ルート ベース IPsec VPN を追加すると、BGP などの優先プロトコルを使用して仮想トンネル インターフェイス (VTI) を介して動的に学習されたルートをベースとするトラフィックに対して、トンネリングが行われます。IPsec は、VTI を通過するすべてのトラフィックを保護します。
このトピックに記載されている手順では、[IPsec セッション] タブを使用してルートベース IPsec セッションを作成します。また、トンネル、IKE、および DPD プロファイルの情報の追加や、ルート ベース IPsec VPN で使用する既存のローカル エンドポイントの選択を行います。
注:
IPsec VPN サービスが正常に構成された直後に、IPsec VPN セッションを追加することもできます。IPsec VPN サービスの構成を続行するよう求められたら、[はい] をクリックし、[IPsec サービスの追加] パネルで の順に選択します。以下の手順の前半は、IPsec VPN サービスの構成を続行するよう求められたときに [いいえ] を選択したことが前提となっています。[はい] を選択した場合は、手順 3 に進み、ルートベース IPsec VPN セッションの続きの構成を行います。
前提条件
- 続行する前に、IPsec VPN サービスを構成する必要があります。「NSX IPsec VPN サービスの追加」を参照してください。
- ローカル エンドポイント、ピア サイトの IP アドレス、追加するルート ベース IPsec セッションで使用するトンネル サービスの IP サブネット アドレスの情報を取得します。ローカル エンドポイントを作成するには、ローカル エンドポイントの追加を参照してください。
- 認証に事前共有キー (PSK) を使用している場合は、PSK 値を取得します。
- 認証に証明書を使用している場合は、必要なサーバ証明書と対応する CA 署名付き証明書がすでにインポートされていることを確認します。
「証明書」を参照してください。
- NSX から提供された IPsec トンネル、IKE、または Dead Peer Detection (DPD) プロファイルのデフォルト値を使用しない場合は、代わりに使用するプロファイルを構成します。詳細については、「プロファイルの追加」を参照してください。
手順
- 管理者権限で NSX Manager にログインします。
- に移動します。
- を選択します。
- ルートベース IPsec セッションの名前を入力します。
- [VPN サービス] ドロップダウン メニューから、この新しい IPsec セッションを追加する IPsec VPN サービスを選択します。
注:
[IPsec セッションの追加] ダイアログ ボックスでこの IPsec セッションを追加する場合は、
[IPsec セッションの追加] ボタンの上に VPN サービスの名前がすでに示されています。
- ドロップダウン メニューから既存のローカル エンドポイントを選択します。
ローカル エンドポイントの値は必須で、ローカル
NSX Edge ノードの識別に使用されます。別のローカル エンドポイントを作成する場合は、3 つのドットで示されるメニュー(
)をクリックし、
[ローカル エンドポイントの追加] を選択します。
- [リモート IP アドレス] テキスト ボックスにリモート サイトの IP アドレスを入力します。
この値は必須です。
- このルート ベース IPsec VPN セッションのオプションの説明を入力します。
長さは最大 1,024 文字です。
- IPsec セッションを有効または無効にするには、[管理状態] をクリックします。
デフォルトの値は
Enabled
に設定されています。これは、
NSX Edge ノードまで IPsec セッションが構成されることを意味します。
- (オプション) [コンプライアンス スイート] ドロップダウン メニューから、セキュリティ コンプライアンス スイートを選択します。
デフォルト値は
None
に設定されています。コンプライアンス スイートを選択すると、
[認証モード] が
Certificate
に設定されます。
[詳細なプロパティ] セクションで、
[IKE プロファイル] と
[IPsec プロファイル] の値が、選択したコンプライアンス スイートのシステム定義プロファイルに設定されます。これらのシステム定義のプロファイルは編集できません。
- [トンネル インターフェイス] に IP サブネット アドレスを CIDR 形式で入力します。
このアドレスは必須です。
- [コンプライアンス スイート] が
None
に設定されている場合は、[認証モード] ドロップダウン メニューからモードを選択します。
使用されるデフォルトの認証モードは
PSK
