ポリシーベースの VPN では、IPsec トンネルと、トラフィックによるトンネルの使用方法を指定するポリシーが作成されます。ポリシーベースの VPN を使用する場合は、新しいルートを追加するときに、ネットワークの両端でルーティング テーブルを更新する必要があります。

注:

このトピックでは、SDDC のデフォルトのパブリック IP アドレスまたはプライベート IP アドレスに接続するポリシーベース VPN の作成方法について説明します。追加の Tier-1 ゲートウェイが配置された SDDC(VMware Cloud on AWS SDDC へのカスタム Tier-1 ゲートウェイの追加を参照)がある場合は、[NSX Manager を開く] をクリックし、これらのゲートウェイを終端とする VPN サービスを追加できます。『NSX Data Center 管理ガイド』のVPN サービスの追加を参照してください。

VMware Cloud on AWS では、Tier-1 ゲートウェイに対する VPN サービスは BGP をサポートしていません。

VMware Cloud on AWS SDDC 内のポリシーベースの VPN では、IPsec プロトコルを使用してトラフィックが保護されます。ポリシーベースの VPN を作成するには、ローカル (SDDC) エンドポイントを構成してから、一致するリモート(オンプレミス)エンドポイントを構成します。すべてのポリシーベースの VPN では、ネットワークごとに新しい IPsec Security Association (SA) を作成する必要があるため、管理者は、新しいポリシーベースの VPN が作成されるたびに、オンプレミスと SDDC のルーティング情報を更新する必要があります。VPN のいずれかの両端のネットワークの数が少ない場合、またはオンプレミスのネットワーク ハードウェアで BGP(ルートベースの VPN に必要)がサポートされていない場合は、ポリシーベースの VPN を選択することをお勧めします。

重要:

SDDC にポリシーベース VPN 接続と別の接続(ルートベース VPN、DX、VTGW など)が両方含まれる場合、これらのいずれかの接続がデフォルト ルート (0.0.0.0/0) を SDDC にアドバタイズすると、ポリシーベース VPN 経由の接続は失敗します。これらの他の接続のいずれもデフォルト ルートをアドバタイズしない場合、VPN のポリシーに一致するすべてのトラフィックは、他の接続によってより具体的なルートが提供されても、VPN を通ります。重複する場合は、ポリシーベースの VPN ポリシーの一致よりもルートベースの VPN ルートが優先されます。

