ポリシーベースの VPN では、IPsec トンネルと、トラフィックによるトンネルの使用方法を指定するポリシーが作成されます。ポリシーベースの VPN を使用する場合は、新しいルートを追加するときに、ネットワークの両端でルーティング テーブルを更新する必要があります。

VMware Cloud on AWS SDDC 内のポリシーベースの VPN では、IPsec プロトコルを使用してトラフィックが保護されます。ポリシーベースの VPN を作成するには、ローカル (SDDC) エンドポイントを構成してから、一致するリモート(オンプレミス)エンドポイントを構成します。すべてのポリシーベースの VPN では、ネットワークごとに新しい IPsec Security Association (SA) を作成する必要があるため、管理者は、新しいポリシーベースの VPN が作成されるたびに、オンプレミスと SDDC のルーティング情報を更新する必要があります。VPN のいずれかの両端のネットワークの数が少ない場合、またはオンプレミスのネットワーク ハードウェアで BGP(ルートベースの VPN に必要)がサポートされていない場合は、ポリシーベースの VPN を選択することをお勧めします。

重要:

SDDC にポリシーベース VPN とルートベース VPN の両方が含まれる場合、ルートベース VPN がデフォルト ルート (0.0.0.0/0) を SDDC にアドバタイズすると、ポリシーベース VPN 経由の接続が失敗します。

手順

  1. https://vmc.vmware.comVMC コンソール にログインします。
  2. [ネットワークとセキュリティ] > [VPN] > [ポリシー ベース] の順に選択します。
  3. [VPN の追加] をクリックし、新しい VPN の [名前] と、必要に応じて [説明] を入力します。
  4. ドロップダウン メニューから [ローカル IP アドレス] を選択します。
  5. オンプレミス ゲートウェイの [リモート パブリック IP アドレス] を入力します。
    このアドレスは、別の VPN でまだ使用されていないアドレスである必要があります。 VMware Cloud on AWS はすべての VPN 接続に同じパブリック IP アドレスを使用するため、特定のリモート パブリック IP アドレスに対して作成できる VPN 接続(ルートベース、ポリシーベース、または L2VPN)は 1 つのみとなります。 手順 4 でパブリック IP アドレスを指定した場合は、このアドレスにインターネット経由でアクセスできる必要があります。プライベート IP アドレスを指定した場合は、プライベート VIF への Direct Connect 経由でそのアドレスにアクセスできる必要があります。デフォルト ゲートウェイ ファイアウォール ルールでは、VPN 接続を経由した受信トラフィックと送信トラフィックが許可されますが、VPN トンネル経由のトラフィックを管理するにはファイアウォール ルールを作成する必要があります。
  6. (オプション) オンプレミス ゲートウェイが NAT デバイスの背後にある場合は、そのゲートウェイのアドレスを [リモート プライベート IP アドレス] として入力します。
    この IP アドレスは、オンプレミス VPN ゲートウェイによって送信されるローカル ID (IKE ID) と一致する必要があります。このフィールドが空の場合は、 [リモート パブリック IP アドレス ] フィールドがオンプレミス VPN ゲートウェイのローカル ID との照合に使用されます。
  7. この VPN が接続できる [リモート ネットワーク] を指定します。
    このリストには、オンプレミス VPN ゲートウェイによってローカルと定義されたすべてのネットワークが含まれている必要があります。各ネットワークは CIDR 形式で入力し、複数の CIDR ブロックはカンマで区切ります。
  8. この VPN が接続できる [ローカル ネットワーク] を指定します。
    このリストには、SDDC 内のすべてのルーティングされたコンピューティング ネットワーク、および管理ネットワークとアプライアンス サブネット(ESXi ホスト以外の、vCenter Server などの管理アプライアンスを含む管理ネットワークのサブセット)が含まれます。また、コンピューティング ゲートウェイ DNS ネットワーク(コンピューティング ゲートウェイ DNS サービスによって転送される要求の送信元を明らかにするための単一の IP アドレス)も含まれます。
  9. [トンネルの詳細パラメータ] を構成します。
    オプション 説明
    トンネルの暗号化 オンプレミス VPN ゲートウェイでサポートされているフェーズ 2 Security Association (SA) 暗号を選択します。
    トンネル ダイジェスト アルゴリズム オンプレミス VPN ゲートウェイでサポートされているフェーズ 2 ダイジェスト アルゴリズムを選択します。
    注:

