5.3.3.3. サイト間VPN構成例

動作確認バージョン:Brocade 5600vRouter Version4.2R1S1
  • 本構成は VTI(virtual tunnel interface)を利用したサイト間 IPsec VPN を構築しております。
  • 以下システム構成図のようにVPNトンネルを複数張り、VTIに向けたスタティックルートを切り替えるフローティングスタティックを使用することによって冗長構成を実現しています。
  • 現在はIPsecの接続先にVRRPのVIPを設定することができないため、冗長構成をとる場合は本構成例を推奨いたします。

注釈

  • VTI(virtual tunnel interface)
    • サイト間IPsec VPNトンネルを終端する仮想トンネルインタフェースです。ルーティング可能な通常のインタフェースとほぼ同様の扱いができます。
    • Brocade 5600vRouter の仮想トンネルインタフェースは、サードパーティのVTI /ルートベースのVPN接続と互換性があります。
  • フローティングスタティック
    • 同じ宛先に別の通信経路を登録しておき、ディスタンス値(優先度)を低く設定しておくことによって、メインのルートが使用できなくなった際に自動的に浮かび上がってくるルートです。

システム構成図

C_a_1

注釈

  • Client/ServerのOSは "CentOS 7.1.1503" を使用しております。
  • FTPサーバは "vsFTPd 3.0.2" を使用しております。

ファイアウォール設定の内容

ファイアウォールインタフェース設定

設定内容の確認のためにインタフェース設定を示しておりますが、実際にはインタフェース設定はカスタマポータル上で設定して頂く必要があります。
以下インタフェース設定コマンドを投入するとエラーが返ってきますのでご注意ください。

注釈

  • インタフェース設定はカスタマポータル以外で設定することはできません。
  • FW-01
set interfaces dataplane dp0s7 address 192.168.3.156/28
set interfaces dataplane dp0s8 address 153.xx.xx.182/28
set interfaces dataplane dp0s11 address 192.168.3.140/28
  • FW-02
set interfaces dataplane dp0s7 address 192.168.3.157/28
set interfaces dataplane dp0s8 address 153.xx.xx.226/28
set interfaces dataplane dp0s11 address 192.168.3.141/28
  • FW-03
set interfaces dataplane dp0s6 address 153.xx.xx.227/29
set interfaces dataplane dp0s7 address 192.168.1.12/28

VRRP設定

  • FW-01
set interfaces dataplane dp0s11 vrrp vrrp-group 255 advertise-interval 20
set interfaces dataplane dp0s11 vrrp vrrp-group 255 preempt true
set interfaces dataplane dp0s11 vrrp vrrp-group 255 priority 150
set interfaces dataplane dp0s11 vrrp vrrp-group 255 rfc-compatibility
set interfaces dataplane dp0s11 vrrp vrrp-group 255 version 2
set interfaces dataplane dp0s11 vrrp vrrp-group 255 virtual-address 192.168.3.139
  • FW-02
set interfaces dataplane dp0s11 vrrp vrrp-group 255 advertise-interval 20
set interfaces dataplane dp0s11 vrrp vrrp-group 255 preempt true
set interfaces dataplane dp0s11 vrrp vrrp-group 255 priority 20
set interfaces dataplane dp0s11 vrrp vrrp-group 255 rfc-compatibility
set interfaces dataplane dp0s11 vrrp vrrp-group 255 version 2
set interfaces dataplane dp0s11 vrrp vrrp-group 255 virtual-address 192.168.3.139

注釈

  • FW-03シングル構成のため、VRRP設定はありません。
  • VRRPのadvertise intervalは初期設定では基盤側においてVRRP通信が稀に不安定になることが確認されていたため20sec以上を推奨しておりましたが(2016年12月時点)、不安定事象が解消したためお客様のシステム構成に合わせ設計ください(2017年8月時点)。(3回連続でHello Packetを受信しなかった際に断検知します)。なお本設定を変更する場合、Backup側のファイアウォールから変更してください。Master側から変更すると、Backup側へのHelloパケット送信間隔が変わるため、Backup側もMasterに昇格し、両装置がMasterになる可能性があります。
  • IPsec使用時はVRRPのVIPを接続先に指定することが出来ません。

