NSX Manager ユーザー インターフェイス (UI) を使用すると、IPsec VPN(ポリシーベースまたはルートベース)または L2 VPN サービスのいずれかを追加できます。
次のセクションでは、VPN サービスの設定に必要なワークフローについて説明します。このセクションのトピックでは、NSX Manager UI を使用して、IPsec VPN または L2 VPN サービスのいずれかを追加する方法の詳細について説明します。
ポリシーベース IPsec VPN 構成のワークフロー
ポリシーベース IPsec VPN サービス ワークフローを構成するには、おおまかに次のような手順を実行する必要があります。
- 既存の Tier-0 または Tier-1 ゲートウェイを使用して、IPsec VPN サービスを作成し、有効にします。NSX IPsec VPN サービスの追加を参照してください。
- システムのデフォルト値を使用しない場合は、DPD (Dead Peer Detection) プロファイルを作成します。DPD プロファイルの追加を参照してください。
- システムのデフォルト以外の IKE プロファイルを使用するには、IKE(インターネット キー交換)プロファイルを定義します。IKE プロファイルの追加を参照してください。
- IPsec プロファイルの追加を使用して IPsec プロファイルを構成します。
- ローカル エンドポイントの追加を使用して、NSX Edge にホストされる VPN サーバを作成します。
- ポリシーベース IPsec VPN セッションを構成し、プロファイルを適用して、ローカル エンドポイントを接続します。ポリシーベース IPsec セッションの追加を参照してください。トンネルで使用するローカルおよびピア サブネットを指定します。ローカル サブネットからピア サブネットへのトラフィックは、セッションで定義されたトンネルで保護されます。
- リモート VPN エンドポイントで VPN の代表的な構成を取得するには、[構成のダウンロード] 機能を使用します。このファイルには、手順 6 で構成した IPsec VPN セッションから取得したパラメータが含まれており、VPN セッションのリモート エンドポイントの構成に使用できます。詳細については、「リモート側の IPsec VPN 構成ファイルのダウンロード」を参照してください。
ルートベース IPsec VPN 構成のワークフロー
ルートベース IPsec VPN 構成のワークフローでは、おおまかに次のような手順を実行する必要があります。
- 既存の Tier-0 または Tier-1 ゲートウェイを使用して、IPsec VPN サービスを構成し、有効にします。NSX IPsec VPN サービスの追加を参照してください。
- デフォルトの IKE プロファイルを使用しない場合は、IKE プロファイルを定義します。IKE プロファイルの追加を参照してください。
- システム デフォルトの IPsec プロファイルを使用しない場合は、IPsec プロファイルの追加を使用してプロファイルを作成します。
- デフォルトの DPD プロファイルを使用しない場合は、DPD プロファイルを作成します。DPD プロファイルの追加を参照してください。
- ローカル エンドポイントの追加を使用してローカル エンドポイントを追加します。
- ルートベース IPsec VPN セッションを構成し、プロファイルを適用して、セッションにローカル エンドポイントを接続します。構成で VTI IP アドレスを指定し、同じ IP アドレスを使用してルーティングを構成します。ルートは、スタティックまたはダイナミック(BGP を使用)のいずれかになります。ルートベース IPsec セッションの追加を参照してください。
- リモート VPN エンドポイントで VPN の代表的な構成を取得するには、[構成のダウンロード] 機能を使用します。このファイルには、手順 6 で構成した IPsec VPN セッションから取得したパラメータが含まれており、VPN セッションのリモート エンドポイントの構成に使用できます。詳細については、「リモート側の IPsec VPN 構成ファイルのダウンロード」を参照してください。
L2 VPN 構成のワークフロー
L2 VPN を構成する場合は、サーバ モードで L2 VPN サービスを構成し、クライアント モードで別の L2 VPN サービスを構成する必要があります。L2 VPN サーバによって生成されたピア コードを使用して、L2 VPN サーバと L2 VPN クライアントのセッションを構成する必要もあります。次に、L2 VPN サービスの構成に関するおおまかなワークフローを示します。
- サーバ モードで L2 VPN サービスを作成します。
- Tier-0 または Tier-1 ゲートウェイを使用してルートベース IPsec VPN トンネルを構成し、このルートベース IPsec トンネルを使用して L2 VPN サーバ サービスを構成します。L2 VPN サーバ サービスの追加を参照してください。
- L2 VPN サーバ セッションを構成します。このセッションでは、新しく作成したルートベース IPsec VPN サービスと L2 VPN サーバ サービスを割り当てるため、GRE IP アドレスが自動的に割り当てられます。L2 VPN サーバ セッションの追加を参照してください。
- L2 VPN サーバ セッションにセグメントを追加します。この手順は、L2 VPN サーバ セッションの追加にも記載されています。
- リモート側の L2 VPN 構成ファイルのダウンロードの手順に従って L2 VPN サーバ サービス セッションのピア コードを取得します。L2 VPN クライアント セッションが自動的に構成されるように、このコードをリモート サイトに適用し、使用する必要があります。
- クライアント モードで L2 VPN サービスを作成します。
- 別の Tier-0 または Tier-1 ゲートウェイを使用して別のルートベース IPsec VPN サービスを構成し、ここで構成した Tier-0 または Tier-1 ゲートウェイを使用して L2 VPN クライアント サービスを構成します。詳細については、「L2 VPN クライアント サービスの追加」を参照してください。
- L2 VPN サーバ サービスで生成されるピア コードをインポートして、L2 VPN クライアント セッションを定義します。L2 VPN クライアント セッションの追加を参照してください。
- 前の手順で定義した L2 VPN クライアント セッションにセグメントを追加します。この手順は、L2 VPN クライアント セッションの追加に記載されています。