IPsec VPN サービスの追加

NSX-T Data Center は、Tier-0 または Tier-1 ゲートウェイとリモートサイトのサイト間 IPsec VPN サービスをサポートします。ポリシーベースまたはルートベースの IPsec VPN サービスを作成できます。ポリシーベースまたはルートベースの IPsec VPN セッションのいずれかを構成する前に、最初に IPsec VPN サービスを作成する必要があります。

注： IPsec VPN は NSX-T Data Center Limited Export Release ではサポートされていません。

ローカルエンドポイントの IP アドレスが、IPsec VPN セッションが構成されている論理ルーター内で NAT を通過している場合、IPsec VPN はサポートされません。

前提条件

IPsec VPN について理解しておく必要があります。IPsec VPN の理解を参照してください。
1 つ以上の Tier-0 または Tier-1 ゲートウェイが構成され、使用できる状態になっている必要があります。詳細については、Tier-0 ゲートウェイの追加またはTier-1 ゲートウェイの追加を参照してください。

手順

ブラウザから、NSX Manager (https://<nsx-manager-ip-address>) に管理者権限でログインします。
[ネットワーク] > [VPN] > [VPN サービス] に移動します。
[サービスの追加] > [IPsec ] を選択します。
IPsec サービスの名前を入力します。
この名前は必須です。
[Tier-0/Tier-1 ゲートウェイ] ドロップダウンメニューから、この IPsec VPN サービスに関連付ける Tier-0 または Tier-1 ゲートウェイを選択します。
[管理状態] を有効または無効にします。
デフォルトでは、値は Enabled に設定されています。つまり、新しい IPsec VPN サービスが構成されると、Tier-0 または Tier-1 ゲートウェイで IPsec VPN サービスが有効に構成されます。
[IKE ログレベル] の値を設定します。
デフォルトでは、 Info レベルに設定されています。
タググループにこのサービスを含める場合は、[タグ] の値を入力します。
VPN セッションのステートフル同期を有効または無効にするには [セッションの同期] を切り替えます。
デフォルトでは、値は Enabled に設定されています。
IPsec で保護せずに、指定したローカル IP アドレスとリモート IP アドレス間でデータパケットを交換できるようにするには、[グローバルバイパスルール] をクリックします。[ローカルネットワーク] と [リモートネットワーク] テキストボックスに、バイパスルールが適用されるローカルおよびリモートのサブネットのリストを入力します。
これらのルールを有効にした場合、IP アドレスが IPsec セッションルールで指定されていても、指定したローカル IP アドレスとリモート IP サイト間でデータパケットが交換されます。デフォルトでは、ローカルサイトおよびリモートサイト間のデータ交換時に IPsec の保護を使用します。これらのルールは、この IPsec VPN サービス内で作成されたすべての IPsec VPN セッションに適用されます。
[保存] をクリックします。
新規の IPsec VPN サービスが正常に作成されると、残りの IPsec VPN の構成を続行するかどうか尋ねられます。 [はい] をクリックすると、[IPsec VPN サービスの追加] パネルに戻ります。 [セッション] リンクが有効になり、このリンクをクリックして IPsec VPN セッションを追加できるようになります。

次のタスク

IPsec VPN セッションの追加の情報を参照して、IPsec VPN セッションを追加します。また、IPsec VPN の構成を完了するために必要なプロファイルおよびローカルエンドポイントの情報を指定します。