このトピックの手順に従って、NSX Edge インスタンスで IPsec VPN を有効にします。

前提条件

証明書認証を有効にするには、サーバ証明書および対応する CA 署名の証明書をインポートする必要があります。または、OpenSSL などのオープンソースのコマンドライン ツールを使用して CA 署名証明書を生成することもできます。

自己署名証明書は IPsec VPN に使用できません。これらは、ロード バランシングと SSL VPN にしか使用できません。

手順

  1. vSphere Web Client にログインします。
  2. [ネットワークとセキュリティ (Networking & Security)] > [NSX Edge] の順にクリックします。
  3. NSX Edge をダブルクリックします。
  4. [管理] > [VPN] > [IPsec VPN] の順にクリックします。
  5. [グローバル設定] の横にある [編集] または [変更 (Change)] をクリックします。
  6. ピア エンドポイントが「任意」に設定されているサイトのグローバル プリシェアード キーを入力します。
    プリシェアード キーを表示するには、 [プリシェアード キーを表示]表示アイコン)アイコンをクリックするか、 [プリシェアード キーの表示 (Display shared key)] チェック ボックスを選択します。
  7. グローバルの拡張機能を設定します。
    次の表は、グローバルの拡張機能です。
    拡張機能 説明
    add_spd

    使用できる値は、onoff です。デフォルト値は on です。この拡張機能が設定されていない場合でも、この値がデフォルトとなります。

    add_spd=off の場合:
    • セキュリティ ポリシーは、トンネルが動作している場合にのみインストールされます。
    • トンネルが動作している場合、パケットが暗号化され、トンネル経由で送信されます。
    • トンネルが停止している場合、ルートが利用可能であれば、パケットは暗号化されずに送信されます。
    add_spd=on の場合:
    • セキュリティ ポリシーは、トンネルが確立されているかどうかに関係なく配置されます。
    • トンネルが動作している場合、パケットが暗号化され、トンネル経由で送信されます。
    • トンネルが停止している場合、パケットはドロップされます。
    ike_fragment_size 最大転送ユニット (MTU) が小さい場合、IKE ネゴシエーションの失敗を回避するために、この拡張機能を使用して IKE フラグメント サイズを設定できます。たとえば、ike_fragment_size=900 を実行します。
    ignore_df
    使用できる値は、 onoff です。デフォルト値は off です。
    • ignore_df=off にすると、NSX Edge は、クリア テキスト パケットから暗号化されたパケットに DF (don't fragment) ビットの値をコピーします。この場合、暗号化の後でクリア テキスト パケットに DF ビットが設定されると、暗号化パケットにも DF ビットが設定されます。
    • ignore_df=on にすると、NSX Edgeはクリア テキスト パケットの DF ビット値を無視します。暗号化パケットでは、DF ビットが常に 0 になります。

    • クリア テキスト パケットに DF ビットが設定され、暗号化後のパケット サイズが TCP パケットの MTU を超える場合は、このフラグを on に設定します。DF ビットを設定するとパケットがドロップされますが、ビットをクリアするとパケットが断片化されます。

  8. 証明書認証を有効にして、適切なサービスの証明書、認証局 (CA) 証明書、証明書失効リスト (CRL) を選択します。
  9. [保存] または [OK] をクリックして、[変更の発行 (Publish Changes)] をクリックします。