狠狠撸

試験前に抑えておきたい RTX/vRX VPN接続
2020/07/29

本日お話しすること
ルーターのそもそも论
ヤマハvRXの特徴と採用メリット
vRXの仕様
vRX の設定作業 - 惫搁齿デザインパターンに学ぶオンプレミス?クラウドハイブリッドネットワーク

自己紹介
濱田康貴 Yasutaka Hamada
株式会社パイプライン代表取締役
クラウドエンジニア?コンサルタント
経歴(代表的なものをピックアップ)
ADSL開通サポート
WEBホスティングサーバー保守?構築
金融機関様向けWEBサーバー構築?パフォーマンスチューニング
証券会社様向けネットワーク保守
カード会社様向けシステムPCI DSS 要件定義
Amazon出店管理せどりツールインフラ運用改善
WordPress高速実行環境 KUSANAGI クラスター構築
Office365 経路制御ネットワーク設計
Development as a Service企業様向けCMS導入?マーケティング支援

ヤマハ?ネットワーク製品と事例のお知らせサイト https://router-switch-jirei.jp/

図3-1-基2. パケット交換方式とインターネットの概念図
OSSモデルカリキュラムの学習ガイダンス 3-1-基. ネットワークアーキテクチャに関する知識 https://www.ipa.go.jp/files/000056028.pdf より引用

図3-1-基1. OSI7層モデルと階層化の概念
OSSモデルカリキュラムの学習ガイダンス 3-1-基. ネットワークアーキテクチャに関する知識 https://www.ipa.go.jp/files/000056028.pdf より引用

? 家庭用ルーター ? モバイルルーター ? データセンター用ルーター

? 家庭用ルーター
? 少人数で使用を想定
? DHCP NAT
? Wi-Fi内蔵が多い
? 家庭向けの機能
? コンテンツフィルタ
? 利用時間制限
? モバイルルーター
? 個人または少人数で使用を想定
? DHCP NAT
? Wi-Fiが大前提
? USBで1台のみ、も
? Bluetoothテザリングも
? SIMカードが必要
? データセンター用ルーター
? ISPの相互接続 (コアルーター)
? 企業の本支店間接続におけるセン
タールーター
? 支店側のルーターはエッジルーター

ISP 1
ISP 2
Router
Router
Load
Balancer
Load
Balancer
Web Servers
L2 Switch
L2 Switch
AP & DB ServersWEBサービスにおけるルーター配置例
※ ここではL3スイッチもルーターと表記

仮想ルーターとは

? 仮想ルーターとは
? ソフトウェアベースのルーター
? ハードウェアが抽象化されていることが多い
? AWSでいうところのInternet Gateway、Virtual Private Gateway
? オープンソースのソフトウェアルーター VyOS など
ソフトウェアルーターはこのようなPCに
インストールしたいですよね

? なぜルーターを仮想化するのか
? 物理的なサーバーをクラウドへ移行しても最後の最後までラックに残るのがルーター
? これを解決する手段として、仮想ルーターというソリューションが望まれていた
? オンプレミスのルーターでやっていた設定をクラウドへ移行したい
? ルーティング、VPNなどの要件とconfigを再設計しなければならない
? それぞれの機器やサービスに精通した「つよい」エンジニアの確保に課題
? 同じルーターをクラウドにも置いて同じコマンド、同じconfigを流したい

ヤマハ vRX の特徴と
採用メリット

ヤマハ vRX の特徴と採用メリット
? メリット1 ライセンスについて
? メリット2 設定手順の差異が埋まる
? メリット3 柔軟なスケーリングが可能
? メリット4 IPsec VPNのアグレッシブモードをサポート
? メリット5 アプリケーションごとに経路制御が可能
? メリット6 マネジメントコンソールによるDevOps

基本ライセンス
品名品番上限速度ライセンス価格有効期間
vRX基本ライセンス10Mbps 1年 vRX-1Y10M 10M bit/s 16,500円（税抜） 1年
vRX基本ライセンス1Gbps 1年 vRX-1Y1G 1G bit/s 300,000円（税抜） 1年
vRX基本ライセンス10Gbps 1年 vRX-1Y10G 10G bit/s 2,000,000円（税抜） 1年

品名品番 VPN対地数ライセンス価格
vRXオプションライセンスVPN10対地 vRX-VPN10 10対地 20,000円（税抜）
vRXオプションライセンスVPN1000対地 vRX-VPN1K 1000対地 1,560,000円（税抜）
VPNオプションライセンス