    [トンネルの暗号化] に GCM ベースの暗号を指定する場合は、[トンネル ダイジェスト アルゴリズム][なし] に設定します。ダイジェスト機能は GCM 暗号に不可欠です。

    完全転送セクレシー オンプレミス VPN ゲートウェイの設定に合わせて有効または無効にします。Perfect Forward Secrecy を有効にすると、プライベート キーが盗み取られたとしても、記録された(過去の)セッションが復号されることを回避できます。
    IKE 暗号化 オンプレミス VPN ゲートウェイでサポートされているフェーズ 1 (IKE) 暗号を選択します。
    IKE ダイジェスト アルゴリズム オンプレミス VPN ゲートウェイでサポートされているフェーズ 1 ダイジェスト アルゴリズムを選択します。ベスト プラクティスは、[IKE ダイジェスト アルゴリズム][トンネル ダイジェスト アルゴリズム] の両方に同じアルゴリズムを使用することです。
    注:

    [IKE 暗号化] に GCM ベースの暗号を指定する場合は、[IKE ダイジェスト アルゴリズム][なし] に設定します。ダイジェスト機能は GCM 暗号に不可欠です。GCM ベースの暗号を使用する場合は IKE V2 を使用する必要があります

    IKE タイプ
    • IKEv1 プロトコルを開始して受け入れる場合は、[IKE V1] を指定します。
    • IKEv2 プロトコルを開始して受け入れる場合は、[IKE V2] を指定します。GCM ベースの [IKE ダイジェスト アルゴリズム] を指定した場合は、IKEv2 を使用する必要があります。
    • IKEv1 または IKEv2 を受け入れてから IKEv2 を開始する場合は、[IKE FLEX] を指定します。IKEv2 の開始に失敗した場合、IKE FLEX は IKEv1 にフォールバックしません。
    Diffie Hellman オンプレミス VPN ゲートウェイでサポートされている Diffie-Hellman グループを選択します。この値は、VPN トンネルの両側で同一にする必要があります。グループ番号が大きいほど、保護は強化されます。グループ 14 以上を選択することをお勧めします。
    プリシェアード キー トンネルの両側が相互に認証するために使用する事前共有キーを入力します。

    文字列の最大長は 128 文字です。

    接続開始モード 接続開始モードでは、トンネル作成プロセスでローカル エンドポイントによって使用されるポリシーを定義します。使用できるモードを次に示します。
    イニシエータ
    デフォルト値です。このモードの場合、ローカル エンドポイントは、VPN トンネルの作成を開始し、ピア ゲートウェイから受信されるトンネルのセットアップ要求に応答します。
    オンデマンド
    このモードの場合、ローカル エンドポイントは、ポリシー ルールに一致する最初のパケットが受信された後に、VPN トンネルの作成を開始します。また、受信される開始要求にも応答します。
    応答のみ
    このモードの場合、VPN は接続を開始しません。ピア サイトが常に接続要求を開始し、ローカル エンドポイントはその接続要求に応答します。
    TCP MSS クランプ IPSec 接続時の TCP セッションの最大セグメント サイズ (MSS) ペイロードを削減するには、[TCP MSS クランプ] を有効にして、[TCP MSS] の方向値を選択し、必要に応じて [TCP MSS 値] を設定します。『NSX-T Data Center 管理ガイド』のTCP MSS クランプの理解を参照してください。
  10. (オプション) VPN にタグを付けます。

    NSX-T オブジェクトのタギングについて詳しくは、『NSX-T Data Center 管理ガイド』のオブジェクトへのタグの追加を参照してください。

  11. [保存] をクリックします。

結果

VPN の作成プロセスには数分かかることがあります。ポリシーベースの VPN が使用可能になると、次のアクションを実行して、VPN のオンプレミス側のトラブルシューティングと設定を行うことができるようになります。
  • [設定のダウンロード] をクリックし、VPN 構成の詳細を含むファイルをダウンロードします。これらの詳細を使用して、この VPN のオンプレミスのエンドを構成できます。
  • [統計情報の表示] をクリックし、この VPN のパケット トラフィックの統計情報を表示します。VPN トンネルのステータスと統計情報の表示を参照してください。

次のタスク

必要に応じて、ファイアウォール ルールを作成または更新します。ポリシー ベース VPN を経由するトラフィックを許可するには、[適用先] フィールドで [インターネット インターフェイス] を指定します。