Interop Tokyo 2021 ShowNetの mgmtネットワークで、Oracle Cloud Infrastructure(OCI)が、Azure Virtual WANをHubとしてオンプレミスとMulti Cloud接続で構成されました。
・【ShowNetスタジオ】SSS-15 マルチクラウド時代の柔軟なネットワークとインフラ利用
Azure Virtual WAN とは
Azure リージョンは、ハブとして以下のような相互接続ができます。
- ブランチ接続 (SD-WANやVPN CPEなどからの接続経由)
- サイト間 VPN 接続
- リモート ユーザー VPN (ポイント対サイト) 接続
- プライベート (ExpressRoute) 接続
- クラウド内接続 (仮想ネットワークの推移的な接続)
- VPN ExpressRoute 接続
これにより、グローバル トランジット ネットワーク アーキテクチャが可能になります。つまり、クラウドでホストされたネットワーク "ハブ" によって、さまざまな種類の "スポーク" に分散されている可能性があるエンドポイント間の推移的な接続が可能になります。
ということで、Azure Virtual WAN へ、オンプレミスと Oracle Cloud Infrastructure (OCI)を接続し、Azureを Hub として、オンプレミスと OCI が Azure を経由して接続できることを確認してみてみます。
■ 構成
今回、On-Premises側は、Yamaha NVR700wを使用して、IPSec IKEv2 + BGP でAzure Virtual WANへ接続します。
・参考: Yamaha NVR700W で Azure へ IPSec VPN(IKEv2 + BGP)接続してみてみた
AzureとOCIとの接続はExpressRouteでOCIへ接続します。
・参考: Microsoft Azure と Oracle CloudをCross-Cloud接続してみてみた
そして、Oracle Cloud側は、Onbect Storage等のPublicサービスのPublic IPをExpressRouteへ流れるように Transit Routingの設定をしときます。
・参考: Transit Routing + IPSec VPN / FastConnectで Object Storage, Autonomous Databaseへ接続してみてみた
また、AWSでも同じような機能として Transit Gatewayがあり、この機能でもオンプレミスとOCIをAWSを経由して接続することができます。
・参考: AWS Transit Gateway経由でオンプレミスとOracle Cloudを接続してみてみた
■ Azure Virtual WAN作成
(1) すべてのサービスから、[仮想WAN]をクリック
(2) 仮想WAN画面
[仮想WANの作成]をクリック
(3) 基本画面
以下設定を行い、[確認および作成]をクリック
・リソース グループの場所: [東日本]を選択
・名前: 任意の名前を設定
・種類: 種類: Standardを選択
※ Standard 仮想 WAN のハブは、既定でフル メッシュで接続されます。
※ Basic 仮想 WAN のハブは互いに接続されません。
Standard タイプの WAN にアップグレードする必要があります。
(4) 確認および作成画面
内容を確認し、問題なければ[作成]をクリック
(5)仮想WAN構成 ブランチ間接続許可
作成した仮想WAN画面にある 構成をクリックし、以下設定をしてブランチ間接続を許可
ブランチ間: [有効]を選択
■ Azure Virtual WAN ハブ作成
(1) 仮想WAN画面
作成した仮想WANにある、[ハブ]をクリック
(2) 仮想ハブを作成する画面
以下設定を行い、[次へ]をクリック
・地域: [東日本]を選択
・名前: 任意の名前を設定
・ハブ プライベート アドレス空間: VPN ゲートウェイ、ExpressRoute ゲートウェイを配置するためハブを作成するためのSubnetを作成
(3) サイト対サイト
ここでは、VPNゲートウェイは後で作成するため、[次へ]をクリック
(4) ポイント対ポイント画面
ここでは、ユーザーVPNゲートウェイを作成しないため、[次へ]をクリック
(5) ExpressRoute画面
ここでは、ExporessRouteを作成しないため、[次へ]をクリック
(6) タグ画面
必要に応じて、タグを設定し、[次へ]をクリック
(7) 確認および作成画面
内容を確認し、問題なければ[作成]をクリック
(8) デプロイが進行中です画面
デプロイに数十分を要します
(9) デプロイが完了しました。
デプロイ完了
■ vNetをHubへ接続
① 作成した仮想WAN画面
作成した仮想WAN画面にある、[仮想ネットワーク接続]をクリック
② 接続の追加画面
以下設定を行い、[作成]をクリック
・接続名: 任意の名前を設定
・ハブ: 作成した[ハブ]を選択
・仮想ネットワーク:ハブへ接続する[vNet]を選択
・Asscociate Route Table: 関連づける[ルートテーブル]を選択
・Propagete to Route Tables: 伝搬する[ルートテーブル]を選択
③ 仮想ネットワーク接続完了
作成した仮想WANの仮想ネットワーク接続画面に追加したvNetが表示されていることを確認
■ 仮想HubへVPNゲートウェイを作成
① 作成した仮想Hub画面
作成した仮想Hub画面にある[VPN(サイトからサイトへ)]をクリック
② VPN(サイトからサイトへ)画面
[VPNゲートウェイの作成]をクリック
③ VPNゲートウェイの作成画面
以下設定を行い、[作成]をクリック
