?É͓d?H?l?b?g???[?N?@??̑????u?????h?@?t?@?C?e???l?b?g
?ݒ??
Google Cloud Platform ?? IKEv2 ?ɂ?? VPN ?ڑ????? (BGP ?o?H?𗘗p)
?T?v
BGP ?o?H??p???? IKEv2 IPsec tunnel ?ɂ??AGoogle Cloud Platform (GCP) ?? VPN ?ڑ????邽?߂̐ݒ??ł??B
?⑫?E???ӓ_
GCP ?ł̓J?X?^?}???l?b?g???[?N?? GCP ?l?b?g???[?N?? IPsec ?ɂ??AVPN ?ڑ????邱?Ƃ??ł??܂??B
GCP Cloud VPN ?ɂ??Ă? Web ?Œ???Ă????Z?p???????????????????B
GCP Cloud VPN ?ɂ??Ă? Web ?Œ???Ă????Z?p???????????????????B
Google Cloud VPN ?̐ݒ?
???L?̕????ɏ]???? Google Cloud VPN ??ݒ肵?܂??B
https://cloud.google.com/compute/docs/cloud遊雅堂 atm入金 反映uter#setting_up_vpn_with_cloud_遊雅堂 atm入金 反映uter
?ȉ??A??v?Ȑݒ??ʂɂ??Đ??????Ă????܂??B
1.GCP ?O???[?o?? IP ?̎擾
Cloud VPN gateway ?Ɋ??蓖?Ă?O???[?o?? IP ???擾???Ă????܂??B
?ڍׂ? Web ?Œ???Ă????Z?p???????????????????B
2.Cloud 遊雅堂 atm入金 反映uter ?̍쐬
GCP ?l?b?g???[?N?ƃJ?X?^?}???l?b?g???[?N?̌o?H???? BGP ?ɂ?? Dynamic ?ɍs?????? Cloud 遊雅堂 atm入金 反映uter ???쐬???܂??B
?e?p?????[?^?̏ڍׂ? Web ?Œ???Ă????Z?p???????????????????B
3.VPN instance ?̍쐬
GCP Developers Console ?փ??O?C?????A???C?????j???[???? "?l?b?g???[?L???O" ??I?????܂??B
???j???[?? "VPN" ??I?????A"VPN ?ڑ????쐬" ???N???b?N???܂??B
???O???L???AIPsec ?I?[?A?h???X?AVPN ?Z???N?^?A?y?сA???̃p?????[?^????͂??AVPN instance ?ݒ???s???܂??B
?e?p?????[?^?̏ڍׂ? Web ?Œ???Ă????Z?p???????????????????B
4.?t?@?C?A?E?H?[???̐ݒ?
GCP ?l?b?g???[?N?֑??M?????g???t?B?b?N?̃t?@?C?A?E?H?[???ݒ???s???܂??B
?ڍׂ? Web ?Œ???Ă????Z?p???????????????????B
F ?V???[?Y?̃??[?^?ݒ??
〜IPsec Phase1 ?|???V?[〜
?Í????A???S???Y??: AES128
?F?A???S???Y??: SHA-1
?F?ؕ???: Pre-Shared Key
???O???L???̌`??: ?v???C???e?L?X?g
Pre-Shared Key: GCP ?? VPN instance ?쐬???ɐݒ肵?????̂𗘗p???܂??B
Diffie-Hellman (DH): G遊雅堂 atm入金 反映up 2
Phase1 ???C?t?^?C??: 36,000 ?b
VPN ?s?A IP ?A?h???X: Cloud VPN gateway ?̃O???[?o?? IP ???w?肵?܂??B
?F?A???S???Y??: SHA-1
?F?ؕ???: Pre-Shared Key
???O???L???̌`??: ?v???C???e?L?X?g
Pre-Shared Key: GCP ?? VPN instance ?쐬???ɐݒ肵?????̂𗘗p???܂??B
Diffie-Hellman (DH): G遊雅堂 atm入金 反映up 2
Phase1 ???C?t?^?C??: 36,000 ?b
VPN ?s?A IP ?A?h???X: Cloud VPN gateway ?̃O???[?o?? IP ???w?肵?܂??B
〜IPsec Phase2 ?|???V?[〜
?Í????A???S???Y??: AES (???T?C?Y: 128, 192, 256)
?F?A???S???Y??: SHA-1
PFS: G遊雅堂 atm入金 反映up 2
Phase2 ???C?t?^?C??: 10,800 ?b
?F?A???S???Y??: SHA-1
PFS: G遊雅堂 atm入金 反映up 2
Phase2 ???C?t?^?C??: 10,800 ?b
???[?^?̐ݒ?
