IPsec接続の特定の設定におけるパフォーマンスの問題や、それらの問題を軽減するための推奨されるベストプラクティスについて理解しておく必要があります。
パフォーマンスの問題が発生する可能性があるのは、複数のCloud Edgeゲートウェイがある環境でIPsec VPN接続を複数設定している場合です。Cloud Edgeでは、複数のIPsec接続を経由するトラフィックについて、各接続を通過するたびに検索を行います。しかし、検索の回数が増えても検出結果が向上するわけではなく、同じトラフィックを何度も検索することで結果的にパフォーマンスが低下することになります。
不要な検索が実行されないようにするには、受信トラフィックに最も近いCloud Edgeゲートウェイで1回だけトラフィックを検索し、送信元から送信先までのルートにある他のゲートウェイでは検索をバイパスするように設定します。
これには、IPsecトラフィックに最も近いゲートウェイを除くすべてのゲートウェイで検索をバイパスするゲートウェイポリシールールを使用します。

推奨される設定のルール

設定におけるゲートウェイの役割 ルールのガイドライン
フルメッシュIPsecゲートウェイ
トラフィックの [処理][検索除外] に設定したポリシールールを作成し、次のようにフィールドに追加します。
  • 送信先
    ゲートウェイ自体のプライベートネットワークを含むネットワークオブジェクトを追加します。
  • 送信元のユーザ/ユーザグループ/IPアドレス/FQDN/MACアドレス
    メッシュVPNの他のすべてのプライベートネットワークを含むネットワークオブジェクトを追加します。
スターIPsecゲートウェイのスポーク
トラフィックの [処理][検索除外] に設定したポリシールールを作成し、次のようにフィールドに追加します。
  • 送信先
    ゲートウェイ自体のプライベートネットワークを含むネットワークオブジェクトを追加します。
  • 送信元のユーザ/ユーザグループ/IPアドレス/FQDN/MACアドレス
    スターVPNの他のすべてのプライベートネットワークを含むネットワークオブジェクトを追加します。
スターIPsecゲートウェイのハブ
トラフィックの [処理][検索除外] に設定したポリシールールを作成し、次のようにフィールドに追加します。
  • 送信先
    すべてのプライベートネットワーク (それ自体のプライベートネットワークも含む) を含むネットワークオブジェクトを追加します。
  • 送信元のユーザ/ユーザグループ/IPアドレス/FQDN/MACアドレス
    スターVPNのすべてのスポークのプライベートネットワーク (それ自体のプライベートネットワークは除く) を含むネットワークオブジェクトを追加します。

例: 1つのハブと2つのスポークで構成されるスターのサイト間IPsec VPN

ゲートウェイ
役割
プライベートネットワーク
バイパスルール
スポークIPsecゲートウェイ (GS1)
スターのスポーク
NS1
  • 処理: 検索除外
  • 送信元: NH1、NS2 (他のすべてのプライベートネットワーク)
  • 送信先: NS1 (それ自体のプライベートネットワーク)
ハブIPsecゲートウェイ (GH1)
スターのハブ
NH1
  • 処理: 検索除外
  • 送信元: NS1、NS2 (他のすべてのプライベートネットワーク)
  • 送信先: NS1、NS2、NH1 (すべてのプライベートネットワーク)
スポークIPsecゲートウェイ (GS2)
スターのスポーク
NS2
  • 処理: 検索除外
  • 送信元: NH1、NS1 (他のすべてのプライベートネットワーク)
  • 送信先: NS2 (それ自体のプライベートネットワーク)