・AS番号: デフォルト 65515 のままとする
・ゲートウェイ スケール ユニット: VPNゲートウェイのパフォーマンスを設定
■ オンプレミスと仮想Hubとの IPSec VPN接続
● VPNゲートウェイへVPNサイトの登録
(1) VPNゲートウェイ画面
作成した仮想HubのVPNゲートウェイ画面にある、[+VPNサイトの新規作成]をクリック
(2) VPNサイトの作成画面
以下設定を行い、[次へ]をクリック
・地域: [東日本]
・名前: 任意の名前を設定
・デバイス ベンダー: 接続するBGPルーターのメーカーを設定
・ボーダーゲートウェイプロトコル(BGP): [有効化]をクリック
・ハブ: 作成した仮想Hubを設定
(3)リンク画面
以下設定を行い、[次へ]をクリック
・リンク名: 任意の名前を設定
・プロバイダー名: 任意のプロバイダを設定
・速度: IPSec VPN接続する Mbps の値を設定
・IPアドレス: オンプレミス側ルーターのPublic IPを設定
・BGPアドレス: オンプレミス側ルーターの BGP Peer IPを設定
・ASN: オンプレミス側ルーターのASNを設定
(4) 確認および作成画面
内容を確認し、問題なければ[作成]をクリック
(5) 設定完了画面
サイト名に追加したオンプレミスのサイト情報が登録されていることを確認
● VPN接続編集
(1) VPN(サイトからサイトへ)画面
登録したオンプレミスのサイト名の右端にある[・・・]をクリックし、[このハブへのVPN接続]をクリック
(2) VPN接続を編集する
以下設定を行い、[保存]をクリック
・Border Gateway Protocol: [有効化]を選択
・Azure プライベートIPアドレスを使用する: [はい]を選択し、修得済みの既定のルートを仮想ハブからこの接続に伝達できるようにします。
・事前共有キー(PSK): IPSec接続するためのPSKを設定
・IPsec: [規定]を選択
・規定のルートを伝搬する: [有効化]を選択して修得済みの既定のルートを仮想ハブからこの接続に伝達できるようにします。
● Azure側リンク情報確認
オンプレミスのルーターへ設定するためのAzure側のIPSec VPN設定情報をメモします
(1) VPN(サイトからサイトへ)画面
[Gateway Configuration: View/Configure] をクリック
(2) VPN Gatewayの編集画面
以下情報を確認して、オンプレミスのルーターへ設定
+ VPN Gateway Instance 0
- Public IP Address: Tunnnel 1用 Public IP
- Default BGP IP Asress: Tunnnel 1用 BGP Peer IP
+ VPN Gateway Instance 1
- Public IP Address: Tunnnel 2用 Public IP
- Default BGP IP Asress: Tunnnel 2用 BGP Peer IP
■ オンプレミス側 YAMAHA NVR700W設定
● IPSec VPN設定
(1) IPSec tunnel 1設定
tunnel select 1
ipsec tunnel 1
ipsec sa policy 1 1 esp aes256-cbc sha256-hmac anti-replay-check=off
ipsec ike version 1 2
ipsec ike duration child-sa 1 27000
ipsec ike duration ike-sa 1 28800
ipsec ike group 1 modp1024
ipsec ike keepalive log 1 off
ipsec ike keepalive use 1 on rfc4306
ipsec ike local address 1 100.100.100.101
ipsec ike local name 1 100.100.100.101 ipv4-addr
ipsec ike nat-traversal 1 on
ipsec ike message-id-control 1 on
ipsec ike child-exchange type 1 2
ipsec ike pre-shared-key 1 text Password01
ipsec ike remote address 1 200.200.200.201
ipsec ike remote name 1 200.200.200.201 ipv4-addr
ipsec ike negotiation receive 1 off
ip tunnel tcp mss limit auto
tunnel enable 1
(2) IPSec tunnel 2設定
tunnel select 2
ipsec tunnel 2
ipsec sa policy 2 2 esp aes256-cbc sha256-hmac anti-replay-check=off
ipsec ike version 2 2
ipsec ike duration child-sa 2 27000
ipsec ike duration ike-sa 2 28800
ipsec ike group 2 modp1024
ipsec ike keepalive log 2 off
ipsec ike keepalive use 2 on rfc4306
ipsec ike local address 2 100.100.100.101
ipsec ike local name 2 100.100.100.101 ipv4-addr
ipsec ike nat-traversal 2 on
