SlideShare una empresa de Scribd logo
1 de 29
Descargar para leer sin conexión
Copyright 2021 FUJITSU CLOUD TECHNOLOGIES LIMITED
富士通クラウドテクノロジーズ株式会社
蓮沼 愼太郎
インフラエンジニアのためのネットワーク超入門
2021/06/30
ネットワーク超入門 IPsec VPN編
Copyright 2021 FUJITSU CLOUD TECHNOLOGIES LIMITED
自己紹介
名前:蓮沼 愼太郎(Shintaro Hasunuma)
所属:富士通クラウドテクノロジーズ株式会社
仕事内容
ニフクラのサービス(IaaS)を企画・開発、運用しているエンジニア
主に携わっているサービス
• 拠点間VPNゲートウェイ・ルーター
• リモートアクセスVPNゲートウェイ
• Liveマイグレーション
vExpert 2020-21, VCAP-NV
2
Copyright 2021 FUJITSU CLOUD TECHNOLOGIES LIMITED
クラウドサービス「ニフクラ」とは
Webサービス事業
@niftyのサービス運用から誕生
VMware vSphere🄬をベースとした
社会インフラを支えるクラウドサービス
クラウドサービス事業
1996年
@nifty
プロバイダー
サービス
1999年
2010年
2020年
FUJITSU Hybrid IT Service
FJcloud-V
パソコン通信事業
1987年
NIFTY-Serve
ISP事業
VMware Partner Innovation Award
2016 Regional Winner
3
Copyright 2021 FUJITSU CLOUD TECHNOLOGIES LIMITED
目次
IPsecとは
ニフクラでIPsecを使っているサービス
• 拠点間VPNゲートウェイ
• Liveマイグレーション(VMware HCX)
IPsecプロトコル概要
トラブルシューティング
4
Copyright 2021 FUJITSU CLOUD TECHNOLOGIES LIMITED
IPsecとは
「Security Architecture for Internet Protocol」の略。
IPsecは、暗号技術を使ってIPパケットの完全性や機密性を実現する仕組みです。
IPパケットの保護によって、HTTPやFTPといったアプリケーションプロトコルを使って転送
されるデータが保護されます。
https://www.nic.ad.jp/ja/basics/terms/ipsec.html
5
Copyright 2021 FUJITSU CLOUD TECHNOLOGIES LIMITED
IPsecの利用ケース
インターネットを介した通信をIPsecで保護し、拠点間や拠点へのリモート
アクセスを仮想専用線として利用する事が可能
=VPN(Virtual Private Network)
6
Copyright 2021 FUJITSU CLOUD TECHNOLOGIES LIMITED
拠点間VPNゲートウェイ
7
対応プロトコル IPsec(L3) , L2TPv3/IPsec
L2TPv3/IPsec対応機器
• YAMAHA RTXシリーズ、cisco IOS、アライドテレシス ARシリーズ
価格
• 月額12,000円から、1時間毎の従量課金のスモールスタートも可能
Copyright 2021 FUJITSU CLOUD TECHNOLOGIES LIMITED
拠点間VPNゲートウェイの接続確認済み機器
8
11種類の仮想ルータ、物理機器等
幅広い対向機器をサポート!
https://pfs.nifcloud.com/service/vpngw.htm
Copyright 2021 FUJITSU CLOUD TECHNOLOGIES LIMITED
Liveマイグレーション(new!)
 お客様環境のvSphere上にある仮想マシン(VM)をニフクラへ無停止で移行出来るサービス
 オンプレのネットワークをL2延伸する事でシステムを稼働させながら移行が可能
VMware HCXの機能により、ニフクラへvMotionで移行するイメージ
9
インターネット / 構内接続
お客様の
vSphere環境
プライベート
リージョン
ニフクラ
パブリック
Liveマイグレーション
VM VM VM VM VM VM
Copyright 2021 FUJITSU CLOUD TECHNOLOGIES LIMITED
VMware HCXでのIPsec利用
https://www.vmware.com/content/dam/digitalmarketing/vmware/en/pdf/vcat/vmware-
hybrid-cloud-extension-design-guide.pdf
10
Copyright 2021 FUJITSU CLOUD TECHNOLOGIES LIMITED
IPsecのメリット
物理機器が対応しているケースが多い
• Cisco, Juniper, Yamaha, 富士通,NECなど一般的なVPNルータはIPsecに
対応し、相互接続が可能。
※マルチクラウド間接続であれば、最近であればインターネットVPNとしてWireGuard
を使う事もアリ
性能が良い
• SSL-VPN比べ、パケットのオーバーヘッドが少ない点と、TCP over TCP
によるTCPメルトダウンをIPsecでは回避可能。
11
Copyright 2021 FUJITSU CLOUD TECHNOLOGIES LIMITED
ニフクラ東西間でのIPsec VPN性能
https://blog.pfs.nifcloud.com/3657/
12
Copyright 2021 FUJITSU CLOUD TECHNOLOGIES LIMITED 13
IPsecプロトコル概要
Copyright 2021 FUJITSU CLOUD TECHNOLOGIES LIMITED
IPsecで利用されるプロトコル
IKE(Internet Key Exchange)
• 鍵交換プロトコル。IKEv1,IKEv2があり事前共有鍵や証明書で認証を行
い、IKE SAを確立する。
AH(Authentication Header)
• 認証ヘッダ。発信元の認証およびデータの改ざんを防ぐ。データ暗号化
を禁止している国のために用意された背景がある。
ESP(Encapsulated Security Payload)
• AHの認証機能に加え、暗号化機能を提供するプロトコル。IKE SAを元に
IPsec SAを確立させ、IPsec SAの鍵で暗号化を行う。
14
Copyright 2021 FUJITSU CLOUD TECHNOLOGIES LIMITED
IPsecのシーケンス(IKEv1)
15
拠点間VPN
ゲートウェイ
対向VPN
ルーター
IKE SA確立 IKE SA確立
SA(Security Association)とは
暗号化アルゴリズムやトラ
フィックセレクタなどのポリ
シーと鍵のセット。
ESPによる暗号通信
IPsec SA確立
IPsec SA確立
IKEによる暗号通信 Phase-2でネゴシエートする情報
ESPの暗号化プロポーザル、ID
Phase-1でネゴシエートする情報
暗号化プロポーザル、 DH-key
交換、Nonce、ID
MainモードとAggressiveモード
Copyright 2021 FUJITSU CLOUD TECHNOLOGIES LIMITED
MainモードとAggressiveモード(IKEv1)
Mainモード
• VPNルーターのIPアドレスをIDとして認証を行う。ID含めすべて暗号化して通信を行う
