[index] AMF Cloud リファレンスマニュアル 5.4.6

インストールガイド / アマゾン ウェブ サービス（AWS）編

1.　Amazonマシンイメージの作成
本製品のVHDイメージファイルをAmazon EC2にアップロードし、Amazonマシンイメージ（以下、AMI）を作成します。

2.　インスタンスの作成
作成したAMIから本製品のインスタンス（仮想マシン）を作成します。

3.　SSH接続設定
PuTTYを使用してSSH経由で本製品のインスタンスにアクセスします。

4.　IPsecトンネルの設定
AWSとルーターの間でIPsecを設定し、ファイアーウォールを設定します。

Note - このプロセスは、一度だけ実行する必要があります。AWS上で本製品を起動/使用後、本製品のファームウェアを更新するときには、software-upgradeコマンドを使用します（「ファームウェアの更新」参照）。

• Linux（UbuntuまたはDebian）を使用しているインターネットに接続されたPC（本マニュアルでは主にUbuntuを使用）。
  

  Note - Windows PCは未サポートです。

  
  
• Amazon EC2とAmazon S3のFull Access権限を持つAWS APIキー（AKIDとSAK、APIを利用するためのIDとパスワード）。
  これは、次に説明する「AWSのAPIキーの作成」に記述されています
  
  
• 本製品のCDに収録されているVHDファイル（AMIの元となるVHDイメージファイル）
  
  
• 本製品のCDに収録されているPYファイル（VHDイメージファイルからAMI作成時に必要なPythonアップロードスクリプトファイル）
  
  
• Amazon EC2 APIツール（EC2をコマンドラインで操作出来るツール）
  

本製品をアップロードする際にはAWS APIキーが必要です。


Note - キーを作成するには、ユーザーアクセスと暗号化キーの管理サービス「Identity and Access Management（以下、IAM）」の実行権限を持っている必要があります。詳細はAmazon社のユーザーガイドを参照してください。



1.　AWSマネジメントコンソールのホーム画面メニュー一覧の中から［Identity and Access Management］を選択します。





2.　ナビゲーションウィンドウで、［ユーザー］を選択します。





3.　IAMユーザー名を選択します（チェックボックスではありません）。

4.　［認証情報］タブで、［アクセスキーの作成］をクリックします。





5.　［ユーザーのセキュリティ認証情報を表示］をクリックし、認証情報を確認してください。





認証情報は、次のように表示されます。





6.　［認証情報のダウンロード］をクリックします。


Note - アクセスキーは安全な場所に保管してください。

Note - 作成したキーは一回しかダウンロードできません。また、キーをメールなどで送信したりしないように注意してください。

Note - キーは、AWSまたはAmazon.comから問い合わせが来ても、組織外に共有しないでください。Amazon社の正規代表者でも、キーを求めてくることはありません。


7.　これでAWS APIキー作成の完了です。

• Python version 2.7
  
• Ec2-api-tools
  
• boto3
  
• Python-pip
  

• sudo apt-get install ec2-api-tools
  
• sudo apt-get install python2.7
  
• sudo apt-get install python-pip
  
• sudo pip install boto3
  

ubuntu@ubuntu-pc:/amazon$ ls -l total 432268 -rw-r--r-- 1 ubuntu ubuntu 442629632 4月 8 13:19 vaa-5.4.6-0.1.vhd -rwxrwxr-x 1 ubuntu ubuntu 7206 4月 8 13:19 vaaUploadScript.py

image	vaa-5.4.6.vhd	インポートする本製品のVHDイメージファイル
name	vaa-5.4.6	AMI名
--region	ap-northeast-1	使用するAWSリージョン ※リージョンの例はAmazon社のユーザーガイドを参照してください。
--bucket	vaa.upload	一時的にVHDファイルをアップロードするAWS S3バケット。存在しない場合は、バケットは自動的に作成されます。
--akid	AKIDABCDF	APIキーのアクセスキーID（EC2とS3へのアクセス用）
--sak	SAKABCDF	APIキーのシークレットキー（EC2とS3へのアクセス用）