?i!?̍s?̓R?????g?ł??B???ۂɓ??͂???K?v?͂???܂???B?j
???̐ݒ?𗘗p??????????
!
!
! ???????[?U???[?h?Ɉڍs???܂??B
!
Router> enable
Enter password: super ???p?X???[?h????͂??܂??i???ۂ͉????\??????܂???j?B
遊雅堂 atm入金 反映uter#
!
!
! ??{?ݒ胂?[?h?Ɉڍs???܂??B
!
遊雅堂 atm入金 反映uter# configure terminal
遊雅堂 atm入金 反映uter(config)#!
遊雅堂 atm入金 反映uter(config)#! VPN?ݒ?
遊雅堂 atm入金 反映uter(config)#!
遊雅堂 atm入金 反映uter(config)# vpn enable
遊雅堂 atm入金 反映uter(config)# vpnlog enable
遊雅堂 atm入金 反映uter(config)#!
遊雅堂 atm入金 反映uter(config)# ipsec access-list 1 ipsec ip any any
遊雅堂 atm入金 反映uter(config)# ipsec access-list 64 bypass ip any any
遊雅堂 atm入金 反映uter(config)#!
遊雅堂 atm入金 反映uter(config)# ipsec transform-set AES-SHA ikev2 esp-aes esp-sha-hmac
遊雅堂 atm入金 反映uter(config)# ipsec transform-keysize AES128 esp-aes-cbc 128 256 128
遊雅堂 atm入金 反映uter(config)#!
遊雅堂 atm入金 反映uter(config)# crypto ikev2 policy 1
遊雅堂 atm入金 反映uter(config-ikev2)# authentication pre-share
遊雅堂 atm入金 反映uter(config-ikev2)# encryption aes
遊雅堂 atm入金 反映uter(config-ikev2)# g遊雅堂 atm入金 反映up 2
遊雅堂 atm入金 反映uter(config-ikev2)# hash sha
遊雅堂 atm入金 反映uter(config-ikev2)# key ascii SECRET
遊雅堂 atm入金 反映uter(config-ikev2)# lifetime 36000
遊雅堂 atm入金 反映uter(config-ikev2)# match identity address 192.0.2.1
遊雅堂 atm入金 反映uter(config-ikev2)# self-identity address 198.51.100.1
遊雅堂 atm入金 反映uter(config-ikev2)# set peer 192.0.2.1
遊雅堂 atm入金 反映uter(config-ikev2)# exit
遊雅堂 atm入金 反映uter(config)#!
遊雅堂 atm入金 反映uter(config)# crypto map GCE1 1
遊雅堂 atm入金 反映uter(config-crypto-map)# match address 1
遊雅堂 atm入金 反映uter(config-crypto-map)# set ikev2-policy 1
遊雅堂 atm入金 反映uter(config-crypto-map)# set pfs g遊雅堂 atm入金 反映up2
遊雅堂 atm入金 反映uter(config-crypto-map)# set security-association lifetime seconds 10800
遊雅堂 atm入金 反映uter(config-crypto-map)# set transform-set AES-SHA
遊雅堂 atm入金 反映uter(config-crypto-map)# set transform-keysize AES128
遊雅堂 atm入金 反映uter(config-crypto-map)# exit
遊雅堂 atm入金 反映uter(config)#!
遊雅堂 atm入金 反映uter(config)# crypto security-association
遊雅堂 atm入金 反映uter(config-crypto-sa)# ikealive retry max 3
遊雅堂 atm入金 反映uter(config-crypto-sa)# ikealive retry timer 10
遊雅堂 atm入金 反映uter(config-crypto-sa)# ikealive freq 10
遊雅堂 atm入金 反映uter(config-crypto-sa)# exit
遊雅堂 atm入金 反映uter(config)#!
