SD-WAN OrchestratorSD-WAN Edge を介して [汎用 IKEv2 ルーター(ルートベース VPN) (Generic IKEv2 Router (Route Based VPN))] タイプの Non VMware SD-WAN Site を構成する方法について説明します。

手順

  1. SD-WAN Orchestrator のナビゲーション パネルから、[構成 (Configure)] > [ネットワーク サービス (Network Services)] の順に移動します。
    [サービス (Services)] 画面が表示されます。
  2. [Edge 経由の非 SD-WAN 宛先 (Non SD-WAN Destinations via Edge)] 領域で、[新規 (New)] ボタンをクリックします。
    [Edge 経由の非 SD-WAN 宛先 (Non SD-WAN Destinations via Edge)] ダイアログ ボックスが表示されます。
  3. [サービス名 (Service Name)] テキスト ボックスに、Non VMware SD-WAN Site の名前を入力します。
  4. [サービス タイプ (Service Type)] ドロップダウン メニューから [汎用 IKEv2 ルーター(ルートベース VPN) (Generic IKEv2 Router (Route Based VPN))] を IPSec トンネル タイプとして選択します。
  5. [次へ (Next)] をクリックします。
    IKEv2 タイプのルートベース Non VMware SD-WAN Site が作成され、 Non VMware SD-WAN Site のダイアログ ボックスが表示されます。
  6. [プライマリ VPN ゲートウェイ (Primary VPN Gateway)] で、[パブリック IP アドレス (Public IP Address)] テキスト ボックスにプライマリ VPN ゲートウェイの IP アドレスを入力します。
  7. Non VMware SD-WAN Site のプライマリ VPN ゲートウェイのトンネル設定を構成するには、[詳細 (Advanced)] ボタンをクリックします。
  8. [プライマリ VPN ゲートウェイ (Primary VPN Gateway)] 領域で、次のトンネル設定を構成できます。
    フィールド 説明
    暗号化 (Encryption) データを暗号化するアルゴリズムとして [AES 128] または [AES 256] のいずれかを選択します。データを暗号化しない場合は [ヌル (Null)] を選択します。デフォルト値は AES 128 です。
    DH グループ (DH Group) 事前共有キーを交換するときに使用する Diffie-Hellman (DH) グループのアルゴリズムを選択します。DH グループは、アルゴリズムの強度をビット単位で設定します。サポートされている DH グループは、2、5、14、15、16 です。DH グループ 14 を使用することをお勧めします。
    PFS セキュリティを強化するために、Perfect Forward Secrecy (PFS) レベルを選択します。サポートされている PFS レベルは 2、5、14、15、16 です。デフォルト値は [無効 (Disabled)] です。
    ハッシュ (Hash) VPN ヘッダーの認証アルゴリズム。次のいずれかのサポート対象の Secure Hash Algorithm (SHA) 機能をリストから選択します。
    • SHA 1
    • SHA 256
    • SHA 384
    • SHA 512

    デフォルト値は [SHA 256] です。
    IKE SA の有効期間 (分) (IKE SA Lifetime (min)) Edge のインターネット キー交換 (IKE) の再キー化が開始される時間。IKE の有効期間の最小値は 10 分、最大値は 1,440 分です。デフォルト値は 1440 分です。
    IPsec SA の有効期間 (分) (IPsec SA Lifetime(min)) Edge のインターネット セキュリティ プロトコル (IPsec) の再キー化が開始される時間。IPsec の有効期間の最小値は 3 分、最大値は 480 分です。デフォルト値は 480 分です。
    DPD タイムアウト タイマー (秒) (DPD Timeout Timer(sec)) ピアが停止していると判断する前に、デバイスが DPD メッセージへの応答を受信するのを待機する最大時間。デフォルト値は 20 秒です。DPD タイムアウト タイマーを 0 秒に構成して、DPD を無効にできます。
    注: AWS が VMware SD-WAN Gateway(非 SD-WAN 宛先)を使用して再キー化トンネルを開始すると、障害が発生してトンネルが確立されず、トラフィックが中断する可能性があります。以下に従います。
    • SD-WAN Gateway の [IPsec SA の有効期間 (分) (IPsec SA Lifetime(min))] のタイマーの構成は、AWS のデフォルトの IPsec 構成と一致するように 60 分未満(50 分を推奨)にする必要があります。
    • DH および PFS DH グループを一致させる必要があります。
  9. このサイトにセカンダリ VPN ゲートウェイを作成する場合は、[セカンダリ VPN ゲートウェイ (Secondary VPN Gateway)] チェックボックスをオンにして、[パブリック IP アドレス (Public IP Address)] テキスト ボックスにセカンダリ VPN ゲートウェイの IP アドレスを入力します。

    セカンダリ VPN ゲートウェイはこのサイトに直ちに作成され、このゲートウェイへの VMware VPN トンネルをプロビジョニングします。

  10. [トンネルをアクティブに保つ (Keep Tunnel Active)] チェックボックスをオンにして、このサイトのセカンダリ VPN トンネルをアクティブに保ちます。
  11. [トンネル設定をプライマリ VPN ゲートウェイと同じにする (Tunnel settings are same as Primary VPN Gateway)] チェックボックスをオンにして、プライマリ VPN ゲートウェイと同じトンネル設定を適用します。
    プライマリ VPN ゲートウェイに加えられたトンネル設定の変更は、セカンダリ VPN トンネルにも適用されます(構成されている場合)。
  12. [サイト サブネット (Site Subnets)] で、[+] ボタンをクリックして、Non VMware SD-WAN Site のサブネットを追加できます。
    注: IPSec 接続のほかに、データセンター タイプの Non VMware SD-WAN Site をサポートするには、 Non VMware SD-WAN Site ローカル サブネットを VMware システムに構成する必要があります。
  13. [変更の保存 (Save Changes)] をクリックします。