ルートベースの VPN では、IPsec トンネル インターフェイスが作成され、SDDC ルーティング テーブルで指定されたとおりにトラフィックがルーティングされます。ルートベースの VPN では、複数のサブネットに対する、回復性と安全性が確保されたアクセスが提供されます。ルートベースの VPN を使用すると、新しいネットワークが作成されたときに新しいルートが自動的に追加されます。

注:

このトピックでは、SDDC のデフォルトのパブリック IP アドレスまたはプライベート IP アドレスに接続するルートベース VPN の作成方法について説明します。追加の Tier-1 ゲートウェイが配置された SDDC(VMware Cloud on AWS SDDC へのカスタム Tier-1 ゲートウェイの追加を参照)がある場合は、[NSX Manager を開く] をクリックし、これらのゲートウェイを終端とする VPN サービスを追加できます。『NSX Data Center 管理ガイド』のVPN サービスの追加を参照してください。

VMware Cloud on AWS では、Tier-1 ゲートウェイに対する VPN サービスは BGP をサポートしていません。

VMware Cloud on AWS SDDC 内のルートベースの VPN では、IPsec プロトコルを使用してトラフィックが保護され、ネットワークが追加および削除されたときにはボーダー ゲートウェイ プロトコル (BGP) を使用してルートが検索、伝達されます。ルートベースの VPN を作成するには、ローカル (SDDC) およびリモート(オンプレミス)のエンドポイントの BGP 情報を構成してから、トンネルの SDDC 側のトンネル セキュリティ パラメータを指定します。

手順

  1. https://vmc.vmware.comVMware Cloud Services にログインします。
  2. [インベントリ] > [SDDC] の順にクリックし、SDDC カードを選択して [詳細表示] をクリックします。
  3. [NSX Manager を開く] をクリックし、SDDC の [設定] 画面に表示されている [NSX Manager 管理者ユーザー アカウント] を使用してログインします。NSX Manager による SDDC ネットワーク管理を参照してください。
    このワークフローでは、 VMware Cloud コンソール[ネットワークとセキュリティ] タブを使用することもできます。
  4. (オプション) デフォルトのローカル自律システム番号 (ASN) を変更します。
    SDDC のルートベースのすべての VPN は、デフォルトでは ASN 65000 に設定されます。ローカル ASN には、リモート ASN とは別の値を使用してください(同一のローカル ASN とリモート ASN が求められる iBGP は、SDDC ネットワークではサポートしていません)。デフォルトのローカル ASN を変更するには、 [ローカル ASN の編集] をクリックし、64521 から 65534 (或いは 4200000000 から 4294967294) の範囲で新しい値を入力して、 [適用] をクリックします。
    注: この値を変更すると、この SDDC 内のすべてのルートベースの VPN に影響が及びます。
  5. [VPN] > [ルート ベース] > [VPN の追加] の順にクリックして、新しい VPN に [名前] とオプションの [説明] を指定します。
  6. ドロップダウン メニューから [ローカル IP アドレス] を選択します。
  7. [リモート パブリック IP アドレス] には、オンプレミスの VPN エンドポイントのアドレスを入力します。
    これは、この VPN に対する IPsec 要求を開始したり、それに応答したりするデバイスのアドレスです。このアドレスは、次の要件を満たす必要があります。
    • 別の VPN でまだ使用されていないアドレスである必要があります。VMware Cloud on AWS はすべての VPN 接続に同じパブリック IP アドレスを使用するため、特定のリモート パブリック IP アドレスに対して作成できる VPN 接続(ルートベース、ポリシーベース、または L2VPN)は 1 つのみとなります。
    • 手順 6 でパブリック IP アドレスを指定した場合は、インターネット経由でアクセスできる必要があります。
    • 手順 6 でプライベート IP アドレスを指定した場合、VTGW または Direct Connect 経由でプライベート VIF にアクセスできるように設定してください。
    デフォルト ゲートウェイ ファイアウォール ルールでは、VPN 接続を経由した受信トラフィックと送信トラフィックが許可されますが、VPN トンネル経由のトラフィックを管理するにはファイアウォール ルールを作成する必要があります。
  8. [BGP ローカル IP アドレス/プリフィックス長] の場合、169.254.0.0/16 サブネット内で /30 サイズの CIDR ブロックのネットワーク アドレスを入力します。

    この範囲内の一部のブロックは、予約されたネットワーク アドレス にあるように予約済みです。既存のネットワークとの競合が原因で、169.254.0.0/16 サブネットのネットワークを使用できない場合は、BGP サービスからここで選択したサブネットへのトラフィックを許可するファイアウォール ルールを作成する必要があります。コンピューティング ゲートウェイのファイアウォール ルールの追加または変更を参照してください。

