2 つのサイト間で IPsec を設定するには、一致する属性を使用して 2 つの VPN エンドポイントを構成する必要があります。このトピックは、IPsec VPN デバイスのベンダー属性がローカル IPsec VPN セッションの VPN 関連属性と一致するようにするための要件を理解するのに役立ちます。
各 IPsec VPN ベンダーには、構成を受け入れる独自の形式があります。場合によっては、いくつかのパラメータにデフォルト値が使用されます。NSX-T Data Center IPsec VPN セッション ユーザー インターフェイスの [構成のダウンロード] 機能を使用できます。この機能は、管理者がピア VPN ベンダー デバイスの構成に使用できる VPN 関連のすべての構成を提供できます。これは、NSX-T Data Center で構成された IPsec VPN セッションに基づいています。この機能は、IPsec VPN セッションのすべての非表示/デフォルト属性を提示し、管理者がピア VPN デバイス(異なるデフォルト値を持つ場合がある)を構成できるようにします。構成の不一致があると、IPsec VPN トンネルが適切に起動しない可能性があります。
- 処理を進める前に、IPsec VPN サービスとセッションを正常に構成していることを確認します。
- [構成のダウンロード] ボタンにアクセスします。 タブに移動して、
- IPsec VPN セッションのテーブルで、IPsec VPN セッションの構成に使用するセッションの行を展開します。たとえば、IPsec VPN セッションの [構成のダウンロード] ボタンの画像では Sample_Policy_Based 行が展開されています。
- [構成のダウンロード] をクリックし、[警告] ダイアログ ボックスで [はい] をクリックして、テキスト ファイルをダウンロードします。
- ダウンロードした構成ファイルを使用して、ピア VPN エンドポイントでポリシーまたはルートベースの IPsec VPN セッション属性を構成し、必要な一致する値が含まれていることを確認します。
ダウンロードされるファイルは次のサンプル テキスト ファイルのようになります。Sample_Policy_Based.txt ファイル名は、NSX-T Data Center で構成されたポリシーベースの IPsec VPN セッションです。ダウンロードしたファイルの名前は、セッションの名前に基づいています。たとえば、<session-name>.txt になります。
# Suggestive peer configuration for Policy IPSec Vpn Session
#
# IPSec VPN session path : /infra/tier-0s/ServerT0_AS/ipsec-vpn-services/IpsecOnServerT0/sessions/SAMPLE_POLICY_BASED
# IPSec VPN session name : SAMPLE_POLICY_BASED
# IPSec VPN session description :
# Tier 0 path : /infra/tier-0s/ServerT0_AS
#
# Enforcement point path : /infra/sites/default/enforcement-points/default
# Enforcement point type : NSX-T Data
Center
#
# Suggestive peer configuration for IPSec VPN Connection
#
# IPSecVPNSession Id : e7f34d43-c894-4dbb-b7d2-c899f81b1812
# IPSecVPNSession name : SAMPLE_POLICY_BASED
# IPSecVPNSession description:
# IPSecVPNSession enabled : true
# IPSecVPNSession type : Policy based VPN
# Logical router Id : 258b91be-b4cb-448a-856e-501d03128877
# Generated Time : Mon Apr 29 07:07:43 GMT 2024
#
# Internet Key Exchange Configuration [Phase 1]
# Configure the IKE SA as outlined below
IKE version : IKE_V2
Connection initiation mode : INITIATOR
Authentication method : PSK
Pre shared key : nsxtVPN!234
Authentication algorithm : [SHA2_256]
Encryption algorithm : [AES_128]
SA life time : 86400
Negotiation mode : Not applicable for ikev2
DH group : [GROUP14]
Prf Algorithm : [SHA2_256]
#
# IPsec_configuration [Phase 2]
# Configure the IPsec SA as outlined below
Transform Protocol : ESP
Authentication algorithm :
Sa life time : 3600
Encryption algorithm : [AES_GCM_128]
Encapsulation mode : TUNNEL_MODE
Enable perfect forward secrecy : true
Perfect forward secrecy DH group: [GROUP14]
#
# IPsec Dead Peer Detection (DPD) settings
DPD enabled : true
DPD probe interval : 60
#
# IPSec VPN Session Configuration
Peer address : 1.1.1.10 # Peer gateway public IP.
