インストールガイド / アマゾン ウェブ サービス(AWS)編

手順概要
インストール
Amazonマシンイメージの作成
前提条件
APIキーの作成
PC上で必要なパッケージのインストール
AWSへのアップロード準備
VHDイメージファイルのアップロード
インスタンスの作成
前提条件
インスタンスの作成手順
1. AMIファイルの選択
2. インスタンスタイプの選択
3. インスタンスの詳細の設定
ネットワーク設定例
3-1. VPCの作成
3-2. インターネットゲートウェイの作成と設定
4. ストレージの追加
5. インスタンスのタグ付け
6. セキュリティーグループの設定
7. インスタンス作成の確認
8. SSHキーペアの設定
9. インスタンスの起動
SSH接続設定
SSHキーペア
パブリック/プライベートキーペア
パブリックキー
プライベートキー
「PuTTY」を使用したSSH経由での本製品へのアクセス
前提条件
PuTTYgenへのAWS keyshareのインポート
PuTTYとPPKプライベートキーを使って本製品にSSH接続する
Ubuntu(Linux)上でのSSH経由による本製品へのアクセス
その他
IPsec設定
AWS上でのIPsecトンネルの設定
仮想プライベートゲートウェイの作成
VPN接続の作成
スタティックIPプレフィックスの追加
ルート伝達の有効
IPsecトンネル設定
ISAKMP プロファイル設定(Ciscoでの「Policy」)
ISAKMP事前共有鍵設定
AWSピアへのカスタムISAKMPプロファイル割り当て
IPsec設定
トンネル設定
ルーティング設定
ファームウェアの更新
前提条件
ISOファイル、VHDファイルについて
トラブルシューティング
到達不能
AWS内部ネットワークへの接続不可
SSHサービスの無効化
インスタンスのリカバリー不能

手順概要


    1. Amazonマシンイメージの作成
    本製品のVHDイメージファイルをAmazon EC2にアップロードし、Amazonマシンイメージ(以下、AMI)を作成します。

    2. インスタンスの作成
    作成したAMIから本製品のインスタンス(仮想マシン)を作成します。

    3. SSH接続設定
    PuTTYを使用してSSH経由で本製品のインスタンスにアクセスします。

    4. IPsecトンネルの設定
    AWSとルーターの間でIPsecを設定し、ファイアーウォールを設定します。


インストール

Amazonマシンイメージの作成

Amazonマシンイメージ(以下、AMI)を使用し、AWS EC2上に本製品のインスタンス(仮想マシン)を作成します。
AMIは、特定のインスタンスを作成するために必要なすべての情報を含むテンプレートで、AWS上に本製品のインスタンスを作成するために必要です。

以降、AWSアカウントに本製品のVHDイメージファイルをAMIとしてアップロードするための説明をします。

Note
このプロセスは、一度だけ実行する必要があります。AWS上で本製品を起動/使用後、本製品のファームウェアを更新するときには、software-upgradeコマンドを使用します(「ファームウェアの更新」参照)。

前提条件


AMIを作成するには、以下が必要です。



APIキーの作成

    本製品をアップロードする際にはAWS APIキーが必要です。
    Note
    キーを作成するには、ユーザーアクセスと暗号化キーの管理サービス「Identity and Access Management(以下、IAM)」の実行権限を持っている必要があります。詳細はAmazon社のユーザーガイドを参照してください。


    1. AWSマネジメントコンソールのホーム画面メニュー一覧の中から[Identity and Access Management]を選択します。


    2. ナビゲーションウィンドウで、[ユーザー]を選択します。


    3. IAMユーザー名を選択します(チェックボックスではありません)。

    4. [認証情報]タブで、[アクセスキーの作成]をクリックします。


    5. [ユーザーのセキュリティ認証情報を表示]をクリックし、認証情報を確認してください。


    認証情報は、次のように表示されます。


    6. [認証情報のダウンロード]をクリックします。
    Note
    アクセスキーは安全な場所に保管してください。
    Note
    作成したキーは一回しかダウンロードできません。また、キーをメールなどで送信したりしないように注意してください。
    Note
    キーは、AWSまたはAmazon.comから問い合わせが来ても、組織外に共有しないでください。Amazon社の正規代表者でも、キーを求めてくることはありません。

    7. これでAWS APIキー作成の完了です。


PC上で必要なパッケージのインストール

Linux(UbuntuまたはDebian)のPC上で必要なパッケージをインストールします。
AWSに本製品のVHDイメージファイルをアップロードするためには、以下のパッケージが必要です。

Ubuntu上でこれらをインストールするためには以下のコマンドの入力が必要です。

AWSへのアップロード準備

フォルダーを作成して、そこに本製品のVHDファイルとPythonスクリプトを置きます。
ubuntu@ubuntu-pc:/amazon$  ls -l 
total 432268
-rw-r--r-- 1 ubuntu ubuntu 442629632  4月  8 13:19 vaa-5.4.6-0.1.vhd
-rwxrwxr-x 1 ubuntu ubuntu      7206  4月  8 13:19 vaaUploadScript.py


VHDイメージファイルのアップロード

本製品のCDに収録されている「vaaUploadScript.py」というpythonスクリプトを使用し、AWSへ本製品のCDに収録されている「vaa-5.4.6-0.1.vhd」というVHDイメージファイルをアップロードしてAMIを作成します。スクリプトは以下の引数を受け入れます。