VPN設定(IPsec)

FW の IPsec vti を利用した site-to-site 設定について以下に示します。
  • 認証情報
パラメータ
Key management protocol IKEv1(ISAKMP + Oakley)
Phase1  
Authentication Method pre-shared key
pre-shared key password test_key_1
DH group 2
Hash Algorithm SHA1
ISAKMP SA life time 28800 seconds
key exchange mode Main mode
Phase2  
IPsec SA life time 3600 seconds
Security protocol ESP
Authentication Algorithm HMAC-SHA1
Perfect Forward Secrecy Enable
Capsuling mode Tunnel
key exchange mode Quick mode
  • FW-01,02,03 共通設定
IKEグループの設定
set security vpn ipsec ike-group IKE-1W lifetime 28800
set security vpn ipsec ike-group IKE-1W proposal 1 dh-group 2
set security vpn ipsec ike-group IKE-1W proposal 1 encryption aes256
set security vpn ipsec ike-group IKE-1W proposal 1 hash sha1
DPDの設定
set security vpn ipsec ike-group IKE-1W dead-peer-detection action clear
set security vpn ipsec ike-group IKE-1W dead-peer-detection interval 1
set security vpn ipsec ike-group IKE-1W dead-peer-detection timeout 30

注釈

DPD(Dead Peer Detection)
IPsecトンネルの通信断を検出する機能です。本構成では1秒間隔でチェックを行い、30秒応答が無ければIPsecトンネルをクリアいたします。
ESPグループの設定
set security vpn ipsec esp-group ESP-1W lifetime 3600
set security vpn ipsec esp-group ESP-1W proposal 1 encryption aes256
set security vpn ipsec esp-group ESP-1W proposal 1 hash sha1

注釈

IKE、ESPグループの設定は全FW共通です。
  • FW-01
VTI設定
set interfaces vti vti0 address 10.1.1.1/30
サイト間接続設定
set security vpn ipsec site-to-site peer 153.xx.xx.227 authentication pre-shared-secret test_key_1
set security vpn ipsec site-to-site peer 153.xx.xx.227 ike-group IKE-1W
set security vpn ipsec site-to-site peer 153.xx.xx.227 local-address 153.xx.xx.182
set security vpn ipsec site-to-site peer 153.xx.xx.227 vti bind vti0
set security vpn ipsec site-to-site peer 153.xx.xx.227 vti esp-group ESP-1W
  • FW-02
VTI設定
set interfaces vti vti1 address 10.2.1.1/30
サイト間接続設定
set security vpn ipsec site-to-site peer 153.xx.xx.227 authentication pre-shared-secret test_key_1
set security vpn ipsec site-to-site peer 153.xx.xx.227 ike-group IKE-1W
set security vpn ipsec site-to-site peer 153.xx.xx.227 local-address 153.xx.xx.226
set security vpn ipsec site-to-site peer 153.xx.xx.227 vti bind vti1
set security vpn ipsec site-to-site peer 153.xx.xx.227 vti esp-group ESP-1W
  • FW-03
VTI設定
set interfaces vti vti0 address 10.1.1.2/30
set interfaces vti vti1 address 10.2.1.2/30
サイト間接続設定
set security vpn ipsec site-to-site peer 153.xx.xx.182 authentication pre-shared-secret 'test_key_1'
set security vpn ipsec site-to-site peer 153.xx.xx.182 ike-group 'IKE-1W'
set security vpn ipsec site-to-site peer 153.xx.xx.182 local-address '153.xx.xx.227'
set security vpn ipsec site-to-site peer 153.xx.xx.182 vti bind 'vti0'
set security vpn ipsec site-to-site peer 153.xx.xx.182 vti esp-group 'ESP-1W'
set security vpn ipsec site-to-site peer 153.xx.xx.226 authentication pre-shared-secret 'test_key_1'
set security vpn ipsec site-to-site peer 153.xx.xx.226 ike-group 'IKE-1W'
set security vpn ipsec site-to-site peer 153.xx.xx.226 local-address '153.xx.xx.227'
set security vpn ipsec site-to-site peer 153.xx.xx.226 vti bind 'vti1'
set security vpn ipsec site-to-site peer 153.xx.xx.226 vti esp-group 'ESP-1W'

