仮想データセンター・エッジ・ゲートウェイとオンプレミスVPNゲートウェイ間のVPNの作成
このチュートリアルでは、費用が発生する場合があります。 コスト見積もりツールを使用して、予測使用量に基づいてコスト見積もりを生成します。
目標
このチュートリアルの目的は、 IBM Cloud® for VMware Cloud Foundation as a Service シングルテナントまたはマルチテナント・インスタンスと Juniper® vSRX を接続する基本的な手順を示すことです。 接続は仮想プライベート・ネットワーク(VPN)を通じて行われる。 vSRX は、 IBM Cloud クラシック・インフラストラクチャーまたはクライアント・データ・センターのいずれかに配備することができる。 以下のステップでは、基本的な作業環境を構築し、VPN、基本的なファイアウォールの実装、およびエンドツーエンドのネットワーク接続を提供します。
このチュートリアルでは、次のことを学びます:
- 仮想データセンター(VDC)のエッジゲートウェイと vSRX の間にVPNを作成する方法。
- 一致するIKEおよびIPsecトンネルのプロポーザルとプロファイルを作成および構成する方法。
- VDCエッジゲートウェイと vSRX、VPNトラフィックを許可するファイアウォールルールを設定する方法。
次の図は、導入するソリューションの概要を示している。
開始前に
このチュートリアルでは、以下が必要です。
- IBM Cloud の有料のアカウント。
- 必要なユーザー権限。 ユーザーアカウントに、 VMware Cloud Foundation (VCF) as a Service リソースを作成および管理するための 十分な権限があることを確認してください。
- 事前にプロビジョニングされた サービスとしての VCF インスタンス。
- サービスとしての VCF 上のプリプロビジョニングされた VDC。
- IBM CloudCLI
- IBM Cloud API キー。
情報と要件の収集
ポリシー・ベースのトンネルを確立するには、ゲートウェイのエンドポイントやローカル・ネットワーク、リモート・ネットワークなど、展開や設計からさまざまな情報を収集する必要があります。 さらに、IKEとIPsecのトンネルセキュリティポリシーを定義する必要があります。
ここに記載されている情報を注意深く収集し、文書化すること。 この値は、双方のトンネル・コンフィギュレーションで正確に一致していなければならない。
IBM Cloud ポータルと vSRX ファイアウォール設定を使用して以下の情報を収集し、セキュリティ要件に基づいてトンネルの IPsec および IKE ポリシーパラメータを定義します:
-
ポリシーベースのトンネルのローカルとリモートのネットワーク情報を収集する。
vSRX のプライベート・インターフェースは、通常以下のように設定される:
set interfaces reth2 unit <vlan-id> description "Your private network routed through Gateway Appliance" set interfaces reth2 unit <vlan-id> vlan-id <vlan-id> set interfaces reth2 unit <vlan-id> family inet address <private-IP address-of-the-vsrx>/26vSRX インターフェースに複数のセカンダリ IP アドレスがあるかもしれないので、トンネルに必要なネットワーク情報をすべて収集してください。
トンネルに必要なすべてのVDCネットワーク情報を収集する。 VMware Cloud Director™コンソールを使用するか、ネットワーク設計の文書から情報を収集します(どのネットワークがVDCにデプロイされているか)。
値の例を以下に示す:
VPNを設定する前に確認するサイトプレフィックスまたはサブネットのリスト。 接頭部 値 背後のサブネット vSRX 10.95.1.0/26VDCのサブネット 192.168.100.0/24あなたのソリューションは異なるかもしれないので、あなたのネットワーク設計と配置からサブネットを使用してください。
-
IPsec トンネルのローカルおよびリモートゲートウェイの IP アドレス情報を収集する。
vSRX のパブリック・インターフェースIPアドレスは、通常、 IBM Cloud で以下のように設定される:
set interfaces reth1 unit 0 description "SL PUBLIC VLAN INTERFACE" set interfaces reth1 unit 0 family inet address <public-IP address-of-the-vsrx>/29VDCからVDCエッジゲートウェイのパブリックIPアドレスを収集します。 パブリックIPアドレスは、 IBM Cloud ポータルのVDCインスタンスで利用できます。
次の表は、この例で使用する値を示している:
VPNを設定する前に確認するゲートウェイIPアドレスのリスト。 ゲートウェイ IP アドレス 値 エッジゲートウェイのパブリックIPアドレス <public-IP address-of-the-vdc-edge-gateway>のパブリックIPアドレス vSRX <public-IP address-of-the-vsrx>あなたのソリューションは異なるかもしれないので、あなたの展開に一致するエンドポイントIPアドレスを使用してください。
-
事前共有キーを作成する。 IPsec トンネル用の事前共有鍵
your-pskを生成する。 このキーはファイアウォールとVDCのIPsecコンフィギュレーションで使用される。 -
トンネルのIKEポリシーを定義します。 次の表は、この例で使用する値を示している:
VPNを設定する前に確認するIKEポリシーパラメータのリスト。 IKE ポリシー 値 バージョン アイケイイー v2 暗号化 AES 256 ダイジェスト SHA 2 - 256 Diffie-Hellman グループ 第14グループ 協会ライフタイム(秒) 28800 要件が異なる可能性があるため、配備時の値を使用してください。
-
トンネルのIPsec(またはトンネル)ポリシーを定義する。 次の表は、この例で使用する値を示している:
VPN を設定する前に確認すべき IPsec (またはトンネル) ポリシーパラメータのリスト。 IPsec(またはトンネル)ポリシー 値 Perfect Forward Secrecy 有効 デフラグポリシー コピー 暗号化 AES 256 ダイジェスト SHA 2 - 256 Diffie-Hellman グループ 第14グループ 協会ライフタイム(秒) 3600 要件が異なる可能性があるため、配備時の値を使用してください。
-
トンネルのデッドピア検出(DPD)ポリシーを定義します。 次の表は、この例で使用する値を示している:
VPN を設定する前に確認すべきデッドピア検出 (DPD) ポリシーパラメータのリスト。 DPD 値 プローブ間隔(秒) 60 要件が異なる可能性があるため、配備時の値を使用してください。
設定 vSRX
以下の設定は、先に示したポリシー値の例を使用している。 あなたの環境とポリシーは異なるかもしれないので、コンフィギュレーションコマンドを調整してください。
-
IKEプロポーザル、IKEポリシー、および事前共有キーを設定します:
set security ike proposal ike-phase1-vmwaas authentication-method pre-shared-keys set security ike proposal ike-phase1-vmwaas dh-group group14 set security ike proposal ike-phase1-vmwaas authentication-algorithm sha-256 set security ike proposal ike-phase1-vmwaas encryption-algorithm aes-256-cbc set security ike proposal ike-phase1-vmwaas lifetime-seconds 28800 set security ike policy ike-phase1-policy mode main set security ike policy ike-phase1-policy proposals ike-phase1-vmwaas set security ike policy ike-phase1-policy pre-shared-key ascii-text <your-psk> -
IKEゲートウェイを設定する:
set security ike gateway vmwaas ike-policy ike-phase1-policy set security ike gateway vmwaas address <public-IP address-of-the-vdc-edge-gateway> set security ike gateway vmwaas external-interface reth1.0 set security ike gateway vmwaas version v2-only -
IPsec ポリシーとプロポーザルを設定する:
set security ipsec proposal ipsec-phase2-vmwaas protocol esp set security ipsec proposal ipsec-phase2-vmwaas authentication-algorithm hmac-sha-256-128 set security ipsec proposal ipsec-phase2-vmwaas encryption-algorithm aes-256-cbc set security ipsec proposal ipsec-phase2-vmwaas lifetime-seconds 3600 set security ipsec policy ipsec-phase2-policy perfect-forward-secrecy keys group14 set security ipsec policy ipsec-phase2-policy proposals ipsec-phase2-vmwaas -
IPsec VPNを設定する:
set interfaces st0 unit 0 family inet set security ipsec vpn vmwaas-vpn-1 bind-interface st0.0 set security ipsec vpn vmwaas-vpn-1 ike gateway vmwaas set security ipsec vpn vmwaas-vpn-1 ike ipsec-policy ipsec-phase2-policy set security ipsec vpn vmwaas-vpn-1 traffic-selector pair1 local-ip 10.95.1.0/26 set security ipsec vpn vmwaas-vpn-1 traffic-selector pair1 remote-ip 192.168.100.0/24 set security ipsec vpn vmwaas-vpn-1 establish-tunnels immediately set security ipsec vpn vmwaas-vpn-1 df-bit copy -
コントロールプレーン・ファイアウォールを設定する:
set firewall filter PROTECT-IN term PING from destination-address 10.95.1.1/32 set firewall filter PROTECT-IN term PING from protocol icmp set firewall filter PROTECT-IN term IPSec-IKE from destination-address `<public-IP address-of-the-vsrx>/32` # Alternative way to use source-address # set firewall filter PROTECT-IN term IPSec-IKE from source-address `<public-IP address-of-the-vdc-edge-gateway>/32` set firewall filter PROTECT-IN term IPSec-IKE from protocol udp set firewall filter PROTECT-IN term IPSec-IKE from port 500 set firewall filter PROTECT-IN term IPSec-IKE then accept set firewall filter PROTECT-IN term IPSec-ESP from destination-address `<public-IP address-of-the-vsrx>/32` # Alternative way to use source-address # set firewall filter PROTECT-IN term IPSec-ESP from source-address `<public-IP address-of-the-vdc-edge-gateway>/32` set firewall filter PROTECT-IN term IPSec-ESP from protocol esp set firewall filter PROTECT-IN term IPSec-ESP then accept set firewall filter PROTECT-IN term IPSec-4500 from destination-address `<public-IP address-of-the-vsrx>/32` # Alternative way to use source-address # set firewall filter PROTECT-IN term IPSec-4500 from source-address `<public-IP address-of-the-vdc-edge-gateway>/32` set firewall filter PROTECT-IN term IPSec-4500 from protocol udp set firewall filter PROTECT-IN term IPSec-4500 from port 4500 set firewall filter PROTECT-IN term IPSec-4500 then accept -
セキュリティゾーンとゾーンポリシーを設定する:
set security zones security-zone vpn-vmwaas-tunnel interfaces st0.0 set security zones security-zone vsrx-vlan interfaces reth2.2498 set security policies from-zone vsrx-vlan to-zone vpn-vmwaas-tunnel policy vlan_to_vmwaas match source-address any set security policies from-zone vsrx-vlan to-zone vpn-vmwaas-tunnel policy vlan_to_vmwaas match destination-address any set security policies from-zone vsrx-vlan to-zone vpn-vmwaas-tunnel policy vlan_to_vmwaas match application any set security policies from-zone vsrx-vlan to-zone vpn-vmwaas-tunnel policy vlan_to_vmwaas then permit set security policies from-zone vpn-vmwaas-tunnel to-zone vsrx-vlan policy vmwaas_to_vlan match source-address any set security policies from-zone vpn-vmwaas-tunnel to-zone vsrx-vlan policy vmwaas_to_vlan match destination-address any set security policies from-zone vpn-vmwaas-tunnel to-zone vsrx-vlan policy vmwaas_to_vlan match application any set security policies from-zone vpn-vmwaas-tunnel to-zone vsrx-vlan policy vmwaas_to_vlan then permit -
TCP 最大セグメント・サイズ (MSS) を設定する:
set security flow tcp-mss ipsec-vpn mss 1360
サービスとしての VCF インスタンス・エッジ・ゲートウェイを設定する
サービスとしての VCF インスタンスにログインし、ネットワーク・サブネット、ファイアウォール・ルール、IPsec トンネルを設定します。
サービスとしての VCF コンソールにログイン
-
Organization Administratorロールを持つユーザで サービスとしての VCF インスタンスにログインする。 -
左のナビゲーションパネルから 「ネットワーク 」をクリックします。
-
Edge Gateways] で、エッジゲートウェイの