スクリプト引数
image vaa-5.4.6.vhd インポートする本製品のVHDイメージファイル
name vaa-5.4.6 AMI名
--region ap-northeast-1 使用するAWSリージョン

※リージョンの例はAmazon社のユーザーガイドを参照してください。
--bucket vaa.upload 一時的にVHDファイルをアップロードするAWS S3バケット。存在しない場合は、バケットは自動的に作成されます。
--akid AKIDABCDF APIキーのアクセスキーID(EC2とS3へのアクセス用)
--sak SAKABCDF APIキーのシークレットキー(EC2とS3へのアクセス用)

本製品は、一時的にAWS S3バケットにアップロードされます。
Note
S3の使用で発生する料金についてはAmazon社のユーザーガイドを参照してください。
Note
バケット名はS3全体で一意でなくてはなりません(他のS3ユーザーが使っているバケット名は使用できません)。バケット名の命名規則についてはAmazon社のユーザーガイドを参照してください。

■ 使用例
ubuntu@ubuntu-pc:/amazon$ ./vaaUploadScript.py vaa-5.4.6-0.1.vhd vaa-5.4.6 --region ap-northeast-1 --bucket vaa.upload --akid AKIDABCDF --sak SAKABCDF
import_volume: image='vaa-5.4.6-0.1.vhd' image_format='VHD' size=None
import_volume: Uploading disk image
import_volume: ec2-import-volume vaa-5.4.6-0.1.vhd --format VHD --bucket vaa.upload --region ap-northeast-1 --availability-zone ap-northeast-1a
import_volume: Disk image uploaded import-vol-fg1bguyh
volume_conversion: task_id='import-vol-fg1bguyh'
volume_conversion: Converting disk image to EBS volume...
volume_conversion: Conversion complete
volume_conversion: Deleting uploaded disk image
volume_conversion: ec2-delete-disk-image --task import-vol-fg1bguyh --region ap-northeast-1
volume_conversion: Volume imported vol-bbb34d45
create_snapshot: volume_id='vol-bbb34d45'
create_snapshot: Creating snapshot vaa-5.4.6
create_snapshot: Snapshot created snap-0fd95c30
create_snapshot: Deleting volume vol-bbb34d45
register_image: snapshot_id='snap-0fd95c30'
register_image: Creating AMI
register_image: {'VirtualizationType': 'hvm', 'RootDeviceName': '/dev/sda1', 'BlockDeviceMappings': [{'DeviceName': '/dev/sda1', 'Ebs': {'SnapshotId': 'snap-0fd95c30', 'VolumeType': 'gp2'}}], 'Name': 'vaa-5.4.6', 'Architecture': 'i386'}
register_image: AMI created ami-0b392b65

本製品が正常にAWSにアップロードされたときは、以下のメッセージが表示されます。
register_image: AMI created ami-XXXXXXX

また、アップロードされたAMIはAWSリージョンで見ることができます。



インスタンスの作成

ここでは、本製品のインスタンスの作成と実行するプロセスについて説明します。
また、AWS上でAMFコントローラーとして動作する本製品のインスタンス(仮想マシン)を作成するプロセスを説明します。

ここの説明では、Amazon社の用語が多く含まれています。Amazon社の用語や概念、より詳細な情報については、Amazon社のユーザーガイドを参照してください。

前提条件

インスタンスを作成するためにはAMIが必要です。
AMIは、インスタンスを作成するために必要とされるすべての情報を含んでいるテンプレートです。

前述の「インストール」で説明されている前提条件はすでに揃っていることとして説明しています。
Amazon社のネットワーキング方法、SSHキーの交換、およびアクセス制御などの概念は、ネットワーク導入前に事前計画が必要になります。


インスタンスの作成手順

ここでは、まだインスタンスを作成していない新規のアカウントを使う前提で手順を説明します。
EC2ダッシュボード画面で、[インスタンスの作成]をクリックします。


1. AMIファイルの選択

ベースマシンとして使用することができる別のマシンのオプションのリストを開きます。
[マイAMI]を選択し、前述の「インストール」の章で作成した本製品のAMIを選択します。


2. インスタンスタイプの選択

起動するインスタンスタイプを選択して、[次の手順: 環境設定インスタンスの詳細の設定]をクリックしてください
Note
本製品は32bitのインスタンスタイプをサポートしています。本マニュアルの例ではt2.microを使用していますが、ご使用の際はt2.mediumまたはc3.largeをご使用ください。


3. インスタンスの詳細の設定

インスタンスの詳細を設定する上でいくつかの注意点があるため、以下の手順をよく読み設定してください。

ネットワーク設定例

Note
AWSでは、多くの仮想マシンインスタンスネットワークの構成方法について紹介しています。Amazon Virtual Private Cloud(以下、VPC)については、Amazon社のユーザーガイドを参照してください。

3-1. VPCの作成
本製品を使用するために新しいVPCを作成します。

Note
デフォルト設定のAWSは、新しいアカウント上の仮想マシン用に設定された172.31.0.0/16のVPCをすでに持っていますが、このサブネットはAMFが同じエリア内のAMFノード間の内部通信に使用するデフォルトのマネージメントサブネットであるため、使用しないでください。デフォルトのVPCを使用する必要がある場合は、本製品と同じエリア内のすべてのAMFノードが異なるAMFサブネットを使用するように再構成する必要があります。本製品の起動時に、AWSから172.31.0.0/16範囲内のIPアドレスを受信検出した場合、自動的にAMFマネージメントサブネットを10.255.0.0/16に変更します。また、同一エリア内の他のAMFノードは、このサブネットを使用するように再構成する必要があります。AMFマネージメントサブネットの詳細については、本マニュアルの「アライドテレシスマネージメントフレームワーク(AMF)」/「導入」編を参照してください。デフォルトVPCの詳細については、Amazon社のユーザーガイドを参照してください。

