インストールガイド / Microsoft Azure編

手順概要

カスタムイメージの作成

仮想マシンの作成

ユーザーネットワークとの接続

AT-AR4000S-CloudのVPN機能を使う方法

ここでは、パブリッククラウドサービスの Microsoft Azure 環境上に、本製品をセットアップする手順を説明します。

Note
以下の説明には、Azure固有の用語が多く含まれています。Azureの各種用語や概念、より詳細な情報については、Azureのドキュメントを参照してください。また、掲載している画面例は作成時のものであり、変更される場合があります。あらかじめご了承ください。

手順概要

本製品をAzure上にセットアップする大まかな手順は次のとおりです。

カスタムイメージの作成
本製品のVHDイメージファイルをAzureにアップロードし、仮想マシンのテンプレートとなるカスタムイメージを作成します。
仮想マシンの作成
作成したカスタムイメージから本製品の仮想マシンを作成します。
ユーザーネットワークとの接続
ユーザーネットワークとの間にIPsec VPNを構築し、本製品とユーザーネットワーク上の機器が安全に通信できるようにします。

カスタムイメージの作成

Azure上に本製品の仮想マシンを作成するには、仮想マシンのテンプレートとなるカスタムイメージを作成しておく必要があります。

ここでは、Azureに本製品のVHDイメージファイルをアップロードし、カスタムイメージを作成する方法を説明します。

Note
このプロセスが必要なのは本製品の初回インストール時だけです。Azure上で本製品の使用を開始した後で、本製品のファームウェアを更新するときには、software-upgradeコマンドを使用します（「ファームウェアの更新」参照）。

前提条件

カスタムイメージを作成するには、以下のものが必要です。

インターネットに接続可能なPC（本マニュアルではOSとしておもにUbuntuを使用）
本製品のCDに収録されているAzure用のVHDイメージファイル（GNU zipで圧縮された形で収録されています）
Azure CLI 2.51（コマンドラインからAzureに対する各種操作を行うためのツール）
Azure CLI 2.51のインストール方法についてはMicrosoftのWebサイトをご参照ください。

VHDイメージファイルの準備

本製品のCDに収録されている Azure 用のVHDイメージファイルを、PC上の適切なフォルダー（ディレクトリー）にコピーしてください。

Azure用のVHDイメージファイルは、gzip圧縮された形でCDに収録されていますので、圧縮解除（伸張）したものを該当フォルダーにコピーしてください。

たとえば、本製品の CD が /mnt/cdrom にマウントされている場合、次のようにして圧縮された VHDイメージファイルをホームディレクトリー直下の tmp ディレクトリーにコピーし、その場所で展開できます。

ここでは例として、ログインユーザーのホームディレクトリー直下に tmp という名前の一時ディレクトリーを作成します。
（一時ディレクトリーの名前や場所は任意です）
```
ubuntu@ubuntu-pc:/mnt/cdrom$ mkdir ~/tmp
```
Note
LinuxなどのUNIX系OSにおいて「~」（チルダ）はログインユーザーのホームディレクトリーを表します。そのため、ホームディレクトリーが /home/ubuntu の場合、~/tmp は /home/ubuntu/tmp を表します。
カレントディレクトリーを前の手順で作成した tmp ディレクトリーに移動します。
```
ubuntu@ubuntu-pc:/mnt/cdrom$ cd ~/tmp
```
CDに収録されている圧縮済みVHDイメージファイル「AR4000S-Cloud-5.5.3-2.1.vhd.gz」をカレントディレクトリー（.）にコピーします。
```
ubuntu@ubuntu-pc:~/tmp$ cp /mnt/cdrom/AR4000S-Cloud-5.5.3-2.1.vhd.gz .
```

gunzipコマンドで圧縮ファイルを伸張します。

ubuntu@ubuntu-pc:~/tmp$ gunzip AR4000S-Cloud-5.5.3-2.1.vhd.gz

これでカレントディレクトリーにVHDイメージファイル「AR4000S-Cloud-5.5.3-2.1.vhd」が準備できました。

カスタムイメージの作成手順

カスタムイメージは次の手順で作成します。
なお、本セクションで示すコマンド名は、Azure CLI 2.51 のコマンドです。本製品の AlliedWare Plus コマンドではありませんのでご注意ください。
Azure CLI 2.51 コマンドの詳細については、Azure CLI 2.51 のマニュアルをご参照ください。

