GWLBテスト

実験構成図を以下に示す.

実習IP

私のローカルPCは今回の実験でユーザーの役割を果たし、そのIPは175.119.165.7です.
このIPを覚えてください!

ルーティングテーブルの設定

次に、テストのルーティングテーブルを設定します.
各サブネットに割り当てられたルーティングテーブルは,前述のように設定すればよい.
でも構図の上にはIngress Routing Tableという
このルーティングテーブルはIGWに適しており、インターネットゲートウェイを介して入力されたパケットがDestinationとして特定のIPを有する場合、必要なターゲットにパケットを転送することができる.
パケットを10.0.2.2.170に送信し、まずGWLBとデバイスを通過させます.

「インポートルーティングテーブル」では、「イメージ接続」タブで設定できます.

「画像接続の編集」画面で、必要なインターネットゲートウェイを選択します.
本実験ではWEB−IGWを選択する.

Fortinetファイアウォールの検証

次にファイアウォールを設置します.

FortientファイアウォールインスタンスのIPを確認してください.
今回の実験では,3.35.29.151のIPを受け取った.
この画面からインスタンスIDをコピーしてみましょう.

初めてファイアウォールに接続する場合は、インスタンスIDを入力してログインし、パスワードを変更する必要があります.
上記のコピーしたインスタンスIDを使用してパスワードを変更してください.

パスワードを変更したら、まずsshでファイアウォールに接続してください.

Geneveプロトコルの通信を検証するためのインタフェースを設定します.

edit "awsgeneve"
set interface "port1" # 방화벽의 사설 IP(192.168.2.94 인터페이스)
set type ppp
set remote-ip 192.168.1.102 # GWLB의 인터페이스
set next
end

インタフェースが設定されている以上、ファイアウォールポリシーを作成します.
[ファイアウォールWebコンソール]画面の[ポリシーとオブジェクト]タブの[ファイルポリシー]画面で、[新規作成]ボタンを選択して新しいポリシーを作成します.

作成したawsgeneveストリームをパケットに通過させるポリシーを適用します.

GENEVEプロトコル動作チェック

まず、デフォルトのインタフェースであるポート1(192.168.2.94)を見てみましょう.

sshでファイアウォールに接続しましょう.

diagnose sniffer packet port1 "port not 443“

パケットリスナーコマンドを入力してport 1を通過するトラフィックを表示してください.

次に、実験2で作成したWebサーバにアクセスして、パケットをGWLBからF/Wに転送しようと試みる.

コマンドを入力すると、上記の画面が表示されます.
GWLBでは、6081/UDP(GENEVEプロトコル)の通信が192.168.1.1102から192.168.2.94 F/Wまで画面に表示されます.

F/W->WEBサーバ通信の検証

今回は、awsgeneveでF/WからWebサーババージョンへのリクエストが受信されたかどうかを検証します.

diagnose sniffer packet awsgeneve "port not 443"

awsgeneveインタフェースのトラフィックを確認すると、10.0.2.2.170でWEBサーバに送信されるトラフィックが表示されます.
ソースIPからは,現在実験中の175.119.165.7 IPを起点としたパケットが見られる.
これにより、GENEVEプロトコルが、ソースIPを変更することなく、デバイスにパケットを転送することを保証することができる.
それでは実習を終わります.