VMware Cloud Director は、NSX Edge Gateway インスタンスとリモート サイト間のサイト間ポリシーベースおよびルートベースの IPsec VPN をサポートします。

IPsec VPN は、Edge Gateway と、同じく NSX を使用しているか、IPSec をサポートするサードパーティのハードウェア ルーターまたは VPN ゲートウェイを備えているリモート サイトとの間のサイトツーサイトの接続を提供します。

ポリシーベースの IPsec VPN では、VPN ポリシーをパケットに適用して、VPN トンネルを通過する前に IPsec で保護するトラフィックを決定する必要があります。このタイプの VPN は、ローカル ネットワーク トポロジや構成が変更されると、その変更に合わせて VPN ポリシー設定も更新する必要があるため、静的と見なされます。

NSX Edge Gateway は、IPsec トラフィックがルーティングを優先する、分割トンネル構成をサポートします。

NSX Edge Gateway で IPsec VPN を使用する場合、VMware Cloud Director はルートの自動再分散をサポートします。

バージョン 10.6 以降では、サイト間ルートベースの IPsec VPN を構成できます。NSX Edge Gateway のルートベースの IPsec VPN の場合、VMware Cloud Director はスタティック ルートのみをサポートします。ルートベース IPsec VPN は、標準ルーティング プロトコルを使用し、スケーラビリティを向上させます。これは、より大規模で、より複雑なネットワークに適しています。

VMware Cloud Director Service Provider Admin Portal での NSX IPsec VPN の構成

NSX Edge Gateway とリモート サイトの間でサイト間接続を構成できます。リモート サイトは、NSX を使用し、サードパーティ製ハードウェア ルーター、または IPsec をサポートする VPN ゲートウェイを使用する必要があります。

NSX Edge Gateway で IPsec VPN を構成する場合、VMware Cloud Director はルートの自動再分散をサポートします。

前提条件

  • NSX ルートベース IPsec VPN トンネルを構成する場合は、固定ルーティングを構成します。VMware Cloud Director Service Provider Admin Portal での NSX Edge Gateway の固定ルーティングの構成を参照してください。
  • 証明書認証を使用して IPsec VPN 通信を保護する場合は、システム管理者がローカル NSX Edge Gateway のサーバ証明書と組織の CA 証明書を VMware Cloud Director 証明書ライブラリにアップロードしたことを確認します。
  • テナントが使用できるセキュリティ プロファイルの数を制限する場合は、 VMware Cloud Director セル管理ツール (CMT) の manage-config サブコマンドを使用します。たとえば、リストを FIPSFoundation に制限する場合は、次の CMT コマンドを実行します。 
    /opt/vmware/vcloud-director/bin/cell-management-tool manage-config -n networking.gatewayIpSecVpnTunnelSecurityTypeDisallowList -v PROVIDER_PREFERRED,FIPS,FOUNDATION

手順

  1. プライマリの左側ナビゲーション パネルで [リソース] を選択し、画面上部のナビゲーション バーで [クラウド リソース] を選択します。
  2. セカンダリの左側パネルで [Edge Gateway] を選択し、ターゲット Edge Gateway の名前をクリックします。
  3. [サービス] で、[IPsec VPN] をクリックし、[新規] をクリックします。
  4. IPsec VPN トンネルの名前と、オプションで説明を入力します。
  5. IPsec VPN トンネル タイプを選択します。
    バージョン 10.6 以降では、 VMware Cloud Director はスタティック ルートに対してルートベースの IPsec VPN をサポートします。
  6. 送信されるデータを保護するためのセキュリティ プロファイルを選択します。
  7. 作成時にトンネルを有効にするには、[状態] トグルをオンにします。
  8. ログ記録を有効にするには、[ログ記録] トグルをオンにします。
  9. [次へ] をクリックします。
  10. ピア認証モードを選択します。
    オプション 説明
    事前共有キー 入力する事前共有キーを選択します。事前共有キーは、IPSec VPN トンネルの相手側でも同じにする必要があります。
    証明書 認証に使用するサイトと CA 証明書を選択します。
  11. ドロップダウン メニューで、ローカル エンドポイントの Edge Gateway で使用できる IP アドレスのいずれかを選択します。
    IP アドレスは、Edge Gateway のプライマリ IP アドレス、または Edge Gateway に個別に割り当てられる IP アドレスのいずれかにする必要があります。
  12. ポリシーベースの IPsec VPN を構成する場合は、IPsec VPN トンネルに使用する 1 つ以上のローカル IP サブネット アドレスを CIDR 表記で入力します。
  13. リモート エンドポイントの IP アドレスを入力します。
  14. ポリシーベースの IPsec VPN を構成する場合は、IPsec VPN トンネルに使用する 1 つ以上のリモート IP サブネット アドレスを CIDR 表記で入力します。
  15. ピア サイトのリモート ID を入力します。
    リモート エンドポイント証明書に SAN(サブジェクト代替名)が使用可能な場合、リモート ID はこの SAN と一致する必要があります。リモート証明書に SAN が含まれていない場合、リモート ID は、リモート エンドポイントを保護するために使用される証明書の識別名と一致する必要があります(例:C=US, ST=Massachusetts, O=VMware,OU=VCD, CN=Edge1)。
  16. ルートベースの IPsec VPN を構成する場合は、仮想トンネル インターフェイス (VTI) に対して、有効な IPv4 CIDR、IPv6 CIDR、または両方を 1 つずつカンマで区切って入力します。