Note - S3の使用で発生する料金についてはAmazon社のユーザーガイドを参照してください。

Note - バケット名はS3全体で一意でなくてはなりません（他のS3ユーザーが使っているバケット名は使用できません）。バケット名の命名規則についてはAmazon社のユーザーガイドを参照してください。

ubuntu@ubuntu-pc:/amazon$ ./vaaUploadScript.py vaa-5.4.6-0.1.vhd vaa-5.4.6 --region ap-northeast-1 --bucket vaa.upload --akid AKIDABCDF --sak SAKABCDF import_volume: image='vaa-5.4.6-0.1.vhd' image_format='VHD' size=None import_volume: Uploading disk image import_volume: ec2-import-volume vaa-5.4.6-0.1.vhd --format VHD --bucket vaa.upload --region ap-northeast-1 --availability-zone ap-northeast-1a import_volume: Disk image uploaded import-vol-fg1bguyh volume_conversion: task_id='import-vol-fg1bguyh' volume_conversion: Converting disk image to EBS volume... volume_conversion: Conversion complete volume_conversion: Deleting uploaded disk image volume_conversion: ec2-delete-disk-image --task import-vol-fg1bguyh --region ap-northeast-1 volume_conversion: Volume imported vol-bbb34d45 create_snapshot: volume_id='vol-bbb34d45' create_snapshot: Creating snapshot vaa-5.4.6 create_snapshot: Snapshot created snap-0fd95c30 create_snapshot: Deleting volume vol-bbb34d45 register_image: snapshot_id='snap-0fd95c30' register_image: Creating AMI register_image: {'VirtualizationType': 'hvm', 'RootDeviceName': '/dev/sda1', 'BlockDeviceMappings': [{'DeviceName': '/dev/sda1', 'Ebs': {'SnapshotId': 'snap-0fd95c30', 'VolumeType': 'gp2'}}], 'Name': 'vaa-5.4.6', 'Architecture': 'i386'} register_image: AMI created ami-0b392b65

register_image: AMI created ami-XXXXXXX

Note - 本製品は32bitのインスタンスタイプをサポートしています。本マニュアルの例ではt2.microを使用していますが、ご使用の際はt2.mediumまたはc3.largeをご使用ください。

Note - AWSでは、多くの仮想マシンインスタンスネットワークの構成方法について紹介しています。Amazon Virtual Private Cloud（以下、VPC）については、Amazon社のユーザーガイドを参照してください。

Note - デフォルト設定のAWSは、新しいアカウント上の仮想マシン用に設定された172.31.0.0/16のVPCをすでに持っていますが、このサブネットはAMFが同じエリア内のAMFノード間の内部通信に使用するデフォルトのマネージメントサブネットであるため、使用しないでください。デフォルトのVPCを使用する必要がある場合は、本製品と同じエリア内のすべてのAMFノードが異なるAMFサブネットを使用するように再構成する必要があります。本製品の起動時に、AWSから172.31.0.0/16範囲内のIPアドレスを受信検出した場合、自動的にAMFマネージメントサブネットを10.255.0.0/16に変更します。また、同一エリア内の他のAMFノードは、このサブネットを使用するように再構成する必要があります。AMFマネージメントサブネットの詳細については、本マニュアルの「アライドテレシスマネージメントフレームワーク（AMF）」/「導入」編を参照してください。デフォルトVPCの詳細については、Amazon社のユーザーガイドを参照してください。

Note - AWSでは、RFC1918で指定されているように、プライベートアドレスの範囲内でのVPCの作成を推奨しています。プライベートアドレスを使う場合、お客様ご自身のネットワークで使用しているプライベートアドレスと重複しないVPC設定を確認してください。

3-1-1.　［新しいVPCの作成］をクリックします。
下記画面では「非VPC」という注が表示されていますが、デフォルトVPCを削除していない限りこちらは表示されません。また、本設定ではデフォルトVPCは削除する必要はありません。





3-1-2.　新しいウィンドウが開きますので、［VPCの作成］をクリックします。





3-1-3.　［VPCの作成］ウィンドウが表示されたら、［ネームタグ］にVPCの名前を入力し、本製品で使用するための［CIDRブロック］を割り当て、［作成］をクリックします。