ルーティング設定

  • FW-01
set protocols static interface-route 192.168.1.0/28 next-hop-interface dp0s7 distance 200
set protocols static interface-route 192.168.1.0/28 next-hop-interface vti0
set protocols static route 192.168.3.128/28 next-hop 192.168.3.157
  • FW-02
set protocols static interface-route 192.168.1.0/28 next-hop-interface dp0s7 distance 200
set protocols static interface-route 192.168.1.0/28 next-hop-interface vti1
set protocols static route 192.168.3.128/28 next-hop 192.168.3.156
  • FW-03
set protocols static interface-route 192.168.3.128/28 next-hop-interface vti0
set protocols static interface-route 192.168.3.128/28 next-hop-interface vti1 distance 200

注釈

・IPSecのvtiにルートを向ける際は、インタフェースベースのルーティング設定をご使用ください。通常のルーティング設定の場合、稀にvtiへのルートが認識されない場合があります。

設定内容の確認

前述の設定が正しく投入されている場合、以下出力が確認できます。
  • FW-01
user-admin@FW-01# show interfaces
 interfaces {
        dataplane dp0s7 {
                address 192.168.3.156/28
        }
        dataplane dp0s8 {
                address 153.xx.xx.182/28
        }
        dataplane dp0s11 {
                address 192.168.3.140/28
                vrrp {
                        vrrp-group 255 {
                                advertise-interval 20
                                preempt true
                                priority 150
                                rfc-compatibility
                                version 2
                                virtual-address 192.168.3.139
                        }
                }
        }
        loopback lo
        vti vti0 {
                address 10.1.1.1/30
        }
 }


user-admin@FW-01# show security vpn ipsec
 ipsec {
        esp-group ESP-1W {
                lifetime 3600
                proposal 1 {
                        encryption aes256
                        hash sha1
                }
        }
        ike-group IKE-1W {
                dead-peer-detection {
                        action clear
                        interval 1
                        timeout 30
                }
                lifetime 28800
                proposal 1 {
                        dh-group 2
                        encryption aes256
                        hash sha1
                }
        }
        site-to-site {
                peer 153.xx.xx.227 {
                        authentication {
                                pre-shared-secret test_key_1
                        }
                        ike-group IKE-1W
                        local-address 153.xx.xx.182
                        vti {
                                bind vti0
                                esp-group ESP-1W
                        }
                }
        }
 }


user-admin@FW-01# show protocols
 protocols {
        static {
                interface-route 192.168.1.0/28 {
                        next-hop-interface dp0s7 {
                                distance 200
                        }
                        next-hop-interface vti0
                }
                route 192.168.3.128/28 {
                        next-hop 192.168.3.157
                }
        }
 }
  • FW-02
user-admin@FW-02# show interfaces
 interfaces {
        dataplane dp0s7 {
                address 192.168.3.157/28
        }
        dataplane dp0s8 {
                address 153.xx.xx.226/28
        }
        dataplane dp0s11 {
                address 192.168.3.141/28
                vrrp {
                        vrrp-group 255 {
                                advertise-interval 20
                                preempt true
                                priority 20
                                rfc-compatibility
                                version 2
                                virtual-address 192.168.3.139
                        }
                }
        }
        loopback lo
        vti vti1 {
                address 10.2.1.1/30
        }
 }


user-admin@FW-02# show security vpn ipsec
 ipsec {
        esp-group ESP-1W {
                lifetime 3600
                proposal 1 {
                        encryption aes256
                        hash sha1
                }
        }
        ike-group IKE-1W {
                dead-peer-detection {
                        action clear
                        interval 1
                        timeout 30
                }
                lifetime 28800
                proposal 1 {
                        dh-group 2
                        encryption aes256
                        hash sha1
                }
        }
        site-to-site {
                peer 153.xx.xx.227 {
                        authentication {
                                pre-shared-secret test_key_1
                        }
                        ike-group IKE-1W
                        local-address 153.xx.xx.226
                        vti {
                                bind vti1
                                esp-group ESP-1W
                        }
                }
        }
 }


