EdgeGateway操作手順


EdgeGateway(エッジゲートウェイ)は、VMware NSX (NSX-T)によるファイアウォール、VPN、DLRなどの各種各機能を提供します。
本機能を用いる事で柔軟なセキュリティ設定を行う事が可能となります。

../../_images/create_edge_000.png



注釈

1) EdgeGateway RateLimitingはデフォルト(Ingress/Egress Traffic:Unlimited)となります。
RateLimitingプロファイルは現状ご利用できません。
2) EdgeGateway サービス L2VPN機能をご利用の場合、テナントポータルでの提供ではなくAPIでの提供となります。
3) EdgeGateway IPアドレス管理 DHCPv6機能はご利用できません。
DHCPv6と合わせIPv6のご利用は非推奨となります。

IPセット設定

ファイアウォールルールを作成してEdge Gatewayに追加するには、事前にIPセットを作成する必要があります。
IPセットは、ファイアウォールルールが適用されるオブジェクトのグループとなります。

複数のオブジェクトをIPセットにまとめる事で作成するファイアウォールルールの合計数を減らすことができます。

1. IPセットの追加

  • 上部ナビゲーションバーで[ネットワーク ]をクリックし、[Edge Gateway]タブをクリックします。
  • 追加対象のEdge Gatewayをクリックします。
  • [セキュリティ]->[IP セット]タブをクリックし、[新規]をクリックします。
  • 新規に作成するIPセットの名前と、必要に応じて説明を入力します。
  • IPセットに含める仮想マシンのIPアドレスまたはIPアドレス範囲を入力し、[追加]をクリックします。
  • [保存]をクリックします。

2. IP セットの削除

  • 上部ナビゲーションバーで[ネットワーク ]をクリックし、[Edge Gateway]タブをクリックします。

  • 追加対象のEdge Gatewayをクリックします。

  • [セキュリティ]->[IP セット]をクリックします。
    削除対象IPセットのラジオボタンをクリックします。
    画面上部の[削除]をクリックします。
  • 警告ダイアログ内の削除対象IPセット名を確認し[削除]をクリックします。
    画面内IPセットリストから対象IPセットが削除されたことを確認し削除完了となります。

ファイアウォール設定

EdgeGatewayが提供するファイアウォールは、North-Southトラフィックを監視し、ファイアウォールやネットワークアドレス変換 (NAT) を含む境界セキュリティ機能のほか、サイト間のIPSecおよびSSL VPN機能を提供します。
対してEdgeGateway分散ファイアウォールは、レイヤー2(L2)レベルまでの各仮想マシンとアプリケーションを隔離し、保護するための機能を提供します。
分散ファイアウォールを構成することで外部または内部ネットワークのあらゆるセキュリティ侵害を効果的に検疫できます。
また、同じネットワークセグメント上の仮想マシン間のEast-Westトラフィックを隔離できます。

セキュリティ ポリシーは一元的に管理され、継承可能で入れ子構造にすることができます。
また、仮想マシンまたはアプリケーションがOvDC間を移動しても、定義済みのセキュリティポリシーは仮想マシンまたはアプリケーションに付随して適用されます。

EdgeGatewayのファイアウォールルールは[ファイアウォール] 画面に表示され、次の順序で適用されます。


順序 適用ルール
1 内部ルール
2 ユーザー定義ルール
3 デフォルトルール

注釈

内部ルールはサービス基盤内で使用しております。
ファイアウォール機能にて設定できるルールは「ユーザ定義ルール」のみとなります。

デフォルトルールの設定は、どのユーザー定義ファイアウォールルールにも一致しないトラフィックに適用されます。

1. ファイアウォールルールの追加

EdgeGatewayで送受信されるネットワークトラフィックを制御するファイアウォールルールを作成します。

  • [仮想データセンター](以下、OvDC)内、左ペインメニューより[エッジ]を押下します。
  • 設定対象のEdgeGatewayをクリックし[サービス]内、[ファイアウォール]をクリックします。
  • [ルールの編集]をクリックします。
  • [最上部に新規作成]をクリックし、最上部に新規ルール行が追加されます。
  • ファイアウォールルールを構成します。

