リモート側の IPsec VPN 構成ファイルのダウンロード

2 つのサイト間で IPsec を設定するには、一致する属性を使用して 2 つの VPN エンドポイントを構成する必要があります。このトピックは、IPsec VPN デバイスのベンダー属性がローカル IPsec VPN セッションの VPN 関連属性と一致するようにするための要件を理解するのに役立ちます。

各 IPsec VPN ベンダーには、構成を受け入れる独自の形式があります。場合によっては、いくつかのパラメータにデフォルト値が使用されます。NSX IPsec VPN セッションユーザーインターフェイスの [構成のダウンロード] 機能を使用できます。この機能は、管理者がピア VPN ベンダーデバイスの構成に使用できる VPN 関連のすべての構成を提供できます。これは、NSX で構成された IPsec VPN セッションに基づいています。この機能は、IPsec VPN セッションのすべての非表示/デフォルト属性を提示し、管理者がピア VPN デバイス（異なるデフォルト値を持つ場合がある）を構成できるようにします。構成の不一致があると、IPsec VPN トンネルが適切に起動しない可能性があります。

IPsec VPN セッションの [構成のダウンロード] ボタンの画像に示すように [構成のダウンロード] をクリックすると、ピア VPN デバイスで対応する IPsec VPN セッションを構成するために必要となる可能性のある関連属性を含むテキストファイルがダウンロードされます。

[IPsec VPN セッション] ページの左端にある [構成のダウンロード] ボタン — 図 1. IPsec VPN セッションの [構成のダウンロード] ボタン

[手順]

処理を進める前に、IPsec VPN サービスとセッションを正常に構成していることを確認します。
[ネットワーク] > [VPN] > [IPsec セッション] タブに移動して、[構成のダウンロード] ボタンにアクセスします。
IPsec VPN セッションのテーブルで、IPsec VPN セッションの構成に使用するセッションの行を展開します。たとえば、IPsec VPN セッションの [構成のダウンロード] ボタンの画像では Sample_Policy_Based 行が展開されています。
[構成のダウンロード] をクリックし、[警告] ダイアログボックスで [はい] をクリックして、テキストファイルをダウンロードします。
ダウンロードした構成ファイルを使用して、ピア VPN エンドポイントでポリシーまたはルートベースの IPsec VPN セッション属性を構成し、必要な一致する値が含まれていることを確認します。

ダウンロードされるファイルは次のサンプルテキストファイルのようになります。Sample_Policy_Based.txt ファイル名は、NSX で構成されたポリシーベースの IPsec VPN セッションです。ダウンロードしたファイルの名前は、セッションの名前に基づいています。たとえば、<session-name>.txt になります。

 # Suggestive peer configuration for Policy IPSec Vpn Session
#
# IPSec VPN session path          : /infra/tier-0s/ServerT0_AS/ipsec-vpn-services/IpsecOnServerT0/sessions/SAMPLE_POLICY_BASED
# IPSec VPN session name          : SAMPLE_POLICY_BASED
# IPSec VPN session description   : 
# Tier 0 path                     : /infra/tier-0s/ServerT0_AS
#
# Enforcement point path    : /infra/sites/default/enforcement-points/default
# Enforcement point type    : NSX
#
# Suggestive peer configuration for IPSec VPN Connection
#
# IPSecVPNSession Id         : e7f34d43-c894-4dbb-b7d2-c899f81b1812
# IPSecVPNSession name       : SAMPLE_POLICY_BASED
# IPSecVPNSession description: 
# IPSecVPNSession enabled    : true
# IPSecVPNSession type       : Policy based VPN
# Logical router Id          : 258b91be-b4cb-448a-856e-501d03128877
# Generated Time             : Mon Apr 29 07:07:43 GMT 2024
#
# Internet Key Exchange Configuration [Phase 1]
# Configure the IKE SA as outlined below
IKE version                  : IKE_V2
Connection initiation mode   : INITIATOR
Authentication method        : PSK
Pre shared key               : nsxtVPN!234
Authentication algorithm     : [SHA2_256]
Encryption algorithm         : [AES_128]
SA life time                 : 86400
Negotiation mode             : Not applicable for ikev2
DH group                     : [GROUP14]
Prf Algorithm                : [SHA2_256]
#
# IPsec_configuration [Phase 2]
# Configure the IPsec SA as outlined below
Transform Protocol              : ESP
Authentication algorithm        : 
Sa life time                    : 3600
Encryption algorithm            : [AES_GCM_128]
Encapsulation mode              : TUNNEL_MODE
Enable perfect forward secrecy  : true
Perfect forward secrecy DH group: [GROUP14]
#
# IPsec Dead Peer Detection (DPD) settings
DPD enabled         : true
DPD probe interval  : 60
#
# IPSec VPN Session Configuration
Peer address    : 1.1.1.10 # Peer gateway public IP.
Peer id         : 1.1.1.10
#
Local address   : 200.200.200.1 # Local gateway public IP.
Local id        : 200.200.200.1
#
# Policy Rules
#Rule1
Sources: [192.168.19.0/24]
Destinations: [172.16.18.0/24]