最初に以下の例で使用する各種設定要素の名前をまとめておきます。
これらは説明用のサンプルですので、実際にはご利用の環境に合わせたものをご使用ください。

リソースグループ名	ar4000s
ストレージアカウント名	ar4000sstore
ストレージコンテナー名	ar4000svhds
アップロードするVHDファイル名	AR4000S-Cloud-5.5.3-2.1.vhd
アップロード後のVHDファイル名（BLOB名）	AR4000S-Cloud-5.5.3-2.1.vhd
カスタムイメージ名	ar4000s-5.5.3-2.1

なお、リソースグループ、ストレージアカウント、ストレージコンテナーは、以下の例ではすべて新規に作成していますが、すでに作成済みのものを使用してもかまいません。

Azureへのログイン
Azureにログインします。これには az loginコマンドを使います。
Azureへのログインにはいくつかの方法があり、それぞれ引数の指定方法やその後の手順が異なりますので、ご利用環境にあった方法と手順を選んでください。
次の例のように引数を指定しないで実行した場合はWebブラウザーを使った対話式ログインになります。
```
ubuntu@ubuntu-pc:~/tmp$ az login
To sign in, use a web browser to open the page https://aka.ms/devicelogin and enter the code XXXXXXXXX to authenticate.
...
```
リソースグループの作成（必要な場合）
リソースグループは、Azure上に作成した仮想マシン、ディスク、仮想ネットワークなどの各種リソースをまとめて管理するためのフォルダーのような仕組みです。Azure上で管理するリソースは必ずいずれかのリソースグループに所属します。
本製品で使用するリソースグループが存在していない場合は、az group createコマンドで作成してください。
すでに作成済みのリソースグループを使う場合は、本手順は実行不要です。
次の例では、「ar4000s」という名前の新しいリソースグループを「japaneast」（東日本）に作成しています。
```
ubuntu@ubuntu-pc:~/tmp$ az group create --location japaneast --name ar4000s
```
ストレージアカウントの作成（必要な場合）
カスタムイメージの作成に使用するストレージアカウントが存在していない場合は、az storage account createコマンドで作成してください。
すでに作成済みのストレージアカウントを使う場合は、本手順は実行不要です。
次の例では、「ar4000sstore」という名前の新しいストレージアカウントを、リソースグループ「ar4000s」内に、SKU「Standard_LRS」で作成しています。
```
ubuntu@ubuntu-pc:~/tmp$ az storage account create --resource-group ar4000s --name ar4000sstore --sku Standard_LRS
```
Note
ストレージアカウント名はAzureアカウント内で一意にする必要があります。

Note
SKUはパフォーマンスレベルやデータ冗長化レベルの組み合わせを表すもので、それぞれの内容に応じた料金が設定されます。詳しくはAzureの関連ドキュメントをご参照ください。
ストレージコンテナーの作成（必要な場合）
VHDイメージファイルをアップロードするためのストレージコンテナーが存在していない場合は、az storage container createコマンドで作成してください。
すでに作成済みのストレージコンテナーを使う場合は、本手順は実行不要です。
次の例では、「ar4000svhds」という名前の新しいストレージコンテナーを、ストレージアカウント「ar4000sstore」に作成しています。
```
ubuntu@ubuntu-pc:~/tmp$ az storage container create --account-name ar4000sstore --name ar4000svhds
```
VHDイメージファイルのアップロード
VHDイメージファイルをストレージコンテナーにアップロードします。これには、az storage blob uploadコマンドを使います。
次の例では、PCの一時フォルダー「~/tmp」にあるVHDイメージファイル「ar4000s-5.5.3-2.1.vhd」を、ストレージアカウント「ar4000sstore」内のストレージコンテナー「ar4000svhds」に、元ファイルと同じ名前でアップロードしています。
```
ubuntu@ubuntu-pc:~/tmp$ az storage blob upload --account-name ar4000sstore --container-name ar4000svhds --name AR4000S-Cloud-5.5.3-2.1.vhd --type page --file AR4000S-Cloud-5.5.3-2.1.vhd
```
Note
VHDイメージファイルのBLOBタイプ（--type）は「page」にする必要があります。

