ポリシーベースの VPN では、IPsec トンネルと、トラフィックによるトンネルの使用方法を指定するポリシーが作成されます。ポリシーベースの VPN を使用する場合は、新しいルートを追加するときに、ネットワークの両端でルーティング テーブルを更新する必要があります。

VMware Cloud on AWS SDDC 内のポリシーベースの VPN では、IPsec プロトコルを使用してトラフィックが保護されます。ポリシーベースの VPN を作成するには、ローカル (SDDC) エンドポイントを設定してから、一致するリモート(オンプレミス)エンドポイントを設定します。すべてのポリシーベースの VPN では、ネットワークごとに新しい IPsec Security Association (SA) を作成する必要があるため、管理者は、新しいポリシーベースの VPN が作成されるたびに、オンプレミスと SDDC のルーティング情報を更新する必要があります。VPN のいずれかの両端のネットワークの数が少ない場合、またはオンプレミスのネットワーク ハードウェアで BGP(ルートベースの VPN に必要)がサポートされていない場合は、ポリシーベースの VPN を選択することをお勧めします。

手順

  1. https://vmc.vmware.comVMC コンソール にログインします。
  2. [ネットワークとセキュリティ] > [VPN] > [ポリシー ベース] の順に選択します。
  3. [VPN の追加] をクリックし、新しい VPN に [名前] を指定します。
  4. VPN の [ローカル IP アドレス] を選択します。
    インターネット経由で VPN 接続するには、パブリック IP アドレスを指定します。この SDDC で AWS Direct Connect を設定してある場合は、使用可能なプライベート IP アドレスを選択して、Direct Connect とプライベート VIF を使用する VPN を作成できます。Direct Connect の詳細については、 VMware Cloud on AWS での AWS Direct Connect の使用を参照してください。
    注: Direct Connect では IPSec プロトコルの要件により 1 つの Security Association (SA) のみがサポートされるため、通常、Direct Connect ではルートベースの VPN が適しています。また、Direct Connect を使用するようにポリシーベースの VPN を設定できますが、ポリシーベースの VPN に Direct Connect フェイルオーバーを設定することはできません。
  5. オンプレミス ゲートウェイの [リモート パブリック IP アドレス] を入力します。
    手順 4 でパブリック IP アドレスを指定した場合は、この IP アドレスにインターネット経由でアクセスできる必要があります。プライベート IP アドレスを指定した場合は、プライベート VIF への Direct Connect 経由でそのアドレスにアクセスできる必要があります。デフォルト ゲートウェイ ファイアウォール ルールでは、VPN 接続を経由した受信トラフィックと送信トラフィックが許可されますが、VPN トンネル経由のトラフィックを管理するにはファイアウォール ルールを作成する必要があります。
  6. (オプション) オンプレミス ゲートウェイが NAT デバイスの背後にある場合は、そのゲートウェイのアドレスを [リモート プライベート IP アドレス] として入力します。
    この IP アドレスは、オンプレミス VPN ゲートウェイによって送信されるローカル ID (IKE ID) と一致する必要があります。このフィールドが空の場合は、 [リモート パブリック IP アドレス ] フィールドがオンプレミス VPN ゲートウェイのローカル ID との照合に使用されます。
  7. この VPN が接続できる [リモート ネットワーク] を指定します。
    このリストには、オンプレミス VPN ゲートウェイによってローカルと定義されたすべてのネットワークが含まれている必要があります。各ネットワークは CIDR 形式で入力し、複数の CIDR ブロックはカンマで区切ります。
  8. この VPN が接続できる [ローカル ネットワーク] を指定します。
    このリストには、SDDC 内のすべてのルーティングされたコンピューティング ネットワーク、および管理ネットワークとアプライアンス サブネット(ESXi ホスト以外の、vCenter Server などの管理アプライアンスを含む管理ネットワークのサブセット)が含まれます。また、コンピューティング ゲートウェイ DNS ネットワーク(コンピューティング ゲートウェイ DNS サービスによって転送される要求の送信元を明らかにするための単一の IP アドレス)も含まれます。
  9. [トンネルの詳細パラメータ] を設定します。
    オプション 説明
    トンネルの暗号化 オンプレミス VPN ゲートウェイでサポートされているフェーズ 2 Security Association (SA) 暗号を選択します。
    トンネル ダイジェスト アルゴリズム オンプレミス VPN ゲートウェイでサポートされているフェーズ 2 ダイジェスト アルゴリズムを選択します。
    注:

    [トンネルの暗号化] に GCM ベースの暗号を指定する場合は、[トンネル ダイジェスト アルゴリズム][なし] に設定します。ダイジェスト機能は GCM 暗号に不可欠です。

    完全転送セクレシー オンプレミス VPN ゲートウェイの設定に合わせて有効または無効にします。Perfect Forward Secrecy を有効にすると、プライベート キーが盗み取られたとしても、記録された(過去の)セッションが復号されることを回避できます。
    IKE 暗号化 オンプレミス VPN ゲートウェイでサポートされているフェーズ 1 (IKE) 暗号を選択します。
    IKE ダイジェスト アルゴリズム オンプレミス VPN ゲートウェイでサポートされているフェーズ 1 ダイジェスト アルゴリズムを選択します。ベスト プラクティスは、[IKE ダイジェスト アルゴリズム][トンネル ダイジェスト アルゴリズム] の両方に同じアルゴリズムを使用することです。
    注:

    [IKE 暗号化] に GCM ベースの暗号を指定する場合は、[IKE ダイジェスト アルゴリズム][なし] に設定します。ダイジェスト機能は GCM 暗号に不可欠です。GCM ベースの暗号を使用する場合は IKE V2 を使用する必要があります

    IKE タイプ
    • IKEv1 プロトコルを開始して受け入れる場合は、[IKE V1] を指定します。
    • IKEv2 プロトコルを開始して受け入れる場合は、[IKE V2] を指定します。GCM ベースの [IKE ダイジェスト アルゴリズム] を指定した場合は、IKEv2 を使用する必要があります。
    • IKEv1 または IKEv2 を受け入れてから IKEv2 を開始する場合は、[IKE FLEX] を指定します。IKEv2 の開始に失敗した場合、IKE FLEX は IKEv1 にフォールバックしません。
    Diffie Hellman オンプレミス VPN ゲートウェイでサポートされている Diffie-Hellman グループを選択します。この値は、VPN トンネルの両側で同一にする必要があります。グループ番号が大きいほど、保護は強化されます。グループ 14 以上を選択することをお勧めします。
    プリシェアード キー トンネルの両側が相互に認証するために使用する事前共有キーを入力します。

    文字列の最大長は 128 文字です。

  10. [保存] をクリックします。

結果

VPN の作成プロセスには数分かかることがあります。ポリシーベースの VPN が使用可能になると、次のアクションを実行して、VPN のオンプレミス側のトラブルシューティングと設定を行うことができるようになります。
  • [設定のダウンロード] をクリックし、VPN 設定の詳細を含むファイルをダウンロードします。これらの詳細を使用して、この VPN のオンプレミスのエンドを設定できます。
  • [統計情報の表示] をクリックし、この VPN のパケット トラフィックの統計情報を表示します。VPN トンネルのステータスと統計情報の表示を参照してください。

次のタスク

必要に応じて、ファイアウォール ルールを作成または更新します。ポリシー ベース VPN を経由するトラフィックを許可するには、[適用先] フィールドで [インターネット インターフェイス] を指定します。