Fightel Net, 푸루카와 전기 네트워크 장비의 포괄적 인 브랜드
예제 설정
Google Cloud Platform 및 IKEV2를 통해 VPN에 연결 (BGP 경로 사용)
요약
이것은 BGP 경로를 사용하여 IKEV2 IPSEC 터널을 사용하여 GCP (Google Cloud Platform)를 사용하여 VPN에 연결하기위한 예제 구성입니다.
추가 및 노트
GCP를 사용하면 IPSEC를 통해 VPN을 통해 고객 측 네트워크와 GCP 네트워크를 연결할 수 있습니다.
GCP Cloud VPN은 웹에서 사용할 수 있습니다기술 문서를 참조하십시오.
GCP Cloud VPN은 웹에서 사용할 수 있습니다기술 문서를 참조하십시오.
Google Cloud VPN 설정
아래 설명서에 따라 Google Cloud VPN을 설정하십시오.
https : //cloud.google.com/compute/docs/cloudrouter#setting_up_up_vpn_with_cloud_router
다음은 주요 설정 화면을 설명합니다.
1.GCP 글로벌 IP getting
클라우드 VPN 게이트웨이에 글로벌 IP를 할당 할 수 있습니다.
웹에 세부 정보가 제공됩니다기술 문서를 참조하십시오.
2. 클라우드 라우터를 생성
BGP를 사용하여 GCP 네트워크 및 고객 네트워크에 대한 경로 정보를 동적으로 수행하기 위해 클라우드 라우터를 만듭니다.
각 매개 변수의 세부 사항은 웹에 제공됩니다기술 문서를 참조하십시오.
3. VPN 인스턴스를 만들어
GCP 개발자 콘솔에 로그인하고 기본 메뉴에서 "네트워킹"을 선택하십시오.
메뉴에서 "VPN"을 선택하고 "VPN 연결 만들기"를 클릭하십시오.
사전 공유 키, IPSEC 종료 주소, VPN 선택기 및 기타 매개 변수를 입력하여 VPN 인스턴스를 구성합니다.
각 매개 변수의 세부 사항은 웹에 제공됩니다기술 문서를 참조하십시오.
4. 파이어 설정
GCP 네트워크로 전송 된 트래픽에 대한 방화벽을 구성합니다.
웹에 세부 정보가 제공됩니다기술 문서를 참조하십시오.
f 시리즈 라우터 구성 예
~ ipsec phase1 정책 ~
암호화 알고리즘 : AES128
인증 알고리즘 : SHA-1
인증 방법 : 사전 공유 키
사전 공유 키 형식 : 일반 텍스트
사전 공유 키 : GCP의 VPN 인스턴스를 만들 때 세트를 사용합니다.
Diffie-Hellman (DH) : Group 2
Phase1 평생 : 36,000 초
VPN 피어 IP 주소 : 클라우드 VPN 게이트웨이의 글로벌 IP를 지정합니다.
인증 알고리즘 : SHA-1
인증 방법 : 사전 공유 키
사전 공유 키 형식 : 일반 텍스트
사전 공유 키 : GCP의 VPN 인스턴스를 만들 때 세트를 사용합니다.
Diffie-Hellman (DH) : Group 2
Phase1 평생 : 36,000 초
VPN 피어 IP 주소 : 클라우드 VPN 게이트웨이의 글로벌 IP를 지정합니다.
~ ipsec phase2 정책 ~
암호화 알고리즘 : AES (키 크기 : 128, 192, 256)
인증 알고리즘 : SHA-1
PFS : 그룹 2
Phase2 수명 : 10,800 초
인증 알고리즘 : SHA-1
PFS : 그룹 2
Phase2 수명 : 10,800 초
라우터 구성
(라인의 주석입니다. 실제로 입력 할 필요가 없습니다.)
이 설정을 사용하려면 사용하십시오
! ! ! 特権ユーザモードに移行します。 ! Router> 활성화암호 입력 :5기술 문서← 비밀번호를 입력하십시오 (실제로 아무것도 표시되지 않음).터미널 구성라우터 (config)#!6Google Cloud Platform 및 IKEV2를 통해 VPN에 연결 (BGP 경로 사용)라우터 (config)#6이것은 BGP 경로를 사용하여 IKEV2 IPSEC 터널을 사용하여 GCP (Google Cloud Platform)를 사용하여 VPN에 연결하기위한 예제 구성입니다.라우터 (config)#!IPSEC ACCESS-LIST 1 IPSEC IP 모든라우터 (config)#IPSEC ACCESS-LIST 64 우회 IP 모든라우터 (config)#!IPSEC 변환 세트 AES-SHA IKEV2 ESP-AES ESP-SHA-HMAC라우터 (config)#IPSEC 변환 키즈 AES128 ESP-AES-CBC 128 256 128라우터 (config)#!crypto ikev2 정책 1라우터 (config-kikev2)#인증 프리 공유라우터 (config-kikev2)#암호화 AES라우터 (config-kikev2)#그룹 2라우터 (config-kikev2)#8Google Cloud Platform 및 IKEV2를 통해 VPN에 연결 (BGP 경로 사용)라우터 (config-kikev2)#키 ASCII 비밀라우터 (config-kikev2)#8GCP를 사용하면 IPSEC를 통해 VPN을 통해 고객 측 네트워크와 GCP 네트워크를 연결할 수 있습니다.라우터 (config-kikev2)#일치 신원 주소 192.0.2.1라우터 (config-kikev2)#자기 정체성 주소 198.51.100.1라우터 (config-kikev2)#피어 세트 192.0.2.1라우터 (config-kikev2)#출구라우터 (config)#!암호화지도 GCE1 1라우터 (config-crypto-map)#일치 주소 1라우터 (config-crypto-map)#SET IKEV2-POLICY 1라우터 (config-crypto-map)#PFS Group2 세트라우터 (config-crypto-map)#보안 관련 수명 초 초 10800라우터 (config-crypto-map)#변환 세트 AES-SHA 설정라우터 (config-crypto-map)#Transform-Keysize 세트 AES128라우터 (config-crypto-map)#출구라우터 (config)#!crypto 보안 연관라우터 (config-crypto-sa)#11이것은 BGP 경로를 사용하여 IKEV2 IPSEC 터널을 사용하여 GCP (Google Cloud Platform)를 사용하여 VPN에 연결하기위한 예제 구성입니다.