「IPsec VPN セッション構成ファイルの属性」の表には、ピア VPN デバイスで IPsec VPN を構成するときに使用する Sample_Policy_Based.txt VPN セッション構成ファイルの属性が含まれています。

表 1. IPsec VPN セッション構成ファイルの属性
カテゴリ	属性名	ピア VPN デバイスで構成される属性の意味と値	ピアデバイスの構成可能性
ISAKMP フェーズ 1 パラメータ	IKE のバージョン	IKE プロトコルバージョン	必須
	接続開始モード	デバイスが IKE 接続を開始するかどうか	任意。 NSX IPsec が [接続開始モード] =「応答のみ」で構成されている場合は必須。
	認証方法	IKE の認証モード：プリシェアードキーまたは証明書	必須
	プリシェアードキー	認証モードが PSK の場合の共有キーの値	必須
	認証アルゴリズム	IKE に使用される認証アルゴリズム	必須
	暗号化アルゴリズム	IKE に使用される暗号化アルゴリズム	必須
	SA の有効期間	IKE Security Association (SA) の存続期間（秒）	オプション
	ネゴシエーションモード	IKEv1 プロトコルのモード：メインモードのみがサポートされます。IKEv2 には関係ありません	必須
	DH グループ	IKE SA ネゴシエーションに使用される Diffie-Hellman グループ	必須
	Prf アルゴリズム	IKE SA ネゴシエーションに使用される擬似乱数関数	必須
	ピアアドレス	NSX 側の VPN エンドポイントの IP アドレス	必須
	ピア ID	NSX 側の VPN エンドポイントの ID	必須
	ローカルアドレス	ピアエンドポイント側の VPN エンドポイントのアドレス（NSX 側で行われた構成内にある）	必須
	ローカル ID	ピアエンドポイント側で構成される VPN エンドポイントの ID	必須
ISAKMP フェーズ 2 パラメータ	変換プロトコル	変換プロトコル	変換プロトコル
	認証アルゴリズム	IPsec パケットの整合性保護アルゴリズム	必須
	SA の有効期間	IPsec SA の有効期間（秒）。 SA の有効期間が近づくと、キーが更新されます。	オプション
	暗号化アルゴリズム	IPsec パケットの暗号化保護	必須
	カプセル化モード	IPsec トンネルのモード（トンネルまたはトランスポート）	必須。トンネルモードだけがサポートされます。
	Perfect Forward Secrecy の有効化	PFS（有効または無効）	必須
	Perfect Forward Secrecy DH グループ	PFS に使用される DH グループ	必須
	送信元	ポリシーベース VPN に適用されます。これは、ピア VPN エンドポイントの背後にあるサブネットです。	ポリシーベース VPN の場合は必須
	宛先	ポリシーベース VPN に適用されます。これは、トラフィックを IPsec 経由でトンネリングする必要がある NSX VPN エンドポイントの背後にあるサブネットです。	ポリシーベース VPN の場合は必須
その他のパラメータ	DPD 有効	Dead Peer Detection が有効かどうか	オプション
		DPD が実行される頻度（秒）	オプション