こんにちはAWSチームの横倉です。
2012年9月にBGPをサポートしない機器でもAmazon VPCとIPsecでの接続ができるようになりました。
http://aws.typepad.com/aws_japan/2012/09/amazon-vpc-additional-vpn-features.html
YamahaルーターでVPN接続が簡単にできたのでご紹介します。
Amazon VPCとは
Amazon Virtual Private Cloudの略でAmazonの誇るサーバー、ネットワークのリソースを自分専用に利用できるサービスです。
AWS内で自分だけのネットワークセグメントを作成可能なので、Webサーバー用のセグメント、APサーバー用のセグメント、DBサーバー用のセグメントを作成したりと柔軟な構成を作成することができます。
こちらに多彩なVPC構成がわかりやすく書かかれております。
そのVPCとVPN接続することが可能でVPN内のリソースによりセキュアにアクセスすることができます。
今回はYamahaルーターでBGPを使わずに接続することができました。設定方法はBGPを利用している時とほぼ同様の内容なので下記リンクを参考にしてみてください。
そこから変更された部分を簡単に紹介したいと思います。
without BGPでは
BGPのプロトコルでは接続した機器同士で経路情報を自動でやりとりしてくれますが、今回のBGPを使わない場合はVPN Tunnelが繋がっただけでは、どこ行きのTunnelかわからないため、ルーティング情報を設定する必要があります。
Amazon側でのスタティックルート設定
Yamahaルーターでのスタティックルート設定
Yamahaルーターにも同様にルーティングの設定を行なう必要がありますが、ここでVPNコネクションを作成した場合にデフォルトでVPN Tunnelは2つ作成されます。
1つのVPNコネクションに対して2つのVPN Tunnelが作成されることで、一方のTunnelがダウンしたとしても、もう一つのTunnelがUPしていれば通信できるように冗長化されています。
その為、Yamahaルーターでルーティングを追加する場合にも、メインで使うものとバックアップで使うものを設定する必要があります。
Tunnel 1が有効な時はTunnel1を使い、Tunnel 1がダウンした場合はTunnel 2を使うように設定します。(10.0.0.0/16はAmazon VPCのネットワークになります。)
# ip route 10.0.0.0/16 gateway tunnel 1 hide gateway tunnel 2 weight 0
※ Yamahaルーターでルーティングが正しく反映されていることを確認しましょう
疎通確認
これでICMPの疎通が確認できるようになります。
また、Tunnel1を意図的にダウンさせて、Tunnel 2に自動で切り替わって通信できるかを確認します。
※AWS Management Consoleでダウン確認
※YamahaルーターでTunnel1が隠された事を確認
約20秒ほどでTunnel 2へルートが切り替わりました。
最後に
without BGPによって、VPCと接続できるVPNデバイスが増えたことで、更に柔軟なプライベートクラウドの環境を作ることができるようになります。
今後はさらに面白いネットワーク構成や、今回の様なルーティング設定等のより良い方法があれば、ブログに投稿したいと思います。