VMware によって、エンタープライズ ユーザーは、SD-WAN Edge から Non SD-WAN Destination に直接セキュアな IPsec v4 および v6 トンネルを確立するために、Non SD-WAN Destination インスタンスを定義して設定できます。このセクションでは、クラウド セキュリティ サービスの設定を行うこともできます。
手順
- エンタープライズ ポータルの [SD-WAN] サービスで、[設定 (Configure)] > [ネットワーク サービス (Network Services)] の順に移動し、[Non SD-WAN Destination (Non SD-WAN Destinations)] の下にある [Edge 経由の Non SD-WAN Destination (Non SD-WAN Destinations via Edge)] を展開します。
- [Edge 経由の Non SD-WAN Destination (Non SD-WAN Destinations via Edge)] 領域で [新規 (New)] または [新しい Edge 経由の NSD (New NSD via Edge)] オプションをクリックして、新しい Non SD-WAN Destination を作成します。
注: [新しい Edge 経由の NSD (New NSD via Edge)] オプションは、テーブルに項目がない場合にのみ表示されます。
- 次の設定オプションを使用できます。
注: IKE/IPsec 設定のほかに、データセンター タイプの Non SD-WAN Destination をサポートするには、 Non SD-WAN Destination ローカル サブネットを VMware システムに設定する必要があります。
オプション 説明 [全般] サービス名 (Service Name) Non SD-WAN Destination の名前を入力します。このフィールドは必須です。 サービス タイプ (Service Type) ドロップダウン メニューからサービス タイプを選択します。[汎用 IKEv1 ルーター (ルート ベース VPN) (Generic IKEv1 Router (Route Based VPN))]、[汎用 IKEv2 ルーター (ルート ベース VPN) (Generic IKEv2 Router (Route Based VPN))]、および [Microsoft Azure Virtual Wan] のオプションがあります。このフィールドは必須です。 トンネル モード (Tunnel Mode) ドロップダウン メニューからトンネル モードを選択します。[アクティブ/アクティブ (Active/Active)]、[アクティブ/ホットスタンバイ (Active/Hot-Standby)]、および [アクティブ/スタンバイ (Active/Standby)] のオプションがあります。 [IKE/IPsec 設定 (IKE/IPsec Settings)] IP バージョン (IP Version) ドロップダウン メニューから、現在の Non SD-WAN Destination の IP バージョン(IPv4 または IPv6)を選択します。 プライマリ VPN Gateway (Primary VPN Gateway) パブリック IP アドレス (Public IP) 有効な IPv4 または IPv6 アドレスを入力します。このフィールドは必須です。 IKE プロポーザルの詳細設定を表示 (View advanced settings for IKE Proposal):このオプションを展開すると、次のフィールドが表示されます。 暗号化 (Encryption) ドロップダウン リストから AES アルゴリズム キー サイズを選択して、データを暗号化します。[AES 128]、[AES 256]、[AES 128 GCM]、[AES 256 GCM]、および [自動 (Auto)] のオプションがあります。デフォルト値は [AES 128] です。 DH グループ (DH Group) ドロップダウン リストから Diffie-Hellman (DH) グループのアルゴリズムを選択します。これは、キー マテリアルの生成に使用されます。DH グループは、アルゴリズムの強度をビット単位で設定します。サポートされている DH グループは、[2]、[5]、[14]、[15]、[16]、[19]、[20]、[21] です。デフォルト値は [14] です。 ハッシュ (Hash) 次のいずれかのサポート対象の Secure Hash Algorithm (SHA) 機能をドロップダウン リストから選択します。 - SHA 1
- SHA 256
- SHA 384
注: この値は、 [Microsoft Azure Virtual Wan] サービス タイプでは使用できません。
- SHA 512
注: この値は、 [Microsoft Azure Virtual Wan] サービス タイプでは使用できません。
- 自動 (Auto)
デフォルト値は [SHA 256] です。