3-1-4.　画面左側のメニューから、［VPC］を選択し、設定されたVPCの詳細が正しいことを確認します。





3-1-5.　次に、画面左側のメニューから、［サブネット］を選択し、［サブネットの作成］をクリックします。





3-1-6.　［サブネットの作成］ウィンドウが表示されたら、［サブネットの作成］を選択し、必要な情報を入力後、［作成］をクリックします。




Note - サブネットをVPCと同じサイズにする必要はありません。詳細はAmazon社のユーザーガイドを参照してください。


3-1-7.　［状態］の表示が「available」となっていることを確認します。

3-2-1.　画面左側のメニューから、［インターネットゲートウェイ］を選択し［インターネットゲートウェイの作成］をクリックします。





3-2-2.　［インターネットゲートウェイ］ウィンドウが表示されたら、［ネームタグ］に任意の名前を付け、［作成］をクリックします。




作成したインターネットゲートウェイは、どのサブネットにも接続されていない状態です。


3-2-3.　作成したインターネットゲートウェイを選択して右クリックし、［VPCにアタッチ］を選択します。





3-2-4.　［VPCにアタッチ］ウィンドウが表示されたら、前述の「VPCの作成」で作成したVPCを選択し、［アタッチ］をクリックします。





3-2-5.　［状態］の表示が「attached」となっていることを確認します。




インターネットゲートウェイは現在、VPC用に構成されていますが、ルーティングテーブルに設定されたデフォルトルートはまだありません。


3-2-6.　デフォルトルートの追加や、ルーティングテーブルを編集するには以下のようにします。


3-2-6-1.　画面左側のメニューから、［ルートテーブル］を選択し［ルートテーブルの作成］をクリックします。





3-2-6-2.　［ルートテーブル］ウィンドウが表示されたら、［ネームタグ］に任意の名前を付け、［作成］をクリックします。





3-2-6-3.　次に、作成したルートテーブルの項目にチェックを入れます。その後、画面下部の［ルート］タブをクリックし、［編集］ボタンをクリックします。





3-2-6-4.　「別のルートの追加」をクリックすると、新しいルートが追加できるようになり、［送信先］欄に「0.0.0.0/0」を入力し、［ターゲット］欄は空欄をクリックすると予測で出てくる該当項目を選択し、［保存］をクリックします。







3-2-6-5.　下図のようにルートが追加されますので、［Main-VPC-Route-Table］を選択し、「メインテーブルとして設定」をクリックしてください。





3-2-7.　作成したVPCを選択します。
作成したVPCは、手順3-2-6-5の後に前述の「VPCの作成」の［ステップ3 インスタンスの詳細の設定］画面に戻り、新しいVPCのネットワーク範囲を設定するために、下図赤枠部分の更新ボタンをクリックすると、本製品の設定手順において選択できるようになります。左のドロップダウンメニューから作成したVPCを選択してください。





3-2-8.　［サブネット］でサブネット範囲を設定し、［自動割り当てパブリックIP］のドロップダウンメニューを、［サブネット設定を使用（無効）］から［有効化］に変更します。
以前作成したサブネットは、VPCで自動設定されます。ない場合は、画面下部［サブネット］のドロップダウンメニューから選択します。



Note - インスタンスのIPアドレスを固定設定するには、次の2つの方法がありますが、2を推奨します。

　 1. インスタンス（AW+）側でIPアドレスを設定
　 2. AWSで設定

AWS上のAMF Cloudは、起動時にeth0でDHCPクライアントが自動的に有効になるため、AmazonのDHCPサーバーから上記手順で設定したプライマリIPを受信することができます。






3-2-9.　インスタンスの詳細を確認し、［次の手順： ストレージの追加］をクリックします。

Note - インスタンスへのSSHアクセスは、必要なIPアドレスからのみに限定してください。

Note - VPC内に多数のサーバーがあり、ソースIPに基づいたトラフィックだけを許可したい場合は、さらにVPCサブネットをカバーするルールが作成されている必要があいます。そうでなければ、それらはまたブロックされます。

1.　［既存のキーペアを選択するか、新しいキーペアを作成します。］ウィンドウが表示されたら、最初のドロップダウンメニューから［新しいキーペアを作成する］を選択します。





2.　次に、［キーペア名］の欄にキーペアの名前を入力し、［キーペアのダウンロード］をクリックしたら、［インスタンスの作成］をクリックします。キーペア（パブリックキーとプライベートキー）を作成し、PEM（プライバシー強化メール）と呼ばれる形式でキーのダウンロードを開始します。




Note - 安全な場所にプライベートキーファイルを保存することを確認してください。再度AWSからプライベートキーをダウンロードすることはできません。仮想マシンのインスタンスにリモートSSHアクセスを許可するように.PEMファイルをインポートする方法の詳細は、以降に説明する「PuTTYgenへのAWSキーペアのインポート」を参照してください。

