NSX-T Data Center は、Tier-0 または Tier-1 ゲートウェイとリモート サイトのサイト間 IPsec VPN サービスをサポートします。ポリシーベースまたはルートベースの IPsec VPN サービスを作成できます。ポリシーベースまたはルートベースの IPsec VPN セッションのいずれかを構成する前に、最初に IPsec VPN サービスを作成する必要があります。

注: IPsec VPN は NSX-T Data Center Limited Export Release ではサポートされていません。

ローカル エンドポイントの IP アドレスが、IPsec VPN セッションが構成されている論理ルーター内で NAT を通過している場合、IPsec VPN はサポートされません。

前提条件

手順

  1. ブラウザから、NSX Manager (https://<nsx-manager-ip-address>) に管理者権限でログインします。
  2. [ネットワーク] > [VPN] > [VPN サービス] に移動します。
  3. [サービスの追加] > [IPsec ] を選択します。
  4. IPsec サービスの名前を入力します。
    この名前は必須です。
  5. [Tier-0/Tier-1 ゲートウェイ] ドロップダウン メニューから、この IPsec VPN サービスに関連付ける Tier-0 または Tier-1 ゲートウェイを選択します。
  6. [管理状態] を有効または無効にします。
    デフォルトでは、値は Enabled に設定されています。つまり、新しい IPsec VPN サービスが構成されると、Tier-0 または Tier-1 ゲートウェイで IPsec VPN サービスが有効に構成されます。
  7. [IKE ログ レベル] の値を設定します。
    デフォルトでは、 Info レベルに設定されています。
  8. タグ グループにこのサービスを含める場合は、[タグ] の値を入力します。
  9. VPN セッションのステートフル同期を有効または無効にするには [セッションの同期] を切り替えます。
    デフォルトでは、値は Enabled に設定されています。
  10. IPsec で保護せずに、指定したローカル IP アドレスとリモート IP アドレス間でデータ パケットを交換できるようにするには、[グローバル バイパス ルール] をクリックします。[ローカル ネットワーク][リモート ネットワーク] テキスト ボックスに、バイパス ルールが適用されるローカルおよびリモートのサブネットのリストを入力します。
    これらのルールを有効にした場合、IP アドレスが IPsec セッション ルールで指定されていても、指定したローカル IP アドレスとリモート IP サイト間でデータ パケットが交換されます。デフォルトでは、ローカル サイトおよびリモート サイト間のデータ交換時に IPsec の保護を使用します。これらのルールは、この IPsec VPN サービス内で作成されたすべての IPsec VPN セッションに適用されます。
  11. [保存] をクリックします。
    新規の IPsec VPN サービスが正常に作成されると、残りの IPsec VPN の構成を続行するかどうか尋ねられます。 [はい] をクリックすると、[IPsec VPN サービスの追加] パネルに戻ります。 [セッション] リンクが有効になり、このリンクをクリックして IPsec VPN セッションを追加できるようになります。

結果

1 つ以上の IPsec VPN セッションを追加すると、各 VPN サービスのセッション数が [VPN サービス] タブに表示されます。 [セッション] 列で番号をクリックすると、セッションを再構成または追加できます。サービスを編集する必要はありません。番号がゼロの場合はクリックできません。セッションを追加するには、サービスを編集する必要があります。

次のタスク

IPsec VPN セッションの追加の情報を参照して、IPsec VPN セッションを追加します。また、IPsec VPN の構成を完了するために必要なプロファイルおよびローカル エンドポイントの情報を指定します。