ポリシーベース IPsec VPN を追加する場合、リモート VPN サイトのピア サブネットを持つ NSX Edge ノードの背後にある複数のローカル サブネットの接続に IPsec トンネルが使用されます。

次の手順では、NSX Manager ユーザー インターフェイスの [IPsec セッション] タブを使用してポリシーベース IPsec セッションを作成します。また、トンネル、IKE、および DPD プロファイルの情報を追加し、ポリシーベース IPsec VPN で使用する既存のローカル エンドポイントを選択します。

注:

IPsec VPN サービスを正常に構成した後すぐに、IPsec VPN セッションを追加することもできます。IPsec VPN サービスの構成を続行するよう求められたら、[はい] をクリックし、[IPsec サービスの追加] パネルで [セッション] > [セッションの追加] の順に選択します。以下の手順の前半は、IPsec VPN サービスの構成を続行するよう求められたときに [いいえ] を選択したことが前提となっています。[はい] を選択した場合は、次の手順の手順 3 に進み、ポリシーベース IPsec VPN セッションの残りの構成を続行します。

前提条件

  • 続行する前に、IPsec VPN サービスを構成する必要があります。IPsec VPN サービスの追加 を参照してください。
  • 追加するポリシーベース IPsec VPN セッションで使用するローカル エンドポイントの情報、ピア サイトの IP アドレス、ローカル ネットワークのサブネット、およびリモート ネットワークのサブネットを取得します。ローカル エンドポイントを作成するには、ローカル エンドポイントの追加を参照してください。
  • 認証に事前共有キー (PSK) を使用している場合は、PSK 値を取得します。
  • 認証に証明書を使用している場合は、必要なサーバ証明書と対応する CA 署名付き証明書がすでにインポートされていることを確認します。証明書 を参照してください。
  • NSX-T Data Center によって提供される IPsec トンネル、IKE、または Dead Peer Detection (DPD) プロファイルのデフォルト値を使用しない場合、代わりに使用するプロファイルを構成します。詳細については、プロファイルの追加を参照してください。