Note - AWSは、インスタンスにアクセスするための仮想コンソールを提供していません。インスタンスの制御はSSHでのみ可能です。ただし、AMF Cloudの内部コンソールに出力されたメッセージを読み取り専用のログとして閲覧することは可能です。これには、本製品のインスタンスを選択して右クリックし、［インスタンスの設定］から［システムログの取得］を選択します。

Note - 読み取り専用のログファイルが情報を含んでいない場合は、数分待ち、かつリフレッシュしてみてください。

Note - 本製品のパブリックIPアドレスを設定した場合は、pingを実行してください。pingが失敗した場合は、デフォルトルートがルーティングテーブルにあり、VPCのインターネットゲートウェイが正しく設定されていることを確認し、本製品に適用されるセキュリティールールのICMPを許可します。詳細はAmazon社のユーザーガイドを参照してください。

• マシンがリモートアクセスできるようにSSHキーを設定します。
  
• セキュアな接続のための本製品間のIPsecトンネル、およびローカルAMFネットワークを設定します。
  

• PuTTY
  
• PuTTYgen（PEMファイルをPuTTYのPPKファイルに変換するために使用します）
  

1.　以下いずれかの方法でPuTTYgenを実行します。


• [スタート] メニューで［すべてのプログラム] > ［PuTTY］ > ［PuTTYgen］ をクリック
  
• 「ファイル名を指定して実行」で「c:\Program Files\PuTTY/puttygen.exe」を入力
  

PuTTY Key Generatorウィンドウが表示されます。





2.　［Conversions］ > ［Import Key］をクリックします。




PEM形式プライベートキーファイルの場所を尋ねるウィンドウが表示されますので、AWSからダウンロードしたプライベートキーのPEMファイルを指定して［開く］をクリックします。

3.　PuTTYgenは、指定されたプライベートキーを読み込むと、上図「Key」枠内にPEMファイルに格納されている各種情報を表示します。
これは、パブリックキー、プライベートキーの指紋、キーコメント、および潜在的なパスフレーズなどの情報を含みます。

4.　 [Key comment]欄のコメントをデフォルトの「Imported-openssh-key」から、前述の「SSHキーペアの設定」 で指定したキ―ペアの名前に変更してください。

5.　[オプション] [Key passphrase]欄にプライベートキーを保護するためのパスフレーズを入力します。
ここでパスフレーズを設定しておけば、万一他者がプライベートキーを入手しても、パスフレーズを入力しない限りプライベートキーを使うことはできません。





6.　PPKプライベートキーを作成します。
キーを保存するには、上図の［Save private key］ボタンをクリックします。
新しいウィンドウが開くので、プライベートキーの保存先とファイル名を指定してください。

これで、PuTTYで使える形式のプライベートキーがファイルに保存されました。

1.　PuTTYを開くと下図のようなウィンドウが表示されますので、［Host Name］欄に「manager@（本製品インスタンスサーバーのパブリックIPアドレス）」を入力します。





2.　次に左側のパネルにある［Connection］の［SSH］から「Auth」をクリックします。





3.　［Authentication parameters］ > ［Private key file for authentication: ］ ＞ ［Browse］をクリックし、さきほど（PEMファイルから変換して）保存したプライベートキーのPPKファイルを指定してロードした後、本製品インスタンスへのSSHセッションを開始するために、［Open］をクリックします。





本製品のインスタンスに接続するのが初めての場合は、接続先のホストを信頼するかどうかを尋ねるセキュリティアラートダイアログボックスが表示されます。





4.　これで、SSHによる本製品への接続が完了し、AlliedWare PlusのCLI画面が表示されます。

1.　コマンドシェル上で、インスタンスを作成したときに設定したプライベートキーファイルのある場所にカレントディレクトリを移動します。


awplus@ubuntu:~$ cd amazon

Note - セキュリティー上の理由から、プライベートキー上のファイルのパーミッションがファイル所有者にのみ読み込み可に設定されていることを確認してください。

ファイルのパーミッションをAmazonの推奨設定に変更するには、「chmod 400（ファイル名）」を入力します。



awplus@ubuntu:~/amazon$ chmod 400 vaa-atkk-test.pem awplus@ubuntu::~/amazon$ ls -la vaa-atkk-test.pem -r-------- 1 vaa vaa 1696 Feb 15 15:06 vaa-atkk-test.pem


