NSX-T Data Center は、Tier-0 または Tier-1 ゲートウェイとリモート サイトのサイト間 IPsec VPN サービスをサポートします。ポリシーベースまたはルートベースの IPsec VPN サービスを作成できます。ポリシーベースまたはルートベースの IPsec VPN セッションのいずれかを構成する前に、最初に IPsec VPN サービスを作成する必要があります。

注: IPsec VPN は NSX-T Data Center Limited Export Release ではサポートされていません。

ローカル エンドポイントの IP アドレスが、IPsec VPN セッションが構成されている論理ルーター内で NAT を通過している場合、IPsec VPN はサポートされません。

前提条件

  • IPsec VPN について理解しておく必要があります。「IPsec VPN の理解」を参照してください。
  • 1 つ以上の Tier-0 または Tier-1 ゲートウェイが構成され、使用できる状態になっている必要があります。詳細については、Tier-0 ゲートウェイの追加またはTier-1 ゲートウェイの追加を参照してください。
  • NAT と IPsec の両方で NSX-T Data Center を構成する場合は、正しい手順を実行して適切に機能するようにすることが重要です。特に、NAT は VPN 接続を設定する前に構成します。たとえば、VPN セッションの構成後に NAT ルールを追加して、NAT の前に VPN を誤って構成した場合、VPN トンネルの状態は停止したままになります。VPN トンネルを再確立するには、VPN 構成を再度有効にするか、再起動する必要があります。この問題を回避するには、NSX-T Data Center で VPN 接続を設定する前に NAT を構成するか、回避策を実行して問題を解決します。

手順

  1. 管理者権限で NSX Manager にログインします。
  2. [ネットワーク] > [VPN] > [VPN サービス] に移動します。
  3. [サービスの追加] > [IPsec ] を選択します。
  4. IPsec サービスの名前を入力します。
    この名前は必須です。
  5. [Tier-0/Tier-1 ゲートウェイ] ドロップダウン メニューから、この IPsec VPN サービスに関連付ける Tier-0 または Tier-1 ゲートウェイを選択します。
  6. [管理状態] を有効または無効にします。
    デフォルトでは、値は Enabled に設定されています。つまり、新しい IPsec VPN サービスが構成されると、Tier-0 または Tier-1 ゲートウェイで IPsec VPN サービスが有効に構成されます。
  7. [IKE ログ レベル] の値を設定します。
    デフォルトでは、 Info レベルに設定されています。
  8. タグ グループにこのサービスを含める場合は、[タグ] の値を入力します。
  9. VPN セッションのステートフル同期を有効または無効にするには [セッションの同期] を切り替えます。
    デフォルトでは、値は Enabled に設定されています。
  10. IPsec で保護せずに、指定したローカル IP アドレスとリモート IP アドレス間でデータ パケットを交換できるようにするには、[グローバル バイパス ルール] をクリックします。[ローカル ネットワーク][リモート ネットワーク] テキスト ボックスに、バイパス ルールが適用されるローカルおよびリモートのサブネットのリストを入力します。
    これらのルールを有効にした場合、IP アドレスが IPsec セッション ルールで指定されていても、指定したローカル IP アドレスとリモート IP サイト間でデータ パケットが交換されます。デフォルトでは、ローカル サイトおよびリモート サイト間のデータ交換時に IPsec の保護を使用します。これらのルールは、この IPsec VPN サービス内で作成されたすべての IPsec VPN セッションに適用されます。
  11. [保存] をクリックします。
    新規の IPsec VPN サービスが正常に作成されると、残りの IPsec VPN の構成を続行するかどうか尋ねられます。 [はい] をクリックすると、[IPsec VPN サービスの追加] パネルに戻ります。 [セッション] リンクが有効になり、このリンクをクリックして IPsec VPN セッションを追加できるようになります。

結果

1 つ以上の IPsec VPN セッションを追加すると、各 VPN サービスのセッション数が [VPN サービス] タブに表示されます。 [セッション] 列で番号をクリックすると、セッションを再構成または追加できます。サービスを編集する必要はありません。番号がゼロの場合はクリックできません。セッションを追加するには、サービスを編集する必要があります。

次のタスク

IPsec VPN セッションの追加の情報を参照して、IPsec VPN セッションを追加します。また、IPsec VPN の構成を完了するために必要なプロファイルおよびローカル エンドポイントの情報を指定します。