クラウドサービスを安全に利用する(Amazon VPC)

クラウドサービスを展開するデータセンターへVPN接続するソリューションが可能です。
ここでは、IPsec VPNによるセキュアな通信に加え、BGPを利用したダイナミックルーティングに対応したAmazon VPCサービスでの接続設定例を掲載しております。
Amazon VPCのサービスについて詳しくはこちら

使用云服务

IPsec VPNを利用してクラウドサービスへ接続する事ができます。これにより、インターネットを介したクラウドサービス利用であっても、セキュリティを確保した運用が可能です。
また、インターネット上のサービスであるクラウドのリソースを、あたかも自社インフラ内のサービスのように利用する事が出来ます。これにより、社内ネットワークのセキュリティ設定などに大きな影響を与えずにクラウドサービスを社内に取り込む事が可能です。

Amazon VPCの利用についての詳細を下記ページにて説明しておりますのでサービスの利用設定に合わせてご確認ください。

Amazon Virtual Private Cloud (Amazon VPC) 設定例

RTX1200設定例

IPアドレスの設定
(LAN側)
ip lan1 address 192.168.0.1/24
インターフェースの設定
(プロバイダ接続)
pp select 1
pp always-on on
pppoe use lan2
pppoe auto disconnect off
pp auth accept pap chap
pp auth myname NAME PASSWORD
ppp lcp mru on 1454
ppp ipcp ipaddress on
ppp ipcp msext on
ppp ccp type none
ip pp nat descriptor 1
pp enable 1
トンネルインターフェースの設定
正常系
tunnel select 1
ipsec tunnel 101
ipsec sa policy 101 1 esp aes-cbc sha-hmac
ipsec ike duration ipsec-sa 1 3600
ipsec ike duration isakmp-sa 1 28800
ipsec ike encryption 1 aes-cbc
ipsec ike group 1 modp1024
ipsec ike hash 1 sha
ipsec ike keepalive use 1 on dpd 10 3
ipsec ike local address 1 192.168.0.1
ipsec ike pre-shared-key 1 text PRE-SHARED-KEY1
ipsec ike remote address 1 72.21.209.225
ipsec tunnel outer df-bit clear
ip tunnel address 169.254.255.2/30
ip tunnel remote address 169.254.255.1
ip tunnel tcp mss limit 1396
tunnel enable 1
トンネルインターフェースの設定
バックアップ
tunnel select 2
ipsec tunnel 102
ipsec sa policy 102 2 esp aes-cbc sha-hmac
ipsec ike duration ipsec-sa 2 3600
ipsec ike duration isakmp-sa 2 28800
ipsec ike encryption 2 aes-cbc
ipsec ike group 2 modp1024
ipsec ike hash 2 sha
ipsec ike keepalive log 2 off
ipsec ike keepalive use 2 on dpd 10 3
ipsec ike local address 2 192.168.0.1
ipsec ike pre-shared-key 2 text PRE-SHARED-KEY2
ipsec ike remote address 2 72.21.209.193
ipsec auto refresh 2 on
ipsec tunnel outer df-bit clear
ip tunnel address 169.254.255.6/30
ip tunnel remote address 169.254.255.5
ip tunnel tcp mss limit 1396
tunnel enable 2
NATの設定 nat descriptor type 1 masquerade
nat descriptor masquerade static 1 1 192.168.0.1 udp 500
nat descriptor masquerade static 1 2 192.168.0.1 esp
BGPの設定 bgp use on
bgp autonomous-system 65000
bgp neighbor 1 7224 169.254.255.1 hold-time=30 local-address=169.254.255.2
bgp neighbor 2 7224 169.254.255.5 hold-time=30 local-address=169.254.255.6
bgp import filter 1 equal 0.0.0.0/0
bgp import 7224 static filter 1
IPsecを利用する上で
必須の設定
ipsec auto refresh on
その他の設定 dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.0.2-192.168.0.191/24

dns server pp 1
dns private address spoof on

ページトップへ戻る