Note
AWSでは、RFC1918で指定されているように、プライベートアドレスの範囲内でのVPCの作成を推奨しています。プライベートアドレスを使う場合、お客様ご自身のネットワークで使用しているプライベートアドレスと重複しないVPC設定を確認してください。

    3-1-1. [新しいVPCの作成]をクリックします。
    下記画面では「非VPC」という注が表示されていますが、デフォルトVPCを削除していない限りこちらは表示されません。また、本設定ではデフォルトVPCは削除する必要はありません。


    3-1-2. 新しいウィンドウが開きますので、[VPCの作成]をクリックします。


    3-1-3. [VPCの作成]ウィンドウが表示されたら、[ネームタグ]にVPCの名前を入力し、本製品で使用するための[CIDRブロック]を割り当て、[作成]をクリックします。


    3-1-4. 画面左側のメニューから、[VPC]を選択し、設定されたVPCの詳細が正しいことを確認します。


    3-1-5. 次に、画面左側のメニューから、[サブネット]を選択し、[サブネットの作成]をクリックします。


    3-1-6. [サブネットの作成]ウィンドウが表示されたら、[サブネットの作成]を選択し、必要な情報を入力後、[作成]をクリックします。

    Note
    サブネットをVPCと同じサイズにする必要はありません。詳細はAmazon社のユーザーガイドを参照してください。

    3-1-7. [状態]の表示が「available」となっていることを確認します。



3-2. インターネットゲートウェイの作成と設定
VPCは、サブネットの外部接続を許可するインターネットゲートウェイを自動的に設定しませんので、設定する必要があります。

    3-2-1. 画面左側のメニューから、[インターネットゲートウェイ]を選択し[インターネットゲートウェイの作成]をクリックします。


    3-2-2. [インターネットゲートウェイ]ウィンドウが表示されたら、[ネームタグ]に任意の名前を付け、[作成]をクリックします。

    作成したインターネットゲートウェイは、どのサブネットにも接続されていない状態です。


    3-2-3. 作成したインターネットゲートウェイを選択して右クリックし、[VPCにアタッチ]を選択します。


    3-2-4. [VPCにアタッチ]ウィンドウが表示されたら、前述の「VPCの作成」で作成したVPCを選択し、[アタッチ]をクリックします。


    3-2-5. [状態]の表示が「attached」となっていることを確認します。

    インターネットゲートウェイは現在、VPC用に構成されていますが、ルーティングテーブルに設定されたデフォルトルートはまだありません。


    3-2-6. デフォルトルートの追加や、ルーティングテーブルを編集するには以下のようにします。

      3-2-6-1. 画面左側のメニューから、[ルートテーブル]を選択し[ルートテーブルの作成]をクリックします。


      3-2-6-2. [ルートテーブル]ウィンドウが表示されたら、[ネームタグ]に任意の名前を付け、[作成]をクリックします。


      3-2-6-3. 次に、作成したルートテーブルの項目にチェックを入れます。その後、画面下部の[ルート]タブをクリックし、[編集]ボタンをクリックします。


      3-2-6-4. 「別のルートの追加」をクリックすると、新しいルートが追加できるようになり、[送信先]欄に「0.0.0.0/0」を入力し、[ターゲット]欄は空欄をクリックすると予測で出てくる該当項目を選択し、[保存]をクリックします。


      3-2-6-5. 下図のようにルートが追加されますので、[Main-VPC-Route-Table]を選択し、「メインテーブルとして設定」をクリックしてください。


    3-2-7. 作成したVPCを選択します。
    作成したVPCは、手順3-2-6-5の後に前述の「VPCの作成」の[ステップ3 インスタンスの詳細の設定]画面に戻り、新しいVPCのネットワーク範囲を設定するために、下図赤枠部分の更新ボタンをクリックすると、本製品の設定手順において選択できるようになります。左のドロップダウンメニューから作成したVPCを選択してください。


    3-2-8. [サブネット]でサブネット範囲を設定し、[自動割り当てパブリックIP]のドロップダウンメニューを、[サブネット設定を使用(無効)]から[有効化]に変更します。
    以前作成したサブネットは、VPCで自動設定されます。ない場合は、画面下部[サブネット]のドロップダウンメニューから選択します。

    Note
    インスタンスのIPアドレスを固定設定するには、次の2つの方法がありますが、2を推奨します。
          1. インスタンス(AW+)側でIPアドレスを設定
          2. AWSで設定

        AWS上のAMF Cloudは、起動時にeth0でDHCPクライアントが自動的に有効になるため、AmazonのDHCPサーバーから上記手順で設定したプライマリIPを受信することができます。



    3-2-9. インスタンスの詳細を確認し、[次の手順: ストレージの追加]をクリックします。



4. ストレージの追加

ストレージは追加せず、デフォルトのままで[次の手順: インスタンスのタグ付け]をクリックします。


5. インスタンスのタグ付け

[値]の欄に適切なインスタンスの名前を入力し、[次の手順: セキュリティーグループの設定]をクリックします。
AWSは、インスタンスに多くの異なる名前あるいは記述を持つ「タグ」を提供します。


