サイト内の現在位置を表示しています。

UNIVERGE IXシリーズ 技術情報

設定事例

Google CloudとのVPN接続

「UNIVERGE IXシリーズ」を使用して、Google CloudとIPsec-VPNで接続する際の設定例を紹介します。
本設定例は、Google Cloud が推奨する「高可用性(HA)VPN接続」で接続する方法をご紹介し、ルーターの設定は「IPsec IKEv1」および「IPsec IKEv2」の両方を掲載します。

  • 本ページの設定例は、全て当社で接続を確認しておりますが、必ずしも接続性を保証するものではありません。また、Google Cloud に関する情報および設定方法については、Google Cloud のドキュメント をご参照ください。
  • Google Cloudサービスをご利用になる際は、必ず本サービスの利用規約を確認し、利用規約に則った運用を行ってください。また、当社はGoogle Cloudサービスに関連して発生した如何なる障害に対して、一切の責任を負わないものとします。

  • Google、および、Google Cloudは、Google LLCの登録商標、もしくは商標です。

接続構成

この設定ガイドでは、「IX2235」のGE0ポートをWAN側インタフェース、GE2(SW-HUB)ポートをLAN側インタフェースとして使用します。また、WAN回線との接続にはPPPoEを使用しています。

なお、「IX2235」以外の機種(「IX2107」など)をご利用の場合でも、本例と同様の設定で接続を行うことができます。

ネットワーク構成図

Google Cloudの設定

  • 1.
    Google Cloudにログインします。
  • 2.
    検索窓から「VPN」を検索します。
Google Cloud設定画面 表示例(最初のページ)
  • 3.
    VPN設定ページの「VPN設定ウィザード」を選択します。
Google Cloud設定画面 表示例
  • 4.
    VPNオプションは「高可用性(HA)VPN」を選択します。
Google Cloud設定画面 表示例
  • 5.
    Cloud HA VPNゲートウェイに関する設定をして、「作成して続行」をクリックします。

    【設定項目補足】
    VPNゲートウェイ名前:任意の名前を設定
    ネットワーク:VPNが接続するVPCを選択
    リージョン:ネットワークを構成するリージョンを選択
Google Cloud 設定画面 表示例
  • 6.
    ピア VPN ゲートウェイの名前で「新しいピア VPN ゲートウェイを作成する」をクリックします。
Google Cloud設定画面 表示例
  • 7.

    ピア VPN ゲートウェイに関する設定をして、「作成」をクリックします。

    【設定項目補足】
    名前:任意の名前を設定
    ピアVPNゲートウェイインタフェース:1つのインターフェースを選択
    インタフェース0のIPアドレス:IXルータのWANアドレスとして使用するIPアドレス

Google Cloud設定画面 表示例
  • 8.
    Cloud Routerで「新しいルーターを作成」をクリックします。
Oracle Cloud設定画面 表示例(仮想ネットワーク アドレス空間)
  • 9.
    ルーターの作成に関する設定をして、「作成」をクリックします。

    【設定項目補足】
    名前:任意の名前を設定
    Google ASN:Google cloud側(ルータ)の任意のプライベートAS番号を設定
Google Cloud設定画面 表示例
  • 10.
    一番下までスクロール後、VPNトンネルに関する設定をして、「作成して続行」をクリックします。

    【設定項目補足】
    名前:任意の名前を設定
    IKEバージョン:IKEv1またIKEv2から使用するバージョンを選択
    IKE事前共有キー:任意の文字列(IXルータの事前共有鍵と合わせること)
Google Cloud設定画面 表示例
  • 11.
    「BGPセッションを構成」をクリックします。
Google Cloud設定画面 表示例
  • 12.

    BGP セッションの作成に関する設定をして、「保存して次へ」をクリックします。

    【設定項目補足】
    名前:任意の名前を設定
    ピアASN:GCP側とは異なる、任意のAS番号
    Allocate BGP IPv4 address:手動
    Cloud Router の BGP IPv4 アドレス:169.254.10.1
    BGP ピア IPv4 アドレス:169.254.10.2

  • 13.

    「BGP 構成を保存」をクリックし、その後「OK」を押して完了です。

Google Cloud設定画面 表示例
  • 14.

