VMware Cloud Director 環境に置かれた NSX Data Center for vSphere Edge Gateway は、組織仮想データセンター ネットワーク間、または組織仮想データセンター ネットワークと外部 IP アドレス間の VPN トンネルを保護するために、サイト間の Internet Protocol Security (IPsec) をサポートしています。IPsec VPN サービスは Edge Gateway に設定できます。

最も一般的なシナリオは、リモート ネットワークから組織仮想データセンターへの IPsec VPN 接続を設定することです。NSX ソフトウェアでは、証明書認証、事前共有キー モード、自身とリモート VPN ルーター間の IP ユニキャスト トラフィックのサポートなどの Edge Gateway の IPsec VPN 機能が提供されます。複数のサブネットが Edge Gateway の背後にある内部ネットワークに IPsec トンネル経由で接続するような設定も可能です。IPsec トンネルを経由して内部ネットワークに接続するように複数のサブネットを設定する場合は、これらのサブネットおよび Edge Gateway の背後にある内部ネットワークのアドレス範囲が重複しないようにする必要があります。

注: IPsec トンネルの両側にあるローカル ピアとリモート ピアで IP アドレスが重複している場合は、ローカルに接続されたルートおよび自動配管ルートの有無に応じて、このトンネルを通って転送されるトラフィックに一貫性がなくなることがあります。

次の IPsec VPN アルゴリズムがサポートされています。

  • AES (AES128 CBC)
  • AES256 (AES256-CBC)
  • トリプル DES (3DES192-CBC)
  • AES-GCM (AES128 GCM)
  • DH-2(Diffie-Hellman グループ 2)
  • DH-5(Diffie-Hellman グループ 5)
  • DH-14(Diffie-Hellman グループ 14)
注: IPsec VPN では、動的ルーティング プロトコルはサポートされていません。組織仮想データセンターの Edge Gateway とリモート サイトの物理ゲートウェイ VPN の間に IPsec VPN トンネルを構成する場合は、その接続の動的ルーティングを構成できません。リモート サイトの IP アドレスを、Edge Gateway のアップリンク上の動的ルーティングによって学習することはできません。

NSX 管理ガイド』のトピック「IPsec VPN の概要」に記載されているように、Edge Gateway でサポートされている最大トンネル数は、構成されているサイズ(コンパクト、大、特大、超特大)によって決まります。

Edge Gateway 構成のサイズを表示するには、Edge Gateway に移動し、Edge Gateway 名をクリックします。

Edge Gateway で IPsec VPN を設定するには、複数の手順を実行します。

注: トンネルのエンドポイント間にファイアウォールが配置されている場合は、IPsec VPN サービスを設定した後に、次の IP プロトコルおよび UDP ポートを許可するようにルールを更新します。
  • IP プロトコル ID 50 (ESP)
  • IP プロトコル ID 51 (AH)
  • UDP ポート 500 (IKE)
  • UDP ポート 4500