ため、セキュア。
• このためMainモードでは固定IPアドレスを利用する事が前提条件となる。
• 拠点間VPNゲートウェイはMainモードでの動作
Aggressiveモード
• 動的なIPアドレス環境でも接続が可能。公開鍵認証を使わない限り、IDが暗号化されず
Mainモードに比べるとセキュアではない。 IDはFQDNなど任意の文字列等で認証を行う
事が多い。
• 拠点間VPNゲートウェイでは対応していない
16
Copyright 2021 FUJITSU CLOUD TECHNOLOGIES LIMITED
ESP動作モード
トランスポートモード
• カプセル化するパケットにIP headerが
含まれない。
トンネルモード
• カプセル化するパケットにIP headerが
含まれる。=フォワーディング出来る
17
TCP/UDP
header
Data
ESP
Tailer
ESP
Auth
IP
header
ESP
header
TCP/UDP
header
Data
ESP
Tailer
ESP
Auth
IP
header
TCP/UDP
header
Data
IP
header
TCP/UDP
header
Data
IP
header
IP
header
ESP
header
Copyright 2021 FUJITSU CLOUD TECHNOLOGIES LIMITED
ポリシーベースVPNとルートベースVPN
ポリシーベースVPN
• 転送先ネットワークをIPsecのPhase-2 ID(Proxy ID)で決定
• 静的なルーティングに限定
• 拠点間VPNゲートウェイではIPsecに該当
ルートベースVPN
• VPNトンネルを仮想I/Fでマッピングさせ、転送先ネットワークを仮想I/F
のI/Fルーティングで制御する。IPsec Phase-2 ID(Proxy ID)は
0.0.0.0/0などでネゴシエーションする
• static routing, BGPなどの動的ルーティングが利用可能
• 拠点間VPNゲートウェイではIPsec VTIに該当
18
Copyright 2021 FUJITSU CLOUD TECHNOLOGIES LIMITED
実際のIPsecの構成例
19
お客様環境
172.16.0.0/24
192.168.0.0/24
.1
IPsec VTI
VPNルーター
VLAN1
192.168.0.0/24
.1
10.0.0.0/24
IPsec
VLAN1
10.0.0.0/24
ルートテーブル
を設定
疎通可能!
お客様環境
VPNルーター
拠点間VPN
ゲートウェイ
拠点間VPN
ゲートウェイ
ルーター
Phase-2 ID
192.168.0.0/24
10.0.0.0/24
Phase-2 ID
0.0.0.0/0
0.0.0.0/0
ポリシーベースVPN
ルートベースVPN
Copyright 2021 FUJITSU CLOUD TECHNOLOGIES LIMITED
PFSを実現するDHEとRekey
PFS(Perfect Forward Secrecy)とは、鍵交換プロトコル(IKE)の事前共有鍵
が漏洩した場合でも、DHEなどによって作成したセッションキーによって安
全性が担保される仕組み。さらに一定時間後にセッションキーを再作成する
事で、鍵の安全性が担保される。
エドワード・スノーデン氏の事件で注目が集まる。
DHE(ディフィー・ヘルマン鍵共有)とは、公開鍵暗号方式の暗号プロトコル
拠点間VPNゲートウェイではPFSは有効になっており、IPsec SAのlifetime
の時間毎にRekeyを行い、IPsec SAを更新しています。
20
Copyright 2021 FUJITSU CLOUD TECHNOLOGIES LIMITED 21
トラブルシューティング
Copyright 2021 FUJITSU CLOUD TECHNOLOGIES LIMITED
よくある設定ミス
 Phase 1 のIDが異なっている
 Phase 2(Quick Mode) のIDが異なっている
IKEv1のネゴシエーション
22
Phase ネゴシエーションする内容
Phase 1 暗号化プロポーザル
DH-key交換、Nonce
ID
Phase 2 (Quick
Mode)
ESPの暗号化プロポーザル、ID
Copyright 2021 FUJITSU CLOUD TECHNOLOGIES LIMITED
Phase 1 のIDが異なっている
23
VyOSでのIKEv1 decrypt方法は
https://www.slideshare.net/shintarohasunu
ma/vyos-78181882
Copyright 2021 FUJITSU CLOUD TECHNOLOGIES LIMITED
Phase 1 のIDがプライベートIPアドレスになる場合の構成
24
上位ルータがいる場合
グローバルIPアドレスが
動的の場合
DNAT
UDP:500 , 4500
グローバルIPアドレス
x.x.x.x
グローバルIPアドレス
x.x.x.x→y.y.y.y
192.168.0.0/24
.254
.1
Copyright 2021 FUJITSU CLOUD TECHNOLOGIES LIMITED
Phase 2(Quick Mode) のIDが異なっている
25
VyOSでのIKEv1 decrypt方法は
https://www.slideshare.net/shintarohasunu
ma/vyos-78181882
Copyright 2021 FUJITSU CLOUD TECHNOLOGIES LIMITED
拠点間VPNゲートウェイのログ、エラー表示機能
26
コンパネ上でログの確認、
接続エラー時の対処方法が分かります
https://pfs.nifcloud.com/spec/vpngw/log.htm
Copyright 2021 FUJITSU CLOUD TECHNOLOGIES LIMITED
まとめ
 IPsecとは
• 暗号技術を使ってIPパケットの完全性や機密性を実現する仕組み。
 ニフクラでも各種サービスでIPsecを利用しています
• 拠点間VPNゲートウェイ
• Liveマイグレーション(VMware HCX)
 IPsec プロトコル概要
• IKE, AH, ESPなどのプロトコルで実現している。
• IKE SA, IPsec SAの順にSAを確立させ、PFSによる秘匿性を担保している。
 トラブルシューティング
• Phase-1,Phase-2のID不一致のケースが多い。
• IKE SA, IPsec SAが確立出来たか、順に確認する事が重要。
27
Copyright 2021 FUJITSU CLOUD TECHNOLOGIES LIMITED
ご参考
 AWS Client VPNとニフクラ拠点間VPNゲートウェイ(IPsec-VTI)を組み合わせたマルチクラウ
ド構成を組んでみた
• https://blog.pfs.nifcloud.com/20210624_multicloud_awsclientvpn_nifcloudipsecvti_sitetosite
 Interop Tokyo 2017のカンファレンスに登壇しました
• https://tech.fjct.fujitsu.com/entry/2017/08/23/170853
 VyOSの開発とか運用の話(IPsecのdecryptについて説明しています)
• https://www.slideshare.net/shintarohasunuma/vyos-78181882
28
Copyright 2021 FUJITSU CLOUD TECHNOLOGIES LIMITED