IKE SA の有効期間 (分) (IKE SA Lifetime (min)) Edge のインターネット キー交換 (IKE) の再キー化が開始される時間を入力します。IKE 有効期間の最小値は [10] 分、最大値は [1,440] 分です。デフォルト値は [1,440] 分です。 注: 有効期間の 75 ~ 80% が過ぎる前に、再キー化を開始する必要があります。DPD タイムアウト (秒) (DPD Timeout(sec)) DPD タイムアウト値を入力します。DPD タイムアウト値は、次に説明するように内部 DPD タイマーに追加されます。ピアがデッド状態 (Dead Peer Detection) であると見なす前に、DPD メッセージからの応答を待機します。 5.1.0 以前のリリースでは、デフォルト値は 20 秒です。5.1.0 以降のリリースのデフォルト値については、以下のリストを参照してください。- ライブラリ名:Quicksec
- プローブ間隔:指数関数(0.5 秒、1 秒、2 秒、4 秒、8 秒、16 秒)
- デフォルトの最小 DPD 間隔:47.5 秒(Quicksec は前回の再試行後に 16 秒間待機します。したがって、0.5+1+2+4+8+16+16 = 47.5)。
- デフォルトの最小 DPD 間隔 + DPD タイムアウト(秒):67.5 秒
注: 5.1.0 以降のリリースでは、DPD タイムアウト タイマーを 0 秒に設定して DPD を無効にすることはできません。秒単位の DPD タイムアウト値は、デフォルトの最小値である 47.5 秒に追加されます。IPsec プロポーザルの詳細設定を表示 (View advanced settings for IPsec Proposal):このオプションを展開すると、次のフィールドが表示されます。 暗号化 (Encryption) ドロップダウン リストから AES アルゴリズム キー サイズを選択して、データを暗号化します。[なし (None)]、[AES 128]、および [AES 256] のオプションがあります。デフォルト値は [AES 128] です。 PFS セキュリティを強化するために、Perfect Forward Secrecy (PFS) レベルを選択します。サポートされている PFS レベルは、[2]、[5]、[14]、[15]、[16]、[19]、[20]、[21] です。デフォルト値は [14] です。 ハッシュ (Hash) 次のいずれかのサポート対象の Secure Hash Algorithm (SHA) 機能をドロップダウン リストから選択します。 - SHA 1
- SHA 256
- SHA 384
注: この値は、 [Microsoft Azure Virtual Wan] サービス タイプでは使用できません。
- SHA 512
注: この値は、 [Microsoft Azure Virtual Wan] サービス タイプでは使用できません。
デフォルト値は [SHA 256] です。
IPsec SA の有効期間 (分) (IPsec SA Lifetime(min)) Edge のインターネット セキュリティ プロトコル (IPsec) の再キー化が開始される時間を入力します。IPsec 有効期間の最小値は [3] 分、最大値は [480] 分です。デフォルト値は [480] 分です。 注: 有効期間の 75 ~ 80% が過ぎる前に、再キー化を開始する必要があります。セカンダリ VPN Gateway (Secondary VPN Gateway) [追加 (Add)] - このオプションをクリックすると、セカンダリ VPN Gateway が追加されます。次のフィールドが表示されます。 パブリック IP アドレス (Public IP) 有効な IPv4 または IPv6 アドレスを入力します。 削除 (Remove) セカンダリ VPN Gateway を削除します。 トンネル設定をプライマリ VPN Gateway と同じにする (Tunnel settings are the same as Primary VPN Gateway) プライマリおよびセカンダリの Gateway に同じ設定を使用する場合は、このチェック ボックスをオンにします。セカンダリ VPN Gateway の設定を手動で入力するように選択できます。 [サイト サブネット (Site Subnets)] 追加 (Add) このオプションをクリックすると、Non SD-WAN Destination のサブネットと説明が追加されます。 削除 (Delete) このオプションをクリックすると、選択したサブネットが削除されます。 - [保存 (Save)] をクリックします。
- [Edge 経由の Non SD-WAN Destination (Non SD-WAN Destinations via Edge)] 領域で [新規 (New)] または [新しい Edge 経由の NSD (New NSD via Edge)] オプションをクリックして、新しい Non SD-WAN Destination を作成します。
- [クラウド セキュリティ サービス (Cloud Security Service)] 領域で、[新規 (New)] をクリックします。
- [新規クラウド セキュリティ サービス (New Cloud Security Service)] ウィンドウで、ドロップダウン メニューからサービス タイプを選択します。VMware SD-WAN は、次の CSS タイプをサポートします。
- 汎用クラウド セキュリティ サービス (Generic Cloud Security Service)
- Symantec/Palo Alto クラウド セキュリティ サービス
- Zscaler クラウド セキュリティ サービス (Zscaler Cloud Security Service)
