ポリシーベースの VPN では、IPsec トンネルと、トラフィックによるトンネルの使用方法を指定するポリシーが作成されます。ポリシーベースの VPN を使用する場合は、新しいルートを追加するときに、ネットワークの両端でルーティング テーブルを更新する必要があります。

VMware Cloud on AWS SDDC 内のポリシーベースの VPN では、IPsec プロトコルを使用してトラフィックが保護されます。ポリシーベースの VPN を作成するには、ローカル (SDDC) エンドポイントを構成してから、一致するリモート(オンプレミス)エンドポイントを構成します。すべてのポリシーベースの VPN では、ネットワークごとに新しい IPsec Security Association (SA) を作成する必要があるため、管理者は、新しいポリシーベースの VPN が作成されるたびに、オンプレミスと SDDC のルーティング情報を更新する必要があります。VPN のいずれかの両端のネットワークの数が少ない場合、またはオンプレミスのネットワーク ハードウェアで BGP(ルートベースの VPN に必要)がサポートされていない場合は、ポリシーベースの VPN を選択することをお勧めします。

重要:

SDDC にポリシーベース VPN とルートベース VPN の両方が含まれる場合、ルートベース VPN がデフォルト ルート (0.0.0.0/0) を SDDC にアドバタイズすると、ポリシーベース VPN 経由の接続が失敗します。

手順

  1. https://vmc.vmware.comVMC コンソール にログインします。
  2. [ネットワークとセキュリティ] > [VPN] > [ポリシー ベース] の順に選択します。
  3. [VPN の追加] をクリックし、新しい VPN の [名前] と、必要に応じて [説明] を入力します。
  4. ドロップダウン メニューから [ローカル IP アドレス] を選択します。
  5. オンプレミス ゲートウェイの [リモート パブリック IP アドレス] を入力します。
    このアドレスは、別の VPN でまだ使用されていないアドレスである必要があります。 VMware Cloud on AWS はすべての VPN 接続に同じパブリック IP アドレスを使用するため、特定のリモート パブリック IP アドレスに対して作成できる VPN 接続(ルートベース、ポリシーベース、または L2VPN)は 1 つのみとなります。 手順 4 でパブリック IP アドレスを指定した場合は、このアドレスにインターネット経由でアクセスできる必要があります。プライベート IP アドレスを指定した場合は、プライベート VIF への Direct Connect 経由でそのアドレスにアクセスできる必要があります。デフォルト ゲートウェイ ファイアウォール ルールでは、VPN 接続を経由した受信トラフィックと送信トラフィックが許可されますが、VPN トンネル経由のトラフィックを管理するにはファイアウォール ルールを作成する必要があります。
  6. この VPN が接続できる [リモート ネットワーク] を指定します。
    このリストには、オンプレミス VPN ゲートウェイによってローカルと定義されたすべてのネットワークが含まれている必要があります。各ネットワークは CIDR 形式で入力し、複数の CIDR ブロックはカンマで区切ります。
  7. この VPN が接続できる [ローカル ネットワーク] を指定します。
    このリストには、SDDC 内のすべてのルーティングされたコンピューティング ネットワーク、および管理ネットワークとアプライアンス サブネット(ESXi ホスト以外の、vCenter Server などの管理アプライアンスを含む管理ネットワークのサブセット)が含まれます。また、コンピューティング ゲートウェイ DNS ネットワーク(コンピューティング ゲートウェイ DNS サービスによって転送される要求の送信元を明らかにするための単一の IP アドレス)も含まれます。
  8. [事前共有キー] の文字列を入力します。

    キーの最大長は 128 文字です。このキーは、VPN トンネルの両側で同一である必要があります。

  9. (オプション) オンプレミス ゲートウェイが NAT デバイスの背後にある場合は、そのゲートウェイのアドレスを [リモート プライベート IP アドレス] として入力します。
    この IP アドレスは、オンプレミス VPN ゲートウェイによって送信されるローカル ID (IKE ID) と一致する必要があります。このフィールドが空の場合は、 [リモート パブリック IP アドレス ] フィールドがオンプレミス VPN ゲートウェイのローカル ID との照合に使用されます。
  10. [トンネルの詳細パラメータ] を構成します。
    パラメータ
    [IKE プロファイル] > [IKE 暗号化] オンプレミス VPN ゲートウェイでサポートされているフェーズ 1 (IKE) 暗号を選択します。
    [IKE プロファイル] > [IKE ダイジェスト アルゴリズム] オンプレミス VPN ゲートウェイでサポートされているフェーズ 1 ダイジェスト アルゴリズムを選択します。ベスト プラクティスは、[IKE ダイジェスト アルゴリズム][トンネル ダイジェスト アルゴリズム] の両方に同じアルゴリズムを使用することです。
    注:

    [IKE 暗号化] に GCM ベースの暗号を指定する場合は、[IKE ダイジェスト アルゴリズム][なし] に設定します。ダイジェスト機能は GCM 暗号に不可欠です。GCM ベースの暗号を使用する場合は IKE V2 を使用する必要があります