ipsec ike message-id-control 2 on
ipsec ike child-exchange type 2 2
ipsec ike pre-shared-key 2 text Password01
ipsec ike remote address 2 200.200.200.202
ipsec ike remote name 2 200.200.200.202 ipv4-addr
ipsec ike negotiation receive 2 off
ip tunnel tcp mss limit auto
tunnel enable 2
(3) IPSec 設定反映
ipsec auto refresh on
● BGP設定
(1) BGP用 tunnel 1設定
tunnel select 1
ipsec tunnel outer df-bit clear
ip tunnel address 192.168.254.1/32
ip tunnel remote address 172.31.255.12
ip tunnel tcp mss limit 1379
tunnel enable 1
(2) BGP用 tunnel 2設定
tunnel select 2
ipsec tunnel outer df-bit clear
ip tunnel address 192.168.254.1/32
ip tunnel remote address 172.31.255.13
ip tunnel tcp mss limit 1379
tunnel enable 2
(3) BGP設定
ip route 172.31.255.12/32 gateway tunnel 1
ip route 172.31.255.13/32 gateway tunnel 2
bgp use on
bgp autonomous-system 65000
bgp neighbor 1 65515 172.31.255.12 hold-time=30 local-address=192.168.254.1 ignore-capability=on
bgp neighbor 2 65515 172.31.255.13 hold-time=30 local-address=192.168.254.1 ignore-capability=on
bgp router id 192.168.254.1
# bgp import filter 1 equal 0.0.0.0/0
# bgp import filter 1 include 0.0.0.0/0
bgp import filter 1 equal 192.168.0.0/24
bgp import 65515 static filter 1
(4) BGP設定反映
bgp configure refresh
● オンプレミス側 BGP状態確認
(1) IPSec SA確立確認
# show ipsec sa
Total: isakmp:5 send:2 recv:2
sa sgw isakmp connection dir life[s] remote-id
----------------------------------------------------------------------------
2 1 - ike - 28762 200.200.200.201
5 * - ike - 13 200.200.200.201
6 * - ike - - 200.200.200.202
7 * - ike - 16 200.200.200.202
8 2 - ike - 28777 200.200.200.202
9 1 2 tun[0001]esp send 26967 200.200.200.201
10 1 2 tun[0001]esp recv 26967 200.200.200.201
11 2 8 tun[0002]esp send 26977 200.200.200.202
12 2 8 tun[0002]esp recv 26977 200.200.200.202
(2) Tunnel1 bgp neighbor確認
# show status bgp neighbor 172.31.255.12
BGP neighbor is 172.31.255.12, remote AS 65515, local AS 65000, external link
BGP version 4, remote router ID 172.31.255.12
BGP state = Established, up for 00:02:30
Last read 00:00:04, hold time is 30, keepalive interval is 10 seconds
Received 19 messages, 0 notifications, 0 in queue
Sent 19 messages, 0 notifications, 0 in queue
Connection established 1; dropped 0
Last reset never
Local host: 192.168.254.1, Local port: 179
Foreign host: 172.31.255.12, Foreign port: 52039
(3) Tunnel2 bgp neighbor確認
# show status bgp neighbor 172.31.255.13
BGP neighbor is 172.31.255.13, remote AS 65515, local AS 65000, external link
BGP version 4, remote router ID 172.31.255.13
