ルート ベース IPsec VPN を追加すると、BGP などの優先プロトコルを使用して仮想トンネル インターフェイス (VTI) を介して動的に学習されたルートをベースとするトラフィックに対して、トンネリングが行われます。IPsec は、VTI を通過するすべてのトラフィックを保護します。

このトピックに記載されている手順では、[IPsec セッション] タブを使用してルートベース IPsec セッションを作成します。また、トンネル、IKE、および DPD プロファイルの情報の追加や、ルート ベース IPsec VPN で使用する既存のローカル エンドポイントの選択を行います。

注:

IPsec VPN サービスを正常に設定した後すぐに、IPsec VPN セッションを追加することもできます。IPsec VPN サービスの設定を続行するよう求められたら、[はい] をクリックし、[IPsec サービスの追加] パネルで [セッション] > [セッションの追加] の順に選択します。以下の手順の前半は、IPsec VPN サービスの設定を続行するよう求められたときに [いいえ] を選択したことが前提となっています。[はい] を選択した場合は、次の手順の手順 3 に進み、手順に沿ってルートベース IPsec VPN セッションの続きの設定を行います。

前提条件

  • 続行する前に、IPsec VPN サービスを設定する必要があります。IPsec VPN サービスの追加 を参照してください。
  • ローカル エンドポイント、ピア サイトの IP アドレス、追加するルート ベース IPsec セッションで使用するトンネル サービスの IP サブネット アドレスの情報を取得します。ローカル エンドポイントを作成するには、ローカル エンドポイントの追加を参照してください。
  • 認証に事前共有キー (PSK) を使用している場合は、PSK 値を取得します。
  • 認証に証明書を使用している場合は、必要なサーバ証明書と対応する CA 署名付き証明書がすでにインポートされていることを確認します。証明書 を参照してください。
  • NSX-T Data Center から提供された IPsec トンネル、IKE、または Dead Peer Detection (DPD) プロファイルのデフォルト値を使用しない場合は、代わりに使用するプロファイルを設定します。詳細については、プロファイルの追加を参照してください。