Peer id : 1.1.1.10
#
Local address : 200.200.200.1 # Local gateway public IP.
Local id : 200.200.200.1
#
# Policy Rules
#Rule1
Sources: [192.168.19.0/24]
Destinations: [172.16.18.0/24]
「IPsec VPN セッション構成ファイルの属性」の表には、ピア VPN デバイスで IPsec VPN を構成するときに使用する Sample_Policy_Based.txt VPN セッション構成ファイルの属性が含まれています。
カテゴリ | 属性名 | ピア VPN デバイスで構成される属性の意味と値 | ピア デバイスの構成可能性 |
---|---|---|---|
ISAKMP フェーズ 1 パラメータ | IKE のバージョン | IKE プロトコル バージョン | 必須 |
接続開始モード | デバイスが IKE 接続を開始するかどうか | 任意。 NSX-T Data Center IPsec が [接続開始モード] =「応答のみ」で構成されている場合は必須。 |
|
認証方法 | IKE の認証モード:プリシェアード キーまたは証明書 | 必須 | |
プリシェアード キー | 認証モードが PSK の場合の共有キーの値 | 必須 | |
認証アルゴリズム | IKE に使用される認証アルゴリズム | 必須 | |
暗号化アルゴリズム | IKE に使用される暗号化アルゴリズム | 必須 | |
SA の有効期間 | IKE Security Association (SA) の存続期間(秒) | オプション | |
ネゴシエーション モード | IKEv1 プロトコルのモード:メイン モードのみがサポートされます。IKEv2 には関係ありません | 必須 | |
DH グループ | IKE SA ネゴシエーションに使用される Diffie-Hellman グループ | 必須 | |
Prf アルゴリズム | IKE SA ネゴシエーションに使用される擬似乱数関数 | 必須 | |
ピア アドレス | NSX-T Data Center 側の VPN エンドポイントの IP アドレス | 必須 | |
ピア ID | NSX-T Data Center 側の VPN エンドポイントの ID | 必須 | |
ローカル アドレス | ピア エンドポイント側の VPN エンドポイントのアドレス(NSX-T Data Center 側で行われた構成内にある) |
必須 | |
ローカル ID | ピア エンドポイント側で構成される VPN エンドポイントの ID | 必須 | |
ISAKMP フェーズ 2 パラメータ | 変換プロトコル | 変換プロトコル | 変換プロトコル |
認証アルゴリズム | IPsec パケットの整合性保護アルゴリズム | 必須 | |
SA の有効期間 | IPsec SA の有効期間(秒)。 SA の有効期間が近づくと、キーが更新されます。 |
オプション | |
暗号化アルゴリズム | IPsec パケットの暗号化保護 | 必須 | |
カプセル化モード | IPsec トンネルのモード(トンネルまたはトランスポート) | 必須。トンネル モードだけがサポートされます。 | |
Perfect Forward Secrecy の有効化 | PFS(有効または無効) | 必須 | |
Perfect Forward Secrecy DH グループ | PFS に使用される DH グループ | 必須 | |
送信元 | ポリシーベース VPN に適用されます。これは、ピア VPN エンドポイントの背後にあるサブネットです。 |
ポリシーベース VPN の場合は必須 | |
宛先 | ポリシーベース VPN に適用されます。これは、トラフィックを IPsec 経由でトンネリングする必要がある NSX-T Data Center VPN エンドポイントの背後にあるサブネットです。 |
ポリシーベース VPN の場合は必須 | |
その他のパラメータ | DPD 有効 | Dead Peer Detection が有効かどうか | オプション |
DPD が実行される頻度(秒) | オプション |