6. セキュリティーグループの設定

[セキュリティーグループ名:]と[説明:]を確認し、[確認と作成]をクリックします。

Note
インスタンスへのSSHアクセスは、必要なIPアドレスからのみに限定してください。
Note
VPC内に多数のサーバーがあり、ソースIPに基づいたトラフィックだけを許可したい場合は、さらにVPCサブネットをカバーするルールが作成されている必要があいます。そうでなければ、それらはまたブロックされます。

7. インスタンス作成の確認

すべてのインスタンスの設定を確認し、[作成]をクリックします。



8. SSHキーペアの設定


    1. [既存のキーペアを選択するか、新しいキーペアを作成します。]ウィンドウが表示されたら、最初のドロップダウンメニューから[新しいキーペアを作成する]を選択します。


    2. 次に、[キーペア名]の欄にキーペアの名前を入力し、[キーペアのダウンロード]をクリックしたら、[インスタンスの作成]をクリックします。キーペア(パブリックキーとプライベートキー)を作成し、PEM(プライバシー強化メール)と呼ばれる形式でキーのダウンロードを開始します。

    Note
    安全な場所にプライベートキーファイルを保存することを確認してください。再度AWSからプライベートキーをダウンロードすることはできません。仮想マシンのインスタンスにリモートSSHアクセスを許可するように.PEMファイルをインポートする方法の詳細は、以降に説明する「PuTTYgenへのAWSキーペアのインポート」を参照してください。

9. インスタンスの起動

SSHキーペアがダウンロードされたら、[インスタンスの表示]をクリックします。インスタンスの最初の起動が完了するまでに数分かかることがあります。


ステータスは、EC2ダッシュボードの[インスタンス]から確認することができます。

Note
AWSは、インスタンスにアクセスするための仮想コンソールを提供していません。インスタンスの制御はSSHでのみ可能です。ただし、AMF Cloudの内部コンソールに出力されたメッセージを読み取り専用のログとして閲覧することは可能です。これには、本製品のインスタンスを選択して右クリックし、[インスタンスの設定]から[システムログの取得]を選択します。


読み取り専用のログが表示されます。

Note
読み取り専用のログファイルが情報を含んでいない場合は、数分待ち、かつリフレッシュしてみてください。
ログファイルはリアルタイムで更新されず、AWSによってセットされたリフレッシュタイマーに従います。
Note
本製品のパブリックIPアドレスを設定した場合は、pingを実行してください。pingが失敗した場合は、デフォルトルートがルーティングテーブルにあり、VPCのインターネットゲートウェイが正しく設定されていることを確認し、本製品に適用されるセキュリティールールのICMPを許可します。詳細はAmazon社のユーザーガイドを参照してください。

これで本製品のAMFが正常に起動し、実行されていることを確認することができました。
次の章では以下についての説明をします。


SSH接続設定

本章では、PuTTYでSSHキーを使用して、EC2マシンに接続するための説明をしています。
SSHキー交換についての詳細は、Amazon社のユーザーガイドを参照してください。
また、ここではSSHキーペアは設定されていることを前提とします(前述の「SSHキーペアの設定」参照)。

SSHキーペア

SSHキーペアは、データ解読のためのキーとデータ暗号化のためのキーが異なる暗号化方式の「非対称暗号化方式」です。
ペアの1つのメンバーで暗号化されたデータは、ペアおよびその逆の他のメンバーだけが解読できます。


パブリック/プライベートキーペア

パブリックキー

パブリックキーは秘密にしておく必要がありません。また、他のAWSインスタンスに同じパブリックキーをインストールしても問題ありません。
パブリックキーは、本製品の最初の起動時にmanagerユーザー用のパブリックキーが自動的にインストールされます。

プライベートキー

プライベートキーは秘密にすべきもので、絶対に他者に公開してはいけません。
そのためAWSでは、キーペアの作成時に一回しかプライベートキーをダウンロードできないようになっています。

プライベートキーは、パブリックキーで暗号化されたものを復号化するために必要とします。
本製品は、適切な(パブリックキーとペアになった)プライベートキーを保持しているユーザーにのみアクセスを許可します。

SSH経由で本製品のインスタンスにアクセスするには、このプライベートキーを使用して認証を受けるようターミナルクライアントを設定する必要があります。
ここではLinux上でSSH経由で本製品にアクセスする方法、「PuTTY」を使用してWindows上でプライベートキーを使用する方法を説明します。

「PuTTY」を使用したSSH経由での本製品へのアクセス

本マニュアルは、一般的なWindowsのSSHクライアントのPuTTYを使用して、キーをインポートする方法だけを説明しています。
より詳細な内容についてはAmazon社やPuTTYのユーザーガイドを参照してください。

PuTTYはPEM形式のキーを扱えないため、最初にPPKファイルに変換させる必要があります。
これには「PuTTYgen」を使用します。

前提条件

以下URLからPuTTYをダウンロードしてインストールします。
http://www.chiark.greenend.org.uk/~sgtatham/putty/

上記のリンクからダウンロードする以下のものを確認してください。


PuTTYgenへのAWS keyshareのインポート

    1. 以下いずれかの方法でPuTTYgenを実行します。


    PuTTY Key Generatorウィンドウが表示されます。


    2. [Conversions] > [Import Key]をクリックします。

    PEM形式プライベートキーファイルの場所を尋ねるウィンドウが表示されますので、AWSからダウンロードしたプライベートキーのPEMファイルを指定して[開く]をクリックします。