手順

  1. ブラウザから、NSX Manager (https://<nsx-manager-ip-address>) に管理者権限でログインします。
  2. [ネットワーク] > [VPN] > [IPsec セッション] タブに移動します。
  3. [IPsec セッションの追加] > [ポリシー ベース] を選択します。
  4. ポリシーベース IPsec VPN セッションの名前を入力します。
  5. [VPN サービス] ドロップダウン メニューから、この新しい IPsec セッションを追加する IPsec VPN サービスを選択します。
    注: [IPsec セッションの追加] ダイアログ ボックスでこの IPsec セッションを追加する場合は、 [IPsec セッションの追加] ボタンの上に VPN サービスの名前がすでに示されています。
  6. ドロップダウン メニューから既存のローカル エンドポイントを選択します。
    このローカル エンドポイントの値は必須で、ローカル NSX Edge ノードの識別に使用されます。別のローカル エンドポイントを作成する場合は、3 つのドットで示されるメニュー( 縦に並んだ 3 つの黒いドットのアイコンこのアイコンをクリックすると、サブコマンドのメニューが表示されます。)をクリックし、 [ローカル エンドポイントの追加] を選択します。
  7. [リモート IP] テキスト ボックスに、リモート サイトに必要な IP アドレスを入力します。
    この値は必須です。
  8. このポリシーベース IPsec VPN セッションのオプションの説明を入力します。
    長さは最大 1,024 文字です。
  9. IPsec VPN セッションを有効または無効にするには、[管理状態] をクリックします。
    デフォルトでは、値は Enabled に設定されています。これは、 NSX Edge ノードまで IPsec VPN セッションが構成されることを意味します。
  10. (オプション) [コンプライアンス スイート] ドロップダウン メニューから、セキュリティ コンプライアンス スイートを選択します。
    注: コンプライアンス スイートのサポートは、 NSX-T Data Center 2.5 以降で提供されます。詳細については、 サポートされているコンプライアンス スイートについてを参照してください。
    デフォルトで選択される値は None です。コンプライアンス スイートを選択すると、 [認証モード]Certificate に設定されます。 [詳細なプロパティ] セクションで、 [IKE プロファイル][IPsec プロファイル] の値が、選択したセキュリティ コンプライアンス スイートのシステム定義プロファイルに設定されます。これらのシステム定義のプロファイルは編集できません。
  11. [コンプライアンス スイート]None に設定されている場合は、[認証モード] ドロップダウン メニューからモードを選択します。
    使用されるデフォルトの認証モードは PSK です。つまり、IPsec VPN セッションには NSX Edge とリモート サイト間で共有されるプライベート キーが使用されます。 Certificate を選択すると、ローカル エンドポイントの構成に使用されたサイト証明書が認証に使用されます。
  12. [ローカル ネットワーク] と [リモート ネットワーク] テキスト ボックスに、このポリシーベース IPsec VPN セッションで使用する 1 つ以上の IP サブネット アドレスを入力します。
    これらのサブネットは CIDR 形式にする必要があります。
  13. [認証モード]PSK に設定されている場合は、[事前共有キー] テキスト ボックスにキーの値を入力します。
    このプライベート キーは、最大長が 128 文字の文字列です。
    注意: PSK 値には機密情報が含まれているため、PSK 値を共有して保存する場合は注意してください。
  14. ピア サイトを識別するために、[リモート ID] に値を入力します。
    PSK 認証を使用するピア サイトの場合、この ID 値はパブリック IP アドレスまたはピア サイトの FQDN にする必要があります。証明書認証を使用するピア サイトの場合、この ID 値はピア サイトの証明書のコモン ネーム (CN) または識別名 (DN) にする必要があります。
    注: たとえば、次のようにピア サイトの証明書で識別名 (DN) にメール アドレスが含まれている場合、 
    C=US, ST=California, O=MyCompany, OU=MyOrg, CN=Site123/[email protected]
    次の形式で [リモート ID] の値を入力します。 
    C=US, ST=California, O=MyCompany, OU=MyOrg, CN=Site123, [email protected]"
    ローカル サイトの証明書で識別名 (DN) にメール アドレスが含まれ、ピア サイトが strongSwan IPsec を使用している場合は、このピア サイトにローカル サイトの ID 値を入力します。次に例を示します。 
    C=US, ST=California, O=MyCompany, OU=MyOrg, CN=Site123, [email protected]"
  15. ポリシーベースの IPsec VPN セッションで使用されるプロファイル、開始モード、TCP MSS クランプ モード、タグを変更するには、[詳細なプロパティ] をクリックします。
    デフォルトでは、システムによって生成されたプロファイルが使用されます。デフォルトを使用しない場合は、別の利用可能なプロファイルを選択します。まだ構成されていないプロファイルを使用する場合は、3 つのドットで示されるメニュー( 縦に並んだ 3 つの黒いドットこのアイコンをクリックすると、サブコマンドのメニューが表示されます。)をクリックして、別のプロファイルを作成します。 プロファイルの追加 を参照してください。
    1. [IKE プロファイル] ドロップダウン メニューが有効になっている場合は、IKE プロファイルを選択します。
    2. [IPsec プロファイル] ドロップダウン メニューが無効になっていない場合は、IPsec トンネル プロファイルを選択します。
    3. [DPD プロファイル] ドロップダウン メニューが有効になっている場合は、優先 DPD プロファイルを選択します。
    4. [接続開始モード] ドロップダウン メニューから優先モードを選択します。
      接続開始モードは、トンネルを作成するときにローカル エンドポイントで使用されるポリシーを定義します。デフォルト値は Initiator です。次の表では、使用可能なさまざまな接続開始モードについて説明します。
      表 1. 接続開始モード
      接続開始モード 説明
      Initiator デフォルト値です。このモードの場合、ローカル エンドポイントは IPsec VPN トンネルの作成を開始して、ピア ゲートウェイから受信するトンネル設定要求に応答します。
      On Demand このモードの場合、ローカル エンドポイントは、ポリシー ルールと一致する最初のパケット受信した後に IPsec VPN トンネルの作成を開始します。受信した開始要求にも応答します。
      Respond Only

      IPsec VPN は接続を開始しません。ピア サイトは接続要求を常に開始し、ローカル エンドポイントはこの接続要求に応答します。

    5. IPsec 接続中に TCP セッションの最大セグメント サイズ (MSS) ペイロードを削減するには、[TCP MSS クランプ] を有効にして、[TCP MSS の方向] で値を選択します。必要であれば、[TCP MSS 値] を設定します。
      詳細については、 TCP MSS クランプの理解を参照してください。
    6. 特定のグループの一部としてこのセッションを含める場合は、[タグ] にタグ名を入力します。
  16. [保存] をクリックします。

結果

新しいポリシーベース IPsec VPN セッションが正常に構成されている場合は、使用可能な IPsec VPN セッションのリストに追加されます。このセッションは読み取り専用モードです。

次のタスク

  • IPsec VPN トンネルの状態が [稼動中] であることを確認します。詳細については、VPN セッションのモニタリングとトラブルシューティングを参照してください。
  • 必要に応じて、セッションの行の左側にある 3 つのドットで示されるメニュー(縦に並んだ 3 つの黒いドットこのアイコンをクリックすると、サブコマンドのメニューが表示されます。)をクリックして、IPsec VPN セッションの情報を管理します。実行できるアクションの中から 1 つを選択します。