SD-WAN OrchestratorSD-WAN Edge を介して [汎用 IKEv1 ルーター(ルートベース VPN) (Generic IKEv1 Router (Route Based VPN))] タイプの Non SD-WAN Destination を設定する方法について説明します。

手順

  1. SD-WAN Orchestrator のナビゲーション パネルから、[設定 (Configure)] > [ネットワーク サービス (Network Services)] の順に移動します。
    [サービス (Services)] 画面が表示されます。
  2. [Edge 経由の Non SD-WAN Destination (Non SD-WAN Destinations via Edge)] 領域で、[新規 (New)] ボタンをクリックします。
    [Edge 経由の Non SD-WAN Destination (Non SD-WAN Destinations via Edge)] ダイアログ ボックスが表示されます。
  3. [サービス名 (Service Name)] テキスト ボックスに、Non SD-WAN Destination の名前を入力します。
  4. [サービス タイプ (Service Type)]ドロップダウン メニューから [汎用 IKEv1 ルーター(ルートベース VPN) (Generic IKEv1 Router (Route Based VPN))] を IPSec トンネル タイプとして選択します。
  5. [次へ (Next)] をクリックします。
    IKEv1 タイプのルートベース Non SD-WAN Destination が作成され、 Non SD-WAN Destination のダイアログ ボックスが表示されます。
  6. [プライマリ VPN Gateway (Primary VPN Gateway)] で、[パブリック IP アドレス (Public IP Address)] テキスト ボックスにプライマリ VPN Gateway の IP アドレスを入力します。
  7. Non SD-WAN Destination のプライマリ VPN Gateway のトンネル設定を行うには、[詳細 (Advanced)] ボタンをクリックします。
  8. [プライマリ VPN Gateway (Primary VPN Gateway)] 領域で、次のトンネルを設定できます。
    フィールド 説明
    暗号化 (Encryption) データを暗号化するアルゴリズムとして [AES 128] または [AES 256] のいずれかを選択します。データを暗号化しない場合は [ヌル (Null)] を選択します。デフォルト値は AES 128 です。
    DH グループ (DH Group) 事前共有キーを交換するときに使用する Diffie-Hellman (DH) グループのアルゴリズムを選択します。DH グループは、アルゴリズムの強度をビット単位で設定します。サポートされている DH グループは、2、5、14、15、16 です。DH グループ 14 を使用することをお勧めします。
    PFS セキュリティを強化するために、Perfect Forward Secrecy (PFS) レベルを選択します。サポートされている PFS レベルは 2、5、14、15、16 です。デフォルト値は [アクティベーション解除済み (Deactivated)] です。
    ハッシュ (Hash) VPN ヘッダーの認証アルゴリズム。次のいずれかのサポート対象の Secure Hash Algorithm (SHA) 機能をリストから選択します。
    • SHA 1
    • SHA 256
    • SHA 384
    • SHA 512

    デフォルト値は [SHA 256] です。

    IKE SA の有効期間 (分) (IKE SA Lifetime (min)) Edge のインターネット キー交換 (IKE) の再キー化が開始される時間。IKE 有効期間の最小値は 10 分、最大値は 1,440 分です。デフォルト値は 1440 分です。
    IPsec SA の有効期間 (分) (IPsec SA Lifetime(min)) Edge のインターネット セキュリティ プロトコル (IPsec) の再キー化が開始される時間。IPsec 有効期間の最小値は 3 分、最大値は 480 分です。デフォルト値は 480 分です。
    DPD タイムアウト タイマー (秒) (DPD Timeout Timer(sec)) DPD タイムアウト値を入力します。DPD タイムアウト値は、次に説明するように内部 DPD タイマーに追加されます。ピアがデッド状態 (Dead Peer Detection) であると見なす前に、DPD メッセージからの応答を待機します。
    5.1.0 以前のリリースでは、デフォルト値は 20 秒です。5.1.0 以降のリリースのデフォルト値については、以下のリストを参照してください。
    • ライブラリ名:Quicksec
    • プローブ間隔:指数関数(0.5 秒、1 秒、2 秒、4 秒、8 秒、16 秒)
    • デフォルトの最小 DPD 間隔:47.5 秒(Quicksec は前回の再試行後に 16 秒間待機します。したがって、0.5+1+2+4+8+16+16 = 47.5)。
    • デフォルトの最小 DPD 間隔 + DPD タイムアウト(秒):67.5 秒
    注: 5.1.0 以前のリリースでは、DPD タイムアウト タイマーを 0 秒に設定することで、DPD を無効にできます。ただし、5.1.0 以降のリリースでは、DPD タイムアウト タイマーを 0 秒に設定して DPD を無効にすることはできません。秒単位の DPD タイムアウト値は、デフォルトの最小値である 47.5 秒に追加されます。
    注: AWS が VMware SD-WAN Gateway(Non SD-WAN Destination)を使用して再キー化トンネルを開始すると、障害が発生してトンネルが確立されず、トラフィックが中断する可能性があります。以下に従います。
    • SD-WAN Gateway の [IPsec SA の有効期間 (分) (IPsec SA Lifetime(min))] のタイマーの設定は、AWS のデフォルトの IPsec 設定と一致するように 60 分未満(50 分を推奨)にする必要があります。
    • DH および PFS DH グループを一致させる必要があります。
  9. このサイトにセカンダリ VPN Gateway を作成する場合は、[セカンダリ VPN Gateway (Secondary VPN Gateway)] チェックボックスをオンにして、[パブリック IP アドレス (Public IP Address)] テキスト ボックスにセカンダリ VPN Gateway の IP アドレスを入力します。

    セカンダリ VPN Gateway はこのサイトに直ちに作成され、このゲートウェイへの VMware VPN トンネルをプロビジョニングします。

  10. [トンネルをアクティブのままにする (Keep Tunnel Active)] チェックボックスをオンにして、このサイトのセカンダリ VPN トンネルをアクティブに保ちます。
  11. [トンネル設定をプライマリ VPN Gateway と同じにする (Tunnel settings are same as Primary VPN Gateway)] チェックボックスをオンにして、プライマリ VPN Gateway と同じトンネル設定を適用します。
    プライマリ VPN Gateway に加えられたトンネル設定の変更は、セカンダリ VPN トンネルにも適用されます(設定されている場合)。
  12. [サイト サブネット (Site Subnets)] で、[+] ボタンをクリックして、Non SD-WAN Destination のサブネットを追加できます。
    注: IPSec 接続のほかに、データセンター タイプの Non SD-WAN Destination をサポートするには、 Non SD-WAN Destination ローカル サブネットを VMware システムに設定する必要があります。
  13. [変更の保存 (Save Changes)] をクリックします。

次のタスク