    3. PuTTYgenは、指定されたプライベートキーを読み込むと、上図「Key」枠内にPEMファイルに格納されている各種情報を表示します。
    これは、パブリックキー、プライベートキーの指紋、キーコメント、および潜在的なパスフレーズなどの情報を含みます。

    4.  [Key comment]欄のコメントをデフォルトの「Imported-openssh-key」から、前述の「SSHキーペアの設定」 で指定したキ―ペアの名前に変更してください。

    5. [オプション] [Key passphrase]欄にプライベートキーを保護するためのパスフレーズを入力します。
    ここでパスフレーズを設定しておけば、万一他者がプライベートキーを入手しても、パスフレーズを入力しない限りプライベートキーを使うことはできません。


    6. PPKプライベートキーを作成します。
    キーを保存するには、上図の[Save private key]ボタンをクリックします。
    新しいウィンドウが開くので、プライベートキーの保存先とファイル名を指定してください。

    これで、PuTTYで使える形式のプライベートキーがファイルに保存されました。

PuTTYとPPKプライベートキーを使って本製品にSSH接続する

    1. PuTTYを開くと下図のようなウィンドウが表示されますので、[Host Name]欄に「manager@(本製品インスタンスサーバーのパブリックIPアドレス)」を入力します。


    2. 次に左側のパネルにある[Connection]の[SSH]から「Auth」をクリックします。


    3. [Authentication parameters] > [Private key file for authentication: ] > [Browse]をクリックし、さきほど(PEMファイルから変換して)保存したプライベートキーのPPKファイルを指定してロードした後、本製品インスタンスへのSSHセッションを開始するために、[Open]をクリックします。


    本製品のインスタンスに接続するのが初めての場合は、接続先のホストを信頼するかどうかを尋ねるセキュリティアラートダイアログボックスが表示されます。


    4. これで、SSHによる本製品への接続が完了し、AlliedWare PlusのCLI画面が表示されます。


Ubuntu(Linux)上でのSSH経由による本製品へのアクセス

    1. コマンドシェル上で、インスタンスを作成したときに設定したプライベートキーファイルのある場所にカレントディレクトリを移動します。
    awplus@ubuntu:~$ cd amazon
    Note
    セキュリティー上の理由から、プライベートキー上のファイルのパーミッションがファイル所有者にのみ読み込み可に設定されていることを確認してください。
    ファイルのパーミッションをAmazonの推奨設定に変更するには、「chmod 400(ファイル名)」を入力します。

    awplus@ubuntu:~/amazon$ chmod 400 vaa-atkk-test.pem
awplus@ubuntu::~/amazon$ ls -la vaa-atkk-test.pem
-r-------- 1 vaa vaa 1696 Feb 15 15:06 vaa-atkk-test.pem

    2. 次のコマンドで本製品にSSH接続します。-iオプションで指定する vaa-atkk-test.pem はAWSでのキーペア作成時にダウンロードしたPEMファイル、manager はAW+上のユーザー名、XX.XXX.XX.XXXは本製品インスタンスサーバーのパブリックIPアドレスです。

    awplus@ubuntu:~/amazon$ ssh -i vaa-atkk-test.pem manager@XX.XXX.XX.XXX

    3. 初めてサーバーに接続するとき、サーバーのパブリックキーを確認するよう求められますので、「yes」を入力し、[Enter]キーを押します。

    The authenticity of host 'XX.XXX.XX.XXX (XX.XXX.XX.XXX)' can't be established.
RSA key fingerprint is 86:2e:0d:b3:b8:f8:fa:01:3e:15:d8:52:19:a2:61:79.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added 'XX.XXX.XX.XXX' (RSA) to the list of known hosts.

AlliedWare Plus (TM) 5.4.6 03/18/16 01:59:25

awplus>

これで、SSH経由により本製品に接続されます。

その他

本製品でのSSHサーバーおよびクライアント機能の詳細については、本マニュアルの「Secure Shell」を参照してください。


IPsec設定

AWSとARルーター(弊社別売製品)の間でIPsecを設定する説明をします。
AWSは、エリア2のAMFマスターとして機能するARルーターへの相互エリア間リンクを持つエリア1です。
AMFマネージャートラフィックを、第三者がスヌープまたは操作できないようにするため、
ユーザーネットワークのVPNルーターとの通信用に設定されるIPsecトンネルが必要です。
VPN用語についての詳細は、Amazon社のユーザーガイドを参照してください。

ここでは、前述の「インスタンスの作成」で説明されているゲートウェイが設定されていることを前提として、説明しています。次世代ファイアーウォール(以下、NGFW)を搭載したルーターAT-AR4050S(弊社別売製品)を使用して、ユーザー側の設定および確認に続き、AWSのIPsecサービスとの設定例を説明します。



AWS上でのIPsecトンネルの設定

仮想プライベートゲートウェイの作成

IPsecトンネルを設定する前に、まず仮想プライベートゲートウェイを作成する必要があります。

    1. VPCダッシュボードから[VPN接続]を選択し、[仮想プライベートゲートウェイ]をクリックします。


    2. 「仮想プライベートゲートウェイの作成」ウィンドウが表示されますので、[ネームタグ]欄に適切なゲートウェイ名を入力し、[作成]をクリックします。


    3. 作成した仮想プライベートゲートウェイは、どのサブネットにも接続されていない状態です。


    4. 作成した仮想プライベートゲートウェイを選択して右クリックし、[VPCにアタッチ]を選択します。


    5. 前述の「インスタンスの作成」の「VPCの作成」で作成したVPCを選択し[アタッチ]をクリックします。


VPN接続の作成

VPCダッシュボードから[VPN接続]を選択し、[VPN接続の作成]をクリックします。


    1. 下図のように[VPN接続の作成]ウィンドウが表示されますので、[ネームタグ]欄に適切なVPN接続名を入力します。

    2. [カスタマーゲートウェイ]欄では、カスタマーゲートウェイを作成していない場合は入力し、[IPアドレス]欄には、ローカルAMFネットワークへの内部アクセスを提供するVPNルーターのパブリックIPアドレスを入力します。

