ルート ベース IPsec VPN は、プロトコルに BGP などを使用し、スタティック ルートあるいは仮想トンネル インターフェイス (VTI) と呼ばれる特別なインターフェイスを介して動的に学習したルートに基づいて、トラフィックのトンネリングを行います。IPsec は、VTI を通過するすべてのトラフィックを保護します。
- OSPF 動的ルーティングでは、IPsec VPN トンネル経由でルーティングを実行できません。
- VTI の動的ルーティングは、Tier-1 ゲートウェイに基づく VPN でサポートされません。
- Tier-1 ゲートウェイで終端したルートベース VPN では、IPsec VPN を介したロード バランサはサポートされていません。
- NAT と IPsec の両方で NSX を構成する場合は、正しい手順を実行して適切に機能するようにすることが重要です。特に、NAT は VPN 接続を設定する前に構成します。たとえば、VPN セッションの構成後に NAT ルールを追加して、NAT の前に VPN を誤って構成した場合、VPN トンネルの状態は停止したままになります。VPN トンネルを再確立するには、VPN 構成を再度有効にするか、再起動する必要があります。この問題を回避するには、NSX で VPN 接続を設定する前に NAT を構成するか、この回避策を実行します。
ルートベースの IPsec VPN は、IPsec 経由の GRE (Generic Routing Encapsulation) に似ていますが、IPsec 処理を適用する前にパケットに追加のカプセル化が行われない点が異なります。
この VPN トンネルでは、VTI が NSX Edge ノードに作成されています。各 VTI は IPsec トンネルに関連付けられます。暗号化されたトラフィックは、VTI インターフェイスを経由してサイト間をルーティングされます。IPsec の処理は VTI でのみ発生します。
VPN トンネルの冗長性
VPN トンネルの冗長性は、Tier-0 ゲートウェイで構成されているルートベースの IPsec VPN セッションで構成できます。トンネルの冗長性により、2 つのサイト間に複数のトンネルを設定できます。1 つのトンネルはプライマリとして使用します。プライマリ トンネルが使用不能になると、別のトンネルにフェイルオーバーされます。この機能は、サイトに複数の接続オプションがあり、リンクの冗長性で異なる ISP が必要な場合に便利です。
- NSX では、BGP を使用している場合にのみ、IPsec VPN トンネルの冗長性がサポートされます。
- VPN トンネルの冗長性を実現する場合は、ルートベースの IPsec VPN トンネルに静的ルーティングを使用しないでください。
次の図では、2 つのサイト間の IPsec VPN トンネルの冗長性を論理的に表現しています。この図で、サイト A とサイト B はそれぞれのデータセンターを表します。この例で、NSX はサイト A の Edge VPN ゲートウェイを管理していないことを前提としています。NSX が管理しているのは、サイト B の Edge Gateway 仮想アプライアンスです。
図のように、VTI を使用すると、2 つの独立した IPsec VPN トンネルを構成できます。トンネルの冗長性を実現するため、動的ルーティングは BGP プロトコルを使用するように構成されています。両方の IPsec VPN トンネルが使用可能な場合は、引き続き稼動します。サイト A から NSX Edge ノード経由でサイト B に送信されるトラフィックはすべて、VTI 経由でルーティングされます。データ トラフィックが IPsec の処理に進み、関連する NSX Edge ノードのアップリンク インターフェイスから送信されます。NSX Edge ノードのアップリンク インターフェイスでサイト B の VPN ゲートウェイから受信したすべての IPSec トラフィックは、復号化されてから VTI に転送され、通常ルーティングが行われます。
必要なフェイル オーバー時間内にピアとの切断を検出できるように、BGP HoldDown タイマーと KeepAlive タイマーの値を構成する必要があります。「BGP の構成」を参照してください。