ローカル サイトの NSX Edge とピア サイトのリモート VPN ゲートウェイ間で、ルート ベースの IPsec トンネルを構成します。
ローカル サブネットとリモート サブネットを構成するポリシー ベースの IPsec トンネルの構成と異なり、ルートベースの IPsec トンネル構成の場合は、相互に通信を行うローカル サブネットとピア サブネットを定義する必要はありません。ルート ベースの IPsec トンネル構成の場合、ローカル サイトとピア サイトの両方で、プライベート IP アドレスを使用して VTI を定義する必要があります。ローカル サブネットからのトラフィックは、VTI を介してピア サブネットにルーティングされます。BGP などの動的ルーティング プロトコルを使用して、IPsec トンネル経由でトラフィックをルーティングします。動的ルーティング プロトコルは、ローカル サブネットから IPsec トンネル経由でピア サブネットに転送するトラフィックを決定します。
次の手順では、2 つのサイト間にルートベースの IPsec トンネルを構成します。
- ローカルの NSX Edge で IPsec VPN パラメータを構成します。NSX Data Center 6.4.2 以降でルートベースの IPsec VPN パラメータを設定するには、REST API を使用する必要があります。詳細については、『NSX API ガイド』を参照してください。
- ローカルの NSX Edge ゲートウェイを識別するローカル エンドポイントの IP アドレスとローカル ID。
- ピア VPN ゲートウェイを識別するピア エンドポイントの IP アドレスとピア ID。
- IKE バージョン両方のサイト間で Security Association を設定する IKE バージョン。
- ダイジェスト アルゴリズム。
- 暗号化アルゴリズム。
- 認証メカニズム(事前共有キーまたは証明書)。
- Diffie-hellman (DH) グループのパブリック キーの暗号化スキーム。
- Perfect Forward Secrecy を有効または無効にします。
- レスポンダのみのモードを有効または無効にします。
- NSX Edge 上の仮想トンネル インターフェイス (VTI)。VTI の静的プライベート IP アドレスを提供します。
注: 構成する VTI は静的 VTI です。したがって、複数の IP アドレスは使用できません。ローカルとピアの両方のサイトにある VTI の IP アドレスを同じサブネット上に配置するのがベスト プラクティスです。 - IPsec 構成のダウンロード API を使用して、参照用のピア設定を取得し、ピア VPN ゲートウェイを構成します。
- 両方のサイトの VTI 間に BGP ピアリングを構成します。ピアリングにより、ローカル サイトの BGP がローカル サブネットをピア VPN ゲートウェイにアドバタイズします。同様に、ピア サイトの BGP がリモート サブネットをローカルの VPN ゲートウェイにアドバタイズします。BGP の構成の詳細については、『 NSX 管理ガイド』の「ルーティング」をご覧ください。
重要: NSX 6.4.2 以降では、IPsec トンネル経由の静的ルーティングと OSPF 動的ルーティングはサポートされません。
- 1 つ以上のトンネルを経由してトンネルの冗長性を維持するには、BGP の [ホールド ダウン (Hold Down)] タイマーと [キープ アライブ (Keep Alive)] タイマーの値を構成します。タイマーの値により、必要なフェイル オーバー時間内でリモート VPN ゲートウェイとの切断を検出できます。
ローカルの NSX Edge とリモートの Cisco CSR 1000V VPN ゲートウェイの間でルート ベースの IPsec トンネルを構成する詳細な例については、Cisco CSR 1000V アプライアンスの使用を参照してください。