BGP state = Established, up for 00:02:43
Last read 00:00:04, hold time is 30, keepalive interval is 10 seconds
Received 20 messages, 0 notifications, 0 in queue
Sent 21 messages, 0 notifications, 0 in queue
Connection established 1; dropped 0
Last reset never
Local host: 192.168.254.1, Local port: 179
Foreign host: 172.31.255.13, Foreign port: 52176
(4) Tunnel1 bgp neighbor 送信ルート確認
# show status bgp neighbor 172.31.255.12 advertised-routes
Total routes: 1
*: valid route
Network Next Hop Metric LocPrf Path
* 192.168.0.0/24 192.168.254.1 65000 IGP
(5) Tunnel2 bgp neighbor 送信ルート確認
# show status bgp neighbor 172.31.255.13 advertised-routes
Total routes: 1
*: valid route
Network Next Hop Metric LocPrf Path
* 192.168.0.0/24 192.168.254.1 65000 IGP
(6) Tunnel1 bgp neighbor 受信ルート確認
# show status bgp neighbor 172.31.255.12 received-routes
Total routes: 2
*: valid route
Network Next Hop Metric LocPrf Path
* 172.31.255.0/24 172.31.255.12 65515 IGP
* 172.16.0.0/16 172.31.255.12 65515 IGP
(7) Tunnel2 bgp neighbor 受信ルート確認
# show status bgp neighbor 172.31.255.13 received-routes
Total routes: 2
*: valid route
Network Next Hop Metric LocPrf Path
172.31.255.0/24 172.31.255.13 65515 IGP
172.16.0.0/16 172.31.255.13 65515 IGP
(8) Tunnel1 bgp neighbor 有効受信ルート確認
# show status bgp neighbor 172.31.255.12 routes
Total routes: 2
*: valid route
Network Next Hop Metric LocPrf Path
* 172.31.255.0/24 172.31.255.12 65515 IGP
* 172.16.0.0/16 172.31.255.12 65515 IGP
(9)Tunnel2 bgp neighbor 有効受信ルート確認
Tunnel1 側が有効となっているため、ここではTunnel2はスタンばい状態
# show status bgp neighbor 172.31.255.13 routes
no route
■ IPSec 接続確認
● Azure --> On-Premises
(1) ping疎通確認
[azureuser@azure-inst01 ~]$ ping 192.168.0.2 -c 3
PING 192.168.0.2 (192.168.0.2) 56(84) bytes of data.
64 bytes from 192.168.0.2: icmp_seq=1 ttl=63 time=57.0 ms
64 bytes from 192.168.0.2: icmp_seq=2 ttl=63 time=75.5 ms
64 bytes from 192.168.0.2: icmp_seq=3 ttl=63 time=73.8 ms
--- 192.168.0.2 ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 2002ms
rtt min/avg/max/mdev = 57.069/68.813/75.527/8.338 ms
(2) tracerouteルート確認
[azureuser@azure-inst01 ~]$ sudo traceroute -I 192.168.0.2
traceroute to 192.168.0.2 (192.168.0.2), 30 hops max, 60 byte packets
1 192.168.254.1 (192.168.254.1) 51.817 ms 57.770 ms 63.595 ms
2 192.168.0.2 (192.168.0.2) 69.847 ms * *
(3) ssh接続確認
[azureuser@azure-inst01 ~]$ ssh mac@192.168.0.2 hostname
onp-inst01
● On-Premises --> Azure
(1) ping疎通確認
[mac@onp-inst01: ~]$ ping 172.16.0.4 -c 3
PING 172.16.0.4 (172.16.0.4) 56(84) bytes of data.