user-admin@FW-02# show protocols
 protocols {
        static {
                interface-route 192.168.1.0/28 {
                        next-hop-interface dp0s7 {
                                distance 200
                        }
                        next-hop-interface vti1
                }
                route 192.168.3.128/28 {
                        next-hop 192.168.3.156
                }
        }
 }
  • FW-03
user-admin@FW-03# show int
 interfaces {
        dataplane dp0s6 {
                address 153.xx.xx.227/29
        }
        dataplane dp0s7 {
                address 192.168.1.12/28
        }
        loopback lo
        vti vti0 {
                address 10.1.1.2/30
        }
        vti vti1 {
                address 10.2.1.2/30
        }
 }


user-admin@FW-03# show security vpn ipsec
 ipsec {
        esp-group ESP-1W {
                lifetime 3600
                proposal 1 {
                        encryption aes256
                        hash sha1
                }
        }
        ike-group IKE-1W {
                dead-peer-detection {
                        action clear
                        interval 1
                        timeout 30
                }
                lifetime 28800
                proposal 1 {
                        dh-group 2
                        encryption aes256
                        hash sha1
                }
        }
        site-to-site {
                peer 153.xx.xx.182 {
                        authentication {
                                pre-shared-secret test_key_1
                        }
                        ike-group IKE-1W
                        local-address 153.xx.xx.227
                        vti {
                                bind vti0
                                esp-group ESP-1W
                        }
                }
                peer 153.xx.xx.226 {
                        authentication {
                                pre-shared-secret test_key_1
                        }
                        ike-group IKE-1W
                        local-address 153.xx.xx.227
                        vti {
                                bind vti1
                                esp-group ESP-1W
                        }
                }
        }
 }


user-admin@FW-03# show protocols
 protocols {
        static {
                interface-route 192.168.3.128/28 {
                        next-hop-interface vti0
                        next-hop-interface vti1 {
                                distance 200
                        }
                }
        }
 }

通信の流れ

正常時はFW-01を経由して通信が行えます。
Client から Server へ対して Ping および FTP で通信確認を行います。
C_a_2

正常通信時の状態確認

正常通信時のファイアウォールの状態は以下のように確認できます。
  • VRRPの状態
FW-01 が Master であること。
user-admin@FW-01:~$ show vrrp
                                 RFC        Addr   Last        Sync
Interface         Group  State   Compliant  Owner  Transition  Group
---------         -----  -----   ---------  -----  ----------  -----
dp0s11            255    MASTER  dp0vrrp1   no     6h10m42s    <none>
FW-02 が Backup であること。
user-admin@FW-02:~$ show vrrp
                                 RFC        Addr   Last        Sync
Interface         Group  State   Compliant  Owner  Transition  Group
---------         -----  -----   ---------  -----  ----------  -----
dp0s11            255    BACKUP  dp0vrrp1   no     6h12m12s    <none>
  • VPNの状態
FW-01 と FW-03 がVPNを確立できていること。
user-admin@FW-01:~$ show vpn ipsec sa
Peer ID / IP                            Local ID / IP
------------                            -------------
153.xx.xx.227                         153.xx.xx.182

    Tunnel  State  Bytes Out/In     Encrypt       Hash    A-Time  L-Time  Proto
    ------  -----  -------------  ------------  --------  ------  ------  -----
    vti     up     0.0/0.0        aes256        sha1      1364    3600    all
FW-02 と FW-03 がVPNを確立できていること。
user-admin@FW-02:~$ show vpn ipsec sa
Peer ID / IP                            Local ID / IP
------------                            -------------
153.xx.xx.227                         153.xx.xx.226

    Tunnel  State  Bytes Out/In     Encrypt       Hash    A-Time  L-Time  Proto
    ------  -----  -------------  ------------  --------  ------  ------  -----
    vti     up     0.0/0.0        aes256        sha1      372     3600    all
FW-03 と FW-01,02 がVPNを確立できていること。
user-admin@FW-03:~$ show vpn ipsec sa
Peer ID / IP                            Local ID / IP
------------                            -------------
153.xx.xxx.182                          153.xx.xx.227