手順

  1. ブラウザから、NSX Manager (https://<nsx-manager-ip-address>) に管理者権限でログインします。
  2. [ネットワーク] > [VPN] > [IPsec セッション] に移動します。
  3. [IPsec セッションの追加] > [ルート ベース] を選択します。
  4. ルートベース IPsec セッションの名前を入力します。
  5. [VPN サービス] ドロップダウン メニューから、この新しい IPsec セッションを追加する IPsec VPN サービスを選択します。
    注: [IPsec セッションの追加] ダイアログ ボックスでこの IPsec セッションを追加する場合は、 [IPsec セッションの追加] ボタンの上に VPN サービスの名前がすでに示されています。
  6. ドロップダウン メニューから既存のローカル エンドポイントを選択します。
    このローカル エンドポイントの値は必須で、ローカル NSX Edge ノードの識別に使用されます。別のローカル エンドポイントを作成する場合は、3 つのドットで示されるメニュー ( ) をクリックして、 [ローカル エンドポイントの追加] を選択します。
  7. [リモート IP アドレス] テキスト ボックスにリモート サイトの IP アドレスを入力します。
    この値は必須です。
  8. このルート ベース IPsec VPN セッションのオプションの説明を入力します。
    長さは最大 1,024 文字です。
  9. IPsec セッションを有効または無効にするには、[管理状態] をクリックします。
    デフォルトの値は Enabled に設定されています。これは、 NSX Edge ノードまで IPsec セッションが設定されることを意味します。
  10. (オプション) [コンプライアンス スイート] ドロップダウン メニューから、セキュリティ コンプライアンス スイートを選択します。
    注: コンプライアンス スイートのサポートは、 NSX-T Data Center 2.5 以降で提供されます。詳細については、 サポートされているコンプライアンス スイートについてを参照してください。
    デフォルト値は None に設定されています。コンプライアンス スイートを選択すると、 [認証モード]Certificate に設定されます。 [詳細なプロパティ] セクションで、 [IKE プロファイル][IPsec プロファイル] の値が、選択したコンプライアンス スイートのシステム定義プロファイルに設定されます。これらのシステム定義のプロファイルは編集できません。
  11. [トンネル インターフェイス] に IP サブネット アドレスを CIDR 形式で入力します。
    このアドレスは必須です。
  12. [コンプライアンス スイート]None に設定されている場合は、[認証モード] ドロップダウン メニューからモードを選択します。
    使用されるデフォルトの認証モードは PSK です。つまり、IPsec VPN セッションには NSX Edge とリモート サイト間で共有されるプライベート キーが使用されます。 Certificate を選択すると、ローカル エンドポイントの設定に使用されたサイト証明書が認証に使用されます。
  13. 認証モードに PSK を選択した場合は、[事前共有キー] テキスト ボックスにキーの値を入力します。
    このプライベート キーは、最大長が 128 文字の文字列です。
    注意: PSK 値には機密情報が含まれているため、PSK 値を共有して保存する場合は注意してください。
  14. [リモート ID] の値を入力します。
    PSK 認証を使用するピア サイトの場合、この ID 値はパブリック IP アドレスまたはピア サイトの FQDN にする必要があります。証明書認証を使用するピア サイトの場合、この ID 値はピア サイトの証明書のコモン ネーム (CN) または識別名 (DN) にする必要があります。
    注: たとえば、次のようにピア サイトの証明書で識別名 (DN) にメール アドレスが含まれている場合、
    C=US, ST=California, O=MyCompany, OU=MyOrg, CN=Site123/emailAddress=user1@mycompany.com
    次の形式で [リモート ID] の値を入力します。
    C=US, ST=California, O=MyCompany, OU=MyOrg, CN=Site123, MAILTO=user1@mycompany.com"
    ローカル サイトの証明書で識別名 (DN) にメール アドレスが含まれ、ピア サイトが strongSwan IPsec を使用している場合は、このピア サイトにローカル サイトの ID 値を入力します。次に例を示します。
    C=US, ST=California, O=MyCompany, OU=MyOrg, CN=Site123, E=user1@mycompany.com"
  15. 特定のグループ タグの一部としてこの IPsec セッションを含める場合は、[タグ] にタグ名を入力します。
  16. ルートベースの IPsec VPN セッションで使用されるプロファイル、開始モード、TCP MSS クランプ モード、タグを変更するには、[詳細なプロパティ] をクリックします。
    デフォルトでは、システムによって生成されたプロファイルが使用されます。デフォルトを使用しない場合は、別の利用可能なプロファイルを選択します。まだ設定されていないプロファイルを使用する場合は、3 つのドットで示されるメニュー ( ) をクリックして別のプロファイルを作成します。 プロファイルの追加 を参照してください。
    1. [IKE プロファイル] ドロップダウン メニューが有効になっている場合は、IKE プロファイルを選択します。
    2. [IPsec プロファイル] ドロップダウン メニューが無効になっていない場合は、IPsec トンネル プロファイルを選択します。
    3. [DPD プロファイル] ドロップダウン メニューが有効になっている場合は、優先 DPD プロファイルを選択します。
    4. [接続開始モード] ドロップダウン メニューから優先モードを選択します。
      接続開始モードは、トンネルを作成するときにローカル エンドポイントで使用されるポリシーを定義します。デフォルト値は Initiator です。次の表では、使用可能なさまざまな接続開始モードについて説明します。
      表 1. 接続開始モード
      接続開始モード 説明
      Initiator デフォルト値です。このモードの場合、ローカル エンドポイントは IPsec VPN トンネルの作成を開始して、ピア ゲートウェイから受信するトンネル設定要求に応答します。
      On Demand ルートベースの VPN では使用しないでください。このモードは、ポリシーベースの VPN にのみ適用されます。
      Respond Only IPsec VPN は接続を開始しません。ピア サイトは接続要求を常に開始し、ローカル エンドポイントはこの接続要求に応答します。
  17. IPsec 接続中に TCP セッションの最大セグメント サイズ (MSS) ペイロードを削減するには、[TCP MSS クランプ] を有効にして、[TCP MSS の方向] で値を選択します。必要であれば、[TCP MSS 値] を設定します。
    詳細については、 TCP MSS クランプの理解を参照してください。
  18. 特定のグループ タグの一部としてこの IPsec セッションを含める場合は、[タグ] にタグ名を入力します。
  19. [保存] をクリックします。

結果

新しいルート ベース IPsec VPN セッションが正常に設定されている場合は、使用可能な IPsec VPN セッションのリストにこのセッションが追加されます。このセッションは読み取り専用モードです。

次のタスク

  • IPsec VPN トンネルの状態が [稼動中] であることを確認します。詳細については、VPN セッションの監視とトラブルシューティングを参照してください。
  • スタティック ルートまたは BGP のいずれかを使用してルーティングを構成します。スタティック ルートの設定またはBGP の構成を参照してください。
  • 必要に応じて、セッションの行の左側にある 3 つのドットで示されるメニュー () をクリックして、IPsec VPN セッションの情報を管理します。実行できるアクションの中から 1 つを選択します。