このセクションでは、VMware Cloud on AWS Gateway への Gateway 経由のルート ベース NSD を設定するための概要と手順について説明します。

VMware Cloud on AWS Gateway への Gateway 経由のルート ベース NSD の概要

下の図は、VMware SD-WAN と VMware Cloud on AWS の統合を示し、VMware SD-WAN Gateway と VMware Cloud Gateway が IPSec で接続されています。

手順

このセクションでは、SD-WAN Gateway と VMware Cloud Gateway 間の接続を実現する方法を段階的に説明します。
  1. SDDC 組織の URL(VMware Cloud Services ログイン ページ)に基づいて VMware Cloud コンソールにログインします。Cloud Services プラットフォームで、VMware Cloud on AWS を選択します。
  2. [ネットワークとセキュリティ (Networking and Security)] タブをクリックして、VPN 接続に使用されているパブリック IP アドレスを検索します。VPN のパブリック IP アドレスが [概要 (Overview)] ペインに表示されます。

  3. トラフィック暗号化の選択(関心のあるトラフィック)のネットワーク/サブネットを特定し、書き留めます。これらは、VMware Cloud のネットワーク/セキュリティのセグメントから発生する必要があります。([ネットワーク (Network)] の下にある [セグメント (Segments)] をクリックして見つけます。)
  4. SD-WAN Orchestrator にログインし、SD-WAN Edge が表示されていることを確認します(横に緑色の状態アイコンが表示されます)。

  5. [設定 (Configure)] タブに移動して、[ネットワーク サービス (Network Services)] をクリックします。[Gateway 経由の Non SD-WAN Destination (Non SD-WAN Destination via Gateway)] で、[新規 (New)] ボタンをクリックします。

  6. Gateway 経由の Non SD-WAN Destination の名前を入力します。タイプ(この場合は [汎用 IKEv2 ルーター (ルート ベース VPN) (Generic IKEv2 Router (Route Based VPN))])を選択し、手順 2 で取得した VMC のパブリック IP アドレスを入力し、[次へ (Next)] をクリックします。

  7. [詳細 (Advanced)] ボタンをクリックし、次の操作を実行します。
    1. 目的の PSK に変更します。
    2. 暗号化が AES 128 に設定されていることを確認します。
    3. DH グループを 2 に変更します。
    4. PFS を 2 で有効にします。
    5. 認証アルゴリズムを SHA 1 に設定します。
    6. サブネットは BGP 経由で学習されるため、サイトのサブネットを無効にします(BGP が設定されていない場合は、スタティック ルートなど、手順 3 で取得したサイト サブネットを追加します)。
    7. [トンネルの有効化 (Enable Tunnels)] の横にあるチェックボックスをオンにします。
    8. [変更の保存 (Save Changes)] をクリックします。

  8. [IKE/IPsec テンプレートの表示 (View IKE/IPSec Template)] をクリックし、情報をテキスト ファイルにコピーして、ウィンドウを閉じます。

  9. 左側のパネルで、[設定 (Configure)] > [プロファイル (Profiles)] の順にクリックします。

  10. 関連する SD-WAN Edge のプロファイルに移動し、適切なプロファイルをクリックします。
  11. 正しいプロファイルで、次の手順を実行します。
    1. [デバイス (Device)] タブに移動し、[クラウド VPN (Cloud VPN)] と [ブランチから Gateway 経由の Non SD-WAN Destination (Branch to Non SD-WAN Destination via Gateway)] の下で、[有効化 (Enable)] の横にあるチェックボックスをオンにします。
    2. ドロップダウン メニューで、作成された Gateway 経由の NSD を選択します(手順 6 から開始)。
    3. 画面の上部にある [変更の保存 (Save Changes)] ボタンをクリックします。

  12. [ネットワーク (Network)] サービス ページに移動し、[Gateway 経由の NSD (NSD via Gateway)] サービス領域にある BGP のボタンをクリックします。

  13. BGP パラメータを次のように設定します。
    1. ローカル ASN を 65001 に設定します。
    2. ネイバー IP アドレスを 169.254.32.2、ピア ASN を 65000(VMC のデフォルト ASN は 65000)に設定します。
    3. ローカル IP アドレスを 169.254.32.1 に設定します。
      注: 169.254.0.0 ~ 169.254.31.255、169.254.101.0 ~ 169.254.101.3 の VMC 予約済みアドレスを除く、169.254.0.0/16 サブネットの /30 CIDR を使用することをお勧めします。

    BGP over IPSec を使用する SD-WAN Orchestrator でトンネルの準備が完了している必要があります。
  14. VMware Cloud コンソールにログインします。
  15. [ネットワークとセキュリティ (Networking and Security)] に移動し、[VPN] タブをクリックします。[VPN] 領域で、[ルート ベース VPN (Route Based VPN)] を選択し、[VPN の追加 (Add VPN)] をクリックします。

  16. ルート ベース VPN の名前を入力し、次のように設定します。
    1. 名前を選択します(「To_SDWAN_Gateway」で始まる名前を選択すると、トラブルシューティング中や今後のサポートで VPN を簡単に識別できます)。
    2. パブリック IP アドレスを選択します。
    3. リモートのパブリック IP アドレスを入力します。
    4. リモートのプライベート IP アドレスを入力します。注:これには、VMware サポートにお問い合わせいただく必要があります。次のナレッジベースの記事を参照し、サポートに連絡する際は、ナレッジベースの ID を伝えてください。https://ikb.vmware.com/s/article/78196。
    5. BGP ローカル IP アドレスを指定します。
    6. BGP リモート IP アドレスを指定します。
    7. [トンネル暗号化 (Tunnel Encryption)] で、[AES 128] を選択します。
    8. [トンネル ダイジェスト アルゴリズム (Tunnel Digest Algorithm)] で、[SHA 1] を選択します。
    9. [Perfect Forward Secrecy] が [有効 (Enabled)] に設定されていることを確認します。
    10. 手順 7A と一致するように、PSK を入力します。
    11. [IKE 暗号化 (IKE Encryption)] で、[AES 128] を選択します。
    12. [IKE ダイジェスト アルゴリズム (IKE Digest Algorithm)] で、[SHA 1] を選択します。
    13. [IKE タイプ (IKE Type)] で、[IKEv2] を選択します。
    14. [Diffie Hellman] で、[Group 2] を選択します。
    15. [保存 (Save)] をクリックします。

  17. 設定が完了すると、トンネルが自動的に有効になり、IKE フェーズ 1 とフェーズ 2 のパラメータがピア (SD-WAN Gateway) との間でネゴシエートされます。

  18. トンネルが表示されたら(緑色)、SD-WAN Orchestrator で [監視 (Monitor)] > [ネットワーク サービス (Network Services)] の順に移動し、Gateway 経由の NSD トンネル/BGP の状態を確認します。

  19. 各端末に接続されているクライアントから、もう一方のクライアントに ping を実行し、ping が通ることを確認します。トンネルの設定が完了し、接続できることが確認されました。