SASE Orchestrator で [汎用ファイアウォール(ポリシー ベース VPN) (Generic Firewall (Policy Based VPN))] タイプの Non SD-WAN Destination を設定するには、次の手順を実行します。
手順
- [汎用ファイアウォール(ポリシー ベース VPN)(Generic Firewall (Policy Based VPN))]タイプの Non SD-WAN Destination 設定を作成すると、追加の設定オプション ページにリダイレクトされます。
注: [セカンダリ VPN Gateway (Secondary VPN Gateway)] は、 [汎用ファイアウォール(ポリシー ベース VPN) (Generic Firewall (Policy Based VPN))] サービス タイプではサポートされていません。
- 次のトンネル設定が可能です。
オプション 説明 全般 名前 (Name) 以前に入力した Non SD-WAN Destination の名前を編集できます。 タイプ (Type) タイプとして [汎用ファイアウォール(ポリシー ベース VPN)(Generic Firewall (Policy Based VPN))] を表示します。このオプションは編集できません。 トンネルの有効化 (Enable Tunnel(s)) トグル ボタンをクリックして、SD-WAN Gateway から汎用ファイアウォール VPN Gateway へのトンネルを開始します。 トンネル モード (Tunnel Mode) [アクティブ/ホットスタンバイ (Active/ Hot-Standby)] モードでは、最大 2 つのトンネル エンドポイントまたは Gateway を設定できます。 VPN Gateway 1 有効な IP アドレスを入力してください。 パブリック IP アドレス (Public IP) プライマリ VPN Gateway の IP アドレスを表示します。 PSK 事前共有キー (PSK) は、トンネル全体の認証のためのセキュリティ キーです。デフォルトで、SASE Orchestrator によって PSK が生成されます。独自の PSK またはパスワードを使用する場合は、テキスト ボックスに入力します。 注: 4.5 リリース以降では、パスワードに特殊文字「<」を使用することはサポートされなくなりました。ユーザーが以前のリリースでパスワードに「<」を使用している場合、ページでの変更を保存するにはこの文字を削除する必要があります。暗号化 (Encryption) データを暗号化する AES アルゴリズムのキー サイズとして [AES -128] または [AES -256] のいずれかを選択します。デフォルト値は [AES-128] です。 DH グループ (DH Group) ドロップダウン メニューから Diffie-Hellman (DH) グループのアルゴリズムを選択します。これは、キー マテリアルの生成に使用されます。DH グループは、アルゴリズムの強度をビット単位で設定します。サポートされている DH グループは [2]、[5]、[14] です。デフォルト値は [2] です。 PFS セキュリティを強化するために、Perfect Forward Secrecy (PFS) レベルを選択します。サポートされている PFS レベルは [無効 (deactivated)]、[2] および [5] です。デフォルト値は [アクティベーション解除済み (deactivated)] です。 ローカル認証 ID (Local Auth Id) ローカル認証 ID は、ローカル Gateway の形式と ID を定義します。ドロップダウン メニューから、次のタイプから選択し、値を入力します。 - [FQDN] - 完全修飾ドメイン名またはホスト名。たとえば、vmware.com
- [ユーザーの FQDN (User FQDN)] - メール アドレス形式のユーザーの完全修飾ドメイン名。たとえば、[email protected]
- [IPv4] - ローカル Gateway との通信に使用される IP アドレス。
- [IPv6] - ローカル Gateway との通信に使用される IP アドレス。
注:- 値を指定しない場合、[デフォルト (Default)] がローカル認証 ID として使用されます。
- デフォルトのローカル認証 ID の値は、SD-WAN Gateway インターフェイスのローカル IP アドレスです。
IKE/IPsec の例 (Sample IKE / IPsec) クリックすると、Non SD-WAN Destination Gateway の設定に必要な情報が表示されます。Gateway 管理者は、この情報を使用して Gateway VPN トンネルを設定する必要があります。 注: 現在、サポートされている IKE バージョンは [IKEv1] です。場所 (Location) [編集 (Edit)] をクリックして、設定された Non SD-WAN Destination の場所を設定します。緯度と経度の詳細を使用して、ネットワークでの接続先となる最適な Edge または Gateway を決定します。 サイト サブネット (Site Subnets) トグル ボタンを使用して、[サイト サブネット (Site Subnets)] を有効または無効にします。[追加 (Add)] をクリックして、Non SD-WAN Destination のサブネットを追加します。サイトのサブネットが必要ない場合は、サブネットを選択して [削除 (Delete)] をクリックします。 注:- IPsec 接続のほかに、データセンター タイプの Non SD-WAN Destination をサポートするには、Non SD-WAN Destination ローカル サブネットを VMware システムに設定する必要があります。
- サイト サブネットが設定されていない場合は、[サイト サブネット (Site Subnets)] を無効にしてトンネルを有効にします。
カスタム サイト サブネット このセクションを使用して、この VPN デバイスにルーティングされている送信元サブネットを上書きします。通常、送信元サブネットは、このデバイスにルーティングされている Edge LAN サブネットから取得されます。 - [変更の保存 (Save Changes)] をクリックします。