このサービスを使用すると、1 つまたは複数の Non SD-WAN Destination にアクセスするための VPN トンネル設定を作成することができます。VMware には、IKE IPsec 設定の作成や事前共有キーの生成を含めた、トンネル作成に必要な設定機能が用意されています。
概要
次の図は、VMware と Non SD-WAN Destination 間で作成できる VPN トンネルの概要を示しています。
注:
Non SD-WAN Destination のプライマリ VPN Gateway の IP アドレスを指定する必要があります。IP アドレスは、
SD-WAN Gateway とプライマリ VPN Gateway 間のプライマリ VPN トンネルを形成するために使用されます。
必要な場合は、セカンダリ VPN Gateway の IP アドレスを指定して、SD-WAN Gateway とセカンダリ VPN Gateway の間のセカンダリ VPN トンネルを形成できます。作成する VPN トンネルに対する冗長 VPN トンネルを指定することができます。
AWS VPN Gateway タイプの Non SD-WAN Destination の設定
[AWS VPN Gateway] タイプの
Non SD-WAN Destination 設定を作成すると、追加の設定オプション ページにリダイレクトされます。
次のトンネル設定を行ってから、
[変更の保存 (Save Changes)] をクリックします。
オプション | 説明 |
---|---|
全般 | |
名前 (Name) | 以前に入力した Non SD-WAN Destination の名前を編集できます。 |
タイプ (Type) | タイプとして [AWS VPN Gateway] が表示されます。このオプションは編集できません。 |
トンネルの有効化 (Enable Tunnel(s)) | トグル ボタンをクリックして、SD-WAN Gateway から AWS VPN Gateway へのトンネルを開始します。 |
トンネル モード (Tunnel Mode) | [アクティブ/ホットスタンバイ (Active/ Hot-Standby)] モードでは、最大 2 つのトンネル エンドポイントまたは Gateway を設定できます。 |
[アクティブ/アクティブ (Active/Active)] モードでは、最大 4 つのトンネル エンドポイントまたは Gateway を設定できます。すべてのアクティブなトンネルは、ECMP を介してトラフィックを送受信できます。 | |
[ECMP] のロード共有方法 | [フロー負荷ベース](デフォルト):フロー負荷ベースのアルゴリズムは、新しいフローを、使用可能なパスの中で宛先にマッピングされたフローの数が最も少ないパスにマッピングします。 |
[ハッシュ負荷ベース] のアルゴリズムは、5 つのタプル(SrcIP、DestIP、SrcPort、DestPort、Protocol)から入力パラメータを取得します。これらの入力は、ユーザー設定に基づいて、このタプルの任意 1 つ、すべて、またはそのサブセットにすることができます。フローは、選択した入力のハッシュ値に基づいてパスにマッピングされます。 | |
VPN Gateway 1 | 有効な IP アドレスを入力してください。 |
VPN Gateway 2 | 有効な IP アドレスを入力してください。このフィールドはオプションです。 |
VPN Gateway 3 | 有効な IP アドレスを入力してください。このフィールドはオプションです。 |
VPN Gateway 4 | 有効な IP アドレスを入力してください。このフィールドはオプションです。 |
パブリック IP アドレス (Public IP) | プライマリ VPN Gateway の IP アドレスを表示します。 |
PSK | 事前共有キー (PSK) は、トンネル全体の認証のためのセキュリティ キーです。デフォルトで、SASE Orchestrator によって PSK が生成されます。独自の PSK またはパスワードを使用する場合は、テキスト ボックスに入力します。 |
暗号化 (Encryption) | データを暗号化する AES アルゴリズムのキー サイズとして [AES -128] または [AES -256] のいずれかを選択します。デフォルト値は [AES-128] です。 |
DH グループ (DH Group) | ドロップダウン メニューから Diffie-Hellman (DH) グループのアルゴリズムを選択します。これは、キー マテリアルの生成に使用されます。DH グループは、アルゴリズムの強度をビット単位で設定します。サポートされている DH グループは [2]、[5]、[14] です。デフォルト値は [2] です。 |
PFS | セキュリティを強化するために、Perfect Forward Secrecy (PFS) レベルを選択します。サポートされている PFS レベルは [無効 (deactivated)]、[2] および [5] です。デフォルト値は [2] です。 |
