Anypoint VPN

Anypoint VPN を使用すると、MuleSoft Virtual Private Cloud (VPC) と独自のオンプレミスネットワークを安全に接続できます。必要であれば、サイト間で複数の VPN を作成できます。

作成できる VPN の数は、アカウントで利用できる VPN エンタイトルメントの数によって異なります。自分のアカウントに割り当てられている VPN エンタイトルメントの数が不明な場合は、MuleSoft アカウント担当者までお問い合わせください。

Anypoint VPN では、サイト間でのインターネットプロトコルセキュリティ (IPsec) 接続がサポートされています。VPN エンドポイントと呼ばれる物理的なアプライアンスまたはソフトウェアアプライアンスが、ユーザ側の接続終端装置となります。接続の MuleSoft 側は、仮想プライベートゲートウェイ (VGW) の実装となります。

MuleSoft 実装の機能は、他の VGW 製品とは異なる場合があります。

Anypoint VPN の機能

IPsec 設定

Anypoint VPN では、以下の IPsec 設定の任意の組み合わせがサポートされています。

  • IKE バージョン 1

  • IKE バージョン 2 はルートベース VPN のみ

  • AES 128 または 256 ビット暗号化

  • SHA または SHA-2 (256) ハッシュ

  • Diffie-Hellman フェーズ 1 グループ 2、14-18、22、23、24

  • Diffie-Hellman フェーズ 2 グループ 2、5、14-18、22、23、24

  • IKE (フェーズ 1) 有効期間: 8 時間

  • IPsec (フェーズ 2) 有効期間: 1 時間

Anypoint VPN エンドポイントはレスポンダとしてしか機能しないため、ユーザ側のエンドポイントから、接続を確立して維持するためのトラフィックを開始する必要があります。

Anypoint VPN ルーティング

Anypoint VPN では、VPN 接続で動的ルーティングと静的ルーティングがサポートされています。

  • 動的ルーティング - ユーザのデバイスがボーダーゲートウェイプロトコル (BGP) を使用して Anypoint VPN へのルートを動的にアドバタイズします。デバイスがこのプロトコルをサポートする場合は、BGP ルーティングを使用してください。

  • 静的ルーティング - Anypoint VPN を介したアクセスを可能にするネットワークのルート (サブネット) を指定する必要があります。

    VPN 接続の数には関係なく、VPC ごとに最大 95 本の静的ルートが許可されます。制限を超えないように、可能な限り少ない数にネットワークを統合してください。

制限事項

Anypoint VPN では、以下の機能と設定はサポートされていません。

  • ネットワークアドレス変換 (NAT)

  • IPv6

  • ポリシーベース VPN を使用した IKEv2

  • 直接接続と Anypoint VPN 接続の両方を使用した単一の VPC

  • BGP または静的ルーティングでのデフォルトルート (0.0.0.0/0) のアドバタイズ

静的 VPN 接続の要件

静的 VPN 接続を作成するには、ユーザの VPN エンドポイントで以下が可能である必要があります。

  • 事前共有キー (PSK) を使用して IKE セキュリティアソシエーションを確立する

  • トンネルモードで IPsec セキュリティアソシエーションを確立する

  • MuleSoft がサポートする IPsec 設定の任意の組み合わせを使用する

  • 暗号化前に IP パケットを分割する

  • トンネルごとに 1 つのセキュリティアソシエーションペアを使用する

暗号化前の分割

送信するのに大きすぎるパケットは分割する必要があります。VPN デバイスは、パケットをカプセル化する前に分割できる必要があります。

セキュリティアソシエーション (SA)

各 VPN 接続は 2 つの個別のトンネルを持ちます。Anypoint VPN では、トンネルごとに一意の 1 組の SA ペアがサポートされます (ペアとは、インバウンドとアウトバウンドのペアを意味します)。一部のポリシーベースのデバイスは、各 ACL エントリに対して SA を作成します。この場合は、ルールを統合してから、不要なトラフィックを除去する必要があります。

動的 VPN 接続の要件

動的 VPN 接続を作成するには、静的 VPN 接続の要件に加えて、VPN エンドポイントで以下が可能である必要があります。

  • BGP ピアリングを確立する

  • ルートベースの VPN をサポートする (トンネルを論理インターフェイスにバインドする)

  • IPsec デッドピア検出の使用

IPsec デッドピア検出

デッドピア検出 (DPD) により、デバイスはネットワーク条件の変化をすばやく特定できます。DPD は、MuleSoft エンドポイントで有効化されます。

エンドポイントを次のように設定します。

  • DPD Interval (DPD 間隔): 10

  • DPD Retries (DPD 再試行回数): 3

推奨事項

  • VPN トンネルに入る TCP パケットの最大セグメントサイズを調整する
    VPN ヘッダーには追加スペースが必要であり、データで利用できるスペース量が少なくなります。
    この影響を抑えるには、エンドポイントを TCP MSS 調整: 1387 バイトで設定します。

  • パケットで DF フラグをリセットする
    パケットに Don’t Fragment (DF) フラグが付いていると、パケットの分割が禁止されます。一部の VPN デバイスでは、DF フラグを変更して、必要であればパケットを無条件に分割できます。利用できる場合は、Clear Don’t Fragment (DF) Bit 設定を有効にしてください。

テスト済みのネットワークデバイス

Anypoint VPN で動作することがわかっているネットワークデバイスを以下に示します。テスト済みデバイスのリストに自分のデバイスが記載されていない場合は、「要件」を参照して、自分のデバイスが Anypoint VPN での使用要件を満たしているかどうかを確認してください。

ハードウェア ソフトウェア

Check Point Security Gateway

R77.10 以降

Cisco ASA

ASA 8.2 以降

Cisco IOS

Cisco IOS 12.4 以降

Dell SonicWALL

SonicOS 5.9 以降

Fortinet Fortigate 40+ Series

FortiOS 4.0 以降

Juniper J-Series Service Router

JunOS 9.5 以降

Juniper SRX-Series Services Gateway

JunOS 11.0 以降

Juniper SSG

ScreenOS 6.1 または 6.2 以降

Juniper ISG

ScreenOS 6.1 または 6.2 以降

Netgate pfSense

OS 2.2.5 以降

Palo Alto Networks

PANOS 4.1.2 以降

Yamaha

  • RT107e

  • RTX1200

  • RTX1210

  • RTX1500

  • RTX3000

  • SRT100

Microsoft Windows Server

  • 2008 R2 以降

  • 2012 R2 以降

Zyxel Zywall Series

  • 静的にルーティングされる Anypoint VPN 接続の場合は 4.20 以降

  • 動的にルーティングされる Anypoint VPN 接続の場合は 4.30 以降

Was this article helpful?

💙 Thanks for your feedback!

Edit on GitHub