遊雅堂 atm入金 反映uter(config)# interface ipsecif 1
遊雅堂 atm入金 反映uter(config-if ipsecif 1)# crypto map GCE1
遊雅堂 atm入金 反映uter(config-if ipsecif 1)# ip address 169.254.0.2 255.255.255.252
遊雅堂 atm入金 反映uter(config-if ipsecif 1)# ip mtu 1390
遊雅堂 atm入金 反映uter(config-if ipsecif 1)# exit
遊雅堂 atm入金 反映uter(config)#!
遊雅堂 atm入金 反映uter(config)#! ?o?H?ݒ?
遊雅堂 atm入金 反映uter(config)# ip 遊雅堂 atm入金 反映ute 0.0.0.0 0.0.0.0 pppoe 1
遊雅堂 atm入金 反映uter(config)#!
遊雅堂 atm入金 反映uter(config)#! NAT?Ώېݒ?
遊雅堂 atm入金 反映uter(config)# access-list 1 permit any
遊雅堂 atm入金 反映uter(config)#!
遊雅堂 atm入金 反映uter(config)#! 遊雅堂 atm入金 反映ute-map ?Ώېݒ?
遊雅堂 atm入金 反映uter(config)# access-list 5 permit 192.168.10.0 0.0.0.255
遊雅堂 atm入金 反映uter(config)#!
遊雅堂 atm入金 反映uter(config)#! ?t?B???^?Ώېݒ?
遊雅堂 atm入金 反映uter(config)# access-list 100 dynamic permit ip any any
遊雅堂 atm入金 反映uter(config)# access-list 101 permit udp any host 198.51.100.1 eq 500
遊雅堂 atm入金 反映uter(config)# access-list 101 permit esp any any
遊雅堂 atm入金 反映uter(config)# access-list 199 deny ip any any
遊雅堂 atm入金 反映uter(config)#!
遊雅堂 atm入金 反映uter(config)#! 遊雅堂 atm入金 反映ute-map ?ݒ?
遊雅堂 atm入金 反映uter(config)# 遊雅堂 atm入金 反映ute-map local_net permit 1
遊雅堂 atm入金 反映uter(config-rmap local_net permit 1)# match ip address 5
遊雅堂 atm入金 反映uter(config-rmap local_net permit 1)# exit
遊雅堂 atm入金 反映uter(config)#!
遊雅堂 atm入金 反映uter(config)#! BGP ?ݒ?
遊雅堂 atm入金 反映uter(config)# 遊雅堂 atm入金 反映uter bgp 65501
遊雅堂 atm入金 反映uter(config-bgp)# neighbor 169.254.0.1 ebgp-multihop 255
遊雅堂 atm入金 反映uter(config-bgp)# neighbor 169.254.0.1 remote-as 65500
遊雅堂 atm入金 反映uter(config-bgp)# redistribute connected 遊雅堂 atm入金 反映ute-map local_net
遊雅堂 atm入金 反映uter(config-bgp)# exit
遊雅堂 atm入金 反映uter(config)#!
遊雅堂 atm入金 反映uter(config)#! WAN?C???^?[?t?F?[?X?ݒ?
遊雅堂 atm入金 反映uter(config)# interface pppoe 1
遊雅堂 atm入金 反映uter(config-if pppoe 1)# ip address 198.51.100.1
遊雅堂 atm入金 反映uter(config-if pppoe 1)# pppoe server internet
遊雅堂 atm入金 反映uter(config-if pppoe 1)# pppoe account xxxxxxxx@xxx.xxx.ne.jp xxxxxxxx
遊雅堂 atm入金 反映uter(config-if pppoe 1)# pppoe type lan
遊雅堂 atm入金 反映uter(config-if pppoe 1)#! NAT?ݒ?
遊雅堂 atm入金 反映uter(config-if pppoe 1)# ip nat inside source list 1 interface
遊雅堂 atm入金 反映uter(config-if pppoe 1)#! ?t?B???^?ݒ?
遊雅堂 atm入金 反映uter(config-if pppoe 1)# ip access-g遊雅堂 atm入金 反映up 100 out
遊雅堂 atm入金 反映uter(config-if pppoe 1)# ip access-g遊雅堂 atm入金 反映up 101 in
遊雅堂 atm入金 反映uter(config-if pppoe 1)# ip access-g遊雅堂 atm入金 反映up 199 in
遊雅堂 atm入金 反映uter(config-if pppoe 1)# exit
遊雅堂 atm入金 反映uter(config)#!