です。つまり、IPsec VPN セッションには
NSX Edge とリモート サイト間で共有されるプライベート キーが使用されます。
Certificate
を選択すると、ローカル エンドポイントの構成に使用されたサイト証明書が認証に使用されます。
証明書ベースの認証の詳細については、IPsec VPN セッションでの証明書ベースの認証の使用を参照してください。
- 認証モードに
PSK
を選択した場合は、[事前共有キー] テキスト ボックスにキーの値を入力します。
このプライベート キーは、最大長が 128 文字の文字列です。
注意: PSK 値には機密情報が含まれているため、PSK 値を共有して保存する場合は注意してください。
- [リモート ID] の値を入力します。
PSK 認証を使用するピア サイトの場合、この ID 値はピア サイトの IP アドレスまたは FQDN にする必要があります。証明書認証を使用するピア サイトの場合、この ID 値はピア サイトの証明書のコモン ネーム (CN) または識別名 (DN) にする必要があります。
注: たとえば、次のようにピア サイトの証明書で識別名 (DN) にメール アドレスが含まれている場合、
C=US, ST=California, O=MyCompany, OU=MyOrg, CN=Site123/[email protected]
次の形式で
[リモート ID] の値を入力します。
C=US, ST=California, O=MyCompany, OU=MyOrg, CN=Site123, [email protected]"
ローカル サイトの証明書で識別名 (DN) にメール アドレスが含まれ、ピア サイトが strongSwan IPsec を使用している場合は、このピア サイトにローカル サイトの ID 値を入力します。次に例を示します。
C=US, ST=California, O=MyCompany, OU=MyOrg, CN=Site123, [email protected]"
- 特定のグループ タグの一部としてこの IPsec セッションを含める場合は、[タグ] にタグ名を入力します。
- ルートベースの IPsec VPN セッションで使用されるプロファイル、開始モード、TCP MSS クランプ モード、タグを変更するには、[詳細なプロパティ] をクリックします。
デフォルトでは、システムによって生成されたプロファイルが使用されます。デフォルトを使用しない場合は、別の利用可能なプロファイルを選択します。まだ構成されていないプロファイルを使用する場合は、3 つのドットで示されるメニュー(
)をクリックして、別のプロファイルを作成します。「
プロファイルの追加」を参照してください。
- [IKE プロファイル] ドロップダウン メニューが有効になっている場合は、IKE プロファイルを選択します。
- [IPsec プロファイル] ドロップダウン メニューが無効になっていない場合は、IPsec トンネル プロファイルを選択します。
- [DPD プロファイル] ドロップダウン メニューが有効になっている場合は、優先 DPD プロファイルを選択します。
- [接続開始モード] ドロップダウン メニューから優先モードを選択します。
接続開始モードは、トンネルを作成するときにローカル エンドポイントで使用されるポリシーを定義します。デフォルト値は
Initiator です。次の表に、使用可能な接続開始モードを示します。
表 1.
接続開始モード
接続開始モード |
説明 |
Initiator |
デフォルト値です。このモードの場合、ローカル エンドポイントは IPsec VPN トンネルの作成を開始して、ピア ゲートウェイから受信するトンネル設定要求に応答します。 |
On Demand |
ルートベースの VPN では使用しないでください。このモードは、ポリシーベースの VPN にのみ適用されます。 |
Respond Only |
IPsec VPN は接続を開始しません。ピア サイトは接続要求を常に開始し、ローカル エンドポイントはこの接続要求に応答します。 |
- IPsec 接続中に TCP セッションの最大セグメント サイズ (MSS) ペイロードを削減するには、[TCP MSS クランプ] を有効にして、[TCP MSS の方向] で値を選択します。必要であれば、[TCP MSS 値] を設定します。
- 特定のグループ タグの一部としてこの IPsec セッションを含める場合は、[タグ] にタグ名を入力します。
- [保存] をクリックします。
結果
新しいルート ベース IPsec VPN セッションが正常に構成されている場合は、使用可能な IPsec VPN セッションのリストにこのセッションが追加されます。このセッションは読み取り専用モードです。