    Tunnel  State  Bytes Out/In     Encrypt       Hash    A-Time  L-Time  Proto
    ------  -----  -------------  ------------  --------  ------  ------  -----
    vti     up     0.0/0.0        aes256        sha1      1698    3600    all

Peer ID / IP                            Local ID / IP
------------                            -------------
153.xx.xx.226                          153.xx.xx.227

    Tunnel  State  Bytes Out/In     Encrypt       Hash    A-Time  L-Time  Proto
    ------  -----  -------------  ------------  --------  ------  ------  -----
    vti     up     0.0/0.0        aes256        sha1      504     3600    all
  • インタフェースの状態
FW-01 の vti0 がUPしていること。
user-admin@FW-01:~$ show interfaces
Codes: S - State, L - Link, u - Up, D - Down, A - Admin Down
Interface        IP Address                        S/L  Description
---------        ----------                        ---  -----------
dp0s3            100.70.64.31/20                   u/u
dp0s4            -                                 A/D
dp0s5            -                                 A/D
dp0s6            -                                 A/D
dp0s7            192.168.3.156/28                  u/u
dp0s8            153.xx.xxx.182/28                 u/u
dp0s9            10.0.0.17/24                      u/u
dp0s10           169.254.0.8/17                    u/u
dp0s11           192.168.3.140/28                  u/u
dp0vrrp1         192.168.3.139/32                  u/u
vti0             10.1.1.1/30                       u/u
FW-02 の vti1 がUPしていること。
user-admin@FW-02:~$ show interfaces
Codes: S - State, L - Link, u - Up, D - Down, A - Admin Down
Interface        IP Address                        S/L  Description
---------        ----------                        ---  -----------
dp0s7            192.168.3.157/28                  u/u
dp0s8            153.xx.xxx.226/28                 u/u
dp0s11           192.168.3.141/28                  u/u
dp0vrrp1         -                                 A/D
vti1             10.2.1.1/30                       u/u
FW-03 の vti0,1 がUPしていること。
user-admin@FW-03:~$ show interfaces
Codes: S - State, L - Link, u - Up, D - Down, A - Admin Down
Interface        IP Address                        S/L  Description
---------        ----------                        ---  -----------
dp0s6            153.xxx.xxx.227/29                u/u
dp0s7            192.168.1.12/28                   u/u
vti0             10.1.1.2/30                       u/u
vti1             10.2.1.2/30                       u/u
  • ルーティングの状態
FW-01 の拠点A(192.168.1.0/28)に対するルートが vti0 に向いていること。
user-admin@FW-01:~$ show ip route

IP Route Table for VRF "default"
Gateway of last resort is 153.xx.xx.190 to network 0.0.0.0

S    *> 0.0.0.0/0 [1/0] via 153.xx.xx.190, dp0s8
C    *> 10.0.0.0/24 is directly connected, dp0s9
C    *> 10.1.1.0/30 is directly connected, vti0
S    *> 100.70.1.64/26 [210/0] via 100.70.64.1, dp0s3
S    *> 100.70.32.64/26 [210/0] via 100.70.64.1, dp0s3
C    *> 100.70.64.0/20 is directly connected, dp0s3
C    *> 127.0.0.0/8 is directly connected, lo
C    *> 153.xx.xx.176/28 is directly connected, dp0s8
C    *> 169.254.0.0/17 is directly connected, dp0s10
S    *> 192.168.1.0/28 [1/0] is directly connected, vti0 ★
S       192.168.1.0/28 [200/0] is directly connected, dp0s7
C    *> 192.168.3.128/28 is directly connected, dp0s11
S       192.168.3.128/28 [1/0] via 192.168.3.157, dp0s7
C    *> 192.168.3.139/32 is directly connected, dp0vrrp1
C    *> 192.168.3.144/28 is directly connected, dp0s7
FW-02 の拠点A(192.168.1.0/28)に対するルートが vti1 に向いていること。
user-admin@FW-02:~$ show ip route