アップロードしたVHDイメージファイルのURL取得
アップロードしたVHDイメージファイルのURLを取得します。これには、az storage blob urlコマンドを使います。

ubuntu@ubuntu-pc:~/tmp$ az storage blob url --account-name ar4000sstore --container-name ar4000svhds --name AR4000S-Cloud-5.5.3-2.1.vhd --output tsv
https://ar4000sstore.blob.core.windows.net/ar4000svhds/AR4000S-Cloud-5.5.3-2.1.vhd

カスタムイメージの作成
アップロードしたVHDイメージファイルをもとにカスタムイメージを作成します。これには、az image createコマンドを使います。
次の例では、「ar4000s-5.5.3-2.1」という名前の新しいカスタムイメージを、リソースグループ「ar4000s」内に作成しています。
VHDイメージファイルは、前の手順で表示されたURLで指定します。
```
ubuntu@ubuntu-pc:~/tmp$ az image create --resource-group ar4000s --name ar4000s-5.5.3-2.1 --os-type Linux --source https://ar4000sstore.blob.core.windows.net/ar4000svhds/AR4000S-Cloud-5.5.3-2.1.vhd
```
Note
カスタムイメージのOSタイプ（--type）は「Linux」にする必要があります。

以上でカスタムイメージ作成は完了です。

仮想マシンの作成

次に、本製品の仮想マシンを作成するための手順について説明します。

前提条件

仮想マシンの作成にあたっては、下記の事前準備が必要です。
まだ準備が完了していない場合は、前の各セクションを参照して準備を行ってください。

テンプレートとなるカスタムイメージ
→ 「カスタムイメージの作成」

また、ネットワーク構成やアクセス制御についても事前の検討・設計が必要ですが、これらは完了している前提で進めます。

次図は、仮想マシン作成時に扱う各種設定情報をまとめたものです。
以下の説明では、この図に記載した名前やアドレスを使います。実際にはご利用の環境にあわせ適宜読み替えてください。

仮想マシンの作成手順

仮想ネットワークの作成

最初に、本製品の仮想マシンを配置する仮想ネットワークおよびサブネットを作成します。

仮想ネットワークとサブネットの作成は次の手順で行います。

Azureポータルの検索ボックスから「仮想ネットワーク」と入力して検索し、検索結果から「仮想ネットワーク」を選択します。
「＋作成」をクリックすると「仮想ネットワークの作成」ブレードが表示されます。

「仮想ネットワークの作成」ブレードで各項目に適切な値を入力し、「次へ」ボタンをクリックします。

サブスクリプション	適切なものを選択
リソースグループ	「ar4000s」を選択
仮想ネットワーク名	ar4000sNetwork
地域	適切なものを選択

「IPアドレス」タブが表示されるので、デフォルトで表示される「10.0.0.0/16」に代わり「172.30.0.0/16」を入力します。

アドレス入力欄 172.30.0.0/16
鉛筆マークをクリックすると「サブネット編集」画面が表示されるので、各項目に適切な値を入力して「保存」をクリックします。

名前 ar4000sSubnet

IPv4アドレスの範囲 172.30.0.0/16

開始アドレス 172.30.0.0

サイズ /24
「確認＋作成」をクリックすると確認画面が表示されるので、「作成」をクリックします。
しばらくして作成が完了すると、「デプロイメントが成功しました」という通知が表示されます。

以上で仮想ネットワークの作成は完了です。

ネットワークセキュリティグループの作成

ネットワークセキュリティグループは、仮想マシンの通信に適用する仮想的なファイアウォールです。
ネットワークセキュリティグループは、デフォルトで外部から（インバウンド）の通信はすべて拒否、内部から（アウトバウンド）の通信はすべて許可しますので、外部からの必要な通信を許可する設定が必要です。

ここでは、新規にネットワークセキュリティグループを作成し、ユーザーネットワークからの全トラフィックと、任意のアドレスからのSSH、HTTPSだけを許可する受信セキュリティ規則（ルール）を追加します。

本手順で追加するセキュリティ規則の概要をまとめます。

■ 受信セキュリティ規則

優先度	名称	送信元	宛先	対象プロトコル	アクション
100	AllowFromUserNetwork	192.168.1.0/24	すべて	すべて	許可
110	AllowSSH	10.1.1.1（ユーザーネットワーク側ルーターのパブリックIPアドレス）	すべて	SSH (22/TCP)	許可
120	AllowHTTPS	10.1.1.1（ユーザーネットワーク側ルーターのパブリックIPアドレス）	すべて	HTTPS (443/TCP)	許可