Más contenido relacionado

La actualidad más candente

大規模DCのネットワークデザイン
大規模DCのネットワークデザイン大規模DCのネットワークデザイン
大規模DCのネットワークデザインMasayuki Kobayashi
 
コンテナの作り方「Dockerは裏方で何をしているのか?」
コンテナの作り方「Dockerは裏方で何をしているのか?」コンテナの作り方「Dockerは裏方で何をしているのか?」
コンテナの作り方「Dockerは裏方で何をしているのか?」Masahito Zembutsu
 
ISPネットワーク運用で覗いてるもの
ISPネットワーク運用で覗いてるものISPネットワーク運用で覗いてるもの
ISPネットワーク運用で覗いてるものTaiji Tsuchiya
 
545人のインフラを支えたNOCチーム!
545人のインフラを支えたNOCチーム!545人のインフラを支えたNOCチーム!
545人のインフラを支えたNOCチーム!Masayuki Kobayashi
 
AlmaLinux と Rocky Linux の誕生経緯&比較
AlmaLinux と Rocky Linux の誕生経緯&比較AlmaLinux と Rocky Linux の誕生経緯&比較
AlmaLinux と Rocky Linux の誕生経緯&比較beyond Co., Ltd.
 
ネットワークエンジニアはどこでウデマエをみがくのか?
ネットワークエンジニアはどこでウデマエをみがくのか?ネットワークエンジニアはどこでウデマエをみがくのか?
ネットワークエンジニアはどこでウデマエをみがくのか?Yuya Rin
 
Kubernetesのしくみ やさしく学ぶ 内部構造とアーキテクチャー
Kubernetesのしくみ やさしく学ぶ 内部構造とアーキテクチャーKubernetesのしくみ やさしく学ぶ 内部構造とアーキテクチャー
Kubernetesのしくみ やさしく学ぶ 内部構造とアーキテクチャーToru Makabe
 
VPP事始め
VPP事始めVPP事始め
VPP事始めnpsg
 
分散システムについて語らせてくれ
分散システムについて語らせてくれ分散システムについて語らせてくれ
分散システムについて語らせてくれKumazaki Hiroki
 
TIME_WAITに関する話
TIME_WAITに関する話TIME_WAITに関する話
TIME_WAITに関する話Takanori Sejima
 
本当は恐ろしい分散システムの話
本当は恐ろしい分散システムの話本当は恐ろしい分散システムの話
本当は恐ろしい分散システムの話Kumazaki Hiroki
 
インフラエンジニアってなんでしたっけ(仮)
インフラエンジニアってなんでしたっけ(仮)インフラエンジニアってなんでしたっけ(仮)
インフラエンジニアってなんでしたっけ(仮)Akihiro Kuwano
 
wakamonog6 インターネットの裏側の仕組み
wakamonog6 インターネットの裏側の仕組みwakamonog6 インターネットの裏側の仕組み
wakamonog6 インターネットの裏側の仕組みTaiji Tsuchiya
 
HTTP2 最速実装 〜入門編〜
HTTP2 最速実装 〜入門編〜HTTP2 最速実装 〜入門編〜
HTTP2 最速実装 〜入門編〜Kaoru Maeda
 
暗号技術の実装と数学
暗号技術の実装と数学暗号技術の実装と数学
暗号技術の実装と数学MITSUNARI Shigeo
 
20分でわかるgVisor入門
20分でわかるgVisor入門20分でわかるgVisor入門
20分でわかるgVisor入門Shuji Yamada
 
コンテナにおけるパフォーマンス調査でハマった話
コンテナにおけるパフォーマンス調査でハマった話コンテナにおけるパフォーマンス調査でハマった話
コンテナにおけるパフォーマンス調査でハマった話Yuta Shimada
 
NUCで始めるVMware Tanzu
NUCで始めるVMware TanzuNUCで始めるVMware Tanzu
NUCで始めるVMware TanzuHirotaka Sato
 

La actualidad más candente (20)

大規模DCのネットワークデザイン
大規模DCのネットワークデザイン大規模DCのネットワークデザイン
大規模DCのネットワークデザイン
 
あなたのところに専用線が届くまで
あなたのところに専用線が届くまであなたのところに専用線が届くまで
あなたのところに専用線が届くまで
 
コンテナの作り方「Dockerは裏方で何をしているのか?」
コンテナの作り方「Dockerは裏方で何をしているのか?」コンテナの作り方「Dockerは裏方で何をしているのか?」
コンテナの作り方「Dockerは裏方で何をしているのか?」
 
ISPネットワーク運用で覗いてるもの
ISPネットワーク運用で覗いてるものISPネットワーク運用で覗いてるもの
ISPネットワーク運用で覗いてるもの
 
545人のインフラを支えたNOCチーム!
545人のインフラを支えたNOCチーム!545人のインフラを支えたNOCチーム!
545人のインフラを支えたNOCチーム!
 
AS45679 on FreeBSD
AS45679 on FreeBSDAS45679 on FreeBSD
AS45679 on FreeBSD
 
AlmaLinux と Rocky Linux の誕生経緯&比較
AlmaLinux と Rocky Linux の誕生経緯&比較AlmaLinux と Rocky Linux の誕生経緯&比較
AlmaLinux と Rocky Linux の誕生経緯&比較
 
ネットワークエンジニアはどこでウデマエをみがくのか?
ネットワークエンジニアはどこでウデマエをみがくのか?ネットワークエンジニアはどこでウデマエをみがくのか?
ネットワークエンジニアはどこでウデマエをみがくのか?
 
Kubernetesのしくみ やさしく学ぶ 内部構造とアーキテクチャー
Kubernetesのしくみ やさしく学ぶ 内部構造とアーキテクチャーKubernetesのしくみ やさしく学ぶ 内部構造とアーキテクチャー
Kubernetesのしくみ やさしく学ぶ 内部構造とアーキテクチャー
 
VPP事始め
VPP事始めVPP事始め
VPP事始め
 
分散システムについて語らせてくれ
分散システムについて語らせてくれ分散システムについて語らせてくれ
分散システムについて語らせてくれ
 
TIME_WAITに関する話
TIME_WAITに関する話TIME_WAITに関する話
TIME_WAITに関する話
 
本当は恐ろしい分散システムの話
本当は恐ろしい分散システムの話本当は恐ろしい分散システムの話
本当は恐ろしい分散システムの話
 
インフラエンジニアってなんでしたっけ(仮)
インフラエンジニアってなんでしたっけ(仮)インフラエンジニアってなんでしたっけ(仮)
インフラエンジニアってなんでしたっけ(仮)
 
wakamonog6 インターネットの裏側の仕組み
wakamonog6 インターネットの裏側の仕組みwakamonog6 インターネットの裏側の仕組み
wakamonog6 インターネットの裏側の仕組み
 
HTTP2 最速実装 〜入門編〜
HTTP2 最速実装 〜入門編〜HTTP2 最速実装 〜入門編〜
HTTP2 最速実装 〜入門編〜
 
暗号技術の実装と数学
暗号技術の実装と数学暗号技術の実装と数学
暗号技術の実装と数学
 
20分でわかるgVisor入門
20分でわかるgVisor入門20分でわかるgVisor入門
20分でわかるgVisor入門
 
コンテナにおけるパフォーマンス調査でハマった話
コンテナにおけるパフォーマンス調査でハマった話コンテナにおけるパフォーマンス調査でハマった話
コンテナにおけるパフォーマンス調査でハマった話
 