2.　次のコマンドで本製品にSSH接続します。-iオプションで指定する vaa-atkk-test.pem はAWSでのキーペア作成時にダウンロードしたPEMファイル、manager はAW+上のユーザー名、XX.XXX.XX.XXXは本製品インスタンスサーバーのパブリックIPアドレスです。



awplus@ubuntu:~/amazon$ ssh -i vaa-atkk-test.pem manager@XX.XXX.XX.XXX


3.　初めてサーバーに接続するとき、サーバーのパブリックキーを確認するよう求められますので、「yes」を入力し、［Enter］キーを押します。



The authenticity of host 'XX.XXX.XX.XXX (XX.XXX.XX.XXX)' can't be established. RSA key fingerprint is 86:2e:0d:b3:b8:f8:fa:01:3e:15:d8:52:19:a2:61:79. Are you sure you want to continue connecting (yes/no)? yes Warning: Permanently added 'XX.XXX.XX.XXX' (RSA) to the list of known hosts. AlliedWare Plus (TM) 5.4.6 03/18/16 01:59:25 awplus>

1.　VPCダッシュボードから［VPN接続］を選択し、［仮想プライベートゲートウェイ］をクリックします。





2.　「仮想プライベートゲートウェイの作成」ウィンドウが表示されますので、［ネームタグ］欄に適切なゲートウェイ名を入力し、［作成］をクリックします。





3.　作成した仮想プライベートゲートウェイは、どのサブネットにも接続されていない状態です。





4.　作成した仮想プライベートゲートウェイを選択して右クリックし、［VPCにアタッチ］を選択します。





5.　前述の「インスタンスの作成」の「VPCの作成」で作成したVPCを選択し［アタッチ］をクリックします。

1.　下図のように［VPN接続の作成］ウィンドウが表示されますので、［ネームタグ］欄に適切なVPN接続名を入力します。

2.　［カスタマーゲートウェイ］欄では、カスタマーゲートウェイを作成していない場合は入力し、［IPアドレス］欄には、ローカルAMFネットワークへの内部アクセスを提供するVPNルーターのパブリックIPアドレスを入力します。

3.　［BGP ASN］欄は、デフォルトの65000（プライベートASN）のままでかまいません。

4.　［ルーティングオプション］欄では、「静的」を選択します。スタティックルーティングは、ローカルAMFネットワークにIPsec VPN全体での接続性を確立するために使用されます。

5.　どのスタティックIPプレフィックスを通知するかは、トンネルを介して本製品によってアクセス可能にするプライベートユーザーネットワーク（プライベートAMFネットワーク）内の、任意のサブネットが通知されるべきです。この設定は、このVPNトンネルインターフェースを経由して、ネットワークへのスタティックルートを作成することになります。ここでは1つのスタティックプレフィックスだけを付加することができます。　作成完了後、プレフィックスを追加することができます。

6.　最後に「作成」をクリックします。





7.　VPN接続の作成が完了すると、以下のようにVPN接続が表示され、［状態］が［available］になります。

1.　VPCダッシュボードから［VPN接続］を選択し、［設定のダウンロード］をクリックします。





2.　Cisco Systems社のISRシリーズの設定をダウンロードします。




ダウンロードした設定サンプルには多くのセクションがありますが、本マニュアルでは重要な部分だけを抜粋し、ISRシリーズ用とAR4050S用の設定を対比する形で示していきます。

• カスタムISAKMPプロファイル
  
• キー
  
• カスタムIPSECプロファイル
  
• トンネルピアへのプロファイル割り当て　
  
• トンネル
  

crypto isakmp policy 200 encryption aes 128 authentication pre-share group 2 lifetime 28800 hash sha exit

crypto isakmp profile AWS-ISAKMP-Phase-1 transform 1 integrity sha1 encryption aes128 group 2 Lifetime 28800 dpd-interval 10 Version 1 mode main ← Ciscoでは両方のモード（aggressive、main）を自動的に試みます。AlliedWare Plusでは、手動で設定する必要があります。 This is because by default Alliedware Plus attempts IKE version 2 exit

awplus# configure terminal ↓ Enter configuration commands, one per line. End with CNTL/Z. awplus(config)# crypto isakmp profile AWS-ISAKMP-Phase-1 ↓ awplus(config-isakmp-profile)# transform 1 integrity sha1 encryption aes128 group 2 ↓ awplus(config-isakmp-profile)# lifetime 28800 ↓ awplus(config-isakmp-profile)# dpd-interval 10 ↓ awplus(config-isakmp-profile)# version 1 mode main ↓ awplus(config-isakmp-profile)# end ↓ awplus#