    2本目のトンネルの作成を作成します。「VPNトンネル作成」をクリックします。

Google Cloud設定画面 表示例
  • 15.
    手順5 で作成した、VPN ゲートウェイを選択して、「続行」をクリックします。
Google Cloud設定画面 表示例
  • 16.
    手順7 で作成した、ピア VPN ゲートウェイを選択します。
Google Cloud設定画面 表示例
  • 17.
    手順9 で作成した、Cloud Routerを選択します。
Google Cloud設定画面 表示例
Google Cloud設定画面 表示例
  • 18.
    一番下までスクロール後、VPNトンネルに関する設定をして、「作成して続行」をクリックします。

    【設定項目補足】
    関連付けられている Cloud VPN ゲートウェイ インターフェース:1(IPアドレス、0から変更) 
    名前:任意の名前を設定
    IKEバージョン:IKEv1またIKEv2から使用するバージョンを選択
    IKE事前共有キー:任意の文字列(IXルータの事前共有鍵と合わせること)
Google Cloud設定画面 表示例
  • 19.
    「BGP セッションを構成」をクリックします。
  • 20.
    BGPセッションに関する設定をして、「保存して次へ」をクリックします。

    【設定項目補足】
    名前:任意の名前を設定
    ピアASN:GCP側とは異なる、任意のAS番号
    Allocate BGP IPv4 address:手動
    Cloud Router の BGP IPv4 アドレス:169.254.20.1
    BGP ピア IPv4 アドレス:169.254.20.2
Google Cloud設定画面 表示例
  • 21.
    「BGP 構成を保存」をクリックし、その後「OK」を押して完了です。
  • 22.
    設定完了後、トンネルの作成をご確認下さい。
    既にルータの設定を行っている場合は、赤枠の状態になり、
    まだ設定していないもしくは設定が誤っている場合は、
    青枠の状態になります。
Google Cloud設定画面 表示例

IXルータの設定(IKEv1)

Google Cloudと接続する例を記載します。
※IPsec(IKEv1)利用時の設定例になります。IPsec(IKEv2)で設定される場合は、IKEv2の設定をご確認下さい。
※「interface GigaEthernet2.0」がない機種は、「interface GigaEthernet2.0」の設定を「interface GigaEthernet1.0」に置き換えてご利用ください。

ip ufs-cache enable
ip route default GigaEthernet0.1
ip access-list sec-list permit ip src any dest any
!
ike nat-traversal
!
ike proposal ike-prop encryption aes hash sha group 1024-bit
!
ike policy ike-policy1 peer [GIP1(GCPのWANアドレス)] key [事前共有鍵(手順10で設定)] ike-prop  ※1 ※2
ike keepalive ike-policy1 10 3
!
ike policy ike-policy2 peer [GIP2(GCPのWANアドレス)] key [事前共有鍵(手順18で設定)] ike-prop  ※1 ※2
ike keepalive ike-policy2 10 3
!
ipsec autokey-proposal ipsec-prop esp-aes esp-sha lifetime time 3600
!
ipsec autokey-map ipsec-map1 sec-list peer [GIP1(GCPのWANアドレス)] ipsec-prop pfs 1024-bit  ※1
!
ipsec autokey-map ipsec-map2 sec-list peer [GIP2(GCPのWANアドレス)] ipsec-prop pfs 1024-bit  ※1
!
ppp profile internet
  authentication myname [プロバイダ接続用ユーザID]
  authentication password [プロバイダ接続用ユーザID] [プロバイダ接続用パスワード]
!
router bgp [ピアASN(手順12で設定)]
  neighbor 169.254.10.1 remote-as [Google ASN(手順9で設定)]
  neighbor 169.254.10.1 timers 10 30
  neighbor 169.254.20.1 remote-as [Google ASN(手順9で設定)]
  neighbor 169.254.20.1 timers 10 30
  address-family ipv4 unicast
    network 192.168.1.0/24
!
interface GigaEthernet2.0
  ip address 192.168.1.254/24
  no shutdown
!
interface GigaEthernet0.1
  ppp binding pppoe
  auto-connect
  ppp binding internet
  ip address ipcp(※3)
  ip napt enable
  ip napt static GigaEthernet0.1 udp 500
  ip napt static GigaEthernet0.1 udp 4500
  ip napt static GigaEthernet0.1 50
  no shutdown
!
interface Tunnel10.0
  description == Tunnel #1 ==
  tunnel mode ipsec
  ip address 169.254.10.2/30
  ip tcp adjust-mss auto
  ipsec policy tunnel ipsec-map1 df-bit ignore pre-fragment out
  shutdown
!
interface Tunnel11.0
  description == Tunnel #2 ==
  tunnel mode ipsec
  ip address 169.254.20.2/30
  ip tcp adjust-mss auto
  ipsec policy tunnel ipsec-map2 df-bit ignore pre-fragment out
  no shutdown

