Edge 間の IPsec トンネルを作成する場合は、ユーザー構成レベルでセキュリティ ポリシーの構成設定を変更できます。

手順

  1. オペレータ ポータルで、[カスタマーの管理 (Manage Customers)] に移動します。
  2. ユーザーを選択して [アクション (Actions)] > [変更 (Modify)] をクリックするか、ユーザーへのリンクをクリックします。
  3. エンタープライズ ポータルで、[構成 (Configure)] > [ユーザー (Customers)] をクリックします。[ユーザー構成 (Customer Configuration)] ページが表示されます。
  4. [セキュリティ ポリシー (Security Policy)] 領域で、次のセキュリティ設定を構成できます。
    1. [ハッシュ (Hash)]:デフォルトでは、VPN ヘッダーには認証アルゴリズムが構成されていません。[GCM の無効化 (Disable GCM)] チェックボックスをオンにすると、ドロップダウン リストから VPN ヘッダーの認証アルゴリズムとして次のいずれかを選択できます。
      • SHA 1
      • SHA 256
      • SHA 384
      • SHA 512
    2. [暗号化 (Encryption)]:データを暗号化する AES アルゴリズムのキー サイズとして [AES 128] または [AES 256] のいずれかを選択します。[GCM の無効化 (Disable GCM)] チェックボックスがオンになっていない場合、デフォルトの暗号化アルゴリズム モードは AES 128-GCM です。
    3. [DH グループ (DH Group)]:事前共有キーを交換するときに使用する Diffie-Hellman (DH) グループ アルゴリズムを選択します。DH グループは、アルゴリズムの強度をビット単位で設定します。サポートされている DH グループは、2、5、14、15、16 です。DH グループ 14 を使用することをお勧めします。
    4. [PFS]:セキュリティを強化するために、Perfect Forward Secrecy (PFS) レベルを選択します。サポートされている PFS レベルは 2、5、14、15、16 です。デフォルトでは、PFS は無効になっています。
    5. [GCM の無効化 (Disable GCM)]:デフォルトでは、AES 128-GCM が有効になっています。必要に応じて、チェックボックスをオンにしてこのモードを無効にします。チェックボックスをオフにすると、AES 128-CBC モードが有効になります。
    6. [IPsec SA の有効期間 (IPsec SA Lifetime)]:Edge のインターネット セキュリティ プロトコル (IPsec) の再キー化が開始される時間。IPsec 有効期間の最小値は 3 分、IPsec 有効期間の最大値は 480 分です。デフォルト値は 480 分です。
    7. [IKE SA の有効期間 (IKE SA Lifetime)]:Edge のインターネット キー交換 (IKE) の再キー化が開始される時間。IKE 有効期間の最小値は 10 分、IKE 有効期間の最大値は 1440 分です。デフォルト値は 1440 分です。
      注: 低い有効期間値(IPsec の場合は 10 分未満、IKE の場合は 30 分未満)を設定することは推奨されません。これは、再キー化により一部の環境でトラフィックが中断する可能性があるからです。低い有効期間値は、デバッグ目的でのみ使用されます。
    8. [セキュアなデフォルト ルートのオーバーライド (Secure Default Route Override)]:このチェックボックスをオンにすると、Partner Gateway からのセキュアなデフォルト ルート(スタティック ルートまたは BGP ルート)に一致するトラフィックの宛先をビジネス ポリシーを使用して上書きできるようになります。
      Edge でセキュア ルーティングを有効にする方法の詳細については、 パートナー ハンドオフの構成を参照してください。ビジネス ポリシー ルールのネットワーク サービスの構成の詳細については、『VMware SD-WAN 管理ガイド』の「ビジネス ポリシー ルールのネットワーク サービスの構成」を参照してください。この文書は VMware SD-WAN ドキュメントで入手できます。
  5. 設定を構成した後、[変更の保存 (Save Changes)] をクリックします。
    注: セキュリティ設定を変更すると、変更によって現在のサービスが中断する可能性があります。また、これらの設定により、全体的なスループットが低下し、VCMP トンネルの設定に必要な時間が増加する場合があります。これにより、ブランチ間の動的トンネルの設定時間や、クラスタ内の Edge の障害からのリカバリに影響する可能性があります。