    3. [BGP ASN]欄は、デフォルトの65000(プライベートASN)のままでかまいません。

    4. [ルーティングオプション]欄では、「静的」を選択します。スタティックルーティングは、ローカルAMFネットワークにIPsec VPN全体での接続性を確立するために使用されます。

    5. どのスタティックIPプレフィックスを通知するかは、トンネルを介して本製品によってアクセス可能にするプライベートユーザーネットワーク(プライベートAMFネットワーク)内の、任意のサブネットが通知されるべきです。この設定は、このVPNトンネルインターフェースを経由して、ネットワークへのスタティックルートを作成することになります。ここでは1つのスタティックプレフィックスだけを付加することができます。 作成完了後、プレフィックスを追加することができます。

    6. 最後に「作成」をクリックします。


    7. VPN接続の作成が完了すると、以下のようにVPN接続が表示され、[状態]が[available]になります。


スタティックIPプレフィックスの追加

AARルーターからトンネル経由でAWSへの通信(pingなど)を行いたい場合は、AWS側のVPNゲートウェイにトンネル上で使われているリンクローカルアドレスの範囲を教えてあげる必要があります。そうしないと、ARルーターからAWSにはパケットが届いても、戻りのパケットがVPNゲートウェイで捨てられてしまうためです。
これは、静的ルートとしてリンクローカルプレフィックスを追加することで対応できます。
作成したVPN接続で使用されているリンクローカルアドレスは、次項「IPsecトンネル設定 / ルーティング設定」で調べることができます。

下図は、VPNインターフェースを経由するすべてのトンネルのリンクローカルトラフィックを指定した例です。
VPCダッシュボードから[VPN接続]を選択し、作成したVPN接続を選択し、[静的ルート]タブから、[編集]をクリックし、IPプレフィックスを追加し、[保存]をクリックします。


ルート伝達の有効

VPNスタティックIPプレフィックス(スタティックルート)が、正しくルーティングテーブルにインストールされるためには、ルート伝達を有効にする必要があります。それ以外の場合は、VPNスタティックルートトラフィックは、正しくルーティングされないことがあります。

下図のようにVPCダッシュボードから[ルートテーブル]を選択し、[ルート伝達]タブから、[編集]をクリックし、[伝達]にチェックを入れて[保存]をクリックします。



IPsecトンネル設定

NGFWをAWSのIPsec VPNに接続するための設定について説明します。
構成図は、前述の「IPsec設定」を参照してください。
また、前述のAWS上でのIPsecトンネルの設定は、完了していることを前提とします。
AWSの設定が完了すると、特定の機器向け、あるいは、汎用的な設定サンプルファイルをダウンロードできます。


以下では、Cisco Systems社のISRシリーズの設定サンプルファイルをもとに、AR4050Sの設定を行う方法を説明します。
汎用的な設定サンプルではなく、ISRシリーズ用の設定サンプルをもとにするのは、後者のほうがAR4050Sの設定に近いためです。

    1. VPCダッシュボードから[VPN接続]を選択し、[設定のダウンロード]をクリックします。


    2. Cisco Systems社のISRシリーズの設定をダウンロードします。

    ダウンロードした設定サンプルには多くのセクションがありますが、本マニュアルでは重要な部分だけを抜粋し、ISRシリーズ用とAR4050S用の設定を対比する形で示していきます。


重要なものは次のセクションです。


ISAKMP プロファイル設定(Ciscoでの「Policy」)

■ Cisco自動生成設定
crypto isakmp policy 200
encryption aes 128
authentication pre-share
group 2
lifetime 28800
hash sha
exit

■ AlliedWare Plus設定
crypto isakmp profile AWS-ISAKMP-Phase-1
transform 1 integrity sha1 encryption aes128 group 2
Lifetime 28800
dpd-interval 10
Version 1 mode main ← Ciscoでは両方のモード(aggressive、main)を自動的に試みます。AlliedWare Plusでは、手動で設定する必要があります。 
This is because by default Alliedware Plus attempts IKE version 2
exit

■ AR4050SのCLIにおける実際の設定手順
awplus# configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
awplus(config)# crypto isakmp profile AWS-ISAKMP-Phase-1
awplus(config-isakmp-profile)# transform 1 integrity sha1 encryption aes128 group 2
awplus(config-isakmp-profile)# lifetime 28800
awplus(config-isakmp-profile)# dpd-interval 10
awplus(config-isakmp-profile)# version 1 mode main
awplus(config-isakmp-profile)# end
awplus#

■ 設定内容の確認方法
show isakmp profileコマンド
ISAKMP Profile: AWS-ISAKMP-Phase-1
  Version:        IKEv1
  Mode:           Main
  Authentication: PSK
  Expiry:         8h
  DPD Interval:   10s
  DPD Timeout:    150s
  Transforms:
       Integrity   Encryption  DH Group
    1    SHA1        AES128       2