ISAKMP Profile: AWS-ISAKMP-Phase-1 Version: IKEv1 Mode: Main Authentication: PSK Expiry: 8h DPD Interval: 10s DPD Timeout: 150s Transforms: Integrity Encryption DH Group 1 SHA1 AES128 2

! The ISAKMP keyring stores the Pre Shared Key used to authenticate the ! tunnel endpoints. ! crypto keyring keyring-vpn-4234d12b-0 local-address 172.16.0.1 pre-shared-key address 10.0.0.1 key j3mqY_4dtzOHG7uP9mREjNkQxyeqnmEc exit

crypto isakmp key j3mqY_4dtzOHG7uP9mREjNkQxyeqnmEc address 10.0.0.1

awplus(config)# crypto isakmp key j3mqY_4dtzOHG7uP9mREjNkQxyeqnmEc address 10.0.0.1 ↓

awplus# show isakmp key ↓ Hostname/IP address Key ---------------------------------------------------- 10.0.0.1　　 j3mqY_4dtzOHG7uP9mRE jNkQxyeqnmEc awplus#

crypto isakmp peer address 10.0.0.1 profile AWS-ISAKMP-Phase-1

awplus(config)# crypto isakmp peer address 10.0.0.1 profile AWS-ISAKMP-Phase-1 ↓

awplus# sh isakmp peer ↓ Peer Profile (* incomplete) Key --------------------------------------------------------------------- 10.0.0.1 AWS-ISAKMP-Phase-1 PSK

#2: IPsec Configuration! ! The IPsec transform set defines the encryption, authentication, and IPsec ! mode parameters. ! crypto IPsec transform-set IPsec-prop-vpn-4234d12b-0 esp-aes 128 espsha- hmac mode tunnel exit

crypto IPsec profile AWS-IPSEC-Phase-2 Transform 1 protocol esp integrity sha1 encryption aes128 Pfs 2 Lifetime seconds 3600 Exit

awplus(config)# crypto IPsec profile AWS-IPSEC-Phase-2 ↓ awplus(config-IPsec-profile)# transform 1 protocol esp integrity sha1 encryption aes128 ↓ awplus(config-IPsec-profile)# pfs 2 ↓ awplus(config-IPsec-profile)# lifetime seconds 3600 ↓ awplus(config-IPsec-profile)# exit ↓ awplus(config)# exit ↓ awplus#

awplus# show IPsec profile AWS-IPSEC-Phase-2 ↓ IPsec Profile: AWS-IPSEC-Phase-2 Replay-window: 32 Expiry: 1h PFS group: 2 Transforms: Protocol Integrity Encryption 1 ESP SHA1 AES128

------------- ! #3: Tunnel Interface Configuration ! ! A tunnel interface is configured to be the logical interface associated ! with the tunnel. All traffic routed to the tunnel interface will be ! encrypted and transmitted to the VPC. Similarly, traffic from the VPC ! will be logically received on this interface.

interface Tunnel1 ip address 169.254.XX.XX 255.255.255.252 ip virtual-reassembly tunnel source 172.16.0.1 tunnel destination 10.0.0.1 tunnel mode IPsec ipv4 tunnel protection IPsec profile IPsec-vpn-4234d12b-0 ! This option causes the router to reduce the Maximum Segment Size of ! TCP packets to prevent packet fragmentation. ip tcp adjust-mss 1387 no shutdown exit