遊雅堂 atm入金 反映uter(config)#! LAN?C???^?[?t?F?[?X?ݒ?
遊雅堂 atm入金 反映uter(config)# interface lan 1
遊雅堂 atm入金 反映uter(config-if lan 1)# ip address 192.168.10.1 255.255.255.0
遊雅堂 atm入金 反映uter(config-if lan 1)# exit
遊雅堂 atm入金 反映uter(config)#!
遊雅堂 atm入金 反映uter(config)#! p遊雅堂 atm入金 反映xydns?ݒ?
遊雅堂 atm入金 反映uter(config)# p遊雅堂 atm入金 反映xydns mode v4
遊雅堂 atm入金 反映uter(config)#!
遊雅堂 atm入金 反映uter(config)#! DHCP?T?[?o?ݒ?
遊雅堂 atm入金 反映uter(config)# service dhcp-server
遊雅堂 atm入金 反映uter(config)# ip dhcp pool lan 1
遊雅堂 atm入金 反映uter(config-dhcp-pool)# dns-server 0.0.0.0
遊雅堂 atm入金 反映uter(config-dhcp-pool)# default-遊雅堂 atm入金 反映uter 0.0.0.0
遊雅堂 atm入金 反映uter(config-dhcp-pool)# exit
遊雅堂 atm入金 反映uter(config)#!
遊雅堂 atm入金 反映uter(config)#! ???????[?U???[?h?ɖ߂?܂??B
遊雅堂 atm入金 反映uter(config)#!
遊雅堂 atm入金 反映uter(config)# end
遊雅堂 atm入金 反映uter#
!
!
! ?ݒ??ۑ????܂??B
!
遊雅堂 atm入金 反映uter# save SIDE-A.cfg
% saving working-config
% finished saving
遊雅堂 atm入金 反映uter#
!
!
! ?ݒ??L???ɂ??邽?߂ɍċN?????܂??B
!
遊雅堂 atm入金 反映uter# reset
Are you OK to cold start?(y/n) y
GCP ?ւ? VPN ?ڑ??m???m?F
???_???[?^???? GCP ???ɍ쐬???? Google Compute Engine VM ?? PING ?ɂ??a?ʊm?F???ł??܂??B
Router#show ip route
Max entry: 10000 (Commonness in IPv4 and IPv6)
Active entry:7 (IPv4), 2 (IPv6) Peak:7
Codes: K - kernel route, C - connected, S - static, R - RIP, O - OSPF
B - BGP, I - IKE, U - SA-UP, D - REDUNDANCY, E - EventAction
A - AutoConfig, P - l2tp-ppp
> - selected route, * - FIB route, p - stale info.
S> * 0.0.0.0/0 [1/0] is directly connected, PPPoE1
B> * 10.100.100.0/24 [20/100] via 169.254.0.1, IPSECIF1, 00:03:24
B> * 10.200.200.0/24 [20/100] via 169.254.0.1, IPSECIF1, 00:03:24
C> * 127.0.0.0/8 is directly connected, LOOP0
C> * 198.51.100.1/32 is directly connected, PPPoE1
C> * 169.254.0.0/30 is directly connected, IPSECIF1
C> * 192.168.10.0/24 is directly connected, LAN
遊雅堂 atm入金 反映uter#
遊雅堂 atm入金 反映uter#ping 10.100.100.2 source-interface lan 1
Sending 5, 100-byte ICMP Echos to 10.100.100.2, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), 遊雅堂 atm入金 反映und-trip min/avg/max = 40/44/50 ms
遊雅堂 atm入金 反映uter#
遊雅堂 atm入金 反映uter#ping 10.200.200.2 source-interface lan 1
Sending 5, 100-byte ICMP Echos to 10.200.200.2, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), 遊雅堂 atm入金 反映und-trip min/avg/max = 40/44/50 ms
遊雅堂 atm入金 反映uter#
All Rights Reserved, Copyright(C) FURUKAWA ELECTRIC CO., LTD. 2016