NUCで始めるVMware Tanzu
NUCで始めるVMware TanzuNUCで始めるVMware Tanzu
NUCで始めるVMware Tanzu
 

Similar a 「ネットワーク超入門 IPsec VPN編」

10 Protocols of VPN IPSec, PPTP, L2TP, MPLS etc. ⋆ IPCisco.pdf
10 Protocols of VPN IPSec, PPTP, L2TP, MPLS etc. ⋆ IPCisco.pdf10 Protocols of VPN IPSec, PPTP, L2TP, MPLS etc. ⋆ IPCisco.pdf
10 Protocols of VPN IPSec, PPTP, L2TP, MPLS etc. ⋆ IPCisco.pdfKdpKumar
 
Chapter 8 overview
Chapter 8 overviewChapter 8 overview
Chapter 8 overviewali raza
 
Shape your remote connection to your GCE instance
Shape your remote connection to your GCE instanceShape your remote connection to your GCE instance
Shape your remote connection to your GCE instanceDevOps Indonesia
 
Ip tunnelling and_vpn
Ip tunnelling and_vpnIp tunnelling and_vpn
Ip tunnelling and_vpnRajesh Porwal
 
OpeVPN on Mikrotik
OpeVPN on MikrotikOpeVPN on Mikrotik
OpeVPN on MikrotikGLC Networks
 
CCNAv5 - S4: Chapter 7: Securing Site-to-site Connectivity
CCNAv5 - S4: Chapter 7: Securing Site-to-site ConnectivityCCNAv5 - S4: Chapter 7: Securing Site-to-site Connectivity
CCNAv5 - S4: Chapter 7: Securing Site-to-site ConnectivityVuz Dở Hơi
 
IP security and VPN presentation
IP security and VPN presentation IP security and VPN presentation
IP security and VPN presentation KishoreTs3
 
Rapid industrial grade IoT prototyping with sierra wireless
Rapid industrial grade IoT prototyping with sierra wirelessRapid industrial grade IoT prototyping with sierra wireless
Rapid industrial grade IoT prototyping with sierra wirelesssierradeveloper
 
Virtual Private Network (VPN).
Virtual Private Network (VPN).Virtual Private Network (VPN).
Virtual Private Network (VPN).Debasis Chowdhury
 
CUE Customer Sales Presentation-2023 pdf
CUE Customer Sales Presentation-2023 pdfCUE Customer Sales Presentation-2023 pdf
CUE Customer Sales Presentation-2023 pdfabenyeung
 
IoT Saturday PN 2019 - Eurotech
IoT Saturday PN 2019 - EurotechIoT Saturday PN 2019 - Eurotech
IoT Saturday PN 2019 - EurotechLuca Dazi
 
Connected home - market evolution & protocol wars
Connected home - market evolution & protocol warsConnected home - market evolution & protocol wars
Connected home - market evolution & protocol warsBorys Tomala
 
7256 ccna security_chapter_8_vpn_dl3_oz_20130409031455
7256 ccna security_chapter_8_vpn_dl3_oz_201304090314557256 ccna security_chapter_8_vpn_dl3_oz_20130409031455
7256 ccna security_chapter_8_vpn_dl3_oz_20130409031455ytrui
 
Providing Internet Access via WSO2 Enterprise Mobility Manager
Providing Internet Access via WSO2 Enterprise Mobility Manager Providing Internet Access via WSO2 Enterprise Mobility Manager
Providing Internet Access via WSO2 Enterprise Mobility Manager WSO2
 

Similar a 「ネットワーク超入門 IPsec VPN編」 (20)

10 Protocols of VPN IPSec, PPTP, L2TP, MPLS etc. ⋆ IPCisco.pdf
10 Protocols of VPN IPSec, PPTP, L2TP, MPLS etc. ⋆ IPCisco.pdf10 Protocols of VPN IPSec, PPTP, L2TP, MPLS etc. ⋆ IPCisco.pdf
10 Protocols of VPN IPSec, PPTP, L2TP, MPLS etc. ⋆ IPCisco.pdf
 
Ip tunneling and vpns
Ip tunneling and vpnsIp tunneling and vpns
Ip tunneling and vpns
 
Chapter 8 overview
Chapter 8 overviewChapter 8 overview
Chapter 8 overview
 
Shape your remote connection to your GCE instance
Shape your remote connection to your GCE instanceShape your remote connection to your GCE instance
Shape your remote connection to your GCE instance
 
Ip tunnelling and_vpn
Ip tunnelling and_vpnIp tunnelling and_vpn
Ip tunnelling and_vpn
 
ENSA_Module_8.pptx
ENSA_Module_8.pptxENSA_Module_8.pptx
ENSA_Module_8.pptx
 
OpeVPN on Mikrotik
OpeVPN on MikrotikOpeVPN on Mikrotik
OpeVPN on Mikrotik
 
CCNAv5 - S4: Chapter 7: Securing Site-to-site Connectivity
CCNAv5 - S4: Chapter 7: Securing Site-to-site ConnectivityCCNAv5 - S4: Chapter 7: Securing Site-to-site Connectivity
CCNAv5 - S4: Chapter 7: Securing Site-to-site Connectivity
 
IP security and VPN presentation
IP security and VPN presentation IP security and VPN presentation
IP security and VPN presentation
 
Shradhamaheshwari vpn
Shradhamaheshwari vpnShradhamaheshwari vpn
Shradhamaheshwari vpn
 
Rapid industrial grade IoT prototyping with sierra wireless
Rapid industrial grade IoT prototyping with sierra wirelessRapid industrial grade IoT prototyping with sierra wireless
Rapid industrial grade IoT prototyping with sierra wireless
 
Testing
TestingTesting
Testing
 
Vpn
Vpn Vpn
Vpn
 
Virtual Private Network (VPN).
Virtual Private Network (VPN).Virtual Private Network (VPN).
Virtual Private Network (VPN).
 
CUE Customer Sales Presentation-2023 pdf
CUE Customer Sales Presentation-2023 pdfCUE Customer Sales Presentation-2023 pdf
CUE Customer Sales Presentation-2023 pdf
 
IoT Saturday PN 2019 - Eurotech
IoT Saturday PN 2019 - EurotechIoT Saturday PN 2019 - Eurotech
IoT Saturday PN 2019 - Eurotech
 
Gadgeon profile
Gadgeon profileGadgeon profile
Gadgeon profile
 
Connected home - market evolution & protocol wars
Connected home - market evolution & protocol warsConnected home - market evolution & protocol wars
Connected home - market evolution & protocol wars
 
7256 ccna security_chapter_8_vpn_dl3_oz_20130409031455
7256 ccna security_chapter_8_vpn_dl3_oz_201304090314557256 ccna security_chapter_8_vpn_dl3_oz_20130409031455
7256 ccna security_chapter_8_vpn_dl3_oz_20130409031455
 
Providing Internet Access via WSO2 Enterprise Mobility Manager
Providing Internet Access via WSO2 Enterprise Mobility Manager Providing Internet Access via WSO2 Enterprise Mobility Manager
Providing Internet Access via WSO2 Enterprise Mobility Manager
 

Más de 富士通クラウドテクノロジーズ株式会社

Más de 富士通クラウドテクノロジーズ株式会社 (20)