    [BGP ローカル IP アドレス/プリフィックス長] はローカル サブネットと、その内部の IP アドレスの両方を指定します。したがって、/30 の範囲の 2 番目または 3 番目のアドレスで、 /30 サフィックスを含む値を入力してください。たとえば、[BGP ローカル IP アドレス/プリフィックス長] が 169.254.32.1/30 では、ネットワーク 169.254.32.0 が作成され、169.254.32.1 がローカル BGP IP(別名、仮想トンネル インターフェイス (VTI))として割り当てられます。

  9. [BGP リモート IP アドレス] の場合、手順 8 で指定した範囲で残った IP アドレスを入力します。
    たとえば、 [BGP ローカル IP アドレス/プリフィックス長] に 169.254.32.1/30 を指定した場合、 [BGP リモート IP アドレス] には 169.254.32.2 を使用します。この VPN のオンプレミス側を構成するときは、 [BGP リモート IP アドレス] に指定した IP アドレスを、そのローカル BGP IP アドレスまたは VTI アドレスとして 使用します。
  10. [BGP ネイバー ASN] には、オンプレミス VPN ゲートウェイの ASN を入力します。
  11. [認証モード] を選択します。
    • PSK 認証の場合は、[プリシェアード キー] 文字列を入力します。キーの最大長は 128 文字です。このキーは、VPN トンネルの両側で同一である必要があります。
    • 証明書ベースの認証については、IPsec VPN の証明書ベースの認証の構成を参照してください。
  12. [リモート プライベート IP アドレス] を指定します。
    [リモート パブリック IP アドレス] を IKE ネゴシエーションのリモート ID として使用する場合は、空のままにします。オンプレミス VPN ゲートウェイが NAT デバイスの背後にある場合や、そのローカル ID に別の IP アドレスを使用する場合は、ここにその IP アドレスを入力する必要があります。
  13. [トンネルの詳細パラメータ] を構成します。
    パラメータ
    [IKE プロファイル] > [IKE 暗号化] オンプレミス VPN ゲートウェイでサポートされているフェーズ 1 (IKE) 暗号を選択します。
    [IKE プロファイル] > [IKE ダイジェスト アルゴリズム] オンプレミス VPN ゲートウェイでサポートされているフェーズ 1 ダイジェスト アルゴリズムを選択します。ベスト プラクティスは、[IKE ダイジェスト アルゴリズム][トンネル ダイジェスト アルゴリズム] の両方に同じアルゴリズムを使用することです。
    注:

    [IKE 暗号化] に GCM ベースの暗号を指定する場合は、[IKE ダイジェスト アルゴリズム][なし] に設定します。ダイジェスト機能は GCM 暗号に不可欠です。GCM ベースの暗号を使用する場合は IKE V2 を使用する必要があります

    [IKE プロファイル] > [IKE バージョン]
    • IKEv1 プロトコルを開始して受け入れる場合は、[IKE V1] を指定します。
    • IKEv2 プロトコルを開始して受け入れる場合は、[IKE V2] を指定します。GCM ベースの [IKE ダイジェスト アルゴリズム] を指定した場合は、IKEv2 を使用する必要があります。
    • IKEv1 または IKEv2 を受け入れてから IKEv2 を開始する場合は、[IKE FLEX] を指定します。IKEv2 の開始に失敗した場合、IKE FLEX は IKEv1 にフォールバックしません。
    [IKE プロファイル] > [Diffie Hellman] オンプレミス VPN ゲートウェイでサポートされている Diffie-Hellman グループを選択します。この値は、VPN トンネルの両側で同一にする必要があります。グループ番号が大きいほど、保護は強化されます。グループ 14 以上を選択することをお勧めします。
    [IPSec プロファイル] > [トンネル暗号化] オンプレミス VPN ゲートウェイでサポートされているフェーズ 2 Security Association (SA) 暗号を選択します。
    [IPSec プロファイル][トンネル ダイジェスト アルゴリズム] オンプレミス VPN ゲートウェイでサポートされているフェーズ 2 ダイジェスト アルゴリズムを選択します。
    注:

    [トンネルの暗号化] に GCM ベースの暗号を指定する場合は、[トンネル ダイジェスト アルゴリズム][なし] に設定します。ダイジェスト機能は GCM 暗号に不可欠です。