IP Route Table for VRF "default"
Gateway of last resort is 153.xx.xx.238 to network 0.0.0.0

S    *> 0.0.0.0/0 [1/0] via 153.xx.xx.238, dp0s8
C    *> 10.0.0.0/24 is directly connected, dp0s9
C    *> 10.2.1.0/30 is directly connected, vti1
S    *> 100.70.1.64/26 [210/0] via 100.70.64.1, dp0s3
S    *> 100.70.32.64/26 [210/0] via 100.70.64.1, dp0s3
C    *> 100.70.64.0/20 is directly connected, dp0s3
C    *> 127.0.0.0/8 is directly connected, lo
C    *> 153.xx.xx.224/28 is directly connected, dp0s8
C    *> 169.254.0.0/17 is directly connected, dp0s10
S    *> 192.168.1.0/28 [1/0] is directly connected, vti1 ★
S       192.168.1.0/28 [200/0] is directly connected, dp0s7
C    *> 192.168.3.128/28 is directly connected, dp0s11
S       192.168.3.128/28 [1/0] via 192.168.3.156, dp0s7
C    *> 192.168.3.144/28 is directly connected, dp0s7
FW-03 の拠点B(192.168.3.128/28)に対するルートが vti0 に向いていること。
FW-01(vti0)障害時は、FW-02(vti1)のルートが浮かび上がります。
user-admin@FW-03:~$ show ip route

IP Route Table for VRF "default"
Gateway of last resort is 153.xx.xx.230 to network 0.0.0.0

S    *> 0.0.0.0/0 [1/0] via 153.xx.xx.230, dp0s6
C    *> 10.1.1.0/30 is directly connected, vti0
C    *> 10.2.1.0/30 is directly connected, vti1
S    *> 100.67.1.64/26 [210/0] via 100.67.64.1, dp0s3
S    *> 100.67.32.64/26 [210/0] via 100.67.64.1, dp0s3
C    *> 100.67.64.0/20 is directly connected, dp0s3
C    *> 127.0.0.0/8 is directly connected, lo
C    *> 153.xx.xx.224/29 is directly connected, dp0s6
C    *> 192.168.1.0/28 is directly connected, dp0s7
S    *> 192.168.3.128/28 [1/0] is directly connected, vti0 ★
S       192.168.3.128/28 [200/0] is directly connected, vti1

Clientの接続確認

Ping、FTPが成功することを確認します。
  • Ping を用いて通信確認[OK]
[test-user@australia-cent001 ~]$ ping 192.168.3.130
PING 192.168.3.130 (192.168.3.130) 56(84) bytes of data.
64 bytes from 192.168.3.130: icmp_seq=1 ttl=62 time=195 ms
64 bytes from 192.168.3.130: icmp_seq=2 ttl=62 time=193 ms
64 bytes from 192.168.3.130: icmp_seq=3 ttl=62 time=193 ms
64 bytes from 192.168.3.130: icmp_seq=4 ttl=62 time=193 ms
64 bytes from 192.168.3.130: icmp_seq=5 ttl=62 time=193 ms
^C
--- 192.168.3.130 ping statistics ---
5 packets transmitted, 5 received, 0% packet loss, time 4004ms
rtt min/avg/max/mdev = 193.078/193.838/195.951/1.074 ms
[test-user@australia-cent001 ~]$
  • FTP を用いて通信確認[OK]
[test-user@australia-cent001 tmp]$ ftp 192.168.3.130
Connected to 192.168.3.130 (192.168.3.130).
220 (vsFTPd 3.0.2)
Name (192.168.3.130:test-user):
331 Please specify the password.
Password:
230 Login successful.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp>
ftp>
ftp> dir
227 Entering Passive Mode (192,168,3,130,118,221).
150 Here comes the directory listing.
226 Directory send OK.
ftp>
ftp> put test_file
local: test_file remote: test_file
227 Entering Passive Mode (192,168,3,130,118,35).
150 Ok to send data.
226 Transfer complete.
ftp>
ftp> dir
227 Entering Passive Mode (192,168,3,130,118,209).
150 Here comes the directory listing.
-rw-r--r--    1 1000     1000            0 Mar 23 18:12 test_file
226 Directory send OK.
ftp>
ftp> bye
221 Goodbye.