64 bytes from 172.16.0.4: icmp_seq=1 ttl=63 time=113 ms
64 bytes from 172.16.0.4: icmp_seq=2 ttl=63 time=130 ms
64 bytes from 172.16.0.4: icmp_seq=3 ttl=63 time=76.7 ms
--- 172.16.0.4 ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 1999ms
rtt min/avg/max/mdev = 76.753/106.939/130.817/22.519 ms
(2) tracerouteルート確認
[mac@onp-inst01: ~]$ sudo traceroute -I 172.16.0.4
traceroute to 172.16.0.4 (172.16.0.4), 30 hops max, 60 byte packets
1 setup.netvolante.jp (192.168.0.1) 0.371 ms 0.317 ms 0.298 ms
2 172.16.0.4 (172.16.0.4) 67.531 ms 75.469 ms 81.136 ms
(3) ssh接続確認
[mac@onp-inst01: ~]$ ssh -i id_rsa2 azureuser@172.16.0.4 hostname
azure-inst01
● Yamaha NVR700W 最終コンフィグ
# show config
# NVR700W Rev.15.00.16 (Thu Jun 20 19:48:42 2019)
# MAC Address : 00:a0:de:b3:32, 00:a0:de:b3:33
# Memory 256Mbytes, 2LAN, 1ONU, 1WWAN
# main: NVR700W ver=00 serial=TESTSERIAL
# Reporting Date: Sep 10 01:19:33 2020
console character en.ascii
ip route default gateway pdp wan1
ip route 172.31.255.12 gateway tunnel 1
ip route 172.31.255.13 gateway tunnel 2
ip lan1 address 192.168.0.1/24
ip wan1 address pdp
ip wan1 nat descriptor 31000
wan1 bind wwan 1
wwan select 1
description wwan Ipsim
wwan always-on on
wwan auth accept chap
wwan auth myname sim@with sim
wwan auto connect on
wwan disconnect time off
wwan disconnect input time off
wwan disconnect output time off
wwan access-point name 4gn.jp
wwan access limit length off
wwan access limit time off
wwan enable 1
tunnel select 1
ipsec tunnel 1
ipsec sa policy 1 1 esp aes256-cbc sha256-hmac anti-replay-check=off
ipsec ike version 1 2
ipsec ike duration child-sa 1 27000
ipsec ike duration ike-sa 1 28800
ipsec ike group 1 modp1024
ipsec ike keepalive log 1 off
ipsec ike keepalive use 1 on rfc4306
ipsec ike local address 1 100.100.100.101
ipsec ike local name 1 100.100.100.101 ipv4-addr
ipsec ike nat-traversal 1 on
ipsec ike message-id-control 1 on
ipsec ike child-exchange type 1 2
ipsec ike pre-shared-key 1 text Password01
ipsec ike remote address 1 200.200.200.201
ipsec ike remote name 1 200.200.200.201 ipv4-addr
ipsec ike negotiation receive 1 off
ipsec tunnel outer df-bit clear
ip tunnel address 192.168.254.1
ip tunnel remote address 172.31.255.12
ip tunnel tcp mss limit 1379
tunnel enable 1
tunnel select 2
ipsec tunnel 2
ipsec sa policy 2 2 esp aes256-cbc sha256-hmac anti-replay-check=off
ipsec ike version 2 2
ipsec ike duration child-sa 2 27000
ipsec ike duration ike-sa 2 28800
ipsec ike group 2 modp1024
ipsec ike keepalive log 2 off
ipsec ike keepalive use 2 on rfc4306
ipsec ike local address 2 100.100.100.101
ipsec ike local name 2 100.100.100.101 ipv4-addr
ipsec ike nat-traversal 2 on
ipsec ike message-id-control 2 on
ipsec ike child-exchange type 2 2
ipsec ike pre-shared-key 2 text Password01
ipsec ike remote address 2 200.200.200.202
ipsec ike remote name 2 200.200.200.202 ipv4-addr
ipsec ike negotiation receive 2 off
ipsec tunnel outer df-bit clear
ip tunnel address 192.168.254.1
ip tunnel remote address 172.31.255.13
ip tunnel tcp mss limit 1379
tunnel enable 2
ip filter 500000 restrict * * * * *
nat descriptor type 31000 masquerade
nat descriptor address outer 31000 primary
nat descriptor masquerade static 31000 1 192.168.0.1 udp 500
nat descriptor masquerade static 31000 2 192.168.0.1 esp
nat descriptor masquerade static 31000 3 192.168.0.1 udp 4500
bgp use on
bgp autonomous-system 65000
bgp neighbor 1 65515 172.31.255.12 hold-time=30 local-address=192.168.254.1 ign
ore-capability=on
bgp neighbor 2 65515 172.31.255.13 hold-time=30 local-address=192.168.254.1 ign
ore-capability=on
bgp router id 192.168.254.1
bgp import filter 1 equal 192.168.0.0/24
bgp import 65515 static filter 1
ipsec auto refresh on
telnetd host lan
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.0.2-192.168.0.99/24
dns host lan1
dns server pdp wan1
dns server select 500401 pdp wan1 any .
