このセクションでは、SD-WAN Gateway と VMware Cloud Gateway 間の接続を実現する方法を段階的に説明します。

概要

下の図は、VMware SD-WAN Gateway と VMware Cloud からルーターへの IPsec 接続を使用する VMware SD-WAN と VMware Cloud on AWS の統合を示しています。

手順

  1. SDDC 組織の URL(VMware Cloud Services ログイン ページ)に基づいて VMware Cloud コンソールにログインします。

    Cloud Services プラットフォームで、[VMware Cloud on AWS] を選択します。

  2. [ネットワークとセキュリティ (Networking and Security)] タブをクリックして、VPN 接続に使用されているパブリック IP アドレスを検索します。VPN の パブリック IP アドレスが [概要 (Overview)] ペインの下に表示されます。

  3. トラフィック暗号化の選択(関心のあるトラフィック)のネットワーク/サブネットを特定し、書き留めます。これらは、VMware Cloud のネットワーク/セキュリティのセグメントから発生する必要があります。([ネットワーク (Network)] の下にある [セグメント (Segments)] をクリックして見つけます。)
  4. SD-WAN Orchestrator にログインして、SD-WAN Edge が存在し、その横に緑色の状態アイコンが表示されていることを確認します。

  5. [設定 (Configure)] タブに移動し、[ネットワーク サービス (Network Services)] をクリックして、[非 VeloCloud サイト (Non-VeloCloud Sites)] の下で [新規 (New)] ボタンをクリックします。

  6. 非 VeloCloud サイトの名前を入力し、タイプ(この場合は「汎用ファイアウォール (ポリシー ベース VPN)」)を選択し、手順 2 で取得した VMC からのパブリック IP アドレスを入力して、[次へ (Next)] をクリックします。

  7. [詳細 (Advanced)] ボタンをクリックし、[プライマリ VPN Gateway (Primary VPN Gateway)] の下で次の手順を実行します。
    1. 目的の PSK に変更します。
    2. 暗号化が AES 256 に設定されていることを確認します。
    3. [DH] グループを 5 に変更します。
    4. [PFS] を 5 で有効にします。
    5. 手順 3 で取得したサイトのサブネットを入力します。
    6. [トンネルの有効化 (Enable Tunnels)] のチェックボックスをオンにします。
    7. [変更の保存 (Save Changes)] をクリックします。

  8. [IKE/IPsec テンプレートの表示 (View IKE/IPSec Template)] をクリックし、情報をテキスト ファイルにコピーして、ウィンドウを閉じます。

  9. 左側のパネルで、[設定 (Configure)] > [プロファイル (Profiles)] の順にクリックします。

  10. 関連する SD-WAN Edge のプロファイルに移動し、適切なプロファイルをクリックします。
  11. 正しいプロファイルの下で、次の手順を実行します。
    1. [デバイス (Device)] タブに移動し、[クラウド VPN (Cloud VPN)][ブランチから非 VeloCloud サイト (Branch to Non-VeloCloud Site)] の下で、[有効化 (Enable)] の横にあるチェックボックスをオンにします。
    2. ドロップダウン メニューで、作成された NVS ネットワーク サービスを選択します(手順 5 から開始)。
    3. 画面の上部にある [変更の保存 (Save Changes)] ボタンをクリックします。

  12. トンネルは SD-WAN Orchestrator で使用可能になります。
  13. VMware Cloud コンソールにログインします。
  14. [ネットワークとセキュリティ (Networking and Security)] に移動し、[VPN] タブをクリックします。[VPN] 領域で [ポリシー ベースの VPN (Policy Based VPN)] を選択し、[VPN の追加 (Add VPN)] をクリックします。

  15. ポリシー ベースの VPN の名前を入力し、次のように設定します。
    1. 名前を選択します(「To_SDWAN_Gateway」で始まる名前を選択すると、トラブルシューティング中や今後のサポートで VPN を簡単に識別できます)。
    2. パブリック IP アドレスを選択します。
    3. リモートのパブリック IP アドレスを入力します。
    4. リモートのプライベート IP アドレスを入力します。注:これには、VMware サポートにお問い合わせいただく必要があります。次のナレッジベースの記事を参照し、サポートに連絡する際は、ナレッジベースの ID を伝えてください。https://ikb.vmware.com/s/article/78196。
    5. SD-WAN Orchestrator にあるリモート ネットワークを指定します。
    6. ローカル ネットワークを選択します。
    7. [トンネル 暗号化 (Tunnel Encryption)] で、[AES 256] を選択します。
    8. [トンネル ダイジェスト アルゴリズム (Tunnel Digest Algorithm)] で、[SHA 1] を選択します。
    9. [Perfect Forward Secrecy][有効 (Enabled)] に設定されていることを確認します。
    10. 手順 7A と一致するように、[PSK] を入力します。
    11. [IKE 暗号化 (IKE Encryption)] で、[AES 256] を選択します。
    12. [IKE ダイジェスト アルゴリズム (IKE Digest Algorithm)] で、[SHA 1] を選択します。
    13. [IKE タイプ (IKE Type)] で、[IKEv2] を選択します。
    14. [Diffie Hellman] で、[Group 5] を選択します。
    15. [保存 (Save)] をクリックします。

  16. 設定が完了すると、トンネルが自動的に有効になり、IKE フェーズ 1 とフェーズ 2 のパラメータがピア (SD-WAN Gateway) との間でネゴシエートされます。

  17. トンネルが表示されたら(緑)、トンネルが SD-WAN Orchestrator で緑になっていることを確認します([監視 (Monitor)] > [ネットワーク サービス (Network Services)] に移動)。

  18. 各端末に接続されているクライアントから、もう一方のクライアントに ping を実行し、ping が通ることを確認します。

    トンネルの設定が完了し、確認されました。