アクション 説明
名前
ルールの名前を入力します。
カテゴリ
ルール定義カテゴリが表示されます。
状態
作成時にルールを有効にするには、[状態]トグルをオンにします。
アプリケーション
鉛筆アイコンをクリックし設定を行います。
ルールが適用される特定のポートプロファイルを選択する際に設定します。
[アプリケーションの選択]より"特定のアプリケーションを選択します"を有効にしてプロファイルを選択し[保存]をクリックします。(オプション)
ソース
鉛筆アイコンより設定内容を選択し[保持]をクリックします。
1.任意のソースアドレスからのトラフィックを許可または拒否するには、[任意のソース]を有効にします。(Anyとなります。)
2.特定のファイアウォールグループからのトラフィックを許可または拒否するには、リストからファイアウォールグループを選択します。
ターゲット
鉛筆アイコンより設定内容を選択し[保持]をクリックします。
1.任意のターゲットアドレスからのトラフィックを許可または拒否するには、[任意のソース]を有効にします。(Anyとなります。)
2.特定のファイアウォールグループからのトラフィックを許可または拒否するには、リストからファイアウォールグループを選択します。
アクション
[アクション] ドロップダウン メニューからオプションを選択します。
1.指定されたソース、ターゲット、およびサービスとの間のトラフィックを許可するには[許可]を選択します。
2.指定されたソース、ターゲット、およびサービスとの間のトラフィックをブロックし、ブロックされたクライアントにトラフィックが拒否されたことを通知するには、[拒否]を選択します。
IPプロトコル
IPv4またはIPv6のトラフィックにルールを適用するかどうかを選択します。
ログの有効化
このルールによって実行されたアドレス変換をログに記録する際に有効化します。
Comments
このルールの備考を記載する項目となります。
  • [保存]をクリックします。

注釈

保存操作が完了するまでに1分ほどかかることがあります。


2. ファイアウォールルールの編集/削除

編集および削除を行えるのは、EdgeGatewayに追加されたユーザー定義のファイアウォールルールのみとなります。
自動生成されたルールまたはデフォルトのルールを編集または削除することはできません。
ただし、デフォルトルールのアクション設定は変更が可能です。

ユーザー定義のルールは、優先順位を変更できます。
  • [仮想データセンター](以下、OvDC)内、左ペインメニューより[エッジ]を押下します。
  • [サービス]内、[ファイアウォール]をクリックします。
  • 対象ルール名の鉛筆アイコンをクリックし、ファイアウォールルールの編集を行います。

アクション 編集方法
ルールの有効/無効化
[状態]トグルにて有効/無効化を行います。
ルール名を編集
[名前]セルをクリックして、新しい名前を入力することで行います。
ルールの設定(ソース設定やアクション設定など)変更
変更対象セル内"鉛筆アイコン"を選択し、表示されたコントロールを用いて行います。
ルールの削除
ルールテーブル上部の[削除]ボタンをクリックすることで行います。
ルールの移動
移動対象ルールを選択し、ルールテーブル上部にある[上へ移動][下へ移動]をクリックすることで行います。
  • [保存]をクリックします。

DNS フォワーダ サービス設定

NSX Gateway機能にてDNSクエリを外部DNSサーバに転送するDNSフォワーダを提供することが可能です。
DNSフォワーダサービス-条件付きフォワーダゾーンはご利用することができません。

  • [ネットワーク]->[Edge Gateway]、左ペインメニュー[IPアドレス管理]->[DNS]を押下します。

  • [DNSフォワーダー]にて[編集]をクリックします。

  • [DNSの編集]ダイアログにてDNSフォワーダーを構成します。
    構成項目を以下に記載します。
設定項目 概要
状態
DNSフォワーダサービスを有効にするには、[状態]切り替えを有効にします。
リスナーIPアドレス
デフォルトのIPアドレスを使用場合には[デフォルトを使用]を有効化し、任意のIPアドレスを指定する場合には[IPアドレス]に指定IPアドレスを入力します。
デフォルトゾーン
デフォルトDNSゾーンの名前と、1つ以上のアップストリームサーバのIPアドレスをカンマで区切って入力します。

  • [保存] をクリックします。

DHCP Forwarding設定

NSX Gateway機能にて経路指定OvDCネットワークでDHCPリレーモードの使用が可能です。
複数のIPアドレスのドメインに対応するため、最大"8"台のDHCPサーバを構成できます。
本設定は経路指定型OvDCネットワークにて実施します。