    [IPSec プロファイル] > [Perfect Forward Secrecy] オンプレミス VPN ゲートウェイの設定に合わせて有効または無効にします。Perfect Forward Secrecy を有効にすると、プライベート キーが盗み取られたとしても、記録された(過去の)セッションが復号されることを回避できます。
    [IPSec プロファイル ] > [Diffie Hellman] オンプレミス VPN ゲートウェイでサポートされている Diffie-Hellman グループを選択します。この値は、VPN トンネルの両側で同一にする必要があります。グループ番号が大きいほど、保護は強化されます。グループ 14 以上を選択することをお勧めします。
    [DPD プロファイル] > [DPD プローブ モード] [定期]または[オンデマンド]のいずれか。

    定期 DPD プローブ モードの場合、指定した DPD プローブ間隔が経過するたびに DPD プローブが送信されます。

    オンデマンド DPD プローブ モードの場合、アイドル期間の経過後にピア サイトから IPsec パケットが受信されないと、DPD プローブが送信されます。使用されるアイドル期間は [DPD プローブ間隔] の値によって決まります。
    [DPD プロファイル] > [再試行回数] 許可される再試行回数の整数。1~100 の範囲の値が有効です。デフォルトの再試行回数は 10 です。
    [DPD プロファイル] > [DPD プローブ間隔] DPD プローブの送信の間に NSX IKE デーモンが待機する秒数。

    定期 DPD プローブ モードの場合、有効な値は 3~360 秒の間です。デフォルト値は 60 秒です。

    オンデマンド プローブ モードの場合、有効な値は 1~10 秒の間です。デフォルト値は 3 秒です。

    定期 DPD プローブ モードを設定した場合、IKE デーモンは DPD プローブを定期的に送信します。ピア サイトが 0.5 秒以内に応答すると、構成した DPD プローブ間隔の経過後に次の DPD プローブが送信されます。ピア サイトが応答しない場合は、0.5 秒待機した後に DPD プローブが再送信されます。リモート ピア サイトが応答しない場合、応答が受信されるか再試行回数に到達するまで、IKE デーモンは DPD プローブの再送信を繰り返します。ピア サイトの非活動が宣言されるまで、IKE デーモンは [再試行回数] プロパティに指定された最大回数に達するまで、DPD プローブを再送信します。ピア サイトが非活動と宣言されると、NSX は、非活動ピアのリンクで Security Association (SA) を解除します。

    オンデマンド DPD モードを設定すると、構成した DPD プローブ間隔の経過後、ピア サイトから IPsec トラフィックが受信されない場合にのみ、DPD プローブが送信されます。
    [DPD プロファイル] > [管理ステータス] DPD プロファイルを有効または無効にするには、[管理ステータス] トグルをクリックします。デフォルトでは、この値は [有効] に設定されます。DPD プロファイルを有効にすると、DPD プロファイルを使用する IPSec VPN サービスのすべての IPSec セッションに、その DPD プロファイルが使用されます。
    [TCP MSS クランプ] [TCP MSS クランプ] を使用して IPsec 接続時の TCP セッションの最大セグメント サイズ (MSS) ペイロードを削減するには、このオプションを [有効] に切り替えて、[TCP MSS の方向] を選択し、必要に応じて [TCP MSS 値] を選択します。『NSX Data Center 管理ガイド』のTCP MSS クランプの理解を参照してください。
  14. (オプション) [BGP の詳細パラメータ] で、オンプレミス ゲートウェイで使用されるものに対応する BGP の [シークレット] を入力します。
  15. (オプション) VPN にタグを付けます。

    NSX オブジェクトのタギングについて詳しくは、『NSX Data Center 管理ガイド』のオブジェクトへのタグの追加を参照してください。

  16. [保存] をクリックします。

結果

VPN の作成プロセスには数分かかることがあります。ルートベース VPN が使用可能になると、トンネルのステータスと BGP セッションの状態が表示されます。次のアクションを実行して、VPN のオンプレミス側のトラブルシューティングと設定を行うことができます。
  • [設定のダウンロード] をクリックし、VPN 構成の詳細を含むファイルをダウンロードします。これらの詳細を使用して、この VPN のオンプレミスのエンドを構成できます。
  • [統計情報の表示] をクリックし、この VPN のパケット トラフィックの統計情報を表示します。VPN トンネルのステータスと統計情報の表示を参照してください。
  • [ルートの表示] をクリックし、この VPN でアドバタイズ済みのルートおよび学習済みのルートの表示を開きます。
  • [ルートのダウンロード] をクリックし、[アドバタイズされたルート] または [学習されたルート] のリストを CSV 形式でダウンロードします。

次のタスク

必要に応じて、ファイアウォール ルールを作成または更新します。ルート ベース VPN を経由するトラフィックを許可するには、[適用先] フィールドで [VPN トンネル インターフェイス] を指定します。[すべてのアップリンク] オプションには、ルーティングが設定された VPN トンネルは含まれません。