Edge 間または Edge と Gateway 間の IPSec トンネルを作成する場合は、カスタマー設定レベルでセキュリティ ポリシーの設定を変更できます。
手順
- オペレータ ポータルで、[カスタマーの管理 (Manage Customers)] に移動します。
- カスタマーを選択して [アクション (Actions)] > [変更 (Modify)] をクリックするか、カスタマーへのリンクをクリックします。
- エンタープライズ ポータルで、[設定 (Configure)] > [カスタマー (Customers)] をクリックします。[カスタマー設定 (Customer Configuration)] ページが表示されます。
- [セキュリティ ポリシー (Security Policy)] 領域で、次のセキュリティを設定できます。
- [ハッシュ (Hash)]:デフォルトでは、AES-GCM は認証済みの暗号化アルゴリズムであるため、VPN ヘッダーに認証アルゴリズムが設定されていません。[GCM を無効にする (Turn off GCM)] チェックボックスをオンにすると、ドロップダウン リストから VPN ヘッダーの認証アルゴリズムとして次のいずれかを選択できます。
- SHA 1
- SHA 256
- SHA 384
- SHA 512
- [暗号化 (Encryption)]:データを暗号化する AES アルゴリズムのキー サイズとして [AES 128] または [AES 256] のいずれかを選択します。[GCM を無効にする (Turn off GCM)] チェックボックスがオンになっていない場合、デフォルトの暗号化アルゴリズム モードは AES 128-GCM です。
- [DH グループ (DH Group)]:事前共有キーを交換するときに使用する Diffie-Hellman (DH) グループ アルゴリズムを選択します。DH グループは、アルゴリズムの強度をビット単位で設定します。サポートされている DH グループは、2、5、14、15、16 です。DH グループ 14 を使用することをお勧めします。
- [PFS]:セキュリティを強化するために、Perfect Forward Secrecy (PFS) レベルを選択します。サポートされている PFS レベルは 2、5、14、15、16 です。デフォルトでは、PFS はアクティベーション解除されています。
- [GCM を無効にする (Turn off GCM)]:デフォルトでは、AES 128-GCM が有効になっています。必要に応じて、チェックボックスをオフにしてこのモードをオフにします。
- [IPsec SA の有効期間 (IPsec SA Lifetime)]:Edge のインターネット セキュリティ プロトコル (IPsec) の再キー化が開始される時間。IPsec 有効期間の最小値は 3 分、IPsec 有効期間の最大値は 480 分です。デフォルト値は 480 分です。
- [IKE SA の有効期間 (IKE SA Lifetime)]:Edge のインターネット キー交換 (IKE) の再キー化が開始される時間。IKE 有効期間の最小値は 10 分、IKE 有効期間の最大値は 1,440 分です。デフォルト値は 1440 分です。
注: 低い有効期間値(IPsec の場合は 10 分未満、IKE の場合は 30 分未満)を設定することは推奨されません。これは、再キー化により一部の環境でトラフィックが中断する可能性があるからです。低い有効期間値は、デバッグ目的でのみ使用されます。
- [セキュアなデフォルト ルートの上書き (Secure Default Route Override)]:このチェックボックスをオンにすると、Partner Gateway からのセキュアなデフォルト ルート(スタティック ルートまたは BGP ルート)に一致するトラフィックの宛先をビジネス ポリシーを使用して上書きできるようになります。
Edge でセキュア ルーティングを有効にする方法の詳細については、 パートナー ハンドオフの設定を参照してください。ビジネス ポリシー ルールのネットワーク サービスの設定の詳細については、『VMware SD-WAN 管理ガイド』の「ビジネス ポリシー ルールのネットワーク サービスの設定」を参照してください。この文書は VMware SD-WAN ドキュメントで入手できます。
- [ハッシュ (Hash)]:デフォルトでは、AES-GCM は認証済みの暗号化アルゴリズムであるため、VPN ヘッダーに認証アルゴリズムが設定されていません。[GCM を無効にする (Turn off GCM)] チェックボックスをオンにすると、ドロップダウン リストから VPN ヘッダーの認証アルゴリズムとして次のいずれかを選択できます。
- 設定を行った後、[変更の保存 (Save Changes)] をクリックします。
注: セキュリティ設定を変更すると、変更によって現在のサービスが中断する可能性があります。また、これらの設定により、全体的なスループットが低下し、VCMP トンネルの設定に必要な時間が増加する場合があります。これにより、ブランチ間の動的トンネルの設定時間や、クラスタ内の Edge の障害からのリカバリに影響する可能性があります。