IPsec VPNとSSL-VPNの違い
IPsec VPNとSSL-VPNの違いIPsec VPNとSSL-VPNの違い
IPsec VPNとSSL-VPNの違い
 
弊社サービスを使って ノーコード開発してみた.pdf
弊社サービスを使って ノーコード開発してみた.pdf弊社サービスを使って ノーコード開発してみた.pdf
弊社サービスを使って ノーコード開発してみた.pdf
 
今から始めるUbuntu入門_202307.pdf
今から始めるUbuntu入門_202307.pdf今から始めるUbuntu入門_202307.pdf
今から始めるUbuntu入門_202307.pdf
 
非エンジニアがクラウド上にMinecraftサーバーを構築するまでの記録
非エンジニアがクラウド上にMinecraftサーバーを構築するまでの記録非エンジニアがクラウド上にMinecraftサーバーを構築するまでの記録
非エンジニアがクラウド上にMinecraftサーバーを構築するまでの記録
 
自宅k8s/vSphere入門
自宅k8s/vSphere入門自宅k8s/vSphere入門
自宅k8s/vSphere入門
 
FJcloud-Vの無料トライアルで雑にWordPressを入れてみた(リベンジ)
FJcloud-Vの無料トライアルで雑にWordPressを入れてみた(リベンジ)FJcloud-Vの無料トライアルで雑にWordPressを入れてみた(リベンジ)
FJcloud-Vの無料トライアルで雑にWordPressを入れてみた(リベンジ)
 
今さら聞けないバックアップの基礎
今さら聞けないバックアップの基礎今さら聞けないバックアップの基礎
今さら聞けないバックアップの基礎
 
DevOps with GitLabで始める簡単DevOps
DevOps with GitLabで始める簡単DevOpsDevOps with GitLabで始める簡単DevOps
DevOps with GitLabで始める簡単DevOps
 
自宅vSphereからニフクラに引っ越ししてみた
自宅vSphereからニフクラに引っ越ししてみた自宅vSphereからニフクラに引っ越ししてみた
自宅vSphereからニフクラに引っ越ししてみた
 
自宅インフラの育て方 第2回
自宅インフラの育て方 第2回自宅インフラの育て方 第2回
自宅インフラの育て方 第2回
 
NGINX App Protect on Hatobaで実現するセキュリティサービス公開 構築手順書
NGINX App Protect on Hatobaで実現するセキュリティサービス公開 構築手順書NGINX App Protect on Hatobaで実現するセキュリティサービス公開 構築手順書
NGINX App Protect on Hatobaで実現するセキュリティサービス公開 構築手順書
 
これから始めるエンジニアのためのクラウド超入門
これから始めるエンジニアのためのクラウド超入門これから始めるエンジニアのためのクラウド超入門
これから始めるエンジニアのためのクラウド超入門
 
マネージドKubernetes、「Kubernetes Service Hatoba」を使ってみよう
マネージドKubernetes、「Kubernetes Service Hatoba」を使ってみようマネージドKubernetes、「Kubernetes Service Hatoba」を使ってみよう
マネージドKubernetes、「Kubernetes Service Hatoba」を使ってみよう
 
GitLabで始めるDevOps入門
GitLabで始めるDevOps入門GitLabで始めるDevOps入門
GitLabで始めるDevOps入門
 
GitLabのAutoDevOpsを試してみた
GitLabのAutoDevOpsを試してみたGitLabのAutoDevOpsを試してみた
GitLabのAutoDevOpsを試してみた
 
vSphere 7 へのアップグレードについて
vSphere 7 へのアップグレードについてvSphere 7 へのアップグレードについて
vSphere 7 へのアップグレードについて
 
VM 基盤運用チームの DevOps
VM 基盤運用チームの DevOpsVM 基盤運用チームの DevOps
VM 基盤運用チームの DevOps
 
緊急事態宣言解除後のセキュリティ・チェックリストを解説してみた
緊急事態宣言解除後のセキュリティ・チェックリストを解説してみた緊急事態宣言解除後のセキュリティ・チェックリストを解説してみた
緊急事態宣言解除後のセキュリティ・チェックリストを解説してみた
 
入社2年目社員から見た VDI(DaaS)の運用とセキュリティ
入社2年目社員から見たVDI(DaaS)の運用とセキュリティ入社2年目社員から見たVDI(DaaS)の運用とセキュリティ
入社2年目社員から見た VDI(DaaS)の運用とセキュリティ
 
インフラチームのリモートワーク
インフラチームのリモートワークインフラチームのリモートワーク
インフラチームのリモートワーク
 

Último

IT3401-WEB ESSENTIALS PRESENTATIONS.pptx
IT3401-WEB ESSENTIALS PRESENTATIONS.pptxIT3401-WEB ESSENTIALS PRESENTATIONS.pptx
IT3401-WEB ESSENTIALS PRESENTATIONS.pptxSAJITHABANUS
 
SUMMER TRAINING REPORT ON BUILDING CONSTRUCTION.docx
SUMMER TRAINING REPORT ON BUILDING CONSTRUCTION.docxSUMMER TRAINING REPORT ON BUILDING CONSTRUCTION.docx
SUMMER TRAINING REPORT ON BUILDING CONSTRUCTION.docxNaveenVerma126
 
Design of Clutches and Brakes in Design of Machine Elements.pptx
Design of Clutches and Brakes in Design of Machine Elements.pptxDesign of Clutches and Brakes in Design of Machine Elements.pptx
Design of Clutches and Brakes in Design of Machine Elements.pptxYogeshKumarKJMIT
 
Technology Features of Apollo HDD Machine, Its Technical Specification with C...
Technology Features of Apollo HDD Machine, Its Technical Specification with C...Technology Features of Apollo HDD Machine, Its Technical Specification with C...
Technology Features of Apollo HDD Machine, Its Technical Specification with C...Apollo Techno Industries Pvt Ltd
 
ASME BPVC 2023 Section I para leer y entender
ASME BPVC 2023 Section I para leer y entenderASME BPVC 2023 Section I para leer y entender
ASME BPVC 2023 Section I para leer y entenderjuancarlos286641
 
sdfsadopkjpiosufoiasdoifjasldkjfl a asldkjflaskdjflkjsdsdf
sdfsadopkjpiosufoiasdoifjasldkjfl a asldkjflaskdjflkjsdsdfsdfsadopkjpiosufoiasdoifjasldkjfl a asldkjflaskdjflkjsdsdf
sdfsadopkjpiosufoiasdoifjasldkjfl a asldkjflaskdjflkjsdsdfJulia Kaye
 
Best-NO1 Best Rohani Amil In Lahore Kala Ilam In Lahore Kala Jadu Amil In Lah...
Best-NO1 Best Rohani Amil In Lahore Kala Ilam In Lahore Kala Jadu Amil In Lah...Best-NO1 Best Rohani Amil In Lahore Kala Ilam In Lahore Kala Jadu Amil In Lah...
Best-NO1 Best Rohani Amil In Lahore Kala Ilam In Lahore Kala Jadu Amil In Lah...Amil baba
 