dns private address spoof on
dns private name setup.netvolante.jp
analog supplementary-service pseudo call-waiting
analog extension dial prefix sip prefix="9#"
statistics traffic on
wwan-module use on
■ AzureとOCIとのCross-Cloud接続
● Azure 仮想Hubへ ExpressRoute Gateway 作成
(1) 作成した仮想Hub画面
作成した仮想Hub画面にある[ExpressRoute]をクリック
(2) ExpressRoute画面
[ExpressRouteゲートウェイの作成]をクリック
(3) VPNゲートウェイの作成画面
以下設定を行い、[作成]をクリック
・ゲートウェイ スケール ユニット: ExpressRouteゲートウェイのパフォーマンスを設定
(4) VPNゲートウェイの作成完了
● Azure ExpressRoute作成
(1) 全てのサービス画面
[ExpressRoute circuits]をクリック
(2) ExpressRoute circuits画面
ExpressRoute circuitsの作成]をクリック
(3) ExpressRouteの作成画面
以下設定を行い、[次へ]をクリック
・リージョン: [東日本]をクリック
・名前: 任意の名前を設定
(4) Configuration画面
以下設定を行い、[次へ]をクリック
・ポートの種類: [プロバイダー]を選択
・プロバイダー: [Oracle Cloud FastConnect]を選択
・ピアリングの場所: [Tokyo]を選択
・帯域幅: [必要な帯域幅]を選択
・SKU: [Premium]を選択して仮想WANを利用できるようにする
・課金モデル: [必要な課金モデル]を選択
・クラシック操作を許可する: クラシック操作しないため[いいえ]を選択
(5) Tags画面
必要に応じてTag設定を行い、[次へ]をクリック
(6) 確認および作成画面
内容を確認し、問題なければ[作成]をクリック
(7) デプロイが進行中です画面
デプロイに数十分要します
(8) デプロイ完了と Service Kye確認
デプロイ完了
OCIのFastConnect設定するためのService Kyeをメモします
● OCI FastConnect作成
(1) OCI ポータル画面
[Japan East (Tokyo)]をクリックし東京リージョンを選択し、
[ネットワーキング] > [FastConnect]をクリック
(2) FastConnect画面
[FastConnect]の作成をクリック
(3) 接続の作成画面
以下設定を行い、[次へ]をクリック
・接続タイプ: [FastConnect パートナー]を選択
・パートナー: [Microsoft Azure: ExpressRoute]を選択
(4) 構成画面
以下設定を行い、[次へ]をクリック
・名前: 任意の名前を設定
・動的ルーティング・ゲートウェイ:VCNにアタッチするDRGを選択
・プロビジョニングされた帯域幅:1~10GまでGbps単位で選択
・プロバイダ・サービス・キー:Azure ExpressRouteを作成した時に出力された「サービス キー」を入力
・各BGPアドレス:/30 の範囲で、プライマリ/セカンダリそれぞれ任意のBGP Peer IPを設定
(5) FastConnect 作成完了
数分でAzureExpressRouteと接続が完了します
(6) FastConnect 接続完了
■ Azure Virtual WAN Route情報確認
Vitual WANで伝搬しているRoute情報を確認できます
(1) 仮想ハブ ルーテインング画面
仮想ハブ画面から、[ルーティング]をクリックし、設定した'Default'ルートテーブルの右端にある[・・・]をクリックし、[編集]をクリック
(2) Effective routes for Route画面
Vitual WANで伝搬しているRoute情報を確認
ASパスで以下経路が確認できます
・12706-31898: OCI(VCN,OCN)から伝搬された経路
・65000: On-Premisesから伝搬された経路
・空白: Azure内の vNET と GBP Peer IP
■ Azure Virtual WAN経由の On-Puremises とOCI接続確認
これで、Azure Virtual WAN を経由して、オンプレミスとOCIが接続できるようになりました。
ということで、接続確認してみてみます。
● オンプレミス側 Route確認
(1) IPSec SA確立確認
# show ipsec sa
Total: isakmp:2 send:2 recv:2
sa sgw isakmp connection dir life[s] remote-id
----------------------------------------------------------------------------
1 2 - ike - 19243 200.200.200.202
2 2 1 tun[0002]esp send 26716 200.200.200.202
3 1 - ike - 18647 200.200.200.201
4 1 3 tun[0001]esp send 25870 200.200.200.201
5 1 3 tun[0001]esp recv 25870 200.200.200.201
6 2 1 tun[0002]esp recv 26716 200.200.200.202
(2) Tunnel1 BGP 送信ルート確認
# show status bgp neighbor 172.31.255.12 advertised-routes
Total routes: 1