  • [ネットワーク]->[Edge Gateway]、左ペインメニュー[IPアドレス管理]->[DHCP Forwarding]を押下します。

  • [ENABLE DHCP FORWARDING]をクリックします。

  • [Enable DHCP Forwarding]ダイアログにてDHCPサーバを入力します。
    IPv4にてDHCPサーバ アドレスを1つ以上入力し、[ENABLE]をクリックします。

ネットワークアドレス変換 (NAT) 設定

  • EdgeGatewayはネットワークアドレス変換(NAT)サービスを提供できます。
    この機能を使用すると、コスト上およびセキュリティ上の目的で、組織で使用するパブリックIPアドレスの数を減らすことができます。

    NATサービスの設定は、送信元NAT(SNAT)ルールと宛先NAT(DNAT)ルールに分けられます。
    ソースIPアドレスをパブリックからプライベートIPアドレスへ、またはその逆方向へ変更するにはソースNAT(SNAT)ルールを作成します。
    ターゲットIPアドレスをパブリックからプライベートIPアドレスへ、またはその逆方向へ変更するには、ターゲットNAT(DNAT)ルールを作成します。

    本機能で作成可能なNATルールは以下となります。


../../_images/create_edge-nat_000.png

NATルール 概要
DNAT
外部ネットワークまたは別のOvDCネットワークから発信されてOvDCネットワークが受信したパケットのIPアドレスとオプションでポートを変換します。
SNAT
OvDCネットワークから送信されたパケットのソースIPアドレスを外部ネットワークまたは別のOvDCネットワークに変換します
DNAT なし
外部ネットワークまたは別のOvDCネットワークから発信されて組織仮想データセンターが受信したパケットの外部IPアドレスを変換しません。
SNAT なし
組織仮想データセンターから送信されたパケットの内部ソースIPアドレスを外部ネットワークまたは別のOvDCネットワークに変換しません。

送信元NAT(SNAT)または宛先NAT(DNAT)ルールの追加

  • [仮想データセンター](以下、OvDC)内、左ペインメニューより[エッジ]を押下します。

  • [サービス]内、[NAT]へ遷移します。

  • [新規]をクリックします。

  • NATルールを構成します。
    作成ルール時の構成内容を以下に記載します。

ターゲットNATルール(外部から内部へ)構成

オプション 概要
名前
ルールに意味のある名前を入力します。
説明
ルールの説明を入力します。(オプション)
インターフェイス タイプ
ドロップダウンメニューから、[DNAT]または[NO DNAT]を選択します。
外部 IP
DNATルールを設定するEdge GatewayのパブリックIPアドレスを入力します。
入力したIPアドレスは、Edge Gatewayの細分割り当てされたIPアドレス範囲に属している必要があります。
外部ポート
DNATルールが仮想マシンで受信したパケットの変換先としているポートを入力します。(オプション)
内部 IP
作成するルールのタイプに応じて、いずれかのオプションを選択します。
1.DNATルールを作成している場合、DNATルールを設定する仮想マシンのIPアドレスまたはIPアドレス範囲を入力し、外部ネットワークからトラフィックを受信できるようにします。
2.NO DNATルールを作成している場合、テキストボックスは空白のままにします。
アプリケーション
ルールを適用する特定のアプリケーション ポート プロファイルを選択します。
アプリケーションポートプロファイルには、内部ネットワークに接続するためにEdge Gatewayで受信トラフィックが使用するポートとプロトコルが含まれています。
詳細設定
追加設定を行うには、[詳細設定] タブをクリックします。
詳細設定にて指定可能な設定項目は以下となります。

1.状態
 作成時にルールを有効にするには、[状態]オプションを有効にします。
2.ログ記録
 このルールによって実行されたアドレス変換をログに記録するには、 [ログ記録] オプションを有効にします。
3.優先度
 アドレスに複数のNATルールが設定されている場合、優先順位を割り当てて適用される順序を制御できます。
 値が小さいほど、このルールの優先順位は高くなります。
4.ファイアウォールによる一致
 ファイアウォール一致ルールを設定すると、NAT中にファイアウォールを適用する方法を決定できます。
 ドロップダウン メニューから、次のいずれかのオプションを選択します。
 ・[内部アドレスとの一致]…NATルールの内部アドレスにファイアウォールルールを適用します。
 ・[外部アドレスとの一致]…NATルールの外部アドレスにファイアウォールルールを適用します。
5.適用対象
 デフォルトでは、EdgeGatewayに接続されているすべてのネットワークにNATルールが適用されます。
 NATルールを特定のネットワークに適用する場合に使用します。
※分散ルーティングが無効になっているネットワークのみが選択可能です。
本オプションは利用不可となります