Renewable Energy & Entrepreneurship Workshop_21Feb2024.pdf
Renewable Energy & Entrepreneurship Workshop_21Feb2024.pdfRenewable Energy & Entrepreneurship Workshop_21Feb2024.pdf
Renewable Energy & Entrepreneurship Workshop_21Feb2024.pdfodunowoeminence2019
 
Summer training report on BUILDING CONSTRUCTION for DIPLOMA Students.pdf
Summer training report on BUILDING CONSTRUCTION for DIPLOMA Students.pdfSummer training report on BUILDING CONSTRUCTION for DIPLOMA Students.pdf
Summer training report on BUILDING CONSTRUCTION for DIPLOMA Students.pdfNaveenVerma126
 
Clutches and brkesSelect any 3 position random motion out of real world and d...
Clutches and brkesSelect any 3 position random motion out of real world and d...Clutches and brkesSelect any 3 position random motion out of real world and d...
Clutches and brkesSelect any 3 position random motion out of real world and d...sahb78428
 
Vertical- Machining - Center - VMC -LMW-Machine-Tool-Division.pptx
Vertical- Machining - Center - VMC -LMW-Machine-Tool-Division.pptxVertical- Machining - Center - VMC -LMW-Machine-Tool-Division.pptx
Vertical- Machining - Center - VMC -LMW-Machine-Tool-Division.pptxLMW Machine Tool Division
 
Phase noise transfer functions.pptx
Phase noise transfer      functions.pptxPhase noise transfer      functions.pptx
Phase noise transfer functions.pptxSaiGouthamSunkara
 
Graphics Primitives and CG Display Devices
Graphics Primitives and CG Display DevicesGraphics Primitives and CG Display Devices
Graphics Primitives and CG Display DevicesDIPIKA83
 
Mohs Scale of Hardness, Hardness Scale.pptx
Mohs Scale of Hardness, Hardness Scale.pptxMohs Scale of Hardness, Hardness Scale.pptx
Mohs Scale of Hardness, Hardness Scale.pptxKISHAN KUMAR
 
EPE3163_Hydro power stations_Unit2_Lect2.pptx
EPE3163_Hydro power stations_Unit2_Lect2.pptxEPE3163_Hydro power stations_Unit2_Lect2.pptx
EPE3163_Hydro power stations_Unit2_Lect2.pptxJoseeMusabyimana
 

Último (20)

IT3401-WEB ESSENTIALS PRESENTATIONS.pptx
IT3401-WEB ESSENTIALS PRESENTATIONS.pptxIT3401-WEB ESSENTIALS PRESENTATIONS.pptx
IT3401-WEB ESSENTIALS PRESENTATIONS.pptx
 
SUMMER TRAINING REPORT ON BUILDING CONSTRUCTION.docx
SUMMER TRAINING REPORT ON BUILDING CONSTRUCTION.docxSUMMER TRAINING REPORT ON BUILDING CONSTRUCTION.docx
SUMMER TRAINING REPORT ON BUILDING CONSTRUCTION.docx
 
Design of Clutches and Brakes in Design of Machine Elements.pptx
Design of Clutches and Brakes in Design of Machine Elements.pptxDesign of Clutches and Brakes in Design of Machine Elements.pptx
Design of Clutches and Brakes in Design of Machine Elements.pptx
 
Technology Features of Apollo HDD Machine, Its Technical Specification with C...
Technology Features of Apollo HDD Machine, Its Technical Specification with C...Technology Features of Apollo HDD Machine, Its Technical Specification with C...
Technology Features of Apollo HDD Machine, Its Technical Specification with C...
 
ASME BPVC 2023 Section I para leer y entender
ASME BPVC 2023 Section I para leer y entenderASME BPVC 2023 Section I para leer y entender
ASME BPVC 2023 Section I para leer y entender
 
Présentation IIRB 2024 Chloe Dufrane.pdf
Présentation IIRB 2024 Chloe Dufrane.pdfPrésentation IIRB 2024 Chloe Dufrane.pdf
Présentation IIRB 2024 Chloe Dufrane.pdf
 
計劃趕得上變化
計劃趕得上變化計劃趕得上變化
計劃趕得上變化
 
sdfsadopkjpiosufoiasdoifjasldkjfl a asldkjflaskdjflkjsdsdf
sdfsadopkjpiosufoiasdoifjasldkjfl a asldkjflaskdjflkjsdsdfsdfsadopkjpiosufoiasdoifjasldkjfl a asldkjflaskdjflkjsdsdf
sdfsadopkjpiosufoiasdoifjasldkjfl a asldkjflaskdjflkjsdsdf
 
Best-NO1 Best Rohani Amil In Lahore Kala Ilam In Lahore Kala Jadu Amil In Lah...
Best-NO1 Best Rohani Amil In Lahore Kala Ilam In Lahore Kala Jadu Amil In Lah...Best-NO1 Best Rohani Amil In Lahore Kala Ilam In Lahore Kala Jadu Amil In Lah...
Best-NO1 Best Rohani Amil In Lahore Kala Ilam In Lahore Kala Jadu Amil In Lah...
 
Renewable Energy & Entrepreneurship Workshop_21Feb2024.pdf
Renewable Energy & Entrepreneurship Workshop_21Feb2024.pdfRenewable Energy & Entrepreneurship Workshop_21Feb2024.pdf
Renewable Energy & Entrepreneurship Workshop_21Feb2024.pdf
 
Summer training report on BUILDING CONSTRUCTION for DIPLOMA Students.pdf
Summer training report on BUILDING CONSTRUCTION for DIPLOMA Students.pdfSummer training report on BUILDING CONSTRUCTION for DIPLOMA Students.pdf
Summer training report on BUILDING CONSTRUCTION for DIPLOMA Students.pdf
 
Clutches and brkesSelect any 3 position random motion out of real world and d...
Clutches and brkesSelect any 3 position random motion out of real world and d...Clutches and brkesSelect any 3 position random motion out of real world and d...
Clutches and brkesSelect any 3 position random motion out of real world and d...
 