  • ※1

    手順5で作成されたGoogleのVPNゲートウェイのインタフェースアドレス(0,1)をそれぞれ設定します。

  • ※2

    手順10と手順18で設定した事前共有鍵を設定します。
    設定例の値を使用せず、設定を変更することを推奨致します。

  • ※3

    WAN側インタフェースには固定のグローバルIPアドレスをご利用ください。

IXルータの設定(IKEv2)

Google Cloudと接続する例を記載します。
※IPsec(IKEv2)利用時の設定例になります。IPsec(IKEv1)で設定される場合は、IKEv1の設定をご確認下さい。
※「interface GigaEthernet2.0」がない機種は、「interface GigaEthernet2.0」の設定を「interface GigaEthernet1.0」に置き換えてご利用ください。

ip ufs-cache enable
ip route default GigaEthernet0.1
ip access-list sec-list permit ip src any dest any
!
ikev2 authentication psk id ipv4 [GIP1(GCPのWANアドレス)] key char [事前共有鍵(手順10で設定)]  ※1 ※2
ikev2 authentication psk id ipv4 [GIP2(GCPのWANアドレス)] key char [事前共有鍵(手順18で設定)]  ※1 ※2
!
ppp profile internet
  authentication myname [プロバイダ接続用ユーザID]
  authentication password [プロバイダ接続用ユーザID] [プロバイダ接続用パスワード]
!
router bgp [ピアASN(手順12で設定)]
  neighbor 169.254.10.1 remote-as [Google ASN(手順9で設定)]
  neighbor 169.254.10.1 timers 10 30
  neighbor 169.254.20.1 remote-as [Google ASN(手順9で設定)]
  neighbor 169.254.20.1 timers 10 30
  address-family ipv4 unicast
    network 192.168.1.0/24
!
ikev2 default-profile
  child-pfs 1024-bit
  dpd interval 10
  local-authentication psk id ipv4 [IXルータのWANアドレス]
  sa-proposal dh 1024-bit
  source-address GigaEthernet0.1
!
interface GigaEthernet2.0
  ip address 192.168.1.254/24
  no shutdown
!
interface GigaEthernet0.1
  ppp binding pppoe
  auto-connect
  ppp binding internet
  ip address ipcp(※3)
  ip napt enable
  ip napt static GigaEthernet0.1 udp 500
  ip napt static GigaEthernet0.1 udp 4500
  ip napt static GigaEthernet0.1 50
  no shutdown
!
interface Tunnel10.0
  description == Tunnel #1 ==
  tunnel mode ipsec-ikev2
  ip address 169.254.10.2/30
  ip tcp adjust-mss auto
  ikev2 connect-type auto
  ikev2 ipsec pre-fragment
  ikev2 peer [GIP1(GCPのWANアドレス)] authentication psk id ipv4 [GIP1(GCPのWANアドレス)]  ※1
  no shutdown
!
interface Tunnel11.0
  description == Tunnel #2 ==
  tunnel mode ipsec-ikev2
  ip address 169.254.20.2/30
  ip tcp adjust-mss auto
  ikev2 connect-type auto
  ikev2 ipsec pre-fragment
  ikev2 peer [GIP2(GCPのWANアドレス)] authentication psk id ipv4 [GIP2(GCPのWANアドレス)]  ※1
  no shutdown

  • ※1

    手順5で作成されたGoogleのVPNゲートウェイのインタフェースアドレス(0,1)をそれぞれ設定します。

  • ※2

    手順10と手順18で設定した事前共有鍵を設定します。
    設定例の値を使用せず、設定を変更することを推奨致します。

  • ※3

    WAN側インタフェースには固定のグローバルIPアドレスをご利用ください。

資料請求・お問い合わせ