Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
Kyusyu Infrastructure eXchange Study
https://www.facebook.com/groups/228512457541776/
KIXS.Vol.000
オンプレとAWSをつなぐ
VPNとルーティング...
Kyusyu Infrastructure eXchange Study
⾃⼰紹介
たかだ とものり
l @to_takada
l 株式会社サーバーワークス 福岡オフィス所属
l 保有資格
l ポケモンGO トレーナーLv.22(⾮課⾦)
1
Kyusyu Infrastructure eXchange Study 2
オンプレミスとAWSをつなぎ隊
vpn
MODEL
firewall
MODEL
server
MODEL
DMZ
198.51.100.0/24
Trust
192...
Kyusyu Infrastructure eXchange Study 3
オンプレミスとAWSの接続
l 3つの接続⽅法
l インターネットVPN接続(IPsec)
l AWS Direct Connectを使った専⽤線接続
l EC2イン...
Kyusyu Infrastructure eXchange Study 4
インターネットVPN接続の構成例(シングル構成)
• トンネルモード
• AES128bit
• 2本のVPNコネクション
• ルーティング
• BGP or 静的
...
Kyusyu Infrastructure eXchange Study 5
CGWとして使⽤できるルーター
出典:
https://aws.amazon.com/jp/vpc/faqs/#C9
Kyusyu Infrastructure eXchange Study 6
2本のVPNのコネクションの使われ⽅
customer
gateway
router
VPN
gateway
router
• オンプレミス側からAWS側への通信は正...
Kyusyu Infrastructure eXchange Study 7
出典:
https://d0.awsstatic.com/webinars/jp/pdf/services/20150415_AWS-
BlackBelt-VPC_p...
Kyusyu Infrastructure eXchange Study 8
Customer gatewayを冗⻑化した場合の経路選択
customer
gateway
router
VPN
gateway
router
BGP ASN:65...
Kyusyu Infrastructure eXchange Study 9
冗⻑化構成の場合の経路選択(オンプレ→AWS)
customer
gateway
router
VPN
gateway
router
BGP ASN:65000BGP...
Kyusyu Infrastructure eXchange Study 10
冗⻑構成の場合の経路選択(AWS→オンプレ)
1. ロンゲストマッチ
2. スタティックルート
3. AS-PATH
4. PATHのORIGIN
5. ルーターI...
Kyusyu Infrastructure eXchange Study 11
Kyusyu Infrastructure eXchange Study 12
素朴な疑問
Customer Gatewayで設定した
ねずっち
MED値で制御できないのか?
MED値:200
MED値:100
Kyusyu Infrastructure eXchange Study 13
答え
できるっぽいが、サポート対象外っぽいです。
Kyusyu Infrastructure eXchange Study 14
まとめ
• AWSとオンプレミスとは、インターネットVPN
を使って⽐較的⼿軽に接続することができます。
• AWS側からオンプレミス側への通信経路選択に
は、AS...
Upcoming SlideShare
Loading in …5
×