nameを選択します。
サービスとしての VCF VDC エッジゲートウェイの選択 -
サイドメニューで[ IPセット]をクリックし、[ 新規 ]をクリックして新しいIPセットを作成します。
-
2つのIPセットを作成する。
IPセットの詳細 IPセット 名前 IP アドレス IPSET 1 ファイアウォール-ネットワーク 10.95.1.0/26IPSET 2 VMWaaS-VDC-Network 192.168.100.0/24
サービスとしての VCF VDC IP セット -
保存 をクリックします。
VDCゲートウェイのファイアウォールルールを作成する
サービスとしての VCF テナント・インスタンスは、セキュリティを確保するために、すべてのトラフィックをドロップするデフォルトのファイアウォール・ルールでプロビジョニングされる。
VPN接続へのトラフィックとVPN接続からのトラフィックを許可するために、2つのルールを追加する必要がある。
-
エッジゲートウェイを選択した状態で、左のナビゲーションパネルからファイアウォールをクリックします。
-
[ルールの編集] をクリックし、 [上部に新規] をクリックします。
-
各ルールについてこれを繰り返し、[ Save] をクリックする。
サービスとしての VCF VDCファイアウォールルール ファイアウォールのルール 名前 ソース・アドレス 宛先アドレス ファイアウォールルール1 VMWaaS-to-FWVMWaaS-VDC-NetworkFirewall-Networkファイアウォールルール2 FW-to-VMWaaSFirewall-NetworkVMWaaS-VDC-Network
サービスとしての VCF VDC ファイアウォールルール
VDC IPSec VPN トンネルの作成
次のステップは、ローカル・エンドポイントとリモート・エンドポイント間に IPSec VPN トンネルを作成することである。
-
エッジ・ゲートウェイを選択した状態で、左側のナビゲーション・パネルから IPSec VPN をクリックします。
-
Newをクリックしてウィザードを開始する。
-
General Settings(一般設定) 」の下にある 「Name(名前)」 フィールドに、例えば「
VMWaaS-to-FW-VPN」のように入力し、「 Next(次へ) 」をクリックします。 -
ピア認証モードで、事前共有キーを入力する。 このキーはファイアウォールと一致しなければならない。 **「次へ」**をクリックします。
-
Endpoint Configuration 」で、以下の値を設定する:
サービスとしての VCF VDCファイアウォールルール エンドポイント構成 IP アドレス ネットワーク リモート ID ローカル・エンドポイント <public-IP address-of-the-vdc-edge-gateway>192.168.100.0/24n/aリモート・エンドポイント <public-IP address-of-the-vsrx>10.95.1.1/26<public-IP address-of-the-vsrx> -
完了をクリックして完了する。
サービスとしての VCF VDC IPSEC VPN の設定
IPsecトンネルと接続性を検証する
すべてのステップが正常に完了すると、VPNトンネルが確立され、2つのネットワーク間でトラフィックが流れます。
ユーザー・インターフェース(UI)で接続をテストすることも、 CLIでpingを使って古典的な方法でテストすることもできる。
UIでIPsecトンネルと接続性を確認する
-
エッジ・ゲートウェイを選択した状態で、左側のナビゲーション・パネルから IPSec VPN をクリックします。
-
リストで、VPN Configuredを選択します。
-
カラム Stateで、トンネルの状態を見つける。
-
統計情報を見る 」をクリックして詳細を確認する。
-
ステータスがグリーンでない場合は、トンネルに問題がある可能性があります。
サービスとしての VCF VDC IPSEC VPN 最初の検証
トンネルが機能していない場合は、次の方法で確認できる:
-
エッジ・ゲートウェイを選択した状態で、左側のナビゲーション・パネルから IPSec VPN をクリックします。
-
リストで、VPN Configuredを選択します。
-
セキュリティ・プロファイルのカスタマイズをクリックして、詳細を確認してください。
-
IKEプロファイルの詳細、 トンネル構成、または DPD構成に関する特定の詳細を変更します。
サービスとしての VCF VDC IPSEC VPNセカンド検証
設定が正しく、 [保存] をクリックすると、トンネルは動作しており、以前と同じ手順で確認できます。唯一の違いは、 [ステータス ] 列が緑色になり、 [統計の表示] も緑色で表示されることです。
-
エッジ・ゲートウェイを選択した状態で、左側のナビゲーション・パネルから IPSec VPN をクリックします。
-
リストで、VPN Configuredを選択します。
-
カラムの状態によって、 Enabledと表示され、緑色であれば、機能していることになる。
-
統計情報を見る 」をクリックして詳細を確認する。
サービスとしての VCF VDC IPSEC VPN 第三の検証
CLIでIPsecトンネルと接続性を検証する
VMware 仮想マシン・コンソールを使用して、VDC 上で稼動しているいずれかの VM にログインし、オンプレミス・ネットワークの仮想マシンへの接続性をテストすることで、接続をテストできます。
例えば、 vSRX がICMPを許可していれば、 vSRX, のIPアドレスにpingを使うことができる。
ping 10.95.1.1
あるいは、TCPポート443をリモートIPアドレス 10.95.1.10 (サーバーがTCPポート443でウェブサーバーをホストしていると仮定して) netcat。
nc -vz 10.95.1.10 443
Connection to 10.95.1.10 port 443 [tcp/https] succeeded!