Vertical- Machining - Center - VMC -LMW-Machine-Tool-Division.pptx
Vertical- Machining - Center - VMC -LMW-Machine-Tool-Division.pptxVertical- Machining - Center - VMC -LMW-Machine-Tool-Division.pptx
Vertical- Machining - Center - VMC -LMW-Machine-Tool-Division.pptx
 
Lecture 2 .pdf
Lecture 2                           .pdfLecture 2                           .pdf
Lecture 2 .pdf
 
Phase noise transfer functions.pptx
Phase noise transfer      functions.pptxPhase noise transfer      functions.pptx
Phase noise transfer functions.pptx
 
Graphics Primitives and CG Display Devices
Graphics Primitives and CG Display DevicesGraphics Primitives and CG Display Devices
Graphics Primitives and CG Display Devices
 
Lecture 2 .pptx
Lecture 2                            .pptxLecture 2                            .pptx
Lecture 2 .pptx
 
Mohs Scale of Hardness, Hardness Scale.pptx
Mohs Scale of Hardness, Hardness Scale.pptxMohs Scale of Hardness, Hardness Scale.pptx
Mohs Scale of Hardness, Hardness Scale.pptx
 
EPE3163_Hydro power stations_Unit2_Lect2.pptx
EPE3163_Hydro power stations_Unit2_Lect2.pptxEPE3163_Hydro power stations_Unit2_Lect2.pptx
EPE3163_Hydro power stations_Unit2_Lect2.pptx
 
Litature Review: Research Paper work for Engineering
Litature Review: Research Paper work for EngineeringLitature Review: Research Paper work for Engineering
Litature Review: Research Paper work for Engineering
 