ソースNATルール(内部から外部へ)構成

オプション 概要
名前
ルールに意味のある名前を入力します。
説明
ルールの説明を入力します。(オプション)
インターフェイス タイプ
ドロップダウンメニューから、[SNAT]または[NO SNAT]を選択します。
外部 IP
作成するルールのタイプに応じて、いずれかのオプションを選択します。
1.SNATルールを作成している場合、SNATルールを設定するEdge GatewayのパブリックIPアドレスを入力します。
2.NO SNATルールを作成している場合、テキストボックスは空白のままにします。
内部 IP
SNATを設定する仮想マシンのIPアドレスまたはIPアドレス範囲を入力し、外部ネットワークにトラフィックを送信できるようにします。
ターゲットIPアドレス
ルールを特定のドメインへのトラフィックにのみ適用する場合、このドメインのIPアドレスまたはIPアドレス範囲をCIDR 形式で入力します。
このテキストボックスを空白のままにすると、SNATルールはローカル サブネット外のすべてのターゲットに適用されます。
詳細設定
追加設定を行うには、[詳細設定] タブをクリックします。
詳細設定にて指定可能な設定項目は以下となります。

1.状態
 作成時にルールを有効にするには、[状態]オプションを有効にします。
2.ログ記録
 このルールによって実行されたアドレス変換をログに記録するには、 [ログ記録] オプションを有効にします。
3.優先度
 アドレスに複数のNATルールが設定されている場合、優先順位を割り当てて適用される順序を制御できます。
 値が小さいほど、このルールの優先順位は高くなります。
4.ファイアウォールによる一致
 ファイアウォール一致ルールを設定すると、NAT中にファイアウォールを適用する方法を決定できます。
 ドロップダウン メニューから、次のいずれかのオプションを選択します。
 ・[内部アドレスとの一致]…NATルールの内部アドレスにファイアウォールルールを適用します。
 ・[外部アドレスとの一致]…NATルールの外部アドレスにファイアウォールルールを適用します。
5.適用対象
 デフォルトでは、EdgeGatewayに接続されているすべてのネットワークにNATルールが適用されます。
 NATルールを特定のネットワークに適用する場合に使用します。
※分散ルーティングが無効になっているネットワークのみが選択可能です。
本オプションは利用不可となります

  • [保存]をクリックして、テーブルにルールを追加します。
    ※ 設定するルールごとに、この手順を繰り返します。

送信元NAT(SNAT)または宛先NAT(DNAT)ルールの削除

  • [仮想データセンター](以下、OvDC)内、左ペインメニューより[エッジ]を押下します。

  • [サービス]内、[NAT]へ遷移します。

  • 削除対象ルール名のラジオボタンをクリックします。
    画面上部の[削除]をクリックします。
  • 警告ダイアログ内の削除対象ルール名を確認し[削除]をクリックします。
    画面内ルールリストから対象ルールが削除されたことを確認し削除完了となります。

ルートアドバタイズ設定

EdgeGatewayに対して、ルートアドバタイズ設定を指定できます。
本機能を利用し宛先のサブネットまたはホストにスタティックルートを追加できます。

ルートアドバタイズ機能の概念図を以下に記載します。
../../_images/create_edge_001-2.png

注釈

ルートアドバタイズ機能は[T1-Gateway]のルート情報を[T0-Gateway]へ伝播させる機能となります。
その為、IPVコンソールにて設定可能なIPレンジ(各種Gatewayの設定項目であるgateway cidr, additional ip ranges, global ip address)と包含関係のIPアドレスレンジを設定するとgateway側にてエラーとなります。
例)
・ルートアドバタイズ設定:192.168.0.128/25
・IPVコンソール各種Gateway設定項目:192.168.0.0/24

