SD-WAN OrchestratorSD-WAN Edge を介して [汎用 IKEv2 ルーター(ルートベース VPN) (Generic IKEv2 Router (Route Based VPN))] タイプの Non SD-WAN Destination を構成する方法について説明します。

手順

  1. SD-WAN Orchestrator のナビゲーション パネルから、[構成 (Configure)] > [ネットワーク サービス (Network Services)] の順に移動します。
    [サービス (Services)] 画面が表示されます。
  2. [Edge 経由の Non SD-WAN Destination (Non SD-WAN Destinations via Edge)] 領域で、[新規 (New)] ボタンをクリックします。
    [Edge 経由の Non SD-WAN Destination (Non SD-WAN Destinations via Edge)] ダイアログ ボックスが表示されます。
  3. [サービス名 (Service Name)] テキスト ボックスに、Non SD-WAN Destination の名前を入力します。
  4. [サービス タイプ (Service Type)] ドロップダウン メニューから [汎用 IKEv2 ルーター(ルートベース VPN) (Generic IKEv2 Router (Route Based VPN))] を IPSec トンネル タイプとして選択します。
  5. [次へ (Next)] をクリックします。
    IKEv2 タイプのルートベース Non SD-WAN Destination が作成され、 Non SD-WAN Destination のダイアログ ボックスが表示されます。
  6. [プライマリ VPN Gateway (Primary VPN Gateway)] で、[パブリック IP アドレス (Public IP Address)] テキスト ボックスにプライマリ VPN Gateway の IP アドレスを入力します。
  7. Non SD-WAN Destination のプライマリ VPN Gateway のトンネル設定を構成するには、[詳細 (Advanced)] ボタンをクリックします。
  8. [プライマリ VPN Gateway (Primary VPN Gateway)] 領域で、次のトンネル設定を構成できます。
    フィールド 説明
    暗号化 (Encryption) データを暗号化するアルゴリズムとして [AES 128] または [AES 256] のいずれかを選択します。データを暗号化しない場合は [ヌル (Null)] を選択します。デフォルト値は AES 128 です。
    DH グループ (DH Group) 事前共有キーを交換するときに使用する Diffie-Hellman (DH) グループのアルゴリズムを選択します。DH グループは、アルゴリズムの強度をビット単位で設定します。サポートされている DH グループは、2、5、14、15、16 です。DH グループ 14 を使用することをお勧めします。
    PFS セキュリティを強化するために、Perfect Forward Secrecy (PFS) レベルを選択します。サポートされている PFS レベルは 2、5、14、15、16 です。デフォルト値は [無効 (Disabled)] です。
    ハッシュ (Hash) VPN ヘッダーの認証アルゴリズム。次のいずれかのサポート対象の Secure Hash Algorithm (SHA) 機能をリストから選択します。
    • SHA 1
    • SHA 256
    • SHA 384
    • SHA 512

    デフォルト値は [SHA 256] です。

    IKE SA の有効期間 (分) (IKE SA Lifetime (min)) Edge のインターネット キー交換 (IKE) の再キー化が開始される時間。IKE の有効期間の最小値は 10 分、最大値は 1,440 分です。デフォルト値は 1440 分です。
    IPsec SA の有効期間 (分) (IPsec SA Lifetime(min)) Edge のインターネット セキュリティ プロトコル (IPsec) の再キー化が開始される時間。IPsec の有効期間の最小値は 3 分、最大値は 480 分です。デフォルト値は 480 分です。
    DPD タイムアウト タイマー (秒) (DPD Timeout Timer(sec)) ピアが停止していると判断する前に、デバイスが DPD メッセージへの応答を受信するのを待機する最大時間。デフォルト値は 20 秒です。DPD タイムアウト タイマーを 0 秒に構成して、DPD を無効にできます。
    注: AWS が VMware SD-WAN Gateway(Non SD-WAN Destination)を使用して再キー化トンネルを開始すると、障害が発生してトンネルが確立されず、トラフィックが中断する可能性があります。以下に従います。
    • SD-WAN Gateway の [IPsec SA の有効期間 (分) (IPsec SA Lifetime(min))] のタイマーの構成は、AWS のデフォルトの IPsec 構成と一致するように 60 分未満(50 分を推奨)にする必要があります。
    • DH および PFS DH グループを一致させる必要があります。
  9. このサイトにセカンダリ VPN Gateway を作成する場合は、[セカンダリ VPN Gateway (Secondary VPN Gateway)] チェックボックスをオンにして、[パブリック IP アドレス (Public IP Address)] テキスト ボックスにセカンダリ VPN Gateway の IP アドレスを入力します。

    セカンダリ VPN Gateway はこのサイトに直ちに作成され、この Gateway への VMware VPN トンネルをプロビジョニングします。

  10. [トンネルをアクティブのままにする (Keep Tunnel Active)] チェックボックスをオンにして、このサイトのセカンダリ VPN トンネルをアクティブに保ちます。
  11. [トンネル設定をプライマリ VPN Gateway と同じにする (Tunnel settings are same as Primary VPN Gateway)] チェックボックスをオンにして、プライマリ VPN Gateway と同じトンネル設定を適用します。
    プライマリ VPN Gateway に加えられたトンネル設定の変更は、セカンダリ VPN トンネルにも適用されます(構成されている場合)。
  12. [サイト サブネット (Site Subnets)] で、[+] ボタンをクリックして、Non SD-WAN Destination のサブネットを追加できます。
    注: IPSec 接続のほかに、データセンター タイプの Non SD-WAN Destination をサポートするには、 Non SD-WAN Destination ローカル サブネットを VMware システムに構成する必要があります。
  13. [変更の保存 (Save Changes)] をクリックします。

次のタスク