ページの先頭です。
サイト内の現在位置を表示しています。
  1. ホーム
  2. 製品
  3. 企業・官公庁向け製品名一覧
  4. UNIVERGE IXシリーズ
  5. 技術情報/お知らせ
  6. Microsoft AzureとのVPN接続(ポリシーベース)
ここから本文です。

UNIVERGE IXシリーズ 技術情報

設定事例

Microsoft AzureとのVPN接続

「UNIVERGE IXシリーズ」を使用して、 Microsoft Azure仮想ネットワークとIPsec-VPNで接続する際の設定例を紹介します。

Microsoft Azureでは、サイト間VPNを作成する際、IPsecゲートウェイの種別として「ポリシーベース(静的ルーティング)」と「ルートベース(動的ルーティング)」のいずれかを選択する必要があります。本ページでは「ポリシーベース」による接続の設定例を紹介します。

  • 本ページの設定例は、全て当社で接続を確認しておりますが、必ずしも接続性を保証するものではありません。
  • 当社は、Microsoft Azureサービスに関連して発生した如何なる障害に対して、一切の責任を負わないものとします。
  • Microsoft Azureサービスをご利用になる際は、必ず本サービスの利用規約を確認し、利用規約に則った運用を行ってください。

接続構成

この設定ガイドでは、「IX2105」のGE0ポートをWAN側インタフェース、GE1(SW-HUB)ポートをLAN側インタフェースとして使用します。また、WAN回線との接続にはPPPoEを使用しています。

Microsoft AzureとのVPN接続

IPsec 設定パラメータ

以下のパラメータ表に従ってIPsec-VPNの設定を行います。

IKEフェーズ1の設定

モード
メインモード
事前共有鍵
(Microsoft Azureで作成された共有キー)
暗号アルゴリズム AES128
認証アルゴリズム SHA-1
DHグループ グループ2 (1,024bit)
ライフタイム 8時間(28,000秒) ※デフォルト

IKEフェーズ2の設定

カプセル化方式 ESP
暗号アルゴリズム AES128
認証アルゴリズム SHA-1
PFS 使用しない
ライフタイム 1時間(3,600秒)
ローカルID 10.10.10.0/24
リモートID 172.16.0.0/16
Commitビット 使用しない

IX2105の設定

上のパラメータ表に従ってIX2105の設定を行います。

ip ufs-cache enable
ip route 192.0.2.1/32 GigaEthernet0.1
ip route 172.16.0.0/16 Tunnel0.0
!
ip access-list sec-list permit ip src any dest any
!
ike proposal ike-prop encryption aes hash sha group 1024-bit
ike policy ike-policy peer 192.0.2.1 key [Azure指定の共有キー] ike-prop
!
ipsec autokey-proposal ipsec-prop esp-aes esp-sha lifetime time 3600
ipsec autokey-map ipsec-map sec-list peer 192.0.2.1 ipsec-prop
ipsec local-id ipsec-map 10.10.10.0/24
ipsec remote-id ipsec-map 172.16.0.0/16
!
ppp profile pppoe
  authentication myname [プロバイダ接続用ユーザID]
  authentication password [プロバイダ接続用ユーザID] [パスワード]
!
interface GigaEthernet1.0
  ip address 10.10.10.1/24
  no shutdown
!
interface GigaEthernet0.1
  encapsulation pppoe
  ppp binding pppoe
  ip address 203.0.113.1/32
  no shutdown
!
interface Tunnel0.0
  tunnel mode ipsec
  ip unnumbered GigaEthernet1.0
  ip tcp adjust-mss auto
  ipsec policy tunnel ipsec-map df-bit ignore pre-fragment out
  no shutdown

これで設定は完了です。

最後に、正常にIPsec SAが確立できていることを確認します。
Inbound/Outbound両方のSAのSPI値、ライフタイムなどが正しく表示されていることを確認します。

Router(config)# show ipsec sa
IPsec SA - 1 configured, 2 created
Interface is Tunnel0.0
  Key policy map name is ipsec-map
    Tunnel mode, 4-over-4, autokey-map
    Local address is 203.0.113.1
    Remote address is 192.0.2.1
    Outgoing interface is GigaEthernet0.1
    Interface MTU is 1390, path MTU is 1454
    Inbound:
      ESP, SPI is 0xd5e51519(3588560153)
        Transform is ESP-AES-128-HMAC-SHA-96
        Remaining lifetime is 3474 seconds, lifebyte is 4000000000 bytes
      Replay detection support is on
    Outbound:
      ESP, SPI is 0x5c8e53a6(1552831398)
        Transform is ESP-AES-128-HMAC-SHA-96
        Remaining lifetime is 3474 seconds, lifebyte is 3999998024 bytes
      Replay detection support is on
    Perfect forward secrecy is off

  • show ipsec saコマンド実行時、IPsec SAの残りライフタイムとして「ライフバイト(lifebyte)」が表示されるときと表示されないときがありますが、接続性への影響はありません。
    (IKEフェーズ2のイニシエータがAzure側のときは表示されますが、IXルータのときは表示されません)

正常に接続できないときは

  • Azure側の設定が「動的ルーティング」になっていると正常に接続できません。「静的ルーティング」に設定を修正してください。
  • IXルータに設定するIKEフェーズ2の「ローカルID」と「リモートID」は、Azure側の「仮想ネットワーク」、「ローカルネットワーク(オンプレミスネットワーク)」の設定と対になっている必要があります。設定が正しく対になっていないと、IKEフェーズ2認証エラーとなり、IPsec SAを正常に確立することができません。

ページの先頭へ戻る