Citrix SD-WAN

SD-WAN とサードパーティデバイス間で IPsec トンネルを設定する方法

イントラネットまたは LAN サービスの IPSec トンネルを構成するには、次の手順を実行します。

  1. 構成エディタで、[ 接続 ] > [ サイトの表示] > [サイト[名] ] > [ IPsec トンネル] に移動します。サービスタイプ (LAN またはイントラネット)を選択します。

  2. サービス・タイプの「 名前 」を入力します。イントラネットサービスの種類については、構成済みのイントラネットサーバーによって、使用可能なローカル IP アドレスが決まります。

    ローカル IP

    WANリンクがアプライアンス上で直接終了され、動的IPがWANリンクに割り当てられている場合に、Citrix SD-WANでIPSec トンネルを確立できるようになりました。

    11.1.0 リリースでは、イントラネット IPsec トンネルは、ローカルトンネル IP アドレスがわからない場合や認識できない場合に構成する必要があります。これは、アドレスが DHCP を介して割り当てられているインターフェイスに IPsec トンネルを作成するのに役立ちます。

    IPsec トンネルのインターフェイスを設定するときは、ローカルトンネル IP を指定する必要があります。このインターフェイスは、トンネルタイプが イントラネットの場合、空の IP を選択できるように変更されています。

    さらに、トンネルの種類が イントラネット の場合、設定されていないアドレスのラベルは Autoに変更されます。

    ローカル IP が Autoに設定されている場合は、その WAN リンクのアクセスインターフェイスに組み込まれている IP アドレスを取得できます。その WAN リンクアクセスインターフェイスは、IP をスタティックに設定するか、DHCP から取得する可能性があります。IPsec トンネルは、デフォルトでプライマリ WAN リンクアクセスインターフェイスを使用して確立されます。

    以前は、単一の WAN リンク上で IPsec トンネルを確立できます。これにより、リンク障害が発生した期間や、リンク上のパケット損失が誤って高くなると、信頼性の高い接続が可能になるため、ブランチ環境がサービス損失にさらされます。

    11.1.0 以降のリリースでは、2 つの WAN リンクを使用して IPsec トンネルを確立し、ブランチ環境をサービス中断期間から保護できます。プライマリリンクがダウンすると、セカンダリリンクはミリ秒以内にアクティブ/アップになります。

    [< Auto >]オプションを選択すると、プライマリ WAN リンクアクセスインターフェイスを使用して IPSec トンネルが確立されます。プライマリ WAN リンクがダウンした場合、セカンダリ WAN リンクアクセスインターフェイスを使用して IPSec トンネルが確立されます。