ISAKMP事前共有鍵設定

■ Cisco自動生成設定
! The ISAKMP keyring stores the Pre Shared Key used to authenticate the
! tunnel endpoints.
!
crypto keyring keyring-vpn-4234d12b-0
local-address 172.16.0.1 
pre-shared-key address 10.0.0.1 key
j3mqY_4dtzOHG7uP9mREjNkQxyeqnmEc
exit

■ AlliedWare Plus設定
crypto isakmp key j3mqY_4dtzOHG7uP9mREjNkQxyeqnmEc address 10.0.0.1

■ AR4050SのCLIにおける実際の設定手順
awplus(config)# crypto isakmp key j3mqY_4dtzOHG7uP9mREjNkQxyeqnmEc address 10.0.0.1

■ 設定内容の確認方法
awplus# show isakmp key
Hostname/IP address             Key
----------------------------------------------------
10.0.0.1                      j3mqY_4dtzOHG7uP9mRE
                                  jNkQxyeqnmEc
awplus#

AWSピアへのカスタムISAKMPプロファイル割り当て

AWSピアに、ISAKMP設定を静的に割り当てる必要がある場合、わずかにCiscoの設定とは異なります。

■ AlliedWare Plus設定
crypto isakmp peer address 10.0.0.1 profile AWS-ISAKMP-Phase-1

■ AR4050SのCLIにおける実際の設定手順
awplus(config)# crypto isakmp peer address 10.0.0.1 profile AWS-ISAKMP-Phase-1

■ 設定内容の確認方法
awplus# sh isakmp peer
Peer Profile (* incomplete) Key
---------------------------------------------------------------------
10.0.0.1 AWS-ISAKMP-Phase-1 PSK

IPsec設定

■ Cisco 自動生成設定
#2: IPsec Configuration!
! The IPsec transform set defines the encryption, authentication, and
IPsec
! mode parameters.
!
crypto IPsec transform-set IPsec-prop-vpn-4234d12b-0 esp-aes 128 espsha-
hmac
mode tunnel
exit

■ AlliedWare Plus設定
カスタムIPsecプロファイルの作成
crypto IPsec profile AWS-IPSEC-Phase-2
Transform 1 protocol esp integrity sha1 encryption aes128
Pfs 2
Lifetime seconds 3600
Exit

■ AR4050SのCLIにおける実際の設定手順
awplus(config)# crypto IPsec profile AWS-IPSEC-Phase-2
awplus(config-IPsec-profile)# transform 1 protocol esp integrity sha1 encryption aes128
awplus(config-IPsec-profile)# pfs 2
awplus(config-IPsec-profile)# lifetime seconds 3600
awplus(config-IPsec-profile)# exit
awplus(config)# exit
awplus#

■ 設定内容の確認方法
awplus# show IPsec profile AWS-IPSEC-Phase-2
IPsec Profile: AWS-IPSEC-Phase-2
  Replay-window:  32
  Expiry:         1h
  PFS group:      2
  Transforms:
       Protocol  Integrity   Encryption
    1    ESP       SHA1        AES128

トンネル設定

-------------
! #3: Tunnel Interface Configuration
!
! A tunnel interface is configured to be the logical interface
associated
! with the tunnel. All traffic routed to the tunnel interface will be
! encrypted and transmitted to the VPC. Similarly, traffic from the VPC
! will be logically received on this interface.

■ Cisco 自動生成設定
interface Tunnel1
ip address 169.254.XX.XX 255.255.255.252
ip virtual-reassembly
tunnel source 172.16.0.1
tunnel destination 10.0.0.1
tunnel mode IPsec ipv4
tunnel protection IPsec profile IPsec-vpn-4234d12b-0
! This option causes the router to reduce the Maximum Segment Size of
! TCP packets to prevent packet fragmentation.
ip tcp adjust-mss 1387
no shutdown
exit

■ AlliedWare Plus設定
Interface tunnel1
mtu 1436
Ip address 169.254.XX.XX/30
tunnel source 172.16.0.1
tunnel destination 10.0.0.1
tunnel mode IPsec ipv4
tunnel protection IPsec profile AWS-IPSEC-Phase-2
ip tcp adjust-mss 1387

■ AR4050SのCLIにおける実際の設定手順
awplus(config)# int tunnel1
awplus(config-if)# mtu 1434
awplus(config-if)# ip address 169.254.XX.XX/30
awplus(config-if)# tunnel source 172.16.0.1
awplus(config-if)# tunnel destination 10.0.0.1
awplus(config-if)# tunnel mode IPsec ipv4
awplus(config-if)# tunnel protection IPsec profile AWS-IPSEC-Phase-2
awplus(config-if)# ip tcp adjust-mss 1387
awplus(config-if)# end

■ 設定内容の確認方法
awplus# sh ip int b
Interface             IP-Address         Status          Protocol
eth1                  unassigned         admin up        running
eth2                  unassigned         admin up        down
lo                    unassigned         admin up        running
vlan1                 unassigned         admin up        down
vlan10                10.0.10.1/24       admin up        running
tunnel1               169.254.XX.XX/30   admin up        running
ppp0                  172.16.0.1/32      admin up        running
awplus# 
awplus# sh interface tunnel1
Interface tunnel1
  Link is UP, administrative state is UP
  Hardware is Tunnel
  IPv4 address 169.254.XX.XX/30 point-to-point 169.254.XX.XX
  index 14 metric 1 mtu 1434
  IPv4 mss 1387
  <UP,POINT-TO-POINT,RUNNING,MULTICAST>
  SNMP link-status traps: Disabled
  Tunnel source 172.16.0.1, destination 10.0.0.1
  Tunnel name local 172.16.0.1, remote 10.0.0.1
  Tunnel protocol/transport IPsec ipv4, key disabled, sequencing disabled
  Checksumming of packets disabled, path MTU discovery disabled
  Tunnel protection via IPsec (profile "AWS-IPSEC-Phase-2")
    input packets 0, bytes 0, dropped 0, multicast packets 0
    output packets 0, bytes 0, multicast packets 0 broadcast packets 0
  Time since last state change: 0 days 00:21:30
  awplus#

