debiancdn

AWS, Content Delivery Network and Debian

タグアーカイブ: vpc

NEC IX2105でAmazon VPCにVPN接続する

UNIVERGE IX2000/IX3000シリーズ : UNIVERGE IX2105 | NECをお借りしたので、VPCに対してVPN接続してみた。

結果から言うと

  • あっさりつながる
  • 小さい
  • (ふんでも)壊れにくそう
  • (消費電力が小さいので)熱くならない。静か。

というのは間違いなさそう。十分に速い線がないので、パフォーマンスについては言及できません。


 

準備として、VPCをつくって、Customerゲートウェイを作成するまでをAWSのマネージメントコンソールで行います。

  1. AWS Management ConsoleのVPCページを開ける
  2. ”Start VPC Wizard”ボタンを押して作成開始
  3. “VPC with a Private Subnet Only and Hardware VPN Access”シナリオを選択
  4. IX2105につけるIPアドレスをいれる
  5. “Use dynamic routing (requires BGP)”を選択してVPCを作成
  6. VPN CONNECTIONS->VPN Connectionsから、作成されたVPN接続の設 定ファイルをダウンロードする。ベンダのところには対応していないのでGenericを入手する。

すると、以下のようなファイルが入手できているはず。とりあえず、vpn-ix2105.txtとでもしておきます。

Amazon Web Services
Virtual Private Cloud

VPN Connection Configuration
================================================================================
AWS utilizes unique identifiers to manipulate the configuration of
a VPN Connection. Each VPN Connection is assigned a VPN Connection Identifier
and is associated with two other identifiers, namely the
Customer Gateway Identifier and the Virtual Private Gateway Identifier.

(以下続く)

ファイルをひとつひとつ見てもいいのですが、さきに入れるべき情報を整理します。

IPSecで使う鍵の入手

$ grep '\-\ Pre-Shared Key' vpn-ix2105.txt
  - Pre-Shared Key           : トンネル1の鍵
  - Pre-Shared Key           : トンネル2の鍵

設定に必要なAWS側のIPアドレスの入手

$ grep "\-\ Virtual\ Private\ Gateway" vpn-ix2105.txt
  - Virtual Private Gateway            : 27.0.1.16
  - Virtual Private Gateway             : 169.254.252.25/30
  - Virtual Private Gateway            : 27.0.1.144
  - Virtual Private Gateway             : 169.254.252.29/30
$ grep "\-\ Customer\ Gateway" vpn-ix2105.txt
  - Customer Gateway                 : IX2105につけるIPアドレス
  - Customer Gateway                 : 169.254.252.26/30
  - Customer Gateway ASN              : 65000
  - Customer Gateway                 :  IX2105につけるIPアドレス
  - Customer Gateway                 : 169.254.252.30/30
  - Customer Gateway ASN              : 65000

ここまで整理したら、IX2105にシリアルコンソールを挿して設定です。

まずは初期化してしまいましょう。

Router#
Router# configure
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)# erase startup-config
Are you sure you want to erase the startup-configuration? (Yes or [No]): yes
Router(config)# exit
Router# default-console command-line
% You must RELOAD the router for this configuration to take effect.
Router#

初期化後の設定はごちゃごちゃ解説するよりそのもの貼ったほうがわかりやすいので
はっておきます!Good luck!

