はじめに 過去2回のブログでNSX間のIPsecとNSXとCiscoルータ間のIPsecを張るための具体的な設定を紹介しました。今回はIPsecの対向をAWSで想定した場合の設定例を紹介していきます。NSXやCiscoルータでは、IKEv2のポリシーベースIPsecとルートベースIPsecの2種類のIPsec方式をサポートしていますが、AWSではルートベースIPsecのみサポートするため、その構成で解説していきます。 AWS – NSX間のルートベースIPsec 構築するネットワーク構成は以下となります。 AWS Site ユーザセグメント:172.16.40.0/24 IPsec用エンドポイントIP:13.113.232.97 IPsec用トンネルインターフェースIP:169.254.79.65/30 NSX Site ユーザセグメント:172.16.10.0/24 IPsec用エンドポイントIP:10.34.34.34 IPsec用トンネルインターフェースIP:169.254.79.66/30 NAT外部ルータ:223.135.xx.xx NSX ver.3.2.3.1 設定手順 ①AWSの設定 1.インターネットゲートウェイ、カスタマーゲートウェイ、仮想プライベートゲートウェイの作成 2.VPNの設定 3.セキュリティグループの確認、外部IPとトンネルIPの確認 ②T0ゲートウェイにエンドポイント間のルートを学習 ③NSX IPsecの設定 1.VPNサービスの設定 2.NSX IPsec Session (ルートベース)の作成 3.NSX ローカルエンドポイントの作成 ④T0ゲートウェイにトンネル経由のルートを追加 ①AWSの設定 1.インターネットゲートウェイ、カスタマーゲートウェイ、仮想プライベートゲートウェイの作成 AWSコンソールのVPCの設定から、各ゲートウェイの設定を行っていく デフォルトASNを選ぶと作成後にBGP用のAS番号が確認できる (オプション) BGPでルートを広報する場合は”BGP ASN” にNSX 環境のASN を設定 “IPアドレス” にはNSXサイトのエンドポイントIP(NAT経由ならNAT後のIP)を設定 2.VPNの設定 “仮想プライベートゲートウェイ”と”カスタマーゲートウェイ” は作成したものを選択 “ルーティングオプション” はスタティックルートの場合は「静的」を選択し、対向サイトのルートを設定 BGPの場合は「動的」を選択 “トンネル1の内部IPv4 … 続き
The post NSX IPsec 設定徹底ガイド (AWSとのIPsec編) appeared first on VMware Japan Blog.
