IBM cloudとAWSをIPsecで接続する(前提編) #AWS

AWSとIBM CloudをIPsecを使いVPN接続する場面があるかと思います。
※この情報も既に劣化している可能性があります。それぞれ仕様が変わりますので、必ず検証を行ってください。こ

今回、IBMクラウド側ではvSRXを使います。AWS側はVPC。
IBM Cloudのサービスでは、仮想化されたベアメタルサーバーに、仮想版SRXを乗せ提供します。
物理サーバーはKVMで仮想化されvSRXが稼働した状態で引き渡されます。

提供されるIPアドレスは物理サーバーでは、PublicとPrivateそれぞれ１つと、HW管理用に１つが提供されます。
vSRXでは、PublicとPrivateとそれぞれ１つづつとなります。

Public・Privateは、それぞれは同一VLAN・同一セグメントでの提供となります。
物理とvSRXのPublicIPは同一VLAN・同一セグメント、物理とvSRXのPrivateIPが同一VLAN・同一セグメントとなります。

管理権限は、物理ではrootを、vSRXはadminとrootが提供され、どちらもポータルにてパスワードが確認できます。

物理やvSRXのPublic・PrivateセグメントおよびVLANは、それ専用となります。
ポータル上の「VLAN」一覧画面からADDにて追加はできません。
また、その両方のセグメントは、サーバーを追加することができません。
IBMcloudのPublicとPrivateのセグメントはそれぞれ１つのルータ（仮にPublicGW、PrivateGWとします）により結ばれていますが、vSRXの直下にサーバーを配置する場合、PrivateGWに接続されていたVLAN、vSRXへ付け替えることで制御下に配置できます。

VLANが移動することでセグメントも移動されることになりますので、各セグメントのDefaultGWIPは、vSRXに付与することでvSRXを利用できることとなります。1Gbps版は１VLANのみ、10Gbps版で複数VLAN利用が可能です。

VLANをvSRXへ接続するためにはIBMCloudのポータル上で、VLANの登録操作を行います。既に使用されているVLANから選択します。別のSecurityGWが既に設置されているVLANは選択できない可能性が高いです。

vSRXに付与したVLANと既存の他のVLANはどうやって通信させたらいのでしょうか？vSRXをルータとして使うしかないですね（そのうち検証）

AWSのポータルでは、IPsec接続対抗機器のサンプルConfigを生成させることができます。数多くの機器、例えばCiscoやJuniper、YAMAHA、IIJ、Microtekもあります。Configはあくまでサンプルですので、Interface名が目的の用途に合っていなかったり、SourceRouting方針かPolicyRouting方針かにより使える部分が変わったりと、一度全文を読むことをお勧めします。コマンドの２倍程度の量のコメントには重要な情報が記載されていますのでやはり目を通すことをお勧めします。

ポータルでは、VLANを選択後「Route Throught」を選択することで当該VLANがvSRXへ道の開かれます。vSRX上にVLANを設定すると利用できるようになります。vSRX側の当該Interface設定サンプルは以下の通りです。既存のVLANやIPは、以後の管理や緊急時に備え残しておいてください。
（vSRX注文時、Privateとしてge-0/0/0、Publicはge-0/0/1にVLANとIPが割り当てられます。ここではPrivate側のVLANは2060、接続したいVLAN番号は2028です。これをge-0/0/0に付与します。ここではge-0/0/0.10として割り当てます。）

set interfaces ge-0/0/0 description PRIVATE_VLANs
set interfaces ge-0/0/0 flexible-vlan-tagging
set interfaces ge-0/0/0 native-vlan-id 2060
set interfaces ge-0/0/0 unit 10 vlan-id 2028
set interfaces ge-0/0/0 unit 10 family inet address 10.XXX.XXX.YY/26

IBMCloudでは、IpsecGWのサービスもあります。
IPsec内の接続アドレスの指定ができませんので、Site2Site接続には不向きです。