ポリシーベースの VPN では、IPsec トンネルと、トラフィックによるトンネルの使用方法を指定するポリシーが作成されます。ポリシーベースの VPN を使用する場合は、新しいルートを追加するときに、ネットワークの両端でルーティング テーブルを更新する必要があります。

1. https://vmc.vmware.comで VMC コンソール にログインします。
2. [ネットワークとセキュリティ] > [VPN] > [ポリシー ベース] の順に選択します。
3. [VPN の追加] をクリックし、新しい VPN の [名前] と、必要に応じて [説明] を入力します。
4. ドロップダウン メニューから [ローカル IP アドレス] を選択します。
   • 現在の SDDC が SDDC グループのメンバーの場合、または AWS Direct Connect を使用する構成になっている場合、VPN では、インターネット経由の接続ではなく、その接続を使用するため、プライベート IP アドレスを選択します。Direct Connect または VMware Managed Transit Gateway (VTGW) 経由の VPN トラフィックは、より高い MTU がリンクでサポートされていても、デフォルト MTU の 1,500 バイトが上限になるので注意してください。SDDC の管理およびコンピューティング ネットワーク トラフィック用のプライベート仮想インターフェイスに対する Direct Connect の構成を参照してください。
   • インターネット経由で VPN を接続する場合は、パブリック IP アドレスを選択します。
5. オンプレミス ゲートウェイの [リモート パブリック IP アドレス] を入力します。
   このアドレスは、別の VPN でまだ使用されていないアドレスである必要があります。 VMware Cloud on AWS はすべての VPN 接続に同じパブリック IP アドレスを使用するため、特定のリモート パブリック IP アドレスに対して作成できる VPN 接続（ルートベース、ポリシーベース、または L2VPN）は 1 つのみとなります。 手順 4 でパブリック IP アドレスを指定した場合は、このアドレスにインターネット経由でアクセスできる必要があります。プライベート IP アドレスを指定した場合は、プライベート VIF への Direct Connect 経由でそのアドレスにアクセスできる必要があります。デフォルト ゲートウェイ ファイアウォール ルールでは、VPN 接続を経由した受信トラフィックと送信トラフィックが許可されますが、VPN トンネル経由のトラフィックを管理するにはファイアウォール ルールを作成する必要があります。
6. （オプション） オンプレミス ゲートウェイが NAT デバイスの背後にある場合は、そのゲートウェイのアドレスを [リモート プライベート IP アドレス] として入力します。
   この IP アドレスは、オンプレミス VPN ゲートウェイによって送信されるローカル ID (IKE ID) と一致する必要があります。このフィールドが空の場合は、 [リモート パブリック IP アドレス ] フィールドがオンプレミス VPN ゲートウェイのローカル ID との照合に使用されます。
7. この VPN が接続できる [リモート ネットワーク] を指定します。
   このリストには、オンプレミス VPN ゲートウェイによってローカルと定義されたすべてのネットワークが含まれている必要があります。各ネットワークは CIDR 形式で入力し、複数の CIDR ブロックはカンマで区切ります。
8. この VPN が接続できる [ローカル ネットワーク] を指定します。
   このリストには、SDDC 内のすべてのルーティングされたコンピューティング ネットワーク、および管理ネットワークとアプライアンス サブネット（ESXi ホスト以外の、vCenter Server などの管理アプライアンスを含む管理ネットワークのサブセット）が含まれます。また、コンピューティング ゲートウェイ DNS ネットワーク（コンピューティング ゲートウェイ DNS サービスによって転送される要求の送信元を明らかにするための単一の IP アドレス）も含まれます。
9. [トンネルの詳細パラメータ] を構成します。

   オプション	説明
   トンネルの暗号化	オンプレミス VPN ゲートウェイでサポートされているフェーズ 2 Security Association (SA) 暗号を選択します。
   トンネル ダイジェスト アルゴリズム	オンプレミス VPN ゲートウェイでサポートされているフェーズ 2 ダイジェスト アルゴリズムを選択します。 注： [トンネルの暗号化] に GCM ベースの暗号を指定する場合は、[トンネル ダイジェスト アルゴリズム] を [なし] に設定します。ダイジェスト機能は GCM 暗号に不可欠です。
   完全転送セクレシー	オンプレミス VPN ゲートウェイの設定に合わせて有効または無効にします。Perfect Forward Secrecy を有効にすると、プライベート キーが盗み取られたとしても、記録された（過去の）セッションが復号されることを回避できます。
   IKE 暗号化	オンプレミス VPN ゲートウェイでサポートされているフェーズ 1 (IKE) 暗号を選択します。
   IKE ダイジェスト アルゴリズム	オンプレミス VPN ゲートウェイでサポートされているフェーズ 1 ダイジェスト アルゴリズムを選択します。ベスト プラクティスは、[IKE ダイジェスト アルゴリズム] と [トンネル ダイジェスト アルゴリズム] の両方に同じアルゴリズムを使用することです。 注： [IKE 暗号化] に GCM ベースの暗号を指定する場合は、[IKE ダイジェスト アルゴリズム] を [なし] に設定します。ダイジェスト機能は GCM 暗号に不可欠です。GCM ベースの暗号を使用する場合は IKE V2 を使用する必要があります 。
   IKE タイプ	IKEv1 プロトコルを開始して受け入れる場合は、[IKE V1] を指定します。 IKEv2 プロトコルを開始して受け入れる場合は、[IKE V2] を指定します。GCM ベースの [IKE ダイジェスト アルゴリズム] を指定した場合は、IKEv2 を使用する必要があります。 IKEv1 または IKEv2 を受け入れてから IKEv2 を開始する場合は、[IKE FLEX] を指定します。IKEv2 の開始に失敗した場合、IKE FLEX は IKEv1 にフォールバックしません。
   Diffie Hellman	オンプレミス VPN ゲートウェイでサポートされている Diffie-Hellman グループを選択します。この値は、VPN トンネルの両側で同一にする必要があります。グループ番号が大きいほど、保護は強化されます。グループ 14 以上を選択することをお勧めします。
   プリシェアード キー	トンネルの両側が相互に認証するために使用する事前共有キーを入力します。 文字列の最大長は 128 文字です。
   接続開始モード	接続開始モードでは、トンネル作成プロセスでローカル エンドポイントによって使用されるポリシーを定義します。使用できるモードを次に示します。 イニシエータ デフォルト値です。このモードの場合、ローカル エンドポイントは、VPN トンネルの作成を開始し、ピア ゲートウェイから受信されるトンネルのセットアップ要求に応答します。 オンデマンド このモードの場合、ローカル エンドポイントは、ポリシー ルールに一致する最初のパケットが受信された後に、VPN トンネルの作成を開始します。また、受信される開始要求にも応答します。 応答のみ このモードの場合、VPN は接続を開始しません。ピア サイトが常に接続要求を開始し、ローカル エンドポイントはその接続要求に応答します。
   TCP MSS クランプ	IPSec 接続時の TCP セッションの最大セグメント サイズ (MSS) ペイロードを削減するには、[TCP MSS クランプ] を有効にして、[TCP MSS] の方向値を選択し、必要に応じて [TCP MSS 値] を設定します。『NSX-T Data Center 管理ガイド』のTCP MSS クランプの理解を参照してください。

10. （オプション） VPN にタグを付けます。

    NSX-T オブジェクトのタギングについて詳しくは、『NSX-T Data Center 管理ガイド』のオブジェクトへのタグの追加を参照してください。

11. [保存] をクリックします。