*: valid route
Network Next Hop Metric LocPrf Path
* 192.168.0.0/24 192.168.254.1 65000 IGP
(3) Tunnel2 BGP 送信ルート確認
# show status bgp neighbor 172.31.255.13 advertised-routes
Total routes: 1
*: valid route
Network Next Hop Metric LocPrf Path
* 192.168.0.0/24 192.168.254.1 65000 IGP
(4) Tunnel1 BGP 受信ルート確認
# show status bgp neighbor 172.31.255.12 received-routes
Total routes: 12
*: valid route
Network Next Hop Metric LocPrf Path
* 172.31.255.0/24 172.31.255.12 65515 IGP
* 172.16.0.0/16 172.31.255.12 65515 IGP
* 140.204.8.128/25 172.31.255.12 65515 12076 31898 IGP
* 134.70.82.0/23 172.31.255.12 65515 12076 31898 IGP
* 192.29.44.0/25 172.31.255.12 65515 12076 31898 IGP
* 192.29.36.0/22 172.31.255.12 65515 12076 31898 IGP
* 134.70.80.0/23 172.31.255.12 65515 12076 31898 IGP
* 140.91.32.0/23 172.31.255.12 65515 12076 31898 IGP
* 192.29.40.0/22 172.31.255.12 65515 12076 31898 IGP
* 10.0.0.0/24 172.31.255.12 65515 12076 31898 IGP
* 10.0.10.0/24 172.31.255.12 65515 12076 31898 IGP
* 172.24.0.0/16 172.31.255.12 65515 IGP
(5) Tunnel2 BGP 受信ルート確認
# show status bgp neighbor 172.31.255.13 received-routes
Total routes: 11
*: valid route
Network Next Hop Metric LocPrf Path
172.31.255.0/24 172.31.255.13 65515 IGP
172.16.0.0/16 172.31.255.13 65515 IGP
140.204.8.128/25 172.31.255.13 65515 12076 31898 IGP
134.70.82.0/23 172.31.255.13 65515 12076 31898 IGP
192.29.44.0/25 172.31.255.13 65515 12076 31898 IGP
192.29.36.0/22 172.31.255.13 65515 12076 31898 IGP
134.70.80.0/23 172.31.255.13 65515 12076 31898 IGP
140.91.32.0/23 172.31.255.13 65515 12076 31898 IGP
192.29.40.0/22 172.31.255.13 65515 12076 31898 IGP
10.0.0.0/24 172.31.255.13 65515 12076 31898 IGP
10.0.10.0/24 172.31.255.13 65515 12076 31898 IGP
(6) Tunnel1 BGP 利用可能受信ルート確認
# show status bgp neighbor 172.31.255.12 routes
Total routes: 12
*: valid route
Network Next Hop Metric LocPrf Path
* 172.31.255.0/24 172.31.255.12 65515 IGP
* 172.16.0.0/16 172.31.255.12 65515 IGP
* 140.204.8.128/25 172.31.255.12 65515 12076 31898 IGP
* 134.70.82.0/23 172.31.255.12 65515 12076 31898 IGP
* 192.29.44.0/25 172.31.255.12 65515 12076 31898 IGP
* 192.29.36.0/22 172.31.255.12 65515 12076 31898 IGP
* 134.70.80.0/23 172.31.255.12 65515 12076 31898 IGP
* 140.91.32.0/23 172.31.255.12 65515 12076 31898 IGP
* 192.29.40.0/22 172.31.255.12 65515 12076 31898 IGP
* 10.0.0.0/24 172.31.255.12 65515 12076 31898 IGP
* 10.0.10.0/24 172.31.255.12 65515 12076 31898 IGP
* 172.24.0.0/16 172.31.255.12 65515 IGP
(7) Tunnel2 BGP 利用可能受信ルート確認
# show status bgp neighbor 172.31.255.13 routes
no route
(9) Route確認
# show ip route
Destination Gateway Interface Kind Additional Info.