- [サービス タイプ (Service Type)] として [汎用 (Generic)] または [Symantec / Palo Alto] のいずれかのクラウド セキュリティ サービスを選択した場合は、次のフィールドを設定し、[変更の保存 (Save Changes)] をクリックします。
オプション 説明 サービス名 (Service Name) クラウド セキュリティ サービスのわかりやすい名前を入力します。 プライマリ ポイント オブ プレゼンス/サーバ (Primary Point-of-Presence/Server) プライマリ サーバの IP アドレスまたはホスト名を入力します。 セカンダリ ポイント オブ プレゼンス/サーバ (Secondary Point-of-Presence/Server) セカンダリ サーバの IP アドレスまたはホスト名を入力します。このフィールドはオプションです。 - [サービス タイプ (Service Type)] として [Zscaler クラウド セキュリティ サービス (Zscaler Cloud Security Service)] を選択した場合は、次のフィールドを設定し、[変更の保存 (Save Changes)] をクリックします。
オプション 説明 サービス名 (Service Name) クラウド セキュリティ サービスのわかりやすい名前を入力します。 クラウド サービスの展開を自動化 (Automate Cloud Service Deployment) 自動化の展開を選択するには、このチェック ボックスをオンにします。 Zscaler にログインするための URL (URL for logging in to Zscaler) ドロップダウン リストから既存の Zscaler URL を使用するか、新しい URL を入力するかを選択できます。 プライマリ サーバ (Primary Server) プライマリ サーバの IP アドレスまたはホスト名を入力します。 セカンダリ サーバ (Secondary Server) セカンダリ サーバの IP アドレスまたはホスト名を入力します。このフィールドはオプションです。 L7 健全性チェック (L7 Health Check) Zscaler サーバの健全性を監視するには、このチェック ボックスをオンにします。 注: 特定の Edge/プロファイルでは、ユーザーはネットワーク サービスで設定された L7 健全性チェック パラメータを上書きできません。HTTP プローブ間隔 (HTTP Probe Interval) 個々の HTTP プローブ間の間隔の長さを表示します。デフォルトのプローブ間隔は [5] 秒です。 再試行回数 (Number of Retries) クラウド サービスがダウンとマークされる前に許可される再試行回数を選択します。デフォルト値は [3] です。 RTT しきい値 (RTT Threshold) 往復時間 (RTT) しきい値は、ミリ秒単位で表され、クラウド サービスの状態を計算するために使用されます。測定された RTT が設定されたしきい値を超えると、クラウド サービスはダウンとマークされます。デフォルト値は [3,000] ミリ秒です。 Zscaler ログイン URL (Zscaler Login URL) ログイン URL を入力し、[Zscaler にログイン (Login to Zscaler)] をクリックします。これにより、選択した Zscaler クラウドの Zscaler 管理ポータルにリダイレクトされます。 注: [Zscaler にログイン (Login to Zscaler)] リンクは、Zscaler ログイン URL を入力した場合にのみ有効化されます。注: 詳細については、 クラウド セキュリティ サービスを参照してください。
- [Edge 経由の Non SD-WAN Destination (Non SD-WAN Destinations via Edge)] セクションで使用できるその他のオプションは次のとおりです。
オプション 説明 削除 (Delete) 項目を選択し、このオプションをクリックして削除します。 列 (Columns) ページで表示または非表示にする列をクリックして選択します。 注: テーブルの上部にある情報アイコンをクリックして概念図を表示し、図の上にカーソルを置くと、詳細を確認できます。
次のタスク
- Non SD-WAN Destination のトンネルを設定します。詳細については、以下を参照してください。
- Non SD-WAN Destination をプロファイルまたは Edge に関連付けます。詳細については、ブランチと Edge 経由の Non SD-WAN Destination 間のトンネルの設定を参照してください。
- Edge レベルでトンネルのパラメータ(WAN リンクの選択とトンネルごとの認証情報)を設定します。詳細については、Edge のクラウド VPN およびトンネル パラメータの設定を参照してください。
- ビジネス ポリシーを設定します。Edge 経由の Non SD-WAN Destination の場合、ビジネス ポリシーの設定はオプションの手順です。Non SD-WAN Destination が設定されていない場合は、ビジネス ポリシーを使用してインターネット トラフィックをリダイレクトできます。詳細については、ビジネス ポリシー ルールの作成を参照してください。