Note
ネットワークセキュリティグループのセキュリティ規則には、デフォルトでいくつか暗黙のルールが最後尾に定義されており、仮想ネットワーク（VPN接続したネットワークなども含む）内の通信は許可、その他の通信は拒否するよう設定されています。そのため、優先度「100」のルールは実際には不要ですが、ここではわかりやすさのため明示的に設定しています。

Azureポータルの検索ボックスから「ネットワークセキュリティグループ」と入力して検索し、検索結果から「ネットワークセキュリティグループ」を選択します。
「＋作成」をクリックすると「ネットワークセキュリティグループ」ブレードが表示されます。
「ネットワークセキュリティグループの作成」ブレードで各項目に適切な値を入力し、「確認および作成」ボタンをクリックします。
確認画面が表示されたら「作成」をクリックします。

サブスクリプション適切なものを選択

リソースグループ「ar4000s」を選択

名前 ar4000sNSG

場所適切なものを選択
しばらくして作成が完了すると、「デプロイメントが成功しました」という通知が表示されます。
次に、ユーザーネットワークからのトラフィックを許可するため、作成したばかりのネットワークセキュリティグループ「ar4000sNSG」に受信セキュリティ規則（インバウンドルール）を追加します。
Azureポータルから「すべてのリソース」を選択し「名前でフィルター...」欄に「ar4000sNSG」と入力すると、「名前」欄に「ar4000sNSG」が表示されるので、これをクリック。続いて「受信セキュリティ規則」＞「＋追加」の順にクリックします。

「受信セキュリティ規則の追加」ブレードで各項目に適切な値を入力し、「追加」をクリックします。

ソース	IP Addressesを選択
ソースIPアドレス/CIDR範囲	192.168.1.0/24
ソースポート範囲	*
宛先	Any（デフォルト）
宛先ポート範囲	*
プロトコル	Any
アクション	許可（デフォルト）
優先度	100（デフォルト。ルールの処理順序。100～4096の範囲で100がもっとも優先されます）
名前	AllowFromUserNetwork

しばらくして作成が完了すると、「セキュリティ規則が作成されました」という通知が表示されます。

次に、SSHを許可するため、受信セキュリティ規則（インバウンドルール）をもう1つ追加します。
「ar4000sNSG - 受信セキュリティ規則」ブレードで「＋追加」をクリックします。
「受信セキュリティ規則の追加」ブレードで各項目に適切な値を入力し、「追加」をクリックします。

ソース	IP Addressesを選択
ソースIPアドレス/CIDR範囲	10.1.1.1
ソースポート範囲	*
宛先	Any（デフォルト）
宛先ポート範囲	22
プロトコル	TCP
アクション	許可（デフォルト）
優先度	110（デフォルト。ルールの処理順序。100～4096の範囲で100がもっとも優先されます）
名前	AllowSSH

しばらくして作成が完了すると、ふたたび「セキュリティ規則が作成されました」という通知が表示されます。

次に、HTTPSを許可するため、受信セキュリティ規則（インバウンドルール）をもう1つ追加します。
「ar4000sNSG - 受信セキュリティ規則」ブレードで「＋追加」をクリックします。
「受信セキュリティ規則の追加」ブレードで各項目に適切な値を入力し、「追加」をクリックします。

ソース	IP Addressesを選択
ソースIPアドレス/CIDR範囲	10.1.1.1
ソースポート範囲	*
宛先	Any（デフォルト）
宛先ポート範囲	443
プロトコル	TCP
アクション	許可（デフォルト）
優先度	120（デフォルト。ルールの処理順序。100～4096の範囲で100がもっとも優先されます）
名前	AllowHTTPS

しばらくして作成が完了すると、ふたたび「セキュリティ規則が作成されました」という通知が表示されます。

以上でネットワークセキュリティグループの作成は完了です。

仮想マシンの作成

Azureポータルから「すべてのリソース」を選択し「名前でフィルター...」欄に「ar4000s-5.5.3-2.1」と入力すると、「名前」欄に「カスタムイメージの作成」で作成したカスタムイメージ「ar4000s-5.5.3-2.1」が表示されるので、これをクリック。続いて「概要」＞「＋ VM の作成」の順にクリックします。

「仮想マシンの作成」の「基本」ブレードで各項目に適切な値を入力します。

サブスクリプション	適切なものを選択
リソースグループ	「ar4000s」を選択
仮想マシン名	AR4000SCloud
地域	適切なものを選択
イメージ	ar4000s-5.5.3-2.1を選択
VMアーキテクチャ	x64を選択
サイズ	Standard_B1s
認証の種類	パスワード
ユーザー名	manager
パスワード	Friend!Friend!
パスワードの確認	Friend!Friend!

