NSX Manager ユーザー インターフェイスを使用すると、IPsec VPN(ポリシーベースまたはルートベース)または L2 VPN のいずれかを追加できます。
次のセクションでは、VPN サービスの設定に必要なワークフローについて説明します。このセクションのトピックでは、NSX Manager ユーザー インターフェイスを使用して、IPsec VPN または L2 VPN のいずれかを追加する方法の詳細について説明します。
ポリシーベース IPsec VPN 構成のワークフロー
ポリシーベース IPsec VPN サービス ワークフローを構成するには、おおまかに次のような手順を実行する必要があります。
- 既存の Tier-0 または Tier-1 ゲートウェイを使用して、IPsec VPN サービスを作成し、有効にします。「IPsec VPN サービスの追加」を参照してください。
- システムのデフォルト値を使用しない場合は、DPD (Dead Peer Detection) プロファイルを作成します。「DPD プロファイルの追加」を参照してください。
- システムのデフォルト以外の IKE プロファイルを使用するには、IKE(インターネット キー交換)プロファイルを定義します。「IKE プロファイルの追加」を参照してください。
- IPsec プロファイルの追加を使用して IPsec プロファイルを構成します。
- 「ローカル エンドポイントの追加」の手順に従って、NSX Edge のゲートウェイに IPsec VPN セッションの VPN エンドポイントを作成します。
- ポリシーベース IPsec VPN セッションを構成し、プロファイルを適用して、ローカル エンドポイントを接続します。ポリシーベース IPsec セッションの追加を参照してください。トンネルで使用するローカルおよびピア サブネットを指定します。ローカル サブネットからピア サブネットへのトラフィックは、セッションで定義されたトンネルで保護されます。
- リモート VPN エンドポイントで VPN の代表的な構成を取得するには、[構成のダウンロード] を使用します。このファイルには、手順 6 で構成した IPsec VPN セッションから取得したパラメータが含まれており、VPN セッションのリモート エンドポイントの構成に使用されます。
ルートベース IPsec VPN 構成のワークフロー
ルートベース IPsec VPN 構成のワークフローでは、おおまかに次のような手順を実行する必要があります。
- 既存の Tier-0 または Tier-1 ゲートウェイを使用して、IPsec VPN サービスを構成し、有効にします。「IPsec VPN サービスの追加」を参照してください。
- デフォルトの IKE プロファイルを使用しない場合は、IKE プロファイルを定義します。「IKE プロファイルの追加」を参照してください。
- システム デフォルトの IPsec プロファイルを使用しない場合は、IPsec プロファイルの追加を使用してプロファイルを作成します。
- デフォルトの DPD プロファイルを使用しない場合は、DPD プロファイルを作成します。「DPD プロファイルの追加」を参照してください。
- 「ローカル エンドポイントの追加」の手順に従って、NSX Edge のゲートウェイに IPsec VPN セッションの VPN エンドポイントを作成します。
- ルートベース IPsec VPN セッションを構成し、プロファイルを適用して、セッションにローカル エンドポイントを接続します。構成で VTI IP アドレスを指定し、同じ IP アドレスを使用してルーティングを構成します。ルートは、スタティックまたはダイナミック(BGP を使用)のいずれかになります。「ルートベース IPsec セッションの追加」を参照してください。
- リモート VPN エンドポイントで VPN の代表的な構成を取得するには、[構成のダウンロード] を使用します。このファイルには、手順 6 で構成した IPsec VPN セッションから取得したパラメータが含まれており、VPN セッションのリモート エンドポイントの構成に使用されます。
L2 VPN 構成のワークフロー
L2 VPN を構成する場合は、サーバ モードで L2 VPN サービスを構成し、クライアント モードで別の L2 VPN サービスを構成する必要があります。L2 VPN サーバによって生成されたピア コードを使用して、L2 VPN サーバと L2 VPN クライアントのセッションを構成する必要もあります。次に、L2 VPN サービスの構成に関するおおまかなワークフローを示します。
- サーバ モードで L2 VPN サービスを作成します。
- Tier-0 または Tier-1 ゲートウェイを使用してルートベース IPsec VPN トンネルを構成し、このルートベース IPsec トンネルを使用して L2 VPN サーバ サービスを構成します。「L2 VPN サーバ サービスの追加」を参照してください。
- L2 VPN サーバ セッションを構成します。このセッションでは、新しく作成したルートベース IPsec VPN サービスと L2 VPN サーバ サービスを割り当てるため、GRE IP アドレスが自動的に割り当てられます。「L2 VPN サーバ セッションの追加」を参照してください。
- L2 VPN サーバ セッションにセグメントを追加します。この手順は、L2 VPN サーバ セッションの追加にも記載されています。
- 「リモート側の L2 VPN 構成ファイルのダウンロード」の手順に従って、L2 VPN サーバ サービス セッションのピア コードを取得します。L2 VPN クライアント セッションが自動的に構成されるように、このコードをリモート サイトに適用し、使用する必要があります。
- クライアント モードで L2 VPN サービスを作成します。
- 別の Tier-0 または Tier-1 ゲートウェイを使用して別のルートベース IPsec VPN サービスを構成し、ここで構成した Tier-0 または Tier-1 ゲートウェイを使用して L2 VPN クライアント サービスを構成します。詳細については、「L2 VPN クライアント サービスの追加」を参照してください。
- L2 VPN サーバ サービスで生成されるピア コードをインポートして、L2 VPN クライアント セッションを定義します。「L2 VPN クライアント セッションの追加」を参照してください。
- 前の手順で定義した L2 VPN クライアント セッションにセグメントを追加します。この手順は、L2 VPN クライアント セッションの追加に記載されています。