라우터 (config-crypto-sa)#11GCP를 사용하면 IPSEC를 통해 VPN을 통해 고객 측 네트워크와 GCP 네트워크를 연결할 수 있습니다.라우터 (config-crypto-sa)#ikealive freq 10라우터 (config-crypto-sa)#출구라우터 (config)#!인터페이스 ipsecif 1라우터 (config-if ipsecif 1)#12이것은 BGP 경로를 사용하여 IKEV2 IPSEC 터널을 사용하여 GCP (Google Cloud Platform)를 사용하여 VPN에 연결하기위한 예제 구성입니다.라우터 (config-if ipsecif 1)#IP 주소 169.254.0.2 255.255.255.255.252라우터 (config-if ipsecif 1)#1각 매개 변수의 세부 사항은 웹에 제공됩니다라우터 (config-if ipsecif 1)#출구라우터 (config)#!IP 경로 0.0.0.0 0.0.0.0.0 pppoe 1라우터 (config)#!Access-List 1 허가라우터 (config)#!Access-List 5 허가 192.168.10.0 0.0.0.255라우터 (config)#!Access-List 100 동적 허가 IP 모든라우터 (config)#Access-List 101 허가 UDP 모든 호스트 198.51.100.1 EQ 500라우터 (config)#Access-List 101 허가 ESP 모든라우터 (config)#Access-List 199 IP 거부라우터 (config)#!Route-Map Local_net 허가 1라우터 (config-rmap local_net 허가 1)#일치 IP 주소 5라우터 (config-rmap local_net 허가 1)#출구라우터 (config)#!라우터 BGP 65501라우터 (config-bgp)#이웃 169.254.0.1 EBGP-Multihop 255라우터 (config-bgp)#이웃 169.254.0.1 원격 -65500라우터 (config-bgp)#연결된 Route-Map Local_net을 재분배합니다라우터 (config-bgp)#출구라우터 (config)#!인터페이스 pppoe 1라우터 (config-if pppoe 1)#IP 주소 198.51.100.1라우터 (config-if pppoe 1)#PPPOE 서버 인터넷라우터 (config-if pppoe 1)#pppoe 계정 xxxxxx@xxx.xxx.ne.jp xxxxxxx라우터 (config-if pppoe 1)#pppoe 유형 lan라우터 (config-if pppoe 1)#! NAT 구성IP NAT 소스 목록 1 인터페이스라우터 (config-if pppoe 1)#! 필터 설정IP 액세스 그룹 100 out라우터 (config-if pppoe 1)#IP 액세스 그룹 101 in라우터 (config-if pppoe 1)#IP 액세스 그룹 199 in라우터 (config-if pppoe 1)#출구라우터 (config)#!인터페이스 lan 1라우터 (config-if lan 1)#IP 주소 192.168.10.1 255.255.255.0라우터 (config-if lan 1)#출구라우터 (config)#!proxydns 모드 v4라우터 (config)#!1자기 정체성 주소 198.51.100.1라우터 (config)#IP DHCP 풀 LAN 1라우터 (config-dhcp-pool)#19이것은 BGP 경로를 사용하여 IKEV2 IPSEC 터널을 사용하여 GCP (Google Cloud Platform)를 사용하여 VPN에 연결하기위한 예제 구성입니다.라우터 (config-dhcp-pool)#기본-로터 0.0.0.0라우터 (config-dhcp-pool)#출구라우터 (config)#!END라우터#20Google Cloud Platform 및 IKEV2를 통해 VPN에 연결 (BGP 경로 사용)% 저장 작업-콘피드리셋콜드 스타트에도 괜찮습니까? (y/n)20GCP를 사용하면 IPSEC를 통해 VPN을 통해 고객 측 네트워크와 GCP 네트워크를 연결할 수 있습니다.
vpn 연결 설립 확인 gcp
기본 라우터에서 GCP에서 생성 된 Google Compute Engine VM으로 PING을 통해 통신을 점검 할 수 있습니다.
Router#show ip route
Max entry: 10000 (Commonness in IPv4 and IPv6)
Active entry:7 (IPv4), 2 (IPv6) Peak:7
Codes: K - kernel route, C - connected, S - static, R - RIP, O - OSPF
B - BGP, I - IKE, U - SA-UP, D - REDUNDANCY, E - EventAction
A - AutoConfig, P - l2tp-ppp
> - selected route, * - FIB route, p - stale info.
S> * 0.0.0.0/0 [1/0] is directly connected, PPPoE1
B> * 10.100.100.0/24 [20/100] via 169.254.0.1, IPSECIF1, 00:03:24
B> * 10.200.200.0/24 [20/100] via 169.254.0.1, IPSECIF1, 00:03:24
C> * 127.0.0.0/8 is directly connected, LOOP0
C> * 198.51.100.1/32 is directly connected, PPPoE1
C> * 169.254.0.0/30 is directly connected, IPSECIF1
C>* 192.168.10.0/24는 직접 연결되어 있습니다
모든 권리 보유, 저작권 (c) Furukawa Electric Co., Ltd. 2016