Note
ここで指定したユーザー名、パスワードは本製品の仮想マシンには反映されません。
本製品への初回ログイン時には初期設定のユーザー名「manager」とパスワード「friend」でログインし、ログイン後にパスワードを変更してください。

「ネットワーク」タブをクリックし、各項目に適切な値を入力し、「確認および作成」ボタンをクリックします。
確認画面が表示されたら「作成」をクリックします。

仮想ネットワーク	「ar4000sNetwork」を選択
サブネット	「ar4000sSubnet」を選択
パブリックIP(新規)	AR4000SCloudX-ip（名前は自動的に決まるため一例です）
NIC ネットワークセキュリティグループ	「詳細」を選択
ネットワークセキュリティグループの構成	「ar4000sNSG」を選択

しばらくして作成が完了すると、「デプロイメントが成功しました」という通知が表示されます。

以上で仮想マシンの作成は完了です。

Note
まれにエラーメッセージが表示されることがありますが作成は問題なく完了します。

完了後詳細が表示されたら、表示されたパブリックIPアドレスに対して、初期設定のユーザー名「manager」とパスワード「friend」によるSSHアクセスのテストを実施してください。

Note
本製品（AT-AR4000S-Cloud）仮想マシンのパブリックIPアドレスは、仮想マシンの「概要」画面や「ネットワーク」画面、「プロパティ」画面などから確認できます。

初回ログイン時には、初期パスワードの変更を求める下記のメッセージが表示されますので、新しいパスワードを2回入力してパスワードを変更してください。
% Your password has been expired for 6760 days. Your must change your password now.
Current password security rules:
-------------------------------------------
Minimum password length: 1
Minimum password character categories: 1
-------------------------------------------
Enter new password: XXXXXXXX（実際には表示されません） ↓
Re-Enter new password: XXXXXXXX（実際には表示されません） ↓
Password changed successfully
awplus> 

ユーザーネットワークとの接続

ユーザーネットワークから本製品を利用するためには、Azureの仮想ネットワークとユーザーネットワークを接続する必要があります。
これは、AT-AR4000S-Cloud自身とユーザーネットワークのVPNルーターの間にIPsecトンネルを構築することで実現できます。
ここでは、ユーザーネットワーク側のVPNルーターとして弊社のAT-AR4050S（以下、「ARルーター」）を使う場合を例に、それぞれの方法を説明します。

Note
以下で説明しているのはAzureとユーザーネットワークを接続するために必要な最小限の設定です。実際の運用時には、ご利用環境の要件にしたがい、ネットワークセキュリティグループなどの機能を利用して適切なアクセス制御、セキュリティー設定を追加してください。また、ネットワーク構成についても、実際のご利用環境にあわせた適切な設計を実施してください。

AT-AR4000S-CloudのVPN機能を使う方法

本製品（AT-AR4000S-Cloud）のVPN機能を使って本製品とユーザーネットワークを接続する場合の基本構成は次のとおりです。

この構成では、AT-AR4000S-Cloud自身がVPNルーターとなって、ユーザーネットワーク側VPNルーターとの間にIPsecトンネルを構築します。
そのため、VPN接続の設定はAT-AR4000S-Cloud自身に対して行います。仮想ネットワークゲートウェイなど、Azure側の設定は基本的に不要ですが、ネットワークセキュリティグループに関しては、ARルーターからのVPN通信を許可するようルールを追加してください。

なお、以下は参考例ですので、実環境では適宜設定を調節してください。

表 12：ユーザーネットワークとの接続パラメーター
	AT-AR4000S-Cloud	ARルーター
トンネルインターフェース名	tunnel0	tunnel0
トンネル動作モード	IPsec (IPv4)	IPsec (IPv4)
トンネル終端アドレス（AT-AR4000S-Cloudから見た場合）	172.30.0.5 （eth0のプライベートIP）	10.1.1.1 （パブリックIP）
トンネル終端アドレス（ARルーターから見た場合）	10.0.0.5 （仮想マシンのパブリックIP）	10.1.1.1 （パブリックIP）
トンネルI/Fに設定するアドレス	172.16.0.1/30	172.16.0.2/30
ISAKMPフェーズ1 ID	arcloud0（ホスト名形式文字列）	10.1.1.1（IPアドレス）
ISAKMP事前共有鍵	abcdefghijklmnopqrstuvwxyz1234