    [IKE プロファイル] > [IKE バージョン]
    • IKEv1 プロトコルを開始して受け入れる場合は、[IKE V1] を指定します。
    • IKEv2 プロトコルを開始して受け入れる場合は、[IKE V2] を指定します。GCM ベースの [IKE ダイジェスト アルゴリズム] を指定した場合は、IKEv2 を使用する必要があります。
    • IKEv1 または IKEv2 を受け入れてから IKEv2 を開始する場合は、[IKE FLEX] を指定します。IKEv2 の開始に失敗した場合、IKE FLEX は IKEv1 にフォールバックしません。
    [IKE プロファイル] > [Diffie Hellman] オンプレミス VPN ゲートウェイでサポートされている Diffie-Hellman グループを選択します。この値は、VPN トンネルの両側で同一にする必要があります。グループ番号が大きいほど、保護は強化されます。グループ 14 以上を選択することをお勧めします。
    [IPSec プロファイル] > [トンネル暗号化] オンプレミス VPN ゲートウェイでサポートされているフェーズ 2 Security Association (SA) 暗号を選択します。
    [IPSec プロファイル][トンネル ダイジェスト アルゴリズム] オンプレミス VPN ゲートウェイでサポートされているフェーズ 2 ダイジェスト アルゴリズムを選択します。
    注:

    [トンネルの暗号化] に GCM ベースの暗号を指定する場合は、[トンネル ダイジェスト アルゴリズム][なし] に設定します。ダイジェスト機能は GCM 暗号に不可欠です。

    [IPSec プロファイル] > [Perfect Forward Secrecy] オンプレミス VPN ゲートウェイの設定に合わせて有効または無効にします。Perfect Forward Secrecy を有効にすると、プライベート キーが盗み取られたとしても、記録された(過去の)セッションが復号されることを回避できます。
    [IPSec プロファイル ] > [Diffie Hellman] オンプレミス VPN ゲートウェイでサポートされている Diffie-Hellman グループを選択します。この値は、VPN トンネルの両側で同一にする必要があります。グループ番号が大きいほど、保護は強化されます。グループ 14 以上を選択することをお勧めします。
    [DPD プロファイル] > [DPD プローブ モード] [定期]または[オンデマンド]のいずれか。

    定期 DPD プローブ モードの場合、指定した DPD プローブ間隔が経過するたびに DPD プローブが送信されます。

    オンデマンド DPD プローブ モードの場合、アイドル期間の経過後にピア サイトから IPsec パケットが受信されないと、DPD プローブが送信されます。使用されるアイドル期間は [DPD プローブ間隔] の値によって決まります。

    [DPD プロファイル] > [再試行回数] 許可される再試行回数の整数。1~100 の範囲の値が有効です。デフォルトの再試行回数は 10 です。
    [DPD プロファイル] > [DPD プローブ間隔] DPD プローブの送信の間に、NSX IKE デーモンが待機する秒数。

    定期 DPD プローブ モードの場合、有効な値は 3~360 秒の間です。デフォルト値は 60 秒です。

    オンデマンド プローブ モードの場合、有効な値は 1~10 秒の間です。デフォルト値は 3 秒です。

    定期 DPD プローブ モードを設定した場合、IKE デーモンは DPD プローブを定期的に送信します。ピア サイトが 0.5 秒以内に応答すると、構成した DPD プローブ間隔の経過後に次の DPD プローブが送信されます。ピア サイトが応答しない場合は、0.5 秒待機した後に DPD プローブが再送信されます。リモート ピア サイトが応答しない場合、応答が受信されるか再試行回数に到達するまで、IKE デーモンは DPD プローブの再送信を繰り返します。ピア サイトの非活動が宣言されるまで、IKE デーモンは [再試行回数] プロパティに指定された最大回数に達するまで、DPD プローブを再送信します。ピア サイトが非活動と宣言されると、NSX は、非活動ピアのリンクで Security Association (SA) を解除します。

    オンデマンド DPD モードを設定すると、構成した DPD プローブ間隔の経過後、ピア サイトから IPsec トラフィックが受信されない場合にのみ、DPD プローブが送信されます。

    [DPD プロファイル] > [管理ステータス] DPD プロファイルを有効または無効にするには、[管理ステータス] トグルをクリックします。デフォルトでは、この値は [有効] に設定されます。DPD プロファイルを有効にすると、DPD プロファイルを使用する IPSec VPN サービスのすべての IPSec セッションに、その DPD プロファイルが使用されます。
    [TCP MSS クランプ] IPSec 接続時の TCP セッションの最大セグメント サイズ (MSS) ペイロードを削減するには、[TCP MSS クランプ] を有効にして、[TCP MSS] の方向値を選択し、必要に応じて [TCP MSS 値] を設定します。『NSX-T Data Center 管理ガイド』のTCP MSS クランプの理解を参照してください。
  11. (オプション) VPN にタグを付けます。

    NSX-T オブジェクトのタギングについて詳しくは、『NSX-T Data Center 管理ガイド』のオブジェクトへのタグの追加を参照してください。

  12. [保存] をクリックします。

結果

VPN の作成プロセスには数分かかることがあります。ポリシーベースの VPN が使用可能になると、次のアクションを実行して、VPN のオンプレミス側のトラブルシューティングと設定を行うことができるようになります。
  • [設定のダウンロード] をクリックし、VPN 構成の詳細を含むファイルをダウンロードします。これらの詳細を使用して、この VPN のオンプレミスのエンドを構成できます。
  • [統計情報の表示] をクリックし、この VPN のパケット トラフィックの統計情報を表示します。VPN トンネルのステータスと統計情報の表示を参照してください。

次のタスク

必要に応じて、ファイアウォール ルールを作成または更新します。ポリシー ベース VPN を経由するトラフィックを許可するには、[適用先] フィールドで [インターネット インターフェイス] を指定します。