障害発生時の通信の流れ

障害発生時は FW-02 にルートが切替わります。
Client から Server へ対して Ping および FTP で通信確認を行います。
C_a_3

障害発生時の状態確認

障害発生時のファイアウォールの状態は以下のように確認できます。

注釈

  • FW-01 はインスタンス障害が発生しているためステータスの確認は省略しております。

注釈

 インスタンス障害の試験方法として、ファイアウォールの障害は再起動をすることで疑似しています。
  • VRRPの状態
FW-02 が Master であること。
user-admin@FW-02:~$ show vrrp
                                 RFC        Addr   Last        Sync
Interface         Group  State   Compliant  Owner  Transition  Group
---------         -----  -----   ---------  -----  ----------  -----
dp0s11            3      MASTER  dp0vrrp1   no     13s         <none>
  • VPNの状態
FW-02 と FW-03 がVPNを確立できていること。
user-admin@FW-02:~$ show vpn ipsec sa
Peer ID / IP                            Local ID / IP
------------                            -------------
153.xx.xx.227                         153.xx.xx.226

    Tunnel  State  Bytes Out/In     Encrypt       Hash    A-Time  L-Time  Proto
    ------  -----  -------------  ------------  --------  ------  ------  -----
    vti     up     420.0/420.0    aes256        sha1      613     3600    all
FW-03 と FW-02 がVPNを確立できていること。
user-admin@FW-03:~$ show vpn ipsec sa

Peer ID / IP                            Local ID / IP
------------                            -------------
153.xx.xxx.182                          153.xx.xx.227

   Tunnel  State  Bytes Out/In     Encrypt       Hash    A-Time  L-Time  Proto
   ------  -----  -------------  ------------  --------  ------  ------  -----
   vti     down   0.0/0.0        n/a           n/a       0       n/a     all

Peer ID / IP                            Local ID / IP
------------                            -------------
153.xx.xx.226                          153.xx.xx.227

   Tunnel  State  Bytes Out/In     Encrypt       Hash    A-Time  L-Time  Proto
   ------  -----  -------------  ------------  --------  ------  ------  -----
   vti     up     336.0/0.0      aes256        sha1      81      3600    all

注釈

Version 5.2R4ではdown stateの表示がされませんので、以下の通り表示されます。ご注意ください。
user-admin@FW-03:~$ show vpn ipsec sa

Peer ID / IP                            Local ID / IP
------------                            -------------
153.xx.xx.226                          153.xx.xx.227

    Tunnel  State  Bytes Out/In     Encrypt       Hash    A-Time  L-Time  Proto
    ------  -----  -------------  ------------  --------  ------  ------  -----
    vti     up     336.0/0.0      aes256        sha1      81      3600    all
  • インタフェースの状態
FW-02 の vti1 がUPしていること。
user-admin@FW-02:~$ show interfaces
Codes: S - State, L - Link, u - Up, D - Down, A - Admin Down
Interface        IP Address                        S/L  Description
---------        ----------                        ---  -----------
dp0s7            192.168.3.157/28                  u/u
dp0s8            153.xx.xxx.226/28                 u/u
dp0s11           192.168.3.141/28                  u/u
dp0vrrp1         -                                 A/D
vti1             10.2.1.1/30                       u/u
FW-03 の vti1 がUPしていること。
user-admin@FW-03:~$ show interfaces
Codes: S - State, L - Link, u - Up, D - Down, A - Admin Down
Interface        IP Address                        S/L  Description
---------        ----------                        ---  -----------
dp0s6            153.xxx.xxx.227/29                u/u
dp0s7            192.168.1.12/28                   u/u
vti0             10.1.1.2/30                       A/D
vti1             10.2.1.2/30                       u/u
  • ルーティングの状態
FW-02 の拠点A(192.168.1.0/28)に対するルートが vti1 に向いていること。
user-admin@FW-02:~$ show ip route