default 100.100.100.102 WAN1(PDP) static
10.0.0.0/24 172.31.255.12 TUNNEL[1] BGP path=65515 12076 318
98
10.0.10.0/24 172.31.255.12 TUNNEL[1] BGP path=65515 12076 318
98
118.238.201.33/32 100.100.100.102 WAN1 temporary
134.70.80.0/23 172.31.255.12 TUNNEL[1] BGP path=65515 12076 318
98
134.70.82.0/23 172.31.255.12 TUNNEL[1] BGP path=65515 12076 318
98
140.91.32.0/23 172.31.255.12 TUNNEL[1] BGP path=65515 12076 318
98
140.204.8.128/25 172.31.255.12 TUNNEL[1] BGP path=65515 12076 318
98
172.16.0.0/16 172.31.255.12 TUNNEL[1] BGP path=65515
172.31.255.0/24 172.31.255.12 TUNNEL[1] BGP path=65515
172.31.255.12/32 - TUNNEL[1] static
172.31.255.13/32 - TUNNEL[2] static
192.29.36.0/22 172.31.255.12 TUNNEL[1] BGP path=65515 12076 318
98
192.29.40.0/22 172.31.255.12 TUNNEL[1] BGP path=65515 12076 318
98
192.29.44.0/25 172.31.255.12 TUNNEL[1] BGP path=65515 12076 318
98
192.168.0.0/24 192.168.0.1 LAN1 implicit
192.168.254.1/32 - TUNNEL[2] implicit
210.0.0.0/8 100.100.100.101 WAN1 implicit
● On-Premises --> OCI 接続確認
(1) ping疎通確認
[mac@onp-inst01: ~]$ ping 10.0.0.2 -c 3
PING 10.0.0.2 (10.0.0.2) 56(84) bytes of data.
64 bytes from 10.0.0.2: icmp_seq=1 ttl=61 time=49.8 ms
64 bytes from 10.0.0.2: icmp_seq=2 ttl=61 time=58.9 ms
64 bytes from 10.0.0.2: icmp_seq=3 ttl=61 time=57.8 ms
--- 10.0.0.2 ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 2002ms
rtt min/avg/max/mdev = 49.815/55.563/58.982/4.093 ms
(2) tracerouteルート確認
[mac@onp-inst01: ~]$ sudo traceroute -I 10.0.0.2
traceroute to 10.0.0.2 (10.0.0.2), 30 hops max, 60 byte packets
1 setup.netvolante.jp (192.168.0.1) 0.411 ms 0.298 ms 0.259 ms
2 172.31.255.7 (172.31.255.7) 80.154 ms 94.125 ms 106.052 ms
3 * * *
4 10.0.0.2 (10.0.0.2) 121.971 ms 125.981 ms 131.925 ms
(3) ssh接続確認
[mac@onp-inst01: ~]$ ssh -i id_rsa opc@10.0.0.2 hostname
tokyo-inst01
● OCI --> On-Premises
(1) ping疎通確認
[opc@tokyo-inst01 ~]$ ping 192.168.0.2 -c 3
PING 192.168.0.2 (192.168.0.2) 56(84) bytes of data.
64 bytes from 192.168.0.2: icmp_seq=1 ttl=61 time=48.9 ms
64 bytes from 192.168.0.2: icmp_seq=2 ttl=61 time=47.8 ms
64 bytes from 192.168.0.2: icmp_seq=3 ttl=61 time=65.7 ms
--- 192.168.0.2 ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 2002ms
rtt min/avg/max/mdev = 47.811/54.168/65.761/8.212 ms
(2) tracerouteルート確認
[opc@tokyo-inst01 ~]$ sudo traceroute -I 192.168.0.2
traceroute to 192.168.0.2 (192.168.0.2), 30 hops max, 60 byte packets
1 140.91.206.31 (140.91.206.31) 0.119 ms 0.086 ms 0.082 ms
2 * * *
3 192.168.254.1 (192.168.254.1) 242.109 ms 247.975 ms 254.173 ms
4 192.168.0.2 (192.168.0.2) 269.298 ms * *
(3) ssh接続確認
[opc@tokyo-inst01 ~]$ ssh mac@192.168.0.2 hostname
onp-inst01
■ 参考
● Azure-OCI Cross-Cloud接続
・Microsoft Azure と Oracle Cloud Infrastructure を統合した Oracle アプリケーション ソリューション
・Microsoft Azureを使用したOracle Cloudの接続について
・Oracle Cloud Infrastructure への接続
・ExpressRoute Global Reach
・Microsoft Azure と Oracle CloudをCross-Cloud接続してみてみた
・Azure OCI Interconnect (相互接続)でつないでみた
● Azure Virtual WAN
・Virtual WAN のドキュメント
・Azure Virtual WAN とは
・グローバル トランジット ネットワーク アーキテクチャと Virtual WAN
● YAMAYA
・Yamaha NVR700W で Azure へ IPSec VPN(IKEv2 + BGP)接続してみてみた
● Interop ShowNet
・マルチクラウド時代の柔軟なネットワークとインフラ利用
・ShowNet のクラウドよもやま話
・オンプレ/クラウド連携と柔軟なストレージで実現する高信頼サービス