手順

  1. https://vmc.vmware.com から VMware Cloud コンソール にログインします。
  2. [インベントリ] > [SDDC] の順にクリックし、SDDC カードを選択して [詳細表示] をクリックします。
  3. [NSX Manager を開く] をクリックし、SDDC の [設定] 画面に表示されている [NSX Manager 管理者ユーザー アカウント] を使用してログインします。NSX Manager による SDDC ネットワーク管理を参照してください。
    このワークフローでは、 VMware Cloud コンソール[ネットワークとセキュリティ] タブを使用することもできます。
  4. [VPN] > [ポリシー ベース] > [VPN の追加] の順にクリックして、新しい VPN に [名前] とオプションの [説明] を指定します。
  5. ドロップダウン メニューから [ローカル IP アドレス] を選択します。
  6. オンプレミス ゲートウェイの [リモート パブリック IP アドレス] を入力します。
    このアドレスは、別の VPN でまだ使用されていないアドレスである必要があります。 VMware Cloud on AWS はすべての VPN 接続に同じパブリック IP アドレスを使用するため、特定のリモート パブリック IP アドレスに対して作成できる VPN 接続(ルートベース、ポリシーベース、または L2VPN)は 1 つのみとなります。 手順 5でパブリック IP アドレスを指定した場合は、このアドレスにインターネット経由でアクセスできる必要があります。 プライベート IP アドレスを指定した場合は、プライベート VIF への Direct Connect 経由でそのアドレスにアクセスできる必要があります。デフォルト ゲートウェイ ファイアウォール ルールでは、VPN 接続を経由した受信トラフィックと送信トラフィックが許可されますが、VPN トンネル経由のトラフィックを管理するにはファイアウォール ルールを作成する必要があります。
  7. この VPN が接続できる [リモート ネットワーク] を指定します。
    このリストには、オンプレミス VPN ゲートウェイによってローカルと定義されたすべてのネットワークが含まれている必要があります。各ネットワークは CIDR 形式で入力し、複数の CIDR ブロックはカンマで区切ります。
  8. この VPN が接続できる [ローカル ネットワーク] を指定します。
    このリストには、SDDC 内のすべてのルーティングされたコンピューティング ネットワーク、および管理ネットワークとアプライアンス サブネット(ESXi ホスト以外の、vCenter Server などの管理アプライアンスを含む管理ネットワークのサブセット)が含まれます。また、コンピューティング ゲートウェイ DNS ネットワーク(コンピューティング ゲートウェイ DNS サービスによって転送される要求の送信元を明らかにするための単一の IP アドレス)も含まれます。
  9. [認証モード] を選択します。
    • PSK 認証の場合は、[プリシェアード キー] 文字列を入力します。キーの最大長は 128 文字です。このキーは、VPN トンネルの両側で同一である必要があります。
    • 証明書ベースの認証については、IPsec VPN の証明書ベースの認証の構成を参照してください。
  10. (オプション) オンプレミス ゲートウェイが NAT デバイスの背後にある場合は、そのゲートウェイのアドレスを [リモート プライベート IP アドレス] として入力します。
    この IP アドレスは、オンプレミス VPN ゲートウェイによって送信されるローカル ID (IKE ID) と一致する必要があります。このフィールドが空の場合は、 [リモート パブリック IP アドレス ] フィールドがオンプレミス VPN ゲートウェイのローカル ID との照合に使用されます。
  11. [トンネルの詳細パラメータ] を構成します。
    パラメータ
    [IKE プロファイル] > [IKE 暗号化] オンプレミス VPN ゲートウェイでサポートされているフェーズ 1 (IKE) 暗号を選択します。
    [IKE プロファイル] > [IKE ダイジェスト アルゴリズム] オンプレミス VPN ゲートウェイでサポートされているフェーズ 1 ダイジェスト アルゴリズムを選択します。ベスト プラクティスは、[IKE ダイジェスト アルゴリズム][トンネル ダイジェスト アルゴリズム] の両方に同じアルゴリズムを使用することです。
    注:

    [IKE 暗号化] に GCM ベースの暗号を指定する場合は、[IKE ダイジェスト アルゴリズム][なし] に設定します。ダイジェスト機能は GCM 暗号に不可欠です。GCM ベースの暗号を使用する場合は IKE V2 を使用する必要があります

    [IKE プロファイル] > [IKE バージョン]
    • IKEv1 プロトコルを開始して受け入れる場合は、[IKE V1] を指定します。
    • IKEv2 プロトコルを開始して受け入れる場合は、[IKE V2] を指定します。GCM ベースの [IKE ダイジェスト アルゴリズム] を指定した場合は、IKEv2 を使用する必要があります。
    • IKEv1 または IKEv2 を受け入れてから IKEv2 を開始する場合は、[IKE FLEX] を指定します。IKEv2 の開始に失敗した場合、IKE FLEX は IKEv1 にフォールバックしません。
    [IKE プロファイル] > [Diffie Hellman] オンプレミス VPN ゲートウェイでサポートされている Diffie-Hellman グループを選択します。この値は、VPN トンネルの両側で同一にする必要があります。グループ番号が大きいほど、保護は強化されます。グループ 14 以上を選択することをお勧めします。
    [IPSec プロファイル] > [トンネル暗号化] オンプレミス VPN ゲートウェイでサポートされているフェーズ 2 Security Association (SA) 暗号を選択します。
    [IPSec プロファイル][トンネル ダイジェスト アルゴリズム] オンプレミス VPN ゲートウェイでサポートされているフェーズ 2 ダイジェスト アルゴリズムを選択します。
    注:

    [トンネルの暗号化] に GCM ベースの暗号を指定する場合は、[トンネル ダイジェスト アルゴリズム][なし] に設定します。ダイジェスト機能は GCM 暗号に不可欠です。