Note
本製品（AT-AR4000S-Cloud）仮想マシンのパブリックIPアドレスは、仮想マシンの「概要」画面や「ネットワーク」画面、「プロパティ」画面などから確認できます。

Azure側の設定

AT-AR4000S-Cloudの仮想マシンに適用されているネットワークセキュリティグループに対し、ARルーターからのVPN通信を許可する受信セキュリティ規則を追加します。

ソース	宛先ポート範囲	プロトコル	アクション	説明
10.1.1.1（ARルーターのパブリックIPアドレス）	500	UDP	許可	ISAKMP
10.1.1.1（ARルーターのパブリックIPアドレス）	4500	UDP	許可	NAT-T（UDP-encap ISAKMP/ESP）

AT-AR4000S-Cloud側の設定

AT-AR4000S-Cloudには、ARルーターと同等のVPN機能が実装されているため、設定内容は後述するARルーターのものと類似しています。

ただし、AT-AR4000S-Cloud自身にはプライベートIPアドレス（172.30.0.5）が設定されており、AT-AR4000S-CloudのパブリックIPアドレス（10.0.0.5）はAzureのNAT機能で変換されたものであることから、ARルーター側でISAKMP接続時にAT-AR4000S-Cloudを正しく識別できるよう、tunnel local nameで自装置の名前（ホスト名形式文字列）を送信するよう設定する必要があります。

ARルーター（10.1.1.1）との間で使用するISAKMPの事前共有鍵を設定します。これにはcrypto isakmp keyコマンドを使います。
```
crypto isakmp key abcdefghijklmnopqrstuvwxyz1234 address 10.1.1.1
```
IPsecトンネルインターフェース tunnel0 を作成します。
これには、interfaceコマンドでトンネルインターフェースを作成し、以下の情報を設定します。

・ローカル側トンネル終端アドレス（tunnel source） - AT-AR4000S-Cloud の eth0 インターフェースを指定します
・リモート側トンネル終端アドレス（tunnel destination） - ARルーターのパブリックIPアドレスを指定します
・ISAKMPローカル名（tunnel local name） - ARルーターがAT-AR4000S-Cloudを識別できるよう任意の文字列を指定します
・トンネリング方式（tunnel mode ipsec）
・トンネルインターフェースに対するIPsec保護の適用（tunnel protection ipsec）
・トンネルインターフェースのIPアドレス（ip address）
・トンネルインターフェースのMTU（mtu）
```
interface tunnel0
 tunnel source eth0
 tunnel destination 10.1.1.1
 tunnel local name arcloud0
 tunnel mode ipsec ipv4
 tunnel protection ipsec
 ip address 172.16.0.1/30
 mtu 1300
```
ユーザーネットワーク（192.168.1.0/24）への経路を設定します。これにはip routeコマンドを使います。
ただし、VPN接続が有効になるまでは、同経路を使用できないように設定します。
```
ip route 192.168.1.0/24 tunnel0
ip route 192.168.1.0/24 null 254
```

ARルーター側の設定

次にユーザーネットワーク側のVPNルーターである、ARルーター側のVPN設定について説明します。

ここでは、ARルーターがppp0インターフェースでインターネットと接続しているものと仮定します。
また、インターネット接続設定や、AT-AR4000S-Cloud側の設定は、完了していることを前提とします。

前述のとおり、AT-AR4000S-Cloud自身にはプライベートIPアドレス（172.30.0.5）が設定されており、AT-AR4000S-CloudのパブリックIPアドレス（10.0.0.5）はAzureのNAT機能で変換されたものであることから、ARルーター側ではISAKMP接続時にAT-AR4000S-Cloudを正しく識別できるよう、tunnel remote nameでAT-AR4000S-Cloud側に設定したのと同じ文字列を指定する必要があります。

