AWSサイト間VPNの構築(6.IKEv2の設定)

AWSサイト間VPNの構築(6.IKEv2の設定)

【前回】AWSサイト間VPNの構築(5.暗号化・ハッシュアルゴリズム変更)
【次回】AWSサイト間VPNの構築(7.AWS CLI によるVPN接続の作成)

目次

ネットワーク構成

前回は、下記の構成でAWSのサイト間VPNを構築し、暗号化アルゴリズムとハッシュアルゴリズムを”128bit”から”256bit”に変更しました。今回は、”IKEv1″から”IKEv2″へ変更します。

CMLとAWSのネットワーク構成

IKEv2の設定

AWSのIKEv2への対応状況

AWSサイト間VPNは、2019年2月にIKEv2に対応しています。
AWS サイト間 VPN が IKEv2 に対応

VPN接続の作成時にトンネルの詳細オプションを確認すると、デフォルトで”IKEv1″と”IKEv2″の双方に対応していることが分かります。

AWSサイト間VPN接続のトンネルのオプション設定

ルーターの設定変更

下記の通り、IKEv2のパラメーターを設定します。

*の部分はダウンロードしたテンプレートから事前共有キー(Pre-Shared Key)を設定します。
crypto ikev2 proposal IKEV2-PROP
 encryption aes-cbc-256
 integrity sha256
 group 2

crypto ikev2 policy IKEV2-POL
 proposal IKEV2-PROP

crypto ikev2 keyring IKEV2-KEY
 peer peer1
  address XXX.XXX.XXX.XXX ※ここはAWS側のグローバルアドレスを指定
  pre-shared-key local ********************************
  pre-shared-key remote ********************************

crypto ikev2 profile IKEV2-PROF
 match identity remote address 0.0.0.0
 authentication remote pre-share
 authentication local pre-share
 keyring local IKEV2-KEY
 lifetime 21600

crypto ipsec transform-set IPSEC esp-aes 256 esp-sha256-hmac
 mode tunnel

crypto ipsec profile IPSEC-PROFILE
 set transform-set IPSEC
 set pfs group2
 set ikev2-profile IKEV2-PROF

interface Tunnel1
 ip address 169.254.27.178 255.255.255.252
 ip virtual-reassembly in
 ip tcp adjust-mss 1379
 tunnel source 192.168.1.100 ※ここはCML上のルーターのGi0/0のアドレスを指定
 tunnel mode ipsec ipv4
 tunnel destination XXX.XXX.XXX.XXX ※ここはAWS側のグローバルアドレスを指定
 tunnel protection ipsec profile IPSEC-PROFILE

ip route 10.0.0.0 255.255.255.0 Tunnel1

IKEv2の設定確認

IKEv2の設定を確認します。

show crypto ikev2 proposal IKEV2-PROP
show crypto ikev2 policy IKEV2-POL
IKEv2の設定確認

疎通確認

ServerからEC2に向けてPingを実施し、疎通可能であることを確認します。

ping 10.0.0.58
ServerからEC2への疎通確認

ルーターのステータス確認

IKEv2のステータスを確認します。
Statusが”READY”となっていれば、IKEv2は確立されています。

show crypto ikev2 sa
IKEv2のステータス確認

IPSecのステータスを確認します。
“pkts encrypt: “と”pkts decrypt: “の数値がカウントされていれば、暗号化通信が行われていることを示しています。

show crypto ipsec sa
IPSecのステータス確認

パケットキャプチャ確認

IKEv1と比較して、少ないやりとりでフェーズ1が完了していることが分かります。
IKE_SA_INITでは、UDPの500番ポートを利用しています。

パケットキャプチャの確認(IKE_SA_INIT)

IKE_AUTHでは、UDPの4500番ポートを利用しています。

パケットキャプチャの確認(IKE_AUTH)

これで、AWSサイト間VPN接続のIKEv2への変更は完了です。

【前回】AWSサイト間VPNの構築(5.暗号化・ハッシュアルゴリズム変更)
【次回】AWSサイト間VPNの構築(7.AWS CLI によるVPN接続の作成)

  • URLをコピーしました!
  • URLをコピーしました!
目次