NSX は、Tier-0 または Tier-1 ゲートウェイとリモート サイトのサイト間 IPsec VPN サービスをサポートします。ポリシーベースまたはルートベースの IPsec VPN サービスを作成できます。ポリシーベースまたはルートベースの IPsec VPN セッションのいずれかを構成する前に、最初に IPsec VPN サービスを作成する必要があります。

注: IPsec VPN は NSX Limited Export Release ではサポートされていません。

ローカル エンドポイントの IP アドレスが、IPsec VPN セッションが構成されている論理ルーター内で NAT を通過している場合、IPsec VPN はサポートされません。

前提条件

  • IPsec VPN について理解しておく必要があります。「IPsec VPN の理解」を参照してください。
  • 1 つ以上の Tier-0 または Tier-1 ゲートウェイが構成され、使用できる状態になっている必要があります。詳細については、NSX の Tier-0 ゲートウェイの追加またはNSX の Tier-1 ゲートウェイの追加を参照してください。
  • NAT と IPsec の両方で NSX を構成する場合は、正しい手順を実行して適切に機能するようにすることが重要です。特に、NAT は VPN 接続を設定する前に構成します。たとえば、VPN セッションの構成後に NAT ルールを追加して、NAT の前に VPN を誤って構成した場合、VPN トンネルの状態は停止したままになります。VPN トンネルを再確立するには、VPN 構成を再度有効にするか、再起動する必要があります。この問題を回避するには、NSX で VPN 接続を設定する前に NAT を構成するか、回避策を実行して問題を解決します。

手順

  1. 管理者権限で NSX Manager にログインします。
  2. [ネットワーク] > [VPN] > [VPN サービス] に移動します。
  3. [サービスの追加] > [IPsec ] を選択します。
  4. IPsec サービスの名前を入力します。
    この名前は必須です。
  5. [Tier-0/Tier-1 ゲートウェイ] ドロップダウン メニューから、この IPsec VPN サービスに関連付ける Tier-0 または Tier-1 ゲートウェイを選択します。
  6. [管理状態] を有効または無効にします。
    デフォルトでは、値は Enabled に設定されています。つまり、新しい IPsec VPN サービスが設定されると、Tier-0 または Tier-1 ゲートウェイで IPsec VPN サービスが有効に構成されます。
  7. [IKE ログ レベル] の値を設定します。
    デフォルトでは、 Info レベルに設定されています。
  8. タグ グループにこのサービスを含める場合は、[タグ] の値を入力します。
  9. VPN セッションのステートフル同期を有効または無効にするには [セッションの同期] を切り替えます。
    デフォルトでは、値は Enabled に設定されています。
  10. IPsec で保護せずに、指定したローカル IP アドレスとリモート IP アドレス間でデータ パケットを交換できるようにするには、[グローバル バイパス ルール] をクリックします。[ローカル ネットワーク][リモート ネットワーク] テキスト ボックスに、バイパス ルールが適用されるローカルおよびリモートのサブネットのリストを入力します。
    これらのルールを有効にした場合、IP アドレスが IPsec セッション ルールで指定されていても、指定したローカル IP アドレスとリモート IP サイト間でデータ パケットが交換されます。デフォルトでは、ローカル サイトおよびリモート サイト間のデータ交換時に IPsec の保護を使用します。これらのルールは、この IPsec VPN サービス内で作成されたすべての IPsec VPN セッションに適用されます。
  11. IPsec で保護せずに、指定したローカル IP アドレスとリモート IP アドレス間でデータ パケットを交換できるようにするには、[グローバル バイパス ルール] をクリックします。[ローカル ネットワーク][リモート ネットワーク] テキスト ボックスに、バイパス ルールが適用されるローカルおよびリモートのサブネットのリストを入力します。
    これらのルールを有効にした場合、IP アドレスが IPsec セッション ルールで指定されていても、指定したローカル IP アドレスとリモート IP サイト間でデータ パケットが交換されます。デフォルトでは、ローカル サイトおよびリモート サイト間のデータ交換時に IPsec の保護を使用します。これらのルールは、この IPsec VPN サービス内で作成されたすべての IPsec VPN セッションに適用されます。
  12. [保存] をクリックします。
    新規の IPsec VPN サービスが正常に作成されると、残りの IPsec VPN の構成を続行するかどうか尋ねられます。 [はい] をクリックすると、[IPsec VPN サービスの追加] パネルに戻ります。 [セッション] リンクが有効になり、このリンクをクリックして IPsec VPN セッションを追加できるようになります。

結果

1 つ以上の IPsec VPN セッションを追加すると、各 VPN サービスのセッション数が [VPN サービス] タブに表示されます。 [セッション] 列で番号をクリックすると、セッションを再構成または追加できます。サービスを編集する必要はありません。番号がゼロの場合はクリックできません。セッションを追加するには、サービスを編集する必要があります。

次のタスク

IPsec VPN セッションの追加の情報を参照して、IPsec VPN セッションを追加します。また、IPsec VPN の構成を完了するために必要なプロファイルおよびローカル エンドポイントの情報を指定します。