    仮想トンネル インターフェイス (VTI) は、ネットワーク デバイス上の IPsec トンネルのエンドポイントを表します。

  17. [次へ] をクリックします。
  18. 設定を確認し、[完了] をクリックします。

結果

新しく作成された IPSec VPN トンネルは、 [IPsec VPN] ビューに表示されます。

次のタスク

  • トンネルが機能していることを確認するには、そのトンネルを選択して [統計情報の表示] をクリックします。

    トンネルが機能している場合は、[トンネルのステータス][IKE サービス ステータス] の両方に 到達可能 と表示されます。

  • IPsec VPN トンネルのリモート エンドポイントを構成します。
  • 必要に応じて IPsec VPN トンネル設定を編集し、そのセキュリティ プロファイルをカスタマイズすることができます。

VMware Cloud Director Service Provider Admin Portal での IPsec VPN トンネルのセキュリティ プロファイルのカスタマイズ

作成時に IPsec VPN トンネルに割り当てられたシステム生成のセキュリティ プロファイルをそのまま使用しない場合は、カスタマイズして使用できます。

手順

  1. プライマリの左側ナビゲーション パネルで [リソース] を選択し、画面上部のナビゲーション バーで [クラウド リソース] を選択します。
  2. セカンダリの左側パネルで [Edge Gateway] を選択し、ターゲット Edge Gateway の名前をクリックします。
  3. [サービス][IPsec VPN] をクリックします。
  4. IPsec VPN トンネルを選択し、[セキュリティ プロファイルのカスタマイズ] をクリックします。
  5. IKE プロファイルを構成します。
    Internet Key Exchange (IKE) プロファイルは、IKE トンネルの確立時にネットワーク サイト間の共有シークレット キーの認証、暗号化、および確立に使用されるアルゴリズムに関する情報を提供します。
    1. IPsec プロトコル スイートで Security Association (SA) を設定する IKE プロトコルのバージョンを選択します。
      オプション 説明
      IKEv1 このオプションを選択すると、IPsec VPN は IKEv1 プロトコルのみを開始し、応答します。
      IKEv2 デフォルトのオプション。このバージョンを選択すると、IPsec VPN は IKEv2 プロトコルのみを開始し、応答します。
      IKE-Flex このオプションを選択すると、IKEv2 プロトコルでトンネルの確立が失敗した場合、ソース サイトはフォールバックせず、IKEv1 プロトコルで接続を開始します。また、リモート サイトが IKEv1 プロトコルで接続を開始した場合には、接続を受け入れます。
    2. Internet Key Exchange (IKE) ネゴシエーション中に使用する、サポートされている暗号化アルゴリズムを選択します。
    3. [ダイジェスト] ドロップダウン メニューから、IKE ネゴシエーション中に使用するセキュア ハッシュ アルゴリズムを選択します。
    4. [Diffie-Hellman グループ] ドロップダウン メニューから、ピア サイトと Edge Gateway が安全でない通信チャネルを介して共有シークレット キーを確立できるように、いずれかの暗号化スキームを選択します。
    5. (オプション) [関連付けの有効時間] テキスト ボックスで、IPsec トンネルの再確立が必要になるまでのデフォルトの秒数を変更します。
  6. IPsec VPN トンネルを構成します。
    1. Perfect Forward Secrecy を有効にするには、オプションをオンにします。
    2. 最適化ポリシーを選択します。
      最適化ポリシーは、内部パケットにある最適化ビットを処理するのに役立ちます。
      オプション 説明
      コピー 内部 IP パケットから外部パケットに最適化ビットをコピーします。
      クリア 内部パケットにある最適化ビットを無視します。
    3. Internet Key Exchange (IKE) ネゴシエーション中に使用する、サポートされている暗号化アルゴリズムを選択します。
    4. [ダイジェスト] ドロップダウン メニューから、IKE ネゴシエーション中に使用するセキュア ハッシュ アルゴリズムを選択します。
    5. [Diffie-Hellman グループ] ドロップダウン メニューから、ピア サイトと Edge Gateway が安全でない通信チャネルを介して共有シークレット キーを確立できるように、いずれかの暗号化スキームを選択します。
    6. (オプション) [関連付けの有効時間] テキスト ボックスで、IPsec トンネルの再確立が必要になるまでのデフォルトの秒数を変更します。
  7. (オプション) [プローブ間隔] テキスト ボックスで、Dead ピア検出のデフォルトの秒数を変更します。
  8. [保存] をクリックします。

結果

IPsec VPN ビューで、IPsec VPN トンネルのセキュリティ プロファイルが [ユーザー定義] として表示されます。