Note
トンネルインターフェースが「UP」の間は、トンネルはピアの状態を追跡しません。つまり、トンネルは、接続を開始する準備、またはピアの開始に応答する準備ができているということです。トンネルが動作しているかどうかを確認するには、AT-AR4050SからAWSルーター(169.254.XXX.XXX)のリンクローカルアドレスにpingを実行してみてください。pingが成功した場合、トンネルはアップしていて作動しています。ルーティングが希望通りに動作しているかどうかを確認するために、他の所望のネットワークにpingを実行してみて、必要に応じてスタティックルーティングを設定してください。

ルーティング設定

この例では、AR4050Sにデフォルトルートを設定していませんので、次のコマンドでAWSルーターのパブリックIPアドレスおよび本製品が所属するサブネットへのスタティックルートを登録します。
ip route  0.0.0.0/0 ppp0
ip route 172.30.0.0/24 169.254.XX.XX

AR4050Sから開始された通信について、本製品からAR4050Sへの戻りパケットを正しく返送するための設定は、AWS VPNのスタティックIPプレフィックスの項で説明済みです(「IPsec設定」参照)。
ここまでくれば、AWS上の本製品とお客様側AMFネットワークの間でIPの通信ができるようになっています。
AMFの設定については、本インストールガイドでは触れていません。本製品とAMFネットワーク間の仮想リンクの設定については、本マニュアルの「アライドテレシスマネージメントフレームワーク(AMF)」を参照してください。

ファームウェアの更新

本製品のファームウェアを更新するには、software-upgradeコマンドを使います。

前提条件

弊社ホームページから、本製品のメンテナンスファームウェア(ISOイメージファイル)をダウンロードし、AWS上の本製品にアップロードしておく必要があります。

ISOファイル、VHDファイルについて

VHDイメージファイルは、本製品をAMIとしてアップロードするためのものです(前述のインストールを参照してください)。弊社ホームページで提供するISOイメージは、すでにAWS上で使用している本製品のファームウェアを、更新するためのものです。

■ 使用例
awplus# dir
4096 drwx Mar 14 2016 03:00:00 atmf/
2401 -rw- Mar 13 2016 23:10:34 V60153A591FFD2F0.bin
143 -rw- Mar 13 2016 09:58:49 reboot.log
551 -rw- Mar 13 2016 09:57:48 default.cfg
25499648 -rw- Feb 16 2016 20:45:45 vaa-5.4.6-0.2.iso ← 新しいファームウェア

awplus #software-upgrade vaa-5.4.6-0.2.iso
Install this release to disk? (y/n): y
Upgrade succeeded, the changes will take effect after rebooting the
device.
awplus #reboot


トラブルシューティング

到達不能

本製品につながらなくなった場合には、いくつかの復旧手段があります。

    AWS内部ネットワークへの接続不可
    本製品は、AWSとの接続が失われたことを検出すると、フェイルセーフモードに入ります。

    固定内部AWSサーバーに接続できない場合、管理機能へのアクセスができなくなったと見なして、デフォルト設定で再起動するように5分の監視タイマーが含まれています。これ(デフォルト設定での再起動)は、下記の理由による接続不可を解消しようとするものです。


    デフォルト設定で起動した本製品には、インスタンスの作成時に本製品に割り当てられたオリジナルの「キーペア」経由で、SSHでアクセスできます。
    (フェイルセーフモードへの移行)以前の設定ファイルは default_backup.cfg にリネームされます。

SSHサービスの無効化

SSHが無効化すると、さらに5分の監視タイマーが始まるでしょう。これは、本製品がSSH接続管理の機能に依存しているためです。
SSHサービスが5分間無効になっている場合、本製品はデフォルト設定で再起動します。
以前に実行しているコンフィグファイルは、「default_backup.cfg」という名前に変更されます。

インスタンスのリカバリー不能

本製品のインスタンスがリカバリー不能になる非常事態に備え、正常に動作しているインスタンスイメージのスナップショットをとっておくには、以下の手順を実行します。

    1. EC2 ダッシュボードで[インスタンス]をクリックします。

    2. 目的のインスタンスを選択して右クリックし、[イメージ]から[イメージを作成]を選択します。

一度イメージが作成されたら、[イメージ]>[AMI]の下に見つけることができます。

このスナップショットからマシンを作成するには、前述の「インスタンスの作成」で説明されている手順のように、[マイAMI]の下の[スナップショット]に基づいて新しいインスタンスを作成します。

Note
(スナップショットからインスタンスを作り直した場合)MACアドレスとIPアドレスは以前と異なったものになります。そのため、手動による仮想リンクの再設定やアニュアルライセンスの再登録が必要になります。

(C) 2016 - 2017 アライドテレシスホールディングス株式会社

PN: 613-002312 Rev.D