    2 つの WAN リンク

  3. 使用可能な ローカル IP アドレスを選択し、IPSec トンネルの ピア IP アドレスを入力します。

    サイトイントラネットの設定 IPsec

    IPSec トンネルの種類

    IPSec イントラネットトンネルの種類

    [サービスタイプ] が [イントラネット] の場合、IP アドレスは選択したイントラネットサービスによって事前に決定されます。

    サイト LAN の設定

  4. 次の表に示す基準を適用して、IPSec 設定を構成します。完了したら、[ 適用 ] をクリックして設定を保存します。

フィールド 説明
サービスの種類 ドロップダウンメニューからサービスタイプを選択します。 イントラネット、LAN
名前 サービスタイプが [イントラネット] の場合は、ドロップダウンメニューで構成されたイントラネットサービスのリストから選択します。サービスタイプが LAN の場合は、一意の名前を入力します。 テキスト文字列
ローカル IP このサイトで構成されている使用可能な仮想 IP アドレスのドロップダウンメニューから、IPSec トンネルのローカル IP アドレスを選択します。 IPアドレス
ピアIP IPSec トンネルのピア IP アドレスを入力します。 IPアドレス
MTU IKE および IPsec フラグメントをフラグメント化するための MTU を入力します。 デフォルト:1500
IKE 設定 バージョン:ドロップダウンメニューから IKE バージョンを選択します。 IKEv1 IKEv2
モード ドロップダウンメニューからモードを選択します。 FIPS 準拠:メイン、非 FIPS 準拠:アグレッシブ
ID ドロップダウンメニューから ID を選択します。 自動 IP アドレス手動 IP アドレスユーザー FQDN
認証 ドロップダウンメニューから認証タイプを選択します。 事前共有キー:事前共有キーを使用している場合は、このフィールドにコピーして貼り付けます。Eyeball () アイコンをクリックして、事前共有キーを表示します。証明書:ID 証明書を使用している場合は、ドロップダウンメニューから選択します。
ピア ID の検証 IKE のピアを検証するには、このチェックボックスをオンにします。ピアの ID タイプがサポートされていない場合は、この機能を有効にしないでください。 なし
DHグループ ドロップダウンメニューから IKE キーの生成に使用する Diffie-Hellman グループを選択します。 非 FIPS 準拠:グループ 1、FIPS 準拠:グループ 2 グループ 5 グループ 14 グループ 15 グループ 16 グループ 19 グループ 20 グループ 21
ハッシュアルゴリズム IKE メッセージを認証するアルゴリズムをドロップダウンメニューから選択します。 非 FIPS 準拠:MD5 FIPS 準拠:SHA1 SHA-256
暗号化モード ドロップダウンメニューから IKE メッセージの 暗号化モード を選択します。 AES 128 ビット AES 192ビット AES 256 ビット
ライフタイム IKE セキュリティアソシエーションが存在するための優先期間を秒単位で入力します。 3600 秒(デフォルト)
最大ライフタイム IKE セキュリティアソシエーションが存在することを許可する最大優先期間を秒単位で入力します。 86400 秒(デフォルト)
DPD タイムアウト VPN 接続の デッドピア検出タイムアウトを秒単位で入力します。 300 秒(デフォルト)
IKEv2 ピア認証:ドロップダウンメニューから「 ピア認証 」を選択します。 ミラーリングされた事前共有キー証明書
IKE2-事前共有キー ピア事前共有キー:IKEv2 ピア事前共有キーをこのフィールドに貼り付けて認証します。アイボール () アイコンをクリックして、事前共有キーを表示します。 テキスト文字列
整合性アルゴリズム ドロップダウンメニューから、HMAC 検証に使用するハッシュアルゴリズムとしてアルゴリズムを選択します。 非 FIPS 準拠:MD5 FIPS 準拠:SHA1 SHA-256

注:

終端側の IPsec ルータの設定にハッシュベースメッセージ認証コード(HMAC)が含まれている場合は、 SHA1 としてハッシュアルゴリズムを使用して IPsec モードを EXP+Authに変更します。

IKE 設定 IPSec トンネル

IKE2 設定 IPSec トンネル

IPSec および IPSec で保護されたネットワーク設定:

フィールド 説明
トンネルのタイプ ドロップダウンメニューから [ トンネルタイプ ] を選択します。 ESP ESP+Auth ESP+NULL AH
PFSグループ ドロップダウンメニューから、完全フォワード秘密キー生成に使用する Diffie—Hellman グループを選択します。 なしグループ 1 グループ 2 グループ 5 グループ 14 グループ 15 グループ 16 グループ 19 グループ 20 グループ 21
暗号化モード ドロップダウンメニューから IPsec メッセージの 暗号化モード を選択します。 [ESP] または [ESP+ 認証] を選択した場合は、[AES 128 ビット]、[AES 192ビット]、[AES 256 ビット]、[AES 128 ビット]、[GCM 64 ビット]、[AES 192ビット]、[GCM 64 ビット]、[AES 256 ビット]、[GCM 64 ビット]、[AES 128 ビット]、[GCM 96 ビット] のいずれかを選択します。6ビット、AES 128ビット、GCM 128ビット、AES 192ビット、GCM 128ビット、AES256ビット、GCM 128ビット
ライフタイム IPSec セキュリティアソシエーションが存在することを許可する時間を秒単位で入力します。 28800 秒(デフォルト)
最大ライフタイム IPsec セキュリティアソシエーションが存在するための最大時間を秒単位で入力します。 86400 秒(デフォルト)
ライフタイム (KB) IPsec セキュリティアソシエーションが存在するデータ量をキロバイト単位で入力します。 キロバイト
ライフタイム(KB)最大 IPsec セキュリティアソシエーションが存在できるようにするデータの最大量をキロバイト単位で入力します。 キロバイト
ネットワーク不一致の動作 パケットが IPsec トンネルの保護されたネットワークと一致しない場合に実行するアクションをドロップダウンメニューから選択します。 ドロップ、暗号化されていない送信、IPSec 以外のルートを使用
IPSec で保護されたネットワーク 送信元 IP /プレフィックス:[追加] (+ [追加]) ボタンをクリックした後、IPSec トンネルが保護するネットワークトラフィックの 送信元 IP とプレフィックスを入力します。 IPアドレス
IPSec で保護されたネットワーク 宛先 IP /プレフィックス:IPsec トンネルが保護するネットワークトラフィックの宛先 IP とプレフィックスを入力します。 IPアドレス

IPSec トンネルの設定

IPSec トンネルの監視

SD-WAN アプライアンスの GUI で「 監視」>「IKE/IPSec 」に移動し、IPSec トンネル設定を表示および監視します。

SD-WAN とサードパーティデバイス間で IPsec トンネルを設定する方法