Help us understand the problem. What is going on with this article?

IBM cloudとAWSをIPsecで接続する(前提編)

AWSとIBM CloudをIPsecを使いVPN接続する場面があるかと思います。
※この情報も既に劣化している可能性があります。それぞれ仕様が変わりますので、必ず検証を行ってください。こ

今回、IBMクラウド側ではvSRXを使います。AWS側はVPC。
IBM Cloudのサービスでは、仮想化されたベアメタルサーバーに、仮想版SRXを乗せ提供します。
物理サーバーはKVMで仮想化されvSRXが稼働した状態で引き渡されます。

提供されるIPアドレスは物理サーバーでは、PublicとPrivateそれぞれ1つと、HW管理用に1つが提供されます。
vSRXでは、PublicとPrivateとそれぞれ1つづつとなります。

Public・Privateは、それぞれは同一VLAN・同一セグメントでの提供となります。
物理とvSRXのPublicIPは同一VLAN・同一セグメント、物理とvSRXのPrivateIPが同一VLAN・同一セグメントとなります。

管理権限は、物理ではrootを、vSRXはadminとrootが提供され、どちらもポータルにてパスワードが確認できます。

物理やvSRXのPublic・PrivateセグメントおよびVLANは、それ専用となります。
ポータル上の「VLAN」一覧画面からADDにて追加はできません。
また、その両方のセグメントは、サーバーを追加することができません。
IBMcloudのPublicとPrivateのセグメントはそれぞれ1つのルータ(仮にPublicGW、PrivateGWとします)により結ばれていますが、vSRXの直下にサーバーを配置する場合、PrivateGWに接続されていたVLAN、vSRXへ付け替えることで制御下に配置できます。

VLANが移動することでセグメントも移動されることになりますので、各セグメントのDefaultGWIPは、vSRXに付与することでvSRXを利用できることとなります。1Gbps版は1VLANのみ、10Gbps版で複数VLAN利用が可能です。

VLANをvSRXへ接続するためにはIBMCloudのポータル上で、VLANの登録操作を行います。既に使用されているVLANから選択します。別のSecurityGWが既に設置されているVLANは選択できない可能性が高いです。

vSRXに付与したVLANと既存の他のVLANはどうやって通信させたらいのでしょうか?vSRXをルータとして使うしかないですね(そのうち検証)

AWSのポータルでは、IPsec接続対抗機器のサンプルConfigを生成させることができます。数多くの機器、例えばCiscoやJuniper、YAMAHA、IIJ、Microtekもあります。Configはあくまでサンプルですので、Interface名が目的の用途に合っていなかったり、SourceRouting方針かPolicyRouting方針かにより使える部分が変わったりと、一度全文を読むことをお勧めします。コマンドの2倍程度の量のコメントには重要な情報が記載されていますのでやはり目を通すことをお勧めします。

関連情報:
AWS:https://docs.aws.amazon.com/vpn/index.html
Azure(参考):https://docs.microsoft.com/ja-jp/azure/vpn-gateway/vpn-gateway-about-vpn-devices

ポータルでは、VLANを選択後「Route Throught」を選択することで当該VLANがvSRXへ道の開かれます。vSRX上にVLANを設定すると利用できるようになります。vSRX側の当該Interface設定サンプルは以下の通りです。既存のVLANやIPは、以後の管理や緊急時に備え残しておいてください。
(vSRX注文時、Privateとしてge-0/0/0、Publicはge-0/0/1にVLANとIPが割り当てられます。ここではPrivate側のVLANは2060、接続したいVLAN番号は2028です。これをge-0/0/0に付与します。ここではge-0/0/0.10として割り当てます。)

set interfaces ge-0/0/0 description PRIVATE_VLANs
set interfaces ge-0/0/0 flexible-vlan-tagging
set interfaces ge-0/0/0 native-vlan-id 2060
set interfaces ge-0/0/0 unit 10 vlan-id 2028
set interfaces ge-0/0/0 unit 10 family inet address 10.XXX.XXX.YY/26

IBMCloudでは、IpsecGWのサービスもあります。
IPsec内の接続アドレスの指定ができませんので、Site2Site接続には不向きです。

TSA2019
このサイトにおける掲載内容はあくまで私自身の見解であり、必ずしも私の所属団体・企業における立場、戦略、意見を代表するものではありません。
Why not register and get more from Qiita?
  1. We will deliver articles that match you
    By following users and tags, you can catch up information on technical fields that you are interested in as a whole
  2. you can read useful information later efficiently
    By "stocking" the articles you like, you can search right away
Comments
No comments
Sign up for free and join this conversation.
If you already have a Qiita account
Why do not you register as a user and use Qiita more conveniently?
You need to log in to use this function. Qiita can be used more conveniently after logging in.
You seem to be reading articles frequently this month. Qiita can be used more conveniently after logging in.
  1. We will deliver articles that match you
    By following users and tags, you can catch up information on technical fields that you are interested in as a whole
  2. you can read useful information later efficiently
    By "stocking" the articles you like, you can search right away
ユーザーは見つかりませんでした