Interface tunnel1 mtu 1436 Ip address 169.254.XX.XX/30 tunnel source 172.16.0.1 tunnel destination 10.0.0.1 tunnel mode IPsec ipv4 tunnel protection IPsec profile AWS-IPSEC-Phase-2 ip tcp adjust-mss 1387

awplus(config)# int tunnel1 ↓ awplus(config-if)# mtu 1434 ↓ awplus(config-if)# ip address 169.254.XX.XX/30 ↓ awplus(config-if)# tunnel source 172.16.0.1 ↓ awplus(config-if)# tunnel destination 10.0.0.1 ↓ awplus(config-if)# tunnel mode IPsec ipv4 ↓ awplus(config-if)# tunnel protection IPsec profile AWS-IPSEC-Phase-2 ↓ awplus(config-if)# ip tcp adjust-mss 1387 ↓ awplus(config-if)# end ↓

awplus# sh ip int b ↓ Interface IP-Address Status Protocol eth1 unassigned admin up running eth2 unassigned admin up down lo unassigned admin up running vlan1 unassigned admin up down vlan10 10.0.10.1/24 admin up running tunnel1 169.254.XX.XX/30 admin up running ppp0 172.16.0.1/32 admin up running awplus# awplus# sh interface tunnel1 ↓ Interface tunnel1 Link is UP, administrative state is UP Hardware is Tunnel IPv4 address 169.254.XX.XX/30 point-to-point 169.254.XX.XX index 14 metric 1 mtu 1434 IPv4 mss 1387 <UP,POINT-TO-POINT,RUNNING,MULTICAST> SNMP link-status traps: Disabled Tunnel source 172.16.0.1, destination 10.0.0.1 Tunnel name local 172.16.0.1, remote 10.0.0.1 Tunnel protocol/transport IPsec ipv4, key disabled, sequencing disabled Checksumming of packets disabled, path MTU discovery disabled Tunnel protection via IPsec (profile "AWS-IPSEC-Phase-2") input packets 0, bytes 0, dropped 0, multicast packets 0 output packets 0, bytes 0, multicast packets 0 broadcast packets 0 Time since last state change: 0 days 00:21:30 awplus#

Note - トンネルインターフェースが「UP」の間は、トンネルはピアの状態を追跡しません。つまり、トンネルは、接続を開始する準備、またはピアの開始に応答する準備ができているということです。トンネルが動作しているかどうかを確認するには、AT-AR4050SからAWSルーター（169.254.XXX.XXX）のリンクローカルアドレスにpingを実行してみてください。pingが成功した場合、トンネルはアップしていて作動しています。ルーティングが希望通りに動作しているかどうかを確認するために、他の所望のネットワークにpingを実行してみて、必要に応じてスタティックルーティングを設定してください。

ip route 0.0.0.0/0 ppp0 ip route 172.30.0.0/24 169.254.XX.XX

awplus# dir ↓ 4096 drwx Mar 14 2016 03:00:00 atmf/ 2401 -rw- Mar 13 2016 23:10:34 V60153A591FFD2F0.bin 143 -rw- Mar 13 2016 09:58:49 reboot.log 551 -rw- Mar 13 2016 09:57:48 default.cfg 25499648 -rw- Feb 16 2016 20:45:45 vaa-5.4.6-0.2.iso ← 新しいファームウェア awplus #software-upgrade vaa-5.4.6-0.2.iso Install this release to disk? (y/n): y Upgrade succeeded, the changes will take effect after rebooting the device. awplus #reboot

AWS内部ネットワークへの接続不可

本製品は、AWSとの接続が失われたことを検出すると、フェイルセーフモードに入ります。

固定内部AWSサーバーに接続できない場合、管理機能へのアクセスができなくなったと見なして、デフォルト設定で再起動するように5分の監視タイマーが含まれています。これ（デフォルト設定での再起動）は、下記の理由による接続不可を解消しようとするものです。


• eth0ポートのシャットダウン
  
  
• Eth0上の誤った静的IPアドレス設定
  
  
• ルーティングの問題
  

デフォルト設定で起動した本製品には、インスタンスの作成時に本製品に割り当てられたオリジナルの「キーペア」経由で、SSHでアクセスできます。
（フェイルセーフモードへの移行）以前の設定ファイルは default_backup.cfg にリネームされます。

1.　EC2 ダッシュボードで［インスタンス］をクリックします。

2.　目的のインスタンスを選択して右クリックし、［イメージ］から［イメージを作成］を選択します。

Note - （スナップショットからインスタンスを作り直した場合）MACアドレスとIPアドレスは以前と異なったものになります。そのため、手動による仮想リンクの再設定やアニュアルライセンスの再登録が必要になります。

(C) 2016 アライドテレシスホールディングス株式会社

PN: 613-002312 Rev.C