしいが
今回はBGPなし(つまりstatic)で行う。

上記踏まえて以下設定コンフィグ抜粋。

track 100 ip sla 100 reachability
!
track 200 ip sla 200 reachability
!
!
crypto keyring KEY-1
  local-address 1.1.1.1
  pre-shared-key address 3.3.3.3 key AMAZON1
crypto keyring KEY-0
  local-address 1.1.1.1
  pre-shared-key address 2.2.2.2 key AMAZON2
!
crypto isakmp policy 200
encr aes
authentication pre-share
group 2
lifetime 28800
!
crypto isakmp policy 201
encr aes
authentication pre-share
group 2
lifetime 28800
crypto isakmp keepalive 10 10
crypto isakmp profile IKE-0
   keyring KEY-0
   match identity address 2.2.2.2 255.255.255.255
   local-address 1.1.1.1
crypto isakmp profile IKE-1
   keyring KEY-1
   match identity address 3.3.3.3 255.255.255.255
   local-address 1.1.1.1
!
crypto ipsec security-association replay window-size 128
!
crypto ipsec transform-set IPSEC-0 esp-aes esp-sha-hmac
mode tunnel
crypto ipsec transform-set IPSEC-1 esp-aes esp-sha-hmac
mode tunnel
crypto ipsec df-bit clear
!
!
crypto ipsec profile VPN-0
set transform-set IPSEC-0
set pfs group2
!
crypto ipsec profile VPN-1
set transform-set IPSEC-1
set pfs group2
!
!
interface Tunnel1
ip address 10.10.10.6 255.255.255.252
ip virtual-reassembly
ip tcp adjust-mss 1387
tunnel source 1.1.1.1
tunnel mode ipsec ipv4
tunnel destination 2.2.2.2
tunnel protection ipsec profile VPN-0
!
interface Tunnel2
ip address 10.10.10.10 255.255.255.252
ip virtual-reassembly
ip tcp adjust-mss 1387
tunnel source 1.1.1.1
tunnel mode ipsec ipv4
tunnel destination 3.3.3.3
tunnel protection ipsec profile VPN-1
!
interface GigabitEthernet0
no ip address
!
interface GigabitEthernet1
no ip address
!
interface GigabitEthernet2
no ip address
!
interface GigabitEthernet3
no ip address
!
interface GigabitEthernet4
no ip address
!
interface GigabitEthernet5
no ip address
!
interface GigabitEthernet6
no ip address
!
interface GigabitEthernet7
no ip address
!
interface GigabitEthernet8
ip address 192.168.100.254 255.255.255.0
duplex full
speed auto
!
interface GigabitEthernet9
no ip address
duplex auto
speed auto
pppoe enable group global
pppoe-client dial-pool-number 1
!
!
interface Dialer1
ip address negotiated
ip mtu 1454
ip nat outside
ip virtual-reassembly
encapsulation ppp
dialer pool 1
dialer-group 1
ppp authentication chap callin
ppp chap hostname USER-ID
ppp chap password PASSWORD
no cdp enable
!
ip forward-protocol nd
no ip http server
no ip http secure-server
!
!
ip nat inside source list 101 interface Dialer1 overload
ip route 192.168.200.0 255.255.255.0 Tunnel1 track 100
ip route 192.168.200.0 255.255.255.0 Tunnel2 track 200
ip route 3.3.3.3 255.255.255.255 Dialer1
ip route 2.2.2.2 255.255.255.255 Dialer1
!
ip sla auto discovery
ip sla 100
icmp-echo 10.10.10.5 source-interface Tunnel1
frequency 5
ip sla schedule 100 life forever start-time now
ip sla 200
icmp-echo 10.10.10.9 source-interface Tunnel2
frequency 5
ip sla schedule 200 life forever start-time now
ip access-lists 101 permit ip any any
dialer-list 1 protocol ip permit
no cdp run
!
!
end

こんな感じのコンフィグで問題なくAWSと疎通取れました。

とりあえず長くなったので終わり。

あ、ついでに、、、

トンネルについては特に重み付けとかはないようで
同等のディスタンス値で良いようです。

せっかくなのでチェックをお願いします☆
↓↓↓↓↓
人気ブログランキングへ

|

« ちょいとしたつぶやき[252] | トップページ | TOEIC受験申込 »

エンジニア備忘録」カテゴリの記事

コメント

コメントを書く



(ウェブ上には掲載しません)




トラックバック


この記事へのトラックバック一覧です: エンジニア備忘録[45]:

« ちょいとしたつぶやき[252] | トップページ | TOEIC受験申込 »