2 つのサイト間で IPsec を設定するには、一致する属性を使用して 2 つの VPN エンドポイントを構成する必要があります。このトピックは、IPsec VPN デバイスのベンダー属性がローカル IPsec VPN セッションの VPN 関連属性と一致するようにするための要件を理解するのに役立ちます。

各 IPsec VPN ベンダーには、構成を受け入れる独自の形式があります。場合によっては、いくつかのパラメータにデフォルト値が使用されます。NSX-T Data Center IPsec VPN セッション ユーザー インターフェイスの [構成のダウンロード] 機能を使用できます。この機能は、管理者がピア VPN ベンダー デバイスの構成に使用できる VPN 関連のすべての構成を提供できます。これは、NSX-T Data Center で構成された IPsec VPN セッションに基づいています。この機能は、IPsec VPN セッションのすべての非表示/デフォルト属性を提示し、管理者がピア VPN デバイス(異なるデフォルト値を持つ場合がある)を構成できるようにします。構成の不一致があると、IPsec VPN トンネルが適切に起動しない可能性があります。

IPsec VPN セッションの [構成のダウンロード] ボタンの画像に示すように [構成のダウンロード] をクリックすると、ピア VPN デバイスで対応する IPsec VPN セッションを構成するために必要となる可能性のある関連属性を含むテキスト ファイルがダウンロードされます。
図 1. IPsec VPN セッションの [構成のダウンロード] ボタン
[IPsec VPN セッション] ページの左端にある [構成のダウンロード] ボタン
[手順]
  1. 処理を進める前に、IPsec VPN サービスとセッションを正常に構成していることを確認します。
  2. [ネットワーク] > [VPN] > [IPsec セッション] タブに移動して、[構成のダウンロード] ボタンにアクセスします。
  3. IPsec VPN セッションのテーブルで、IPsec VPN セッションの構成に使用するセッションの行を展開します。たとえば、IPsec VPN セッションの [構成のダウンロード] ボタンの画像では Sample_Policy_Based 行が展開されています。
  4. [構成のダウンロード] をクリックし、[警告] ダイアログ ボックスで [はい] をクリックして、テキスト ファイルをダウンロードします。
  5. ダウンロードした構成ファイルを使用して、ピア VPN エンドポイントでポリシーまたはルートベースの IPsec VPN セッション属性を構成し、必要な一致する値が含まれていることを確認します。

ダウンロードされるファイルは次のサンプル テキスト ファイルのようになります。Sample_Policy_Based.txt ファイル名は、NSX-T Data Center で構成されたポリシーベースの IPsec VPN セッションです。ダウンロードしたファイルの名前は、セッションの名前に基づいています。たとえば、<session-name>.txt になります。

 # Suggestive peer configuration for Policy IPSec Vpn Session
#
# IPSec VPN session path          : /infra/tier-0s/ServerT0_AS/ipsec-vpn-services/IpsecOnServerT0/sessions/SAMPLE_POLICY_BASED
# IPSec VPN session name          : SAMPLE_POLICY_BASED
# IPSec VPN session description   : 
# Tier 0 path                     : /infra/tier-0s/ServerT0_AS
#
# Enforcement point path    : /infra/sites/default/enforcement-points/default
# Enforcement point type    : NSX-T Data
				  Center
#
# Suggestive peer configuration for IPSec VPN Connection
#
# IPSecVPNSession Id         : e7f34d43-c894-4dbb-b7d2-c899f81b1812
# IPSecVPNSession name       : SAMPLE_POLICY_BASED
# IPSecVPNSession description: 
# IPSecVPNSession enabled    : true
# IPSecVPNSession type       : Policy based VPN
# Logical router Id          : 258b91be-b4cb-448a-856e-501d03128877
# Generated Time             : Mon Apr 29 07:07:43 GMT 2024
#
# Internet Key Exchange Configuration [Phase 1]
# Configure the IKE SA as outlined below
IKE version                  : IKE_V2
Connection initiation mode   : INITIATOR
Authentication method        : PSK
Pre shared key               : nsxtVPN!234
Authentication algorithm     : [SHA2_256]
Encryption algorithm         : [AES_128]
SA life time                 : 86400
Negotiation mode             : Not applicable for ikev2
DH group                     : [GROUP14]
Prf Algorithm                : [SHA2_256]
#
# IPsec_configuration [Phase 2]
# Configure the IPsec SA as outlined below
Transform Protocol              : ESP
Authentication algorithm        : 
Sa life time                    : 3600
Encryption algorithm            : [AES_GCM_128]
Encapsulation mode              : TUNNEL_MODE
Enable perfect forward secrecy  : true
Perfect forward secrecy DH group: [GROUP14]
#
# IPsec Dead Peer Detection (DPD) settings
DPD enabled         : true
DPD probe interval  : 60
#
# IPSec VPN Session Configuration
Peer address    : 1.1.1.10 # Peer gateway public IP.
Peer id         : 1.1.1.10
#
Local address   : 200.200.200.1 # Local gateway public IP.
Local id        : 200.200.200.1
#
# Policy Rules
#Rule1
Sources: [192.168.19.0/24]
Destinations: [172.16.18.0/24]