オンプレとAWSをつなぐVPNとルーティング

4,774 views

Published on

2016/8/26 KIXS発表資料

Published in: Technology
  • Be the first to comment

オンプレとAWSをつなぐVPNとルーティング

  1. 1. Kyusyu Infrastructure eXchange Study https://www.facebook.com/groups/228512457541776/ KIXS.Vol.000 オンプレとAWSをつなぐ VPNとルーティング 髙⽥ 知典
  2. 2. Kyusyu Infrastructure eXchange Study ⾃⼰紹介 たかだ とものり l @to_takada l 株式会社サーバーワークス 福岡オフィス所属 l 保有資格 l ポケモンGO トレーナーLv.22(⾮課⾦) 1
  3. 3. Kyusyu Infrastructure eXchange Study 2 オンプレミスとAWSをつなぎ隊 vpn MODEL firewall MODEL server MODEL DMZ 198.51.100.0/24 Trust 192.168.1.0/24 server MODEL Server-subnet 172.16.0.0/24 Elastic Load Balancing instances Amazon RDS Databese-subnet 172.16.1.0/24 独⽴した論理ネットワークの単位 プライベートIPアドレスで /28 および/16 の範囲でCIDR定義が可能
  4. 4. Kyusyu Infrastructure eXchange Study 3 オンプレミスとAWSの接続 l 3つの接続⽅法 l インターネットVPN接続(IPsec) l AWS Direct Connectを使った専⽤線接続 l EC2インスタンス(仮想マシン)上にVPNソ フトウェアを動作させる
  5. 5. Kyusyu Infrastructure eXchange Study 4 インターネットVPN接続の構成例(シングル構成) • トンネルモード • AES128bit • 2本のVPNコネクション • ルーティング • BGP or 静的 • 1つのVPCあたり1つ • 単⼀障害点や帯域のボトルネック は存在しない • データセンター側のルータ/FW • 暗号化処理前のフラグメントが必須 • IPsec Dead peer Detectionの利⽤ が推奨 出典: https://d0.awsstatic.com/webinars/jp/pdf/services/20150415_AWS- BlackBelt-VPC_public.pdf 38ページ
  6. 6. Kyusyu Infrastructure eXchange Study 5 CGWとして使⽤できるルーター 出典: https://aws.amazon.com/jp/vpc/faqs/#C9
  7. 7. Kyusyu Infrastructure eXchange Study 6 2本のVPNのコネクションの使われ⽅ customer gateway router VPN gateway router • オンプレミス側からAWS側への通信は正常時、⽚⽅のコネクションに寄る • VPN gateway側から、MED値により優先経路が通知されている模様(マニュア ル等に記載はないが。。。) • AWS側からオンプレミス側への通信の制御する場合は、後述の⽅法をとる。 • 同⼀物理回線上のコネクションなので、どちらが使われても問題ない BGP ASN:65000 BGP ASN:10124 VPN connection VPN connection
  8. 8. Kyusyu Infrastructure eXchange Study 7 出典: https://d0.awsstatic.com/webinars/jp/pdf/services/20150415_AWS- BlackBelt-VPC_public.pdf 39ページ インターネットVPN接続の構成例(冗⻑構成)
  9. 9. Kyusyu Infrastructure eXchange Study 8 Customer gatewayを冗⻑化した場合の経路選択 customer gateway router VPN gateway router BGP ASN:65000BGP ASN:10124 customer gateway VPN connection VPN connection VPN connection VPN connection ⾚と⻘の物理回線速度が異なる場合など、優先的に使⽤ する経路を選択したい 1000Mbps 100Mbps
  10. 10. Kyusyu Infrastructure eXchange Study 9 冗⻑化構成の場合の経路選択(オンプレ→AWS) customer gateway router VPN gateway router BGP ASN:65000BGP ASN:10124 customer gateway VPN connection VPN connection VPN connection VRRP Customer gatewayで採⽤している冗⻑化⽅式/ルーティング⽅式次第 (下図はVRRP) Active Passive MED値:100 MED値:200 ①到達ルータ ② MED値に よる経路 選択 1000Mbps 100Mbps
  11. 11. Kyusyu Infrastructure eXchange Study 10 冗⻑構成の場合の経路選択(AWS→オンプレ) 1. ロンゲストマッチ 2. スタティックルート 3. AS-PATH 4. PATHのORIGIN 5. ルーターID(最⼩) 6. BGPピアのIPアドレス(最⼩) 参考) http://docs.aws.amazon.com/ja_jp/AmazonVPC/latest/NetworkAdminGuid e/Introduction.html AS-PATH:65000,65000 1000Mbps 100Mbps
  12. 12. Kyusyu Infrastructure eXchange Study 11
  13. 13. Kyusyu Infrastructure eXchange Study 12 素朴な疑問 Customer Gatewayで設定した ねずっち MED値で制御できないのか? MED値:200 MED値:100
  14. 14. Kyusyu Infrastructure eXchange Study 13 答え できるっぽいが、サポート対象外っぽいです。
  15. 15. Kyusyu Infrastructure eXchange Study 14 まとめ • AWSとオンプレミスとは、インターネットVPN を使って⽐較的⼿軽に接続することができます。 • AWS側からオンプレミス側への通信経路選択に は、AS-PATHを使うとよいです。 • オンプレミス側からAWS側への通信経路選択は、 Customer Gatewayの構成内容にもよりますが、 AWS側から渡される経路属性をそのま使うとい です。

×