「ネットワーク超入門 IPsec VPN編」

  • 1. Copyright 2021 FUJITSU CLOUD TECHNOLOGIES LIMITED 富士通クラウドテクノロジーズ株式会社 蓮沼 愼太郎 インフラエンジニアのためのネットワーク超入門 2021/06/30 ネットワーク超入門 IPsec VPN編
  • 2. Copyright 2021 FUJITSU CLOUD TECHNOLOGIES LIMITED 自己紹介 名前:蓮沼 愼太郎(Shintaro Hasunuma) 所属:富士通クラウドテクノロジーズ株式会社 仕事内容 ニフクラのサービス(IaaS)を企画・開発、運用しているエンジニア 主に携わっているサービス • 拠点間VPNゲートウェイ・ルーター • リモートアクセスVPNゲートウェイ • Liveマイグレーション vExpert 2020-21, VCAP-NV 2
  • 3. Copyright 2021 FUJITSU CLOUD TECHNOLOGIES LIMITED クラウドサービス「ニフクラ」とは Webサービス事業 @niftyのサービス運用から誕生 VMware vSphere🄬をベースとした 社会インフラを支えるクラウドサービス クラウドサービス事業 1996年 @nifty プロバイダー サービス 1999年 2010年 2020年 FUJITSU Hybrid IT Service FJcloud-V パソコン通信事業 1987年 NIFTY-Serve ISP事業 VMware Partner Innovation Award 2016 Regional Winner 3
  • 4. Copyright 2021 FUJITSU CLOUD TECHNOLOGIES LIMITED 目次 IPsecとは ニフクラでIPsecを使っているサービス • 拠点間VPNゲートウェイ • Liveマイグレーション(VMware HCX) IPsecプロトコル概要 トラブルシューティング 4
  • 5. Copyright 2021 FUJITSU CLOUD TECHNOLOGIES LIMITED IPsecとは 「Security Architecture for Internet Protocol」の略。 IPsecは、暗号技術を使ってIPパケットの完全性や機密性を実現する仕組みです。 IPパケットの保護によって、HTTPやFTPといったアプリケーションプロトコルを使って転送 されるデータが保護されます。 https://www.nic.ad.jp/ja/basics/terms/ipsec.html 5
  • 6. Copyright 2021 FUJITSU CLOUD TECHNOLOGIES LIMITED IPsecの利用ケース インターネットを介した通信をIPsecで保護し、拠点間や拠点へのリモート アクセスを仮想専用線として利用する事が可能 =VPN(Virtual Private Network) 6
  • 7. Copyright 2021 FUJITSU CLOUD TECHNOLOGIES LIMITED 拠点間VPNゲートウェイ 7 対応プロトコル IPsec(L3) , L2TPv3/IPsec L2TPv3/IPsec対応機器 • YAMAHA RTXシリーズ、cisco IOS、アライドテレシス ARシリーズ 価格 • 月額12,000円から、1時間毎の従量課金のスモールスタートも可能
  • 8. Copyright 2021 FUJITSU CLOUD TECHNOLOGIES LIMITED 拠点間VPNゲートウェイの接続確認済み機器 8 11種類の仮想ルータ、物理機器等 幅広い対向機器をサポート! https://pfs.nifcloud.com/service/vpngw.htm
  • 9. Copyright 2021 FUJITSU CLOUD TECHNOLOGIES LIMITED Liveマイグレーション(new!)  お客様環境のvSphere上にある仮想マシン(VM)をニフクラへ無停止で移行出来るサービス  オンプレのネットワークをL2延伸する事でシステムを稼働させながら移行が可能 VMware HCXの機能により、ニフクラへvMotionで移行するイメージ 9 インターネット / 構内接続 お客様の vSphere環境 プライベート リージョン ニフクラ パブリック Liveマイグレーション VM VM VM VM VM VM
  • 10. Copyright 2021 FUJITSU CLOUD TECHNOLOGIES LIMITED VMware HCXでのIPsec利用 https://www.vmware.com/content/dam/digitalmarketing/vmware/en/pdf/vcat/vmware- hybrid-cloud-extension-design-guide.pdf 10
  • 11. Copyright 2021 FUJITSU CLOUD TECHNOLOGIES LIMITED IPsecのメリット 物理機器が対応しているケースが多い • Cisco, Juniper, Yamaha, 富士通,NECなど一般的なVPNルータはIPsecに 対応し、相互接続が可能。 ※マルチクラウド間接続であれば、最近であればインターネットVPNとしてWireGuard を使う事もアリ 性能が良い • SSL-VPN比べ、パケットのオーバーヘッドが少ない点と、TCP over TCP によるTCPメルトダウンをIPsecでは回避可能。 11
  • 12. Copyright 2021 FUJITSU CLOUD TECHNOLOGIES LIMITED ニフクラ東西間でのIPsec VPN性能 https://blog.pfs.nifcloud.com/3657/ 12
  • 13. Copyright 2021 FUJITSU CLOUD TECHNOLOGIES LIMITED 13 IPsecプロトコル概要
  • 14. Copyright 2021 FUJITSU CLOUD TECHNOLOGIES LIMITED IPsecで利用されるプロトコル IKE(Internet Key Exchange) • 鍵交換プロトコル。IKEv1,IKEv2があり事前共有鍵や証明書で認証を行 い、IKE SAを確立する。 AH(Authentication Header) • 認証ヘッダ。発信元の認証およびデータの改ざんを防ぐ。データ暗号化 を禁止している国のために用意された背景がある。 ESP(Encapsulated Security Payload) • AHの認証機能に加え、暗号化機能を提供するプロトコル。IKE SAを元に IPsec SAを確立させ、IPsec SAの鍵で暗号化を行う。 14
  • 15. Copyright 2021 FUJITSU CLOUD TECHNOLOGIES LIMITED IPsecのシーケンス(IKEv1) 15 拠点間VPN ゲートウェイ 対向VPN ルーター IKE SA確立 IKE SA確立 SA(Security Association)とは 暗号化アルゴリズムやトラ フィックセレクタなどのポリ シーと鍵のセット。 ESPによる暗号通信 IPsec SA確立 IPsec SA確立 IKEによる暗号通信 Phase-2でネゴシエートする情報 ESPの暗号化プロポーザル、ID Phase-1でネゴシエートする情報 暗号化プロポーザル、 DH-key 交換、Nonce、ID MainモードとAggressiveモード
  • 16. Copyright 2021 FUJITSU CLOUD TECHNOLOGIES LIMITED MainモードとAggressiveモード(IKEv1) Mainモード • VPNルーターのIPアドレスをIDとして認証を行う。ID含めすべて暗号化して通信を行う ため、セキュア。 • このためMainモードでは固定IPアドレスを利用する事が前提条件となる。 • 拠点間VPNゲートウェイはMainモードでの動作 Aggressiveモード • 動的なIPアドレス環境でも接続が可能。公開鍵認証を使わない限り、IDが暗号化されず Mainモードに比べるとセキュアではない。 IDはFQDNなど任意の文字列等で認証を行う 事が多い。 • 拠点間VPNゲートウェイでは対応していない 16
  • 17. Copyright 2021 FUJITSU CLOUD TECHNOLOGIES LIMITED ESP動作モード トランスポートモード • カプセル化するパケットにIP headerが 含まれない。 トンネルモード • カプセル化するパケットにIP headerが 含まれる。=フォワーディング出来る 17 TCP/UDP header Data ESP Tailer ESP Auth IP header ESP header TCP/UDP header Data ESP Tailer ESP Auth IP header TCP/UDP header Data IP header TCP/UDP header Data IP header IP header ESP header
  • 18. Copyright 2021 FUJITSU CLOUD TECHNOLOGIES LIMITED ポリシーベースVPNとルートベースVPN ポリシーベースVPN • 転送先ネットワークをIPsecのPhase-2 ID(Proxy ID)で決定 • 静的なルーティングに限定 • 拠点間VPNゲートウェイではIPsecに該当 ルートベースVPN • VPNトンネルを仮想I/Fでマッピングさせ、転送先ネットワークを仮想I/F のI/Fルーティングで制御する。IPsec Phase-2 ID(Proxy ID)は 0.0.0.0/0などでネゴシエーションする • static routing, BGPなどの動的ルーティングが利用可能 • 拠点間VPNゲートウェイではIPsec VTIに該当 18
  • 19. Copyright 2021 FUJITSU CLOUD TECHNOLOGIES LIMITED 実際のIPsecの構成例 19 お客様環境 172.16.0.0/24 192.168.0.0/24 .1 IPsec VTI VPNルーター VLAN1 192.168.0.0/24 .1 10.0.0.0/24 IPsec VLAN1 10.0.0.0/24 ルートテーブル を設定 疎通可能! お客様環境 VPNルーター 拠点間VPN ゲートウェイ 拠点間VPN ゲートウェイ ルーター Phase-2 ID 192.168.0.0/24 10.0.0.0/24 Phase-2 ID 0.0.0.0/0 0.0.0.0/0 ポリシーベースVPN ルートベースVPN
  • 20. Copyright 2021 FUJITSU CLOUD TECHNOLOGIES LIMITED PFSを実現するDHEとRekey PFS(Perfect Forward Secrecy)とは、鍵交換プロトコル(IKE)の事前共有鍵 が漏洩した場合でも、DHEなどによって作成したセッションキーによって安 全性が担保される仕組み。さらに一定時間後にセッションキーを再作成する 事で、鍵の安全性が担保される。 エドワード・スノーデン氏の事件で注目が集まる。 DHE(ディフィー・ヘルマン鍵共有)とは、公開鍵暗号方式の暗号プロトコル 拠点間VPNゲートウェイではPFSは有効になっており、IPsec SAのlifetime の時間毎にRekeyを行い、IPsec SAを更新しています。 20
  • 21. Copyright 2021 FUJITSU CLOUD TECHNOLOGIES LIMITED 21 トラブルシューティング
  • 22. Copyright 2021 FUJITSU CLOUD TECHNOLOGIES LIMITED よくある設定ミス  Phase 1 のIDが異なっている  Phase 2(Quick Mode) のIDが異なっている IKEv1のネゴシエーション 22 Phase ネゴシエーションする内容 Phase 1 暗号化プロポーザル DH-key交換、Nonce ID Phase 2 (Quick Mode) ESPの暗号化プロポーザル、ID
  • 23. Copyright 2021 FUJITSU CLOUD TECHNOLOGIES LIMITED Phase 1 のIDが異なっている 23 VyOSでのIKEv1 decrypt方法は https://www.slideshare.net/shintarohasunu ma/vyos-78181882
  • 24. Copyright 2021 FUJITSU CLOUD TECHNOLOGIES LIMITED Phase 1 のIDがプライベートIPアドレスになる場合の構成 24 上位ルータがいる場合 グローバルIPアドレスが 動的の場合 DNAT UDP:500 , 4500 グローバルIPアドレス x.x.x.x グローバルIPアドレス x.x.x.x→y.y.y.y 192.168.0.0/24 .254 .1
  • 25. Copyright 2021 FUJITSU CLOUD TECHNOLOGIES LIMITED Phase 2(Quick Mode) のIDが異なっている 25 VyOSでのIKEv1 decrypt方法は https://www.slideshare.net/shintarohasunu ma/vyos-78181882
  • 26. Copyright 2021 FUJITSU CLOUD TECHNOLOGIES LIMITED 拠点間VPNゲートウェイのログ、エラー表示機能 26 コンパネ上でログの確認、 接続エラー時の対処方法が分かります https://pfs.nifcloud.com/spec/vpngw/log.htm
  • 27. Copyright 2021 FUJITSU CLOUD TECHNOLOGIES LIMITED まとめ  IPsecとは • 暗号技術を使ってIPパケットの完全性や機密性を実現する仕組み。  ニフクラでも各種サービスでIPsecを利用しています • 拠点間VPNゲートウェイ • Liveマイグレーション(VMware HCX)  IPsec プロトコル概要 • IKE, AH, ESPなどのプロトコルで実現している。 • IKE SA, IPsec SAの順にSAを確立させ、PFSによる秘匿性を担保している。  トラブルシューティング • Phase-1,Phase-2のID不一致のケースが多い。 • IKE SA, IPsec SAが確立出来たか、順に確認する事が重要。 27
  • 28. Copyright 2021 FUJITSU CLOUD TECHNOLOGIES LIMITED ご参考  AWS Client VPNとニフクラ拠点間VPNゲートウェイ(IPsec-VTI)を組み合わせたマルチクラウ ド構成を組んでみた • https://blog.pfs.nifcloud.com/20210624_multicloud_awsclientvpn_nifcloudipsecvti_sitetosite  Interop Tokyo 2017のカンファレンスに登壇しました • https://tech.fjct.fujitsu.com/entry/2017/08/23/170853  VyOSの開発とか運用の話(IPsecのdecryptについて説明しています) • https://www.slideshare.net/shintarohasunuma/vyos-78181882 28
  • 29. Copyright 2021 FUJITSU CLOUD TECHNOLOGIES LIMITED