■ 説明
IPVコンソール各種Gateway側にて"192.168.0.0/24"を設定している場合、ルートアドバタイズ対象の"192.168.0.128/25"を含む関係となります。
その為、Gateway側では設定済み範囲のアドレスレンジがルートアドバタイズにより伝播されることとなりエラーとなります。

機能を利用される場合には注意して下さい。

IPアドレスレンジの重複によってIPVコンソール上でエラーが発生し、各種Gatewayの操作ができない状態となった場合にはチケットにて問い合わせをして下さい。

1. ルートアドバタイズの追加

  • [仮想データセンター](以下、OvDC)内、左ペインメニューより[エッジ]を押下します。
  • [ルーティング]項目内[ルート アドバタイズ]をクリックし、[編集]をクリックします。
  • アドバタイズするサブネットを追加するには、[追加]をクリックします。
オプション 概要
サブネット
ネットワークをCIDR表記で入力します。
  • [変更を保存]をクリックします。

2. ルートアドバタイズの削除

  • [仮想データセンター](以下、OvDC)内、左ペインメニューより[エッジ]を押下します。
  • [ルーティング]項目内[ルート アドバタイズ]をクリックし、[編集]をクリックします。
  • 削除するサブネットのラジオボタンをクリックし、上部メニュー[削除]をクリックします。
  • [変更を保存]をクリックします。

IPSecVPN設定

IPSec(Internet Protocol Security)VPN機能では本サービス基盤が提供しているEdge Gatewayと同じくNSX-T Data Centerを使用している対向拠点もしくは
IPSecをサポートするサードパーティのハードウェアルーターまたはVPNゲートウェイを備えているリモートサイトとの間のサイトツーサイト接続を提供します。

本機能が提供するIPSecVPNはポリシーベースIPSecVPNを採用しております。
ポリシーベースのIPsecVPNでは、VPNポリシーをパケットに適用して、VPNトンネルを通過する前にIPsecで保護するトラフィックを決定する必要があります。
このタイプのVPNは、ローカルネットワークトポロジや構成が変更されると、その変更に合わせてVPNポリシー設定も更新する必要があります。

1. IPSecVPN設定手順

  • [仮想データセンター](以下、OvDC)内、左ペインメニューより[エッジ]を押下します。

  • 編集対象のEdgeゲートウェイをクリックします。

  • [サービス]->[IPSec VPN]をクリックします。
    IPsecVPNトンネルを設定するには、[新規]をクリックします。
  • [IPsec VPN トンネルの追加]ダイアログが表示されます。
    設定項目に従い各種設定を実施します。

  • [1 General Settings]にて必要項目を設定します。

設定項目 概要
名前 IPSecVPNトンネルの名前を入力します。
説明
説明を入力します。(オプション)
セキュリティプロファイル
標準では事前定義されている"デフォルト"が適用されます。
ユーザ定義プロファイルを使用する場合には編集にて"ユーザ定義プロファイル"を作成します。
ステータス 作成時にトンネルを有効にするには、オプションをオンにします。(オプション)
ログ記録
ログ記録を有効にするには、[ログ記録] オプションをオンにします。(オプション)

  • [2 Peer Authentication Mode]を設定します。

設定項目 概要
Authentication Mode
認証モードを以下から指定します。
・Pre-Shared Key
・Certificate
"Certificate"利用時は、1 つ以上のサービス証明書、それに対応するCA署名付き証明書を保持している必要があります。
証明書は[管理]->[証明書の管理]にてインポートを行ってください。
なお、本機能では自己証明書は利用できません。
Pre-Shared Key(Pre-Shared Key選択時)
Pre-Shared Keyを入力します。
※Pre-Shared Keyは、IPSec VPNトンネルの相手側でも同じにする必要があります。
Server Certificate(Certificate選択時)
サービス証明書を指定します。
CA Certificate(Certificate選択時) CA署名付き証明書を指定します。

