インターネット プロトコル セキュリティ (IPsec) プロファイルは、IPsec トンネルの確立時にネットワーク サイト間の共有シークレット キーの認証、暗号化、および確立に使用されるアルゴリズムに関する情報を提供します。

NSX-T Data Center は、IPsec VPN または L2 VPN サービスの構成時にデフォルトで割り当てられるシステム生成の IPsec プロファイルを提供します。次の表では、デフォルトで提供される IPsec プロファイルを示します。
表 1. IPsec VPN または L2 VPN サービスで使用されるデフォルトの IPsec プロファイル
デフォルトの IPsec プロファイルの名前 説明
nsx-default-l2vpn-tunnel-profile
  • L2 VPN で使用されます。
  • AES GCM 128 暗号化アルゴリズムと Diffie-Hellman グループ 14 キー交換アルゴリズムで構成されます。
nsx-default-l3vpn-tunnel-profile
  • IPsec VPN で使用されます。
  • AES GCM 128 暗号化アルゴリズムと Diffie-Hellman グループ 14 キー交換アルゴリズムで構成されます。

デフォルトの IPsec プロファイルではなく、NSX-T Data Center 2.5 以降でサポートされるコンプライアンス スイートのいずれかを選択することもできます。詳細については、サポートされているコンプライアンス スイートについてを参照してください。

デフォルトで提供される IPsec プロファイルまたはコンプライアンス スイートを使用しない場合は、次の手順に従って独自の構成を行うことができます。

手順

  1. ブラウザから、NSX Manager (https://<nsx-manager-ip-address>) に管理者権限でログインします。
  2. [ネットワーク] > [VPN] の順に選択し、[プロファイル] タブをクリックします。
  3. プロファイル タイプに [IPsec プロファイル] を選択し、[IPsec プロファイルの追加] をクリックします。
  4. IPsec プロファイルの名前を入力します。
  5. ドロップダウン メニューから、暗号化、ダイジェスト、および Diffie-Hellman アルゴリズムを選択します。複数のアルゴリズムを選択して適用することができます。
    使用しないアルゴリズムを選択解除します。
    表 2. 使用するアルゴリズム
    アルゴリズムのタイプ 有効な値 説明
    暗号化
    • AES GCM 128(デフォルト)
    • AES 128
    • AES 256
    • AES GCM 192
    • AES GCM 256
    • 暗号化認証なし (AES GMAC 128)
    • 暗号化認証なし (AES GMAC 192)
    • 暗号化認証なし (AES GMAC 256)
    • 暗号化なし

    Internet Protocol Security (IPSec) ネゴシエーション実行中に使用される暗号化アルゴリズム。

    AES 128 および AES 256 アルゴリズムは、CBC 操作モードを使用します。
    ダイジェスト
    • SHA 1
    • SHA2 256
    • SHA2 384
    • SHA2 512

    IPSec ネゴシエーションの実行中に使用されるセキュア ハッシュ アルゴリズム。
    Diffie-Hellman グループ
    • グループ 14(デフォルト)
    • グループ 2
    • グループ 5
    • グループ 15
    • グループ 16
    • グループ 19
    • グループ 20
    • グループ 21

    ピア サイトおよび NSX Edge がセキュアでない通信チャネルを介して共有シークレット キーを確立するために使用する暗号化スキーム。

  6. VPN サービスで PFS グループ プロトコルを使用しない場合は、[PFS グループ] を選択解除します。
    デフォルトで選択されています。
  7. [SA の有効期間] テキスト ボックスで、デフォルトの秒数を変更してから、IPsec トンネルを再確立する必要があります。
    SA の有効期間のデフォルト値には、24 時間(86,400 秒)が使用されます。
  8. IPsec トンネルで使用する [DF ビット] の値を選択します。
    この値によって、受信データ パケットに含まれる「フラグメント化しない (DF)」ビットを処理する方法が決まります。次の表に、許容値を示します。
    表 3. DF ビット値
    DF ビット値 説明
    COPY

    デフォルト値です。この値を選択すると、NSX-T Data Center は受信パケットの DF ビットの値を転送するパケットにコピーします。この値は、暗号化の後に受信データ パケットに DF ビットが設定されると、パケットにも DF ビットが設定されることを意味します。

    CLEAR

    この値を選択すると、NSX-T Data Center は受信データ パケットの DF ビット値を無視します。暗号化パケットでは、DF ビットが常に 0 になります。

  9. 説明を入力し、必要に応じてタグを追加します。
  10. [保存] をクリックします。

結果

利用可能な IPsec プロファイルのテーブルに新しい行が追加されます。システムで作成されていないプロファイルを編集または削除するには、3 つのドットで示されるメニュー(縦に並んだ 3 つの黒いドットこのアイコンをクリックすると、サブコマンドのメニューが表示されます。)をクリックし、実行可能なアクションのリストから選択します。