サイト間 VPN トンネルの前提条件と制限事項
サポートされる VPN トンネル接続エンドポイント
次のいずれかの設定で VPNトンネル接続を作成できます。
-
Multicloud Defense Gateway から Multicloud Defense Gateway へ。
-
Multicloud Defense Gateway からクラウド サービス プロバイダー(AWS、Azure、GCP)へ。
-
Multicloud Defense Gateway から CDO でホストされている Cisco ASA デバイスへ。
Multicloud Defense Gateway の前提条件と制限事項
関与するデバイスまたはプラットフォームのタイプを問わず、VPN トンネルを作成する前に、次の前提条件を満たしている必要があります。
-
Multicloud Defense Gateway バージョン 24.04 またはバージョン 24.04-01 を実行している必要があります。これには Terraform のバージョンが含まれます。
-
ゲートウェイで VPN を有効にする必要があります。
-
少なくとも 1 つのクラウド サービス プロバイダーまたはサードパーティデバイスがすでに Multicloud Defense に接続されていること。
-
クラウド サービス プロバイダーまたはサードパーティデバイスが、VPN トンネル接続を許可および作成するように設定されている必要があります。詳細については、サービスまたはプラットフォームのドキュメントを参照してください。
-
少なくとも 1 つの IPSec プロファイルが必要です。このプロファイルを VPN トンネル接続にアタッチする必要があります。
-
VPC と VNET が、両側でネットワークアドレス変換ゲートウェイなしで展開されている必要があります。
-
(任意)少なくとも 1 つの BGP プロファイルを作成することを推奨します。このプロファイルを、VPN トンネル接続に関連付けられたゲートウェイインスタンスにアタッチする必要があります。
![]() (注) |
VPN トンネル用にゲートウェイを使用する場合は、Multicloud Defense Gateway を設定した後で BGP プロファイルを作成することを強くお勧めします。このプロファイルにより、ネットワーク内のトラフィックフローをさらに制御できるため、VPN トンネルは BGP プロファイルとペアリングするとより効果的です。詳細については、BGP プロファイルを参照してください。 |
VPN トンネル接続の作成時には、次の制限事項に注意してください。
-
選択する Multicloud Defense Gateway は、出力/East-West ゲートウェイである必要があります。
-
AWS および Azure ゲートウェイは、8 コアのインスタンスタイプである必要があります。現時点では、2 コアと 4 コアはサポートされていません。
-
サイト間 VPN 接続は、最大 10 個の VPN ピアのみをサポートします。
-
AWS または Azure 環境の VPC および VNET は、単一の可用性ゾーンで作成する必要があります。現時点では、複数の可用性ゾーンはサポートされていません。
-
サイト間 VPN トンネルは、現時点では転送プロキシ ファイアウォール ルールをサポートしていません 。
-
帯域幅は 800 Mbps 以上である必要があります。
![]() (注) |
ゲートウェイを無効または有効にする場合は、ゲートウェイに関連付けられているサイト間接続を削除し、VPN 接続を再作成する必要があります。 |
Multicloud Defense と Cisco ASA デバイス間の VPN トンネルの制限事項
Multicloud Defense Gateway と Cisco ASA デバイスの間に VPN トンネル接続を作成する場合は、次の制限に注意してください。
-
VPN トンネルのエンドポイントを選択する場合は、少なくとも 1 つのエンドポイントが Cisco ASA デバイスであり、1 つのエンドポイントが Multicloud Defense Gateway であることを確認します(ステップ 4 ~ 6)。
-
サードパーティまたはオンプレミスデバイスのサイト間 VPNトンネルを作成する場合、VPN 接続のテーブルには、Multicloud Defense の接続エンドポイントの IPSec プロファイルのステータスのみが表示されます。
-
自動スケーリングは現在サポートされていません。
CDO でホストされている Cisco ASA デバイスへの VPN トンネルの詳細については、「ASA Site-to-Site VPN Configuration」を参照してください。
![]() (注) |
サードパーティデバイスまたは オンプレミス Management Center を使用している場合、この時点では、Multicloud Defense 側の IPSec ステータスのみが表示されます。 |
Multicloud Defense と FTD デバイス間の VPN トンネルの制限事項
Multicloud Defense Gateway と FTD デバイスの間に VPN トンネル接続を作成する場合は、次の制限に注意してください。
-
IPsec IKEv1 および IKEv2 プロトコルの両方をサポート。
-
自動または手動の事前共有認証キー。
-
IPv4 および IPv6 内部、外部のすべての組み合わせをサポート。
-
IPsec IKEv2 サイト間 VPN トポロジにより、セキュリティ認定に準拠するための設定を提供。
-
スタティック インターフェイスおよびダイナミック インターフェイス。
-
エクストラネットデバイスのダイナミック IP アドレスをエンドポイントとしてサポート。
CDO でホストされている Cisco FTD デバイスへの VPN トンネルの詳細については、「Configure Site-to-Site VPN for an FDM-Managed Device」を参照してください。