品名品番ライセンス価格有効期間
vRX基本ライセンストライアル版 vRX-TR-B1 無料最大20日間
vRXオプションライセンスVPNトラ
イアル版
vRX-TR-V1 無料 vRX-TR-B1が有効な間
トライアルライセンス

? メリット2 設定手順の差異が埋まる
? 本イベント実施時点では、Amazon Web Services (AWS) だけで提供されている
? 今後他クラウドでも提供が始まると...
? 同じコマンドをマルチクラウド、オンプレミスで実行可能となり、設計時において調査?非互換対応の工数を下げられる
? Availability Zone、リージョン単位の障害の災害対策を短時間で行うことができる

? メリット3 柔軟なスケーリングが可能
? 性能劣化時にはスケールアウト、スケールアップが可能
? ただしスケールアウトする際は台数ぶんのライセンスが必要
? 複数Availability ZoneにvRXを起動しておき、拠点の
RTXが運用系vRXとのIPsec接続断を検知すると瞬時に
待機系のvRXへ接続を切り替えることが可能

? メリット4 IPsec VPNのアグレッシブモードをサポート
? 拠点側に固定グローバルIPアドレスが不要
? 自宅のインターネット回線が動的グローバルIPアドレス、プライベートIPアドレスでも、自宅からクラウド上のリソースへ安全にアクセス可能
? 拠点側はどのモード？
? VPN を構成する両方のルーターが固定のグローバルアドレスを持つときにはメインモードを使用
? 固定のグローバルアドレスを持つルーターには、ipsec ike remote name コマンドを設定し、ipsec ike remote address コマンドで any を設定する
? 一方のルーターしか固定のグローバルアドレスを持たないときにはアグレッシブモードを使用
? 固定のグローバルアドレスを持たないルーターでは、ipsec ike local name コマンドを設定し、ipsec ike remote address コマンドで IP アドレスを設定する

? メリット5 アプリケーションごとに経路制御が可能
? 拠点側RTX830(Rev.15.02.13以降)または
NVR700W(Rev.15.00.17以降)がDPIオプショ
ンをサポート
? vRXは振り分けられたトラフィックを受け付けるクラウ
ド上のルーターとして利用
? AWSのサービスをDPIで振り分ける
? IPアドレスが不定期に変更されてもLayer
7(FQDN)でルーティング
? Microsoft Azureで利用可能になると...
? Microsoft 365
? Windows Update
IPアドレスやエンドポイントURL
が不定期に変更される

? メリット6 マネジメントコンソールによるDevOps
AWS マネジメントコンソールからアクセス可能勿論YNOからもアクセス可能

vRXの仕様
? Amazon Web Services（AWS）版仕様 (要点のみ抜粋)
EC2インスタンスタイプ c5.xlarge c5.large t3.medium
インターフェー
ス
LANポート
最大4ポート最大3ポート
WANポート
詳細は Amazon Web Services（AWS）版仕様 https://network.yamaha.com/products/software_service/vrx/spec#tab を参照

vRXの仕様
ルーティングルーティング対象プロ
トコル
IP, IPv6
IPルーティングプロト
コル
RIP, RIP2, OSPF, BGP4（EBGP, IBGP）
IPv6ルーティングプロ
トコル
RIPng
経路エントリー数 200,000
OSPFネイバー数とそ
の経路
60ネイバー時、経路
数：8,000
100ネイバー時、経路
数：2,000
60ネイバー時、経路数：6,000
100ネイバー時、経路数：1,500
BGP4経路数
30,000 20,000

vRXの仕様
スループットスループット最大20 Gbit/s （※1）最大20 Gbit/s （※2）最大10 Gbit/s （※2）
IPsecスループット最大2 Gbit/s （※3）最大1 Gbit/s （※4）

vRXの仕様
VPN対地数 VPN対地数 (PPTP) -
VPN対地数 (IPsec) 6,000 （※5） 1,000 （※5）
VPN対地数 (L2TP/Ipsec) 1,000 （※5）
VPN対地数 (L2TPv3) -
VPN対地数 (マルチポイ
ントトンネル数)
100 （※5）
VPN対地数 (最大設定可
能数)
6,000 （※5） 1,000 （※5）
VPN機能 IPsec（VPN機能：NATトラバーサル, XAUTH）＋AES128/256, 3DES,
DES IKE/IKEv2（メインモード, アグレッシブモード）, L2TP/IPsec, IPIPト
ンネル, マルチポイントトンネル（サーバー/クライアント）