「IPsec VPN セッション構成ファイルの属性」の表には、ピア VPN デバイスで IPsec VPN を構成するときに使用する Sample_Policy_Based.txt VPN セッション構成ファイルの属性が含まれています。

表 1. IPsec VPN セッション構成ファイルの属性
カテゴリ 属性名 ピア VPN デバイスで構成される属性の意味と値 ピア デバイスの構成可能性
ISAKMP フェーズ 1 パラメータ IKE のバージョン IKE プロトコル バージョン 必須
接続開始モード デバイスが IKE 接続を開始するかどうか

任意。

NSX-T Data Center IPsec が [接続開始モード] =「応答のみ」で構成されている場合は必須。

認証方法 IKE の認証モード:プリシェアード キーまたは証明書 必須
プリシェアード キー 認証モードが PSK の場合の共有キーの値 必須
認証アルゴリズム IKE に使用される認証アルゴリズム 必須
暗号化アルゴリズム IKE に使用される暗号化アルゴリズム 必須
SA の有効期間 IKE Security Association (SA) の存続期間(秒) オプション
ネゴシエーション モード IKEv1 プロトコルのモード:メイン モードのみがサポートされます。IKEv2 には関係ありません 必須
DH グループ IKE SA ネゴシエーションに使用される Diffie-Hellman グループ 必須
Prf アルゴリズム IKE SA ネゴシエーションに使用される擬似乱数関数 必須
ピア アドレス NSX-T Data Center 側の VPN エンドポイントの IP アドレス 必須
ピア ID NSX-T Data Center 側の VPN エンドポイントの ID 必須
ローカル アドレス

ピア エンドポイント側の VPN エンドポイントのアドレス(NSX-T Data Center 側で行われた構成内にある)

必須
ローカル ID ピア エンドポイント側で構成される VPN エンドポイントの ID 必須
ISAKMP フェーズ 2 パラメータ 変換プロトコル 変換プロトコル 変換プロトコル
認証アルゴリズム IPsec パケットの整合性保護アルゴリズム 必須
SA の有効期間

IPsec SA の有効期間(秒)。

SA の有効期間が近づくと、キーが更新されます。

オプション
暗号化アルゴリズム IPsec パケットの暗号化保護 必須
カプセル化モード IPsec トンネルのモード(トンネルまたはトランスポート) 必須。トンネル モードだけがサポートされます。
Perfect Forward Secrecy の有効化 PFS(有効または無効) 必須
Perfect Forward Secrecy DH グループ PFS に使用される DH グループ 必須
送信元

ポリシーベース VPN に適用されます。これは、ピア VPN エンドポイントの背後にあるサブネットです。

ポリシーベース VPN の場合は必須
宛先

ポリシーベース VPN に適用されます。これは、トラフィックを IPsec 経由でトンネリングする必要がある NSX-T Data Center VPN エンドポイントの背後にあるサブネットです。

ポリシーベース VPN の場合は必須
その他のパラメータ DPD 有効 Dead Peer Detection が有効かどうか オプション
DPD が実行される頻度(秒) オプション