  • [3 Endpoint Configuration]にてローカル/リモートエンドポイントを設定します。

設定項目 概要
IP アドレス(ローカルエンドポイント)
Edge Gatewayで使用できるIPアドレスを設定します。
IPアドレスは、EdgeGatewayのプライマリIPアドレス、または利用可能なパブリックIPアドレスのいずれかにする必要があります。
ネットワーク(ローカルエンドポイント)
IPsec VPNトンネルに使用する1つ以上のローカルIPサブネットアドレスをCIDR表記で入力します。
IP アドレス(リモートエンドポイント)
リモートサイトのIPアドレスを入力します。
ネットワーク(リモートエンドポイント)
IPsec VPNトンネルに使用する1つ以上のリモートIPサブネットアドレスをCIDR表記で入力します。
Remote ID(リモートエンドポイント)
このリモートIDは、ピアサイトを一意に識別しトンネルの認証モードに依存します。
設定しない場合、リモートIDはリモートIPアドレスがデフォルトとなります。

  • [4 Ready to Complete]にて設定内容を確認し[完了]をクリックします。

注釈

完了するまで1分少々の時間を要します。


2. IPSecVPN編集手順

IPsecVPNトンネル作成時に割り当てられたシステム生成のセキュリティプロファイルをそのまま使用しない場合、セキュリティプロファイルのカスタマイズを行う事が可能です。

  • [仮想データセンター](以下、OvDC)内、左ペインメニューより[エッジ]を押下します。

  • 編集対象のEdgeゲートウェイをクリックします。

  • [サービス]->[IPSec VPN]をクリックします。
    IPsecVPNトンネルを選択し、[セキュリティプロファイルのカスタマイズ]をクリックします。
  • IKEプロファイルを構成します。

注釈

Internet Key Exchange (IKE)プロファイルは、IKEトンネルの確立時にネットワークサイト間の共有シークレットキーの認証、暗号化、および確立に使用されるアルゴリズムに関する情報を提供します。

  • IPsecプロトコルスイートでSecurityAssociation(SA)を設定するIKEプロトコルのバージョンを選択します。

オプション 概要
IKEv1 IPsecVPNはIKEv1プロトコルのみを開始し、応答します。
IKEv2
IPsecVPNはIKEv2プロトコルのみを開始し、応答します。(デフォルト)
IKE-Flex
IKEv2プロトコルでトンネルの確立が失敗した場合、ソースサイトはフォールバックせず、IKEv1プロトコルで接続を開始します。
また、リモートサイトがIKEv1プロトコルで接続を開始した場合には、接続を受け入れます。

  • Internet Key Exchange(IKE)ネゴシエーション中に使用する、サポートされている暗号化アルゴリズムを選択します。

  • [ダイジェスト]ドロップダウンメニューから、IKEネゴシエーション中に使用するセキュアハッシュアルゴリズムを選択します。

  • [Diffie-Hellman グループ]ドロップダウンメニューからピアサイトとEdge Gatewayが安全でない通信チャネルを介して共有シークレットキーを確立できるように暗号化スキームを選択します。

  • [関連付けの有効時間]テキストボックスで、IPsecトンネルの再確立が必要になるまでのデフォルトの秒数を変更します。(オプション)

  • IPsecVPNトンネルを構成します。
    1.Perfect Forward Secrecy を有効にするには、オプションをオンにします。
    2.最適化ポリシーを選択します。
     最適化ポリシーは、内部パケットにある最適化ビットを処理するのに役立ちます。
     利用できるオプションは下表参照。
    - Internet Key Exchange(IKE)ネゴシエーション中に使用する、サポートされている暗号化アルゴリズムを選択します。
    - [ダイジェスト]ドロップダウンメニューから、IKEネゴシエーション中に使用するセキュアハッシュアルゴリズムを選択します。
    - [Diffie-Hellman グループ]ドロップダウンメニューよりピアサイトとEdge Gatewayが安全でない通信チャネルを介して共有シークレットキーを確立できるように暗号化スキームを選択します。
    - [関連付けの有効時間]テキストボックスで、IPsecトンネルの再確立が必要になるまでのデフォルトの秒数を変更します。(オプション)
  • [プローブ間隔]テキストボックスで、Deadピア検出のデフォルトの秒数を変更します。(オプション)

  • [保存] をクリックします。

最適化ポリシー
オプション 概要
コピー 内部IPパケットから外部パケットに最適化ビットをコピーします。
クリア 内部パケットにある最適化ビットを無視します。

IPsecVPNビューで、IPsecVPNトンネルのセキュリティプロファイルが[ユーザー定義]として表示される様になります。