IP Route Table for VRF "default"
Gateway of last resort is 153.xx.xx.238 to network 0.0.0.0

S    *> 0.0.0.0/0 [1/0] via 153.xx.xx.238, dp0s8
C    *> 10.0.0.0/24 is directly connected, dp0s9
C    *> 10.2.1.0/30 is directly connected, vti1
S    *> 100.70.1.64/26 [210/0] via 100.70.64.1, dp0s3
S    *> 100.70.32.64/26 [210/0] via 100.70.64.1, dp0s3
C    *> 100.70.64.0/20 is directly connected, dp0s3
C    *> 127.0.0.0/8 is directly connected, lo
C    *> 153.xx.xx.224/28 is directly connected, dp0s8
C    *> 169.254.0.0/17 is directly connected, dp0s10
S    *> 192.168.1.0/28 [1/0] is directly connected, vti1 ★
S       192.168.1.0/28 [200/0] is directly connected, dp0s7
C    *> 192.168.3.128/28 is directly connected, dp0s11
S       192.168.3.128/28 [1/0] via 192.168.3.156, dp0s7
C    *> 192.168.3.144/28 is directly connected, dp0s7
FW-03 の拠点B(192.168.3.128/28)に対するルートが vti1 に向いていること。
user-admin@FW-03:~$ show ip route

IP Route Table for VRF "default"
Gateway of last resort is 153.xx.xx.230 to network 0.0.0.0

S    *> 0.0.0.0/0 [1/0] via 153.xx.xx.230, dp0s6
C    *> 10.2.1.0/30 is directly connected, vti1
S    *> 100.67.1.64/26 [210/0] via 100.67.64.1, dp0s3
S    *> 100.67.32.64/26 [210/0] via 100.67.64.1, dp0s3
C    *> 100.67.64.0/20 is directly connected, dp0s3
C    *> 127.0.0.0/8 is directly connected, lo
C    *> 153.xx.xx.224/29 is directly connected, dp0s6
C    *> 192.168.1.0/28 is directly connected, dp0s7
S    *> 192.168.3.128/28 [200/0] is directly connected, vti1 ★
S       192.168.3.128/28 [1/0] is directly connected, vti0 inactive

Clientの接続確認

Ping、FTPが成功することを確認します。
  • Ping を用いて通信確認[OK]
[test-user@australia-cent001 ~]$ ping 192.168.3.130
PING 192.168.3.130 (192.168.3.130) 56(84) bytes of data.
64 bytes from 192.168.3.130: icmp_seq=1 ttl=62 time=195 ms
64 bytes from 192.168.3.130: icmp_seq=2 ttl=62 time=193 ms
64 bytes from 192.168.3.130: icmp_seq=3 ttl=62 time=193 ms
64 bytes from 192.168.3.130: icmp_seq=4 ttl=62 time=193 ms
64 bytes from 192.168.3.130: icmp_seq=5 ttl=62 time=193 ms
^C
--- 192.168.3.130 ping statistics ---
5 packets transmitted, 5 received, 0% packet loss, time 4004ms
rtt min/avg/max/mdev = 193.078/193.838/195.951/1.074 ms
[test-user@australia-cent001 ~]$
  • FTP を用いて通信確認[OK]
[test-user@australia-cent001 tmp]$ ftp 192.168.3.130
Connected to 192.168.3.130 (192.168.3.130).
220 (vsFTPd 3.0.2)
Name (192.168.3.130:test-user):
331 Please specify the password.
Password:
230 Login successful.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp>
ftp> put test_file_2
local: test_file_2 remote: test_file_2
227 Entering Passive Mode (192,168,3,130,119,26).
150 Ok to send data.
226 Transfer complete.
ftp>
ftp> ls
227 Entering Passive Mode (192,168,3,130,117,60).
150 Here comes the directory listing.
-rw-r--r--    1 1000     1000            0 Mar 23 18:12 test_file
-rw-r--r--    1 1000     1000            0 Mar 23 18:57 test_file_2
226 Directory send OK.
ftp>
ftp> bye
221 Goodbye.