SD-WAN Orchestrator[Cisco ASA] タイプの Non VMware SD-WAN Site を構成する方法について説明します。

手順

  1. SD-WAN Orchestrator のナビゲーション パネルから、[構成 (Configure)] > [ネットワーク サービス (Network Services)] の順に移動します。
    [サービス (Services)] 画面が表示されます。
  2. [ゲートウェイ経由の非 SD-WAN 宛先 (Non SD-WAN Destinations via Gateway)] 領域で、[新規] ボタンをクリックします。
    [ゲートウェイ経由の新しい非 SD-WAN 宛先 (New Non SD-WAN Destinations via Gateway)] ダイアログ ボックスが表示されます。
  3. [名前 (Name)] テキスト ボックスに、Non VMware SD-WAN Site の名前を入力します。
  4. [タイプ (Type)] ドロップダウン メニューから、[Cisco ASA] を選択します。
  5. プライマリ VPN ゲートウェイの IP アドレスを入力し、[次へ (Next)] をクリックします。
    Cisco ASA タイプの Non VMware SD-WAN Site が作成され、 Non VMware SD-WAN Site のダイアログ ボックスが表示されます。
    complementary-config-third-party-cisco-asa-site-dialog
  6. Non VMware SD-WAN Site のプライマリ VPN ゲートウェイのトンネル設定を構成するには、[詳細 (Advanced)] ボタンをクリックします。
  7. [プライマリ VPN ゲートウェイ (Primary VPN Gateway)] 領域で、次のトンネル設定を構成できます。
    フィールド 説明
    PSK 事前共有キー (PSK)。これは、トンネル全体の認証のためのセキュリティ キーです。デフォルトで、Orchestrator によって PSK が生成されます。独自の PSK またはパスワードを使用する場合は、テキスト ボックスに入力します。
    暗号化 (Encryption) データを暗号化するアルゴリズムとして [AES 128] または [AES 256] のいずれかを選択します。デフォルト値は AES 128 です。
    DH グループ (DH Group) 事前共有キーを交換するときに使用する Diffie-Hellman (DH) グループのアルゴリズムを選択します。DH グループは、アルゴリズムの強度をビット単位で設定します。サポートされている DH グループは 2、5、14 です。DH グループ 14 を使用することをお勧めします。
    PFS セキュリティを強化するために、Perfect Forward Secrecy (PFS) レベルを選択します。サポートされている PFS レベルは 2 と 5 です。デフォルト値は無効です。
    注: セカンダリ VPN ゲートウェイは、Cisco ASA ネットワーク サービス タイプではサポートされていません。
    注:

    Cisco ASA Non VMware SD-WAN Site の場合、デフォルトでは、使用されるローカル認証 ID の値は SD-WAN Gateway インターフェイスのローカル IP アドレスです。

  8. 各 VPN ゲートウェイに冗長トンネルを追加するには、[冗長 VeloCloud クラウド VPN (Redundant VeloCloud Cloud VPN)] チェックボックスをオンにします。
    プライマリ VPN ゲートウェイの暗号化、DH グループ、または PFS に加えられた変更は、冗長 VPN トンネルにも適用されます(構成されている場合)。プライマリ VPN ゲートウェイのトンネル設定を変更した後、変更を保存してから、 [IKE/IPSec テンプレートの表示 (View IKE/IPSec Template)] をクリックして、更新されたトンネル構成を表示します。
  9. [場所の更新 (Update location)] リンクをクリックして、構成済み Non VMware SD-WAN Site の場所を設定します。緯度と経度の詳細を使用して、ネットワークでの接続先となる最適な Edge またはゲートウェイを決定します。
  10. [サイト サブネット (Site Subnets)] で、[+] ボタンをクリックして、Non VMware SD-WAN Site のサブネットを追加できます。
  11. [カスタムの送信元サブネット (Custom Source Subnets)] を使用して、この VPN デバイスにルーティングされている送信元サブネットをオーバーライドします。通常、送信元サブネットは、このデバイスにルーティングされている Edge LAN サブネットから取得されます。
  12. SD-WAN Gateway から Cisco ASA VPN ゲートウェイへのトンネルを開始する準備ができたら、[トンネルの有効化 (Enable Tunnel(s))] チェックボックスをオンにします。
  13. [変更の保存 (Save Changes)] をクリックします。