AWSに展開したSMA8200vの IP Pool 設定

Description

AWSに展開したSMA8200vの IP Pool の設定について説明します。

Resolution


SMA1000シリーズでConnect Tunnel/On Deman TunnelおよびMobile Connetを使用する場合、必ずIP Poolを設定しなければなりません。

IP Pool には以下の種類があります。

  1. Routed address pool - dynamic: DHCPからアドレスを取得しクライアントに割り当てます。
  2. User-mapped address pool: RADIUSサーバより割り当てられたIPアドレスを使用します。ユーザ毎に一つ一つIPアドレスを設定しなければなりませんので、実際の運用環境での使用には適しません。
  3. Routed address pool - static: 一つのIPアドレス、IPアドレス範囲もしくはIPサブネットを指定して、そのアドレスがクライアントに割り当てられます。
  4. Translated address pool (Source NAT):クライアントには特定のIPアドレス範囲から一つ割り当てられますが、設定で指定したX0のIPサブネット内のアドレスの一つを使用しソースアドレスが変換されてリソースと通信を行います。この設定は、いくつかの技術的制約がありますので、検証用途でのみ使用し、絶対実際の運用環境では使用しないでください。


一般的に、実際に最もよく使われる方法は 1. Routed address pool - dynamic と思われます。

しかしながら、AWSでSMA8200vを使用する場合、AWSの制約によりDHCPは使用できないため、現実的な使用方法としては、3. Routed address pool - static 一択となります。

AWSで稼働するSMA8200vでRouted address pool - static を設定する方法を説明します。

CAUTION: AWSの制約によりお客様AWSネットワーク/システムによっては、下記で設定したRouted address pool - static で通信できない場合があります。この制約については、この記事を参照ください。 

1. AWSマネージメントコンソールでの設定

2. SMA8200vでの設定

1. AWSマネージメントコンソールでの設定

(1) ネットワークインタファース画面で、SMA8200vのX0(eth0)のネットワークインターフェースのチェックボックスをチェックします。

Image

(2) アクションをクリックし、送信先/送信先の変更チェック をクリックします。

(3) 無効 をチェックし保存をクリックします。

Image

(4) 新しくVPCを作成します(以下VPC2)。名前、リージョン、アベイラビティティゾーン、ネットワークアドレス、ネットマスク、など特に制限等はありません。ただし、IPv4 CIDRは、SMA8200vの属するVPC(以下VPC1)のCIDR(以下CIDR1)と異なるCIDR(以下CIDR2)を指定します。この後SMA8200vでのIP Poolの設定で、CIDR2を使用しますので、SSL-VPNの同時接続数を考慮してネットマスクを選択してください。

CAUTION: VPC2には、実際のインスタンスをおかないでください。VPC2はこの設定のためだけのVPCになります。 

(5) VPC1 と VPC2 にピアリング接続を設定します。VPC(リクエスタ)にはVPC1を、VPC(アクセプタ)にはVPC2指定します。

Image

(6) 作成したピアリング接続は、承諾の保留中になりますので承諾 することによってピアリング接続がアクティブになります。

Image

(7) VPC1 のルートテーブル に、VPC2のCIDR(CIDR2) の ルートを追加します。以下の例ではCIDR2は192.168.160.0/24です。ターゲットでは、Network Interfaceを選択します。このVPC(VPC1)で指定可能なネットワークインターフェース(ENI) がリストされますので、必ず上記(1)の設定を行った、SMA8200vのX0(eth0もしくはinternel)インターフェースを指定してください。

Image

以上でAWSマネージメントコンソールでの設定は終了です。

2. SMA8200vでの設定

(1) SMA8200vの管理画面にログインし、System Configuration > Services ページに移動します。ACCESS SERVICESNetwork Tunnel ServiceConfigure をクリックします。

(2) IP ADDRESS POOLS セクションの、+をクリックします。

Image

(3) Name に任意の名前を入力します。Routed address pool - static をチェックします。+をクリックします。

Image

(4) 指定の仕方は3通りあります。

CAUTION: ここで指定するアドレスは、上記でAWSマネージメントコンソールで設定した、SMA8200vのX0が所属するVPCのCIDR(IPアドレス空間)と同じもしくはオーバーラップしない別のCIDRのアドレスを指定してください。 

一つのアドレスを指定する。 IP Address にIPアドレスを入力(例:10.17.1.1)しSubnet Maskに255.255.255.255 を指定します。この例では、最初に接続したクライアントに10.17.1.1が割り当てられます。最初に接続したクライアントが切断する前に2番目のクライアントが接続した場合、接続に失敗します。

IPアドレス範囲を指定する。IP Addressに開始のIPアドレス(例: 10.17.1.50)を入力します。IP Range Endに終了のIPアドレス(例: 1017.2.50)を指定します。Subnet Maskにサブネットマスク(例: 255.255.0.0)を指定します。この例では、10.17.1.50〜10.17.1.254および10.17.2.1〜10.17.2.50までの254個のアドレスのいずれかが割り当てられます。

IPサブネットアドレスを指定する。IP AddressにIPサブネットアドレス(例: 10.17.1.0)を指定します。Subnet Maskにサブネットマスク(255.255.255.0)を指定します。この例では、10.17.1.1〜10.17.1.254までの254個のアドレスのいずれかが割り当てられます。

https://sonicwall.rightanswers.com/solutionmanager/author-solutions/wysiwyg-features/ra-image-insert.jsp#

(5) 4の設定後OKで設定を終了します。+をクリックすることにより、複数設定することも可能です。

(6) 最後に、SAVEをクリックして終了します。

(7) ここでは説明を省きますが、該当のレルムのコミュニティでこのIP Poolを使用するように設定する必要があります。

(8) 最後にApply Pending Change の実施を忘れないようにしてください。



Related Articles

  • SMA100 End of Support No-Charge Replacement FAQ
    Read More
  • SMA1000: Post upgrade to 12.5.0 on AWS and Azure, we show the error Could not retrieve the DNS settings once we log in to AMC/CMS console
    Read More
  • Firmware version required to upgrade to version 12.5.0.
    Read More

Categories

Secure Mobile Access
SMA 1000 Series
not finding your answers?
Ask the Community