    [IPSec プロファイル] > [Perfect Forward Secrecy] オンプレミス VPN ゲートウェイの設定に合わせて有効または無効にします。Perfect Forward Secrecy を有効にすると、プライベート キーが盗み取られたとしても、記録された(過去の)セッションが復号されることを回避できます。
    [IPSec プロファイル ] > [Diffie Hellman] オンプレミス VPN ゲートウェイでサポートされている Diffie-Hellman グループを選択します。この値は、VPN トンネルの両側で同一にする必要があります。グループ番号が大きいほど、保護は強化されます。グループ 14 以上を選択することをお勧めします。
    [DPD プロファイル] > [DPD プローブ モード] [定期]または[オンデマンド]のいずれか。

    定期 DPD プローブ モードの場合、指定した DPD プローブ間隔が経過するたびに DPD プローブが送信されます。

    オンデマンド DPD プローブ モードの場合、アイドル期間の経過後にピア サイトから IPsec パケットが受信されないと、DPD プローブが送信されます。使用されるアイドル期間は [DPD プローブ間隔] の値によって決まります。
    [DPD プロファイル] > [再試行回数] 許可される再試行回数の整数。1~100 の範囲の値が有効です。デフォルトの再試行回数は 10 です。
    [DPD プロファイル] > [DPD プローブ間隔] DPD プローブの送信の間に NSX IKE デーモンが待機する秒数。

    定期 DPD プローブ モードの場合、有効な値は 3~360 秒の間です。デフォルト値は 60 秒です。

    オンデマンド プローブ モードの場合、有効な値は 1~10 秒の間です。デフォルト値は 3 秒です。

    定期 DPD プローブ モードを設定した場合、IKE デーモンは DPD プローブを定期的に送信します。ピア サイトが 0.5 秒以内に応答すると、構成した DPD プローブ間隔の経過後に次の DPD プローブが送信されます。ピア サイトが応答しない場合は、0.5 秒待機した後に DPD プローブが再送信されます。リモート ピア サイトが応答しない場合、応答が受信されるか再試行回数に到達するまで、IKE デーモンは DPD プローブの再送信を繰り返します。ピア サイトの非活動が宣言されるまで、IKE デーモンは [再試行回数] プロパティに指定された最大回数に達するまで、DPD プローブを再送信します。ピア サイトが非活動と宣言されると、NSX は、非活動ピアのリンクで Security Association (SA) を解除します。

    オンデマンド DPD モードを設定すると、構成した DPD プローブ間隔の経過後、ピア サイトから IPsec トラフィックが受信されない場合にのみ、DPD プローブが送信されます。
    [DPD プロファイル] > [管理ステータス] DPD プロファイルを有効または無効にするには、[管理ステータス] トグルをクリックします。デフォルトでは、この値は [有効] に設定されます。DPD プロファイルを有効にすると、DPD プロファイルを使用する IPSec VPN サービスのすべての IPSec セッションに、その DPD プロファイルが使用されます。
    [TCP MSS クランプ] [TCP MSS クランプ] を使用して IPsec 接続時の TCP セッションの最大セグメント サイズ (MSS) ペイロードを削減するには、このオプションを [有効] に切り替えて、[TCP MSS の方向] を選択し、必要に応じて [TCP MSS 値] を選択します。『NSX Data Center 管理ガイド』のTCP MSS クランプの理解を参照してください。
  12. (オプション) VPN にタグを付けます。

    NSX オブジェクトのタギングについて詳しくは、『NSX Data Center 管理ガイド』のオブジェクトへのタグの追加を参照してください。

  13. [保存] をクリックします。

結果

VPN の作成プロセスには数分かかることがあります。ポリシーベースの VPN が使用可能になると、次のアクションを実行して、VPN のオンプレミス側のトラブルシューティングと設定を行うことができるようになります。
  • [設定のダウンロード] をクリックし、VPN 構成の詳細を含むファイルをダウンロードします。これらの詳細を使用して、この VPN のオンプレミスのエンドを構成できます。
  • [統計情報の表示] をクリックし、この VPN のパケット トラフィックの統計情報を表示します。VPN トンネルのステータスと統計情報の表示を参照してください。

次のタスク

必要に応じて、ファイアウォール ルールを作成または更新します。ポリシー ベース VPN を経由するトラフィックを許可するには、[適用先] フィールドで [インターネット インターフェイス] を指定します。