!
timezone +09 00
!
logging buffered 131072
logging subsystem all warn
logging timestamp datetime
!
!
ip ufs-cache enable
ip route default GigaEthernet0.1
ip access-list sec-list permit ip src any dest any
!
!
!
ike proposal ike-prop encryption aes hash sha group 1024-bit
!
ike policy ike-policy1 peer 27.0.1.16 key bbbbbbaaaaaaaaaaaaamavO8waikpkWlL ike-prop
ike keepalive ike-policy1 10 3
!
ike policy ike-policy2 peer 27.0.1.144 key cccccccccdddddddddddddda49yt ike-prop
ike keepalive ike-policy2 10 3
!
ipsec autokey-proposal ipsec-prop esp-aes esp-sha lifetime time 3600
!
ipsec autokey-map ipsec-map1 sec-list peer 27.0.1.16 ipsec-prop pfs 1024-bit
!
ipsec autokey-map ipsec-map2 sec-list peer 27.0.1.144 ipsec-prop pfs 1024-bit
!
ppp profile pppoe
  authentication myname aa@bb.jp
  authentication password aa@bb.jp xxxxxxxxxxxxxxxxx
!
router bgp 65000
  neighbor 169.254.252.25 remote-as 10124
  neighbor 169.254.252.25 timers 10 30
  neighbor 169.254.252.25 receive-capability override
  neighbor 169.254.252.29 remote-as 10124
  neighbor 169.254.252.29 timers 10 30
  neighbor 169.254.252.29 receive-capability override
  address-family ipv4 unicast
    originate-default always
!
device GigaEthernet0
!
device GigaEthernet1
!
interface GigaEthernet0.0
  no ip address
  shutdown
!
interface GigaEthernet1.0
  description == admin net ==
  ip address 192.168.1.205/24
  no shutdown
!
interface GigaEthernet0.1
  description == flets ==
  encapsulation pppoe
  auto-connect
  ppp binding pppoe
  ip address ipcp
  ip napt enable
  ip napt static GigaEthernet0.1 udp 500
  ip napt static GigaEthernet0.1 50
  no shutdown
!
interface Loopback0.0
  no ip address
!
interface Null0.0
  no ip address
!
interface Tunnel0.0
  description == Tunnel 1 ==
  tunnel mode ipsec
  ip address 169.254.252.26/30
  ip tcp adjust-mss auto
  ipsec policy tunnel ipsec-map1 out
  no shutdown
!
interface Tunnel1.0
  description == Tunnel #2 ==
  tunnel mode ipsec
  ip address 169.254.252.30/30
  ip tcp adjust-mss auto
  ipsec policy tunnel ipsec-map2 out
  no shutdown

速度については、所詮フレッツなので負荷をかけるには至りませんでした。
iperfでの測定に限って言えばVPN経由のほうが速度がでるときもありました。

いずれにせよ、省スペースでらくらく使えるルータとしてはアリだと思います。消費電力も小さいですし。

広告

VPCの非機能要件

Amazon Virtual Private Cloud. 略してAmazon VPC。もっと略してVPC.

VPC上でサービスを作成することは、Eコマースサイトにおいて必ずしも必要なことではない。利用コストはかからないが、利用するためには知識習得コストもかかる。

一方で、VPCでのみ提供されているサービスを使うために、あるいはVPCでなければ満たせない法令や業界団体等で定めた基準といった非機能要件を満たすために、VPC上でのサービス作成が有効な場合は多い。

 

非機能要件での典型的な例は、国際ペイメント業者5社が共同で作成したクレジット業界におけるグローバスセキュリティ基準であるPCI DSS(Payment Card Industry Data Security Standard)の取得である。PCI DSSは情報セキュリティに対する具体的な実装や施策を要求しており、クレジットカード情報と全く関係ない企業や組織ですらPCI DSSを基準とした情報安全対策を求められることが増えている。

PCI DSSの基準には、”Build and maintain a secure network”なる条項がある。VPCはinboundだけではなくoutboundの制御もできたり、インターネットゲートウェイでアクセス制御ができたり、サーバの種別毎にサブネットを分けたりできる。VPCを使うことで、この条項を満たすことを説明することが容易になることから、VPCを利用されることが多い。

AWSが認証されているPCI DSS準拠のPCIサービスプロバイダ(レベル1)の意味は、独立した認証審査期間であるQSA(Qualified Security Assessor)が、PCI DSS v2に対してAWSが準拠しているということを認証しているという意味である。

つまり、このEコマースがAWSを利用してシステム開発しておけば、インフラストラクチャはPCI準拠しているので、AWSが提供する部分以外の部分にPCI DSS取得の努力を集中させることができる。

VPCでのELB活用

VPCはAWSにおいて相談だれる様々な事を解決するツールというか環境なので、みなさまには大いに活用していただきたいと思っています。
正直、今からシステムを作るならばVPCを使わない理由を探すのがむずかしいほど。

こんなことを書いた。

これを絵にするとこんな具合。

通常のEC2でのELBは、いわば共用のネットワークセグメントで動作しており、自分でELBへどんなIPからアクセスすることができる。

VPCではELBは自分専用のVPC空間の内部に作成されるため、自分が設定したNACL下で動作させることができる。

Amazon VPCのネットワークにまつわる細かな話

これへの答えとしては、

各サブネットにおいて、Amazon が先頭の4 IP アドレスを確保し、最後の1 IP アドレスは、IP ネットワーキングの目的で確保されます。 http://aws.amazon.com/jp/vpc/faqs/#I8

ので、典型的には

ということになる。

他の細かな話。

(@shot6 による情報を得て修正)