認証アルゴリズム (Authentication Algorithm) | VPN ヘッダーの認証アルゴリズムを選択します。サポート対象の Secure Hash Algorithm (SHA) 機能のいずれか 1 つをドロップダウン メニューから選択します。
デフォルト値は [SHA1] です。 |
IKE SA の有効期間 (分) (IKE SA Lifetime (min)) | SD-WAN Edge のインターネット キー交換 (IKE) の再キー化が開始される時間。IKE 有効期間の最小値は 10 分、最大値は 1,440 分です。デフォルト値は [1,440] 分です。 |
IPsec SA の有効期間 (分) (IPsec SA Lifetime(min)) | Edge のインターネット セキュリティ プロトコル (IPsec) の再キー化が開始される時間。IPsec 有効期間の最小値は 3 分、最大値は 480 分です。デフォルト値は [480] 分です。 |
DPD タイプ (DPD Type) | Dead Peer Detection (DPD) メソッドは、インターネット キー交換 (IKE) ピアがアライブ状態かデッド状態かを検出するために使用されます。ピアがデッド状態として検出されると、デバイスは IPsec と IKE の Security Association を削除します。ドロップダウン メニューから [定期 (Periodic)] または [onDemand] のいずれかを選択します。デフォルト値は [onDemand] です。 |
DPD タイムアウト (秒) (DPD Timeout(sec)) | DPD タイムアウト値を入力します。DPD タイムアウト値は、次に説明するように内部 DPD タイマーに追加されます。ピアがデッド状態 (Dead Peer Detection) であると見なす前に、DPD メッセージからの応答を待機します。
5.1.0 以前のリリースでは、デフォルト値は 20 秒です。5.1.0 以降のリリースのデフォルト値については、以下のリストを参照してください。
注: 5.1.0 より前のリリースでは、DPD タイムアウト タイマーを 0 秒に設定することで、DPD を無効にできます。ただし、5.1.0 以降のリリースでは、DPD タイムアウト タイマーを 0 秒に設定して DPD を無効にすることはできません。秒単位の DPD タイムアウト値は、デフォルトの最小値である 47.5 秒に追加されます。
|
セカンダリ VPN Gateway (Secondary VPN Gateway) | [追加 (Add)] ボタンをクリックし、セカンダリ VPN Gateway の IP アドレスを入力します。[変更の保存 (Save Changes)] をクリックします。 セカンダリ VPN Gateway がこのサイトに直ちに作成され、このゲートウェイへの VMware VPN トンネルをプロビジョニングします。 |
冗長 VMware Cloud VPN (Redundant VMware Cloud VPN) | チェック ボックスをオンにして、各 VPN Gateway に冗長トンネルを追加します。プライマリ VPN Gateway の [暗号化 (Encryption)]、[DH グループ (DH Group)]、または [PFS] に加えられた変更は、冗長 VPN トンネルにも適用されます(設定されている場合)。 |
ローカル認証 ID (Local Auth Id) | ローカル認証 ID は、ローカル Gateway の形式と ID を定義します。ドロップダウン メニューから、次のタイプから選択し、値を入力します。
注: 値を指定しない場合、
[デフォルト (Default)] がローカル認証 ID として使用されます。
|
IKE/IPsec の例 (Sample IKE / IPsec) | クリックすると、Non SD-WAN Destination Gateway の設定に必要な情報が表示されます。Gateway 管理者は、この情報を使用して Gateway VPN トンネルを設定する必要があります。 |
場所 (Location) | [編集 (Edit)] をクリックして、設定された Non SD-WAN Destination の場所を設定します。緯度と経度の詳細を使用して、ネットワークでの接続先となる最適な Edge または Gateway を決定します。 |
サイト サブネット (Site Subnets) | トグル ボタンを使用して、[サイト サブネット (Site Subnets)] を有効または無効にします。[追加 (Add)] をクリックして、Non SD-WAN Destination のサブネットを追加します。サイトのサブネットが必要ない場合は、サブネットを選択して [削除 (Delete)] をクリックします。
注:
|