DNE を設定する前に、NSX-T 環境の 2 つのエンドポイント間で転送されるネットワーク パケットを DNE でどのように処理されるのか理解しておく必要があります。

ルールに一致するパケット

各パケットは、設定された暗号化ルールに従って暗号化されます。暗号化ルールは、最初のセクションにある最初のルールから順番に適用されます。最初のルールの条件にパケットが一致しない場合、次のルールが適用されます。

  • 暗号化ルールがパケットと一致すると、この暗号ルールに設定されているアクションがパケットに実行されます。それ以降の暗号化ルールは適用されません。
  • すべてのルールが適用され、一致するものが確認されなかった場合、このパケットに対しては何も実行されません。そのまま通過を許可できます。

ルールの順序は重要です。パケットが複数の暗号化ルールに一致すると、最初に一致した暗号化ルールのアクションがパケットに実行されます。他の暗号化ルールはすべて無視されます。このため、セクションとルールの順序は慎重に検討してください。

パケットの整合性チェック

パケットが暗号化ルールに一致したときに、ルール アクションが整合性チェックのみの場合、DNE はパケットの整合性を確認し、パケットが改ざんされているかどうかを判断します。パケットの整合性が確認された場合にのみ、パケットの通過が許可されます。それ以外の場合には、パケットがドロップされます。

パケットの認証と暗号化

パケットがルールに一致した場合、ルール アクションは暗号化との整合性チェックになります。

  • 転送側では、DNE が暗号化ルールのキー ポリシーのキーを使用し、パケットを暗号化します。
  • 受信側では、DNE がパケットを復号化し、整合性チェックを実行します。暗号化と復号に成功し、パケットの整合性が確認されている場合にのみ、パケットが通過します。それ以外の場合は、パケットがドロップされます。

パケットの通過を許可する

パケットがルールに一致したときに、ルール アクションが許可してクリアに設定されている場合、パケットにアクションが実行されず、そのまま通過します。

パケットのドロップ

パケットは、次の場合にドロップされます。

  • ホストにキーがない場合
  • アクションに矛盾がある場合。たとえば、テキスト形式でパケットを受信したときに、ルール アクションに「暗号化」を設定します。