試験前に抑えておきたいRTX/vRX VPN接続

? vRX導入までのかんたん3ステップ
1. トライアルライセンスを申し込む
2. AWSアカウントを取得してVPC(Virtual Private Cloud)を構築する
? コマンドラインによる構築例は Software Design 2020年3月号に掲載！
3. ライセンスを購入して、運用を開始する
vRX導入マニュアル( https://network.yamaha.com/setting/virtual_router/aws/vrx_introduction )
にライセンス購入方法のガイドがあります

? vRX 構成デザインパターン
? 拠点-AWS間のIPsec接続
? L2TP/IPsec を利用したリモートアクセス
? Webサーバーを公開
? 拠点-AWS間のIPsec 冗長接続
? 冗長化されたネットワークにVPN接続
? AWS Direct Connect を利用した拠点間通信

Why learn the vRX design pattern?

? vRXに興味があるけれど、どのような構成で利用するものなのか、また、どのような構成の構築が可能なのかが分からない。
? オンプレミスのヤマハルーターを設定したことはあるが、クラウドのネットワークを構築するのは初めてだ。
? 自己流でVPCを設定してはみたものの、ベストプラクティスがあるのだろうか？
まずはvRXデザインパターンに則って設計しよう

拠点-AWS間のIPsec接続
拠点に設置したヤマハルーターと、VPC内に設置したvRXを、IPsecトンネルで接続する構成。拠点側は固定グローバルIPアドレス、動的
グローバルIPアドレスでも設定可。

L2TP/IPsec を利用したリモートアクセス
L2TP/IPsecを利用して、モバイル端末からvRXのプライベートネットワークに接続する構成。

Webサーバーを公開
Amazon VPC内に設置したWebサーバーを、vRXを通して公開する構成。

拠点-AWS間のIPsec 冗長接続
2台のvRXに対して、拠点のルーターから2本のIPsecトンネルで接続する構成。AWS Lambdaを利用して、SNMPでIPsecトンネルの状態を
監視する。

冗長化されたネットワークにVPN接続
可用性の高いシステムに対して、IPsecトンネルで接続する構成。メインのサーバーに障害が発生した場合、経路を切り替えて、バック
アップのサーバーに接続する。

AWS Direct Connect を利用した拠点間通信
VPC内に設置したvRXを経由して、拠点間通信を行う構成。このデザインパターンを利用するためには、AWS Direct Connectサービスの
登録が必要。

vRX の設定作業 - 気をつけたいハマりどころ
? ユーザーガイド
http://www.rtpro.yamaha.co.jp/RT/manual/vrx/userguide/ja/index.html
? コマンドリファレンス
http://www.rtpro.yamaha.co.jp/RT/manual/vrx/index.html

Base -> Elastic IP Ping NG?

Check Security Group

Base -> vRX Ping NG?

Check Security Group
Check RTX Config
Check vRX Config

Base <- vRX Ping NG?

Base <- EC2 Ping NG?

Check EC2 Routing

Amazon LinuxなどのAMIは通常、インターネットゲートウェイ経由
でVPC -> The Internetへ出ていく設定になっています
ipコマンドまたは /etc/sysconfig/network-scripts/route-<インターフェイス
名> ファイル編集でルーティングを変えましょう
Security Group の設定はステートフルです
ACL の設定はステートレスです
vRXインスタンスの送信元/送信先チェックフラグは「無効」にしま
しょう

@pipelinejp_com
@pipelinejpcom
まとめ
? 仮想ルーター vRXはクラウド移行を推進する切
り札である
? vRXをクラウド上にデプロイすることで、オンプ
レミスで実現したかった機能をクラウド上で再現
しやすくなる
? まず最初は、クラウドデザインパターン、
vRXデザインパターンに則ることを推奨する
? 移行の本質は再現性
? だが、“設定”の再現に強く拘るよりも機能要
件、非機能要件のそもそもに立ち返り、社外の
人にもわかるレベルまで掘り下げて言語化するこ
とを強く推奨する https://pipelinejp.com/

狠狠撸

試験前に抑えておきたいRTX/vRX VPN接続

More Related Content

試験前に抑えておきたいRTX/vRX VPN接続