AT-AR4000S-Cloudとの間で使用するISAKMPの事前共有鍵を設定します。これにはcrypto isakmp keyコマンドを使います。
AT-AR4000S-CloudのパブリックIPは実際にはNAT変換されたものであるため、ここではAT-AR4000S-Cloudをホスト名形式の文字列IDで識別しています。
```
crypto isakmp key abcdefghijklmnopqrstuvwxyz1234 hostname arcloud0
```
IPsecトンネルインターフェース tunnel0 を作成します。
これには、interfaceコマンドでトンネルインターフェースを作成し、以下の情報を設定します。

・ローカル側トンネル終端アドレス（tunnel source） - ARルーターの ppp0 インターフェースを指定します
・リモート側トンネル終端アドレス（tunnel destination） - AT-AR4000S-CloudのパブリックIPアドレスを指定します
・ISAKMPリモート名（tunnel local name） - NAT経由で相手を識別するため、AT-AR4000S-Cloudに設定したのと同じ文字列を指定します
・トンネリング方式（tunnel mode ipsec）
・トンネルインターフェースに対するIPsec保護の適用（tunnel protection ipsec）
・トンネルインターフェースのIPアドレス（ip address）
・トンネルインターフェースにおけるMSS書き換え設定（ip tcp adjust-mss）
・トンネルインターフェースのMTU（mtu）
```
interface tunnel0
 tunnel source ppp0
 tunnel destination 10.0.0.5
 tunnel remote name arcloud0
 tunnel mode ipsec ipv4
 tunnel protection ipsec
 ip address 172.16.0.2/30
 ip tcp adjust-mss 1260
 mtu 1300
```
AT-AR4000S-Cloud（172.30.0.5/32）への経路を設定します。これにはip routeコマンドを使います。
ただし、VPN接続が有効になるまでは、同経路を使用できないように設定します。
```
ip route 172.30.0.5/32 tunnel0
ip route 172.30.0.5/32 null 254
```

ここまでくれば、Azure上の本製品とユーザーネットワークのIP通信ができるようになっています。

ファームウェアの更新

本製品のファームウェアを更新するには、software-upgradeコマンドを使います。

前提条件

弊社ホームページから、本製品のメンテナンスファームウェア（ISOイメージファイル）をダウンロードし、Azure上の本製品にアップロードしておく必要があります。

ISOファイル、VHDファイルについて

Azureで使用する本製品のファームウェアはいくつかの形式で配布されていますが、それぞれ次のように用途が異なります。
ファームウェアの更新に使うのは ISOイメージファイルのほうです。

本製品のCDに収録されているVHDイメージファイルは、Azureにアップロードして本製品のカスタムイメージを作成するためのものです。
詳しくは、「カスタムイメージの作成」をご参照ください。
弊社ホームページで提供するISOイメージファイルは、すでにAzure上で動作している本製品のファームウェアを更新するためのものです。

更新手順

本製品のファームウェアを更新するには、本製品のCLIにログインして、下記の手順を実行します。

ファイルシステム上にISOイメージファイルが存在することを確認します。

awplus# dir ↓
...
xxxxxxxxx -rw- XXX XX 2XXX XX:XX:XX AR4000S-Cloud-5.5.3-2.2.iso ← 新しいファームウェア

software-upgradeコマンドでISOイメージファイルを指定します。確認メッセージが表示されるので「y」を入力してください。

awplus# software-upgrade AR4000S-Cloud-5.5.3-2.2.iso ↓
Install this release to disk? (y/n): y
Upgrade succeeded, the changes will take effect after rebooting the device.

新しいファームウェアで再起動します。
```
awplus# reboot ↓
```

PN: 613-003066 Rev.H

名前	ar4000sSubnet
IPv4アドレスの範囲	172.30.0.0/16
開始アドレス	172.30.0.0
サイズ	/24

インストールガイド / Microsoft Azure編

手順概要

カスタムイメージの作成

前提条件

VHDイメージファイルの準備

カスタムイメージの作成手順

仮想マシンの作成

前提条件

仮想マシンの作成手順

仮想ネットワークの作成

ネットワーク セキュリティ グループの作成

仮想マシンの作成

ユーザーネットワークとの接続

AT-AR4000S-CloudのVPN機能を使う方法

Azure側の設定

AT-AR4000S-Cloud側の設定

ARルーター側の設定

ファームウェアの更新

前提条件

ISOファイル、VHDファイルについて

更新手順

ネットワークセキュリティグループの作成