Oracle Cloud Infrastructureドキュメント

Check Point: ルートベース

このトピックでは、Check Point CloudGuardのルートベースの構成について説明します。この手順は、Check Point CloudGuardバージョンR80.20で検証されました。

重要

Oracleには、一連のテスト済ベンダーおよびデバイスの構成手順が用意されています。ベンダーおよびソフトウェアのバージョンに適した構成を使用してください。

構成の検証にOracleで使用されたデバイスまたはソフトウェアのバージョンが、使用しているデバイスまたはソフトウェアと完全に一致しない場合でも、使用しているデバイスで必要な構成を作成できる可能性があります。ベンダーのドキュメントを参照し、必要な調整を行ってください。

デバイスが、検証済のベンダーおよびデバイスのリストに含まれないベンダーのものである場合、またはIPSecのデバイスの構成をよく理解している場合は、サポートされているIPSecパラメータのリストを確認し、ベンダーのドキュメントを参照してください。

このトピックは、ルートベース(VTIベース)の構成が対象です。かわりにポリシーベースの構成を使用する場合は、Check Point: ポリシーベースを参照してください。この記事では、ポリシーベースのルーティングについて説明していますが、両方の方法を理解しておくことをお薦めします。

Check Pointの経験が必要です。このトピックには、Check Point CloudGuard Security GatewayをCheck Point CloudGuard Security Managerに追加する方法は含まれていません。Check Point製品の使用の詳細は、Check Pointのドキュメントを参照してください。

重要

Oracleには、一連のテスト済ベンダーおよびデバイスの構成手順が用意されています。ベンダーおよびソフトウェアのバージョンに適した構成を使用してください。

構成の検証にOracleで使用されたデバイスまたはソフトウェアのバージョンが、使用しているデバイスまたはソフトウェアと完全に一致しない場合でも、使用しているデバイスで必要な構成を作成できる可能性があります。ベンダーのドキュメントを参照し、必要な調整を行ってください。

デバイスが、検証済のベンダーおよびデバイスのリストに含まれないベンダーのものである場合、またはIPSecのデバイスの構成をよく理解している場合は、サポートされているIPSecパラメータのリストを確認し、ベンダーのドキュメントを参照してください。

Oracle Cloud Infrastructureは、オンプレミス・ネットワークと仮想クラウド・ネットワーク(VCN)間のセキュアなIPSec接続である サイト間VPNを提供します。

次の図は、冗長トンネルを使用した、Oracle Cloud Infrastructureへの基本的なIPSec接続を示しています。この図で使用されているIPアドレスは、単なる例です。

この図は、オンプレミス・ネットワーク、VPN接続IPSecトンネルおよびVCNの一般的なレイアウトを示しています。

ベスト・プラクティス

この項では、サイト間VPNの使用に関する一般的なベスト・プラクティスと考慮事項について説明します。

すべてのIPSec接続に対してすべてのトンネルを構成します

Oracleは、接続ごとに2つのIPSecヘッドエンドをデプロイし、ミッションクリティカルなワークロードに高可用性を提供します。Oracle側では、これらの2つのヘッドエンドが別々のルーターに配置されて冗長性が確保されます。最大の冗長性のために使用可能なすべてのトンネルを構成することをお薦めします。これは「障害を前提とした設計」原理の重要な要素です。

オンプレミス・ネットワークの場所に冗長CPEを配置します

IPSecでOracle Cloud Infrastructureに接続する各サイトでは、冗長エッジ・デバイス(顧客構内機器(CPE)とも呼ばれる)を使用する必要があります。Oracle Consoleに各CPEを追加し、動的ルーティング・ゲートウェイ(DRG)と各CPE間に個別のIPSec接続を作成します。各IPSec接続に対して、Oracleは、地理的に冗長なIPSecヘッドエンド上に2つのトンネルをプロビジョニングします。詳細は、接続性冗長性ガイド(PDF)を参照してください。

ルーティング・プロトコルの考慮事項

サイト間VPN IPSec接続を作成する場合、2つの冗長IPSecトンネルがあります。両方のトンネルを使用するようにCPEを構成することをお薦めします(CPEでサポートされている場合)。以前は、Oracleによって、最大4つのIPSecトンネルを持つIPSec接続が作成されていました。

次の3つのルーティング・タイプを使用でき、サイト間VPNの各トンネルに対して個別にルーティング・タイプを選択します:

  • BGP動的ルーティング: 使用可能なルートは、BGPによって動的に学習されます。DRGは、オンプレミス・ネットワークからルートを動的に学習します。Oracle側では、DRGはVCNのサブネットを通知します。
  • 静的ルーティング: DRGへのIPSec接続を設定する場合は、VCNに通知する必要のあるオンプレミス・ネットワークへの特定のルートを指定します。VCNのサブネットへの静的ルートを使用して、CPEデバイスを構成する必要もあります。これらのルートは、動的には学習されません。
  • ポリシーベースのルーティング: DRGへのIPSec接続を設定する場合は、VCNに通知する必要のあるオンプレミス・ネットワークへの特定のルートを指定します。VCNのサブネットへの静的ルートを使用して、CPEデバイスを構成する必要もあります。これらのルートは、動的には学習されません。

BGP最適パス選択アルゴリズムの操作方法に関するOracle推奨など、サイト間VPNによるルーティングの詳細は、サイト間VPNのルーティングを参照してください。

その他の重要なCPE構成

CPEのアクセス・リストが、Oracle Cloud Infrastructureとの間で必要なトラフィックをブロックしないように正しく構成されていることを確認します。

複数のトンネルを同時に稼働させると、非対称ルーティングが発生する可能性があります。非対称ルーティングを許可するには、VCNからのトラフィックをどのトンネルでも処理できるようにCPEが構成されていることを確認します。たとえば、ICMP検査を無効にしたり、TCP状態バイパスを構成したりする必要があります。適切な構成の詳細は、CPEベンダーのサポートに問い合せてください。ルーティングを対称的に構成するには、サイト間VPNのルーティングを参照してください。

注意事項および制限事項

この項では、注意する必要のあるサイト間VPNの重要な一般的特性と制限について説明します。

適用可能な制限の一覧と制限の引上げをリクエストする手順は、「サービス制限」を参照してください。

非対称ルーティング

Oracleでは、IPSec接続を構成する複数のトンネル間で非対称ルーティングが使用されます。適切にファイアウォールを構成してください。そうしないと、接続を介したpingテストやアプリケーション・トラフィックが確実に機能しません。

複数のトンネルをOracle Cloud Infrastructureに使用する場合は、優先トンネルを通じてトラフィックを決定論的にルーティングするようにルーティングを構成することをお薦めします。1つのIPSecトンネルをプライマリとして使用し、別のトンネルをバックアップとして使用する場合は、プライマリ・トンネル(BGP)用として特定性の高いルートを構成し、バックアップ・トンネル(BGP/静的)用として特定性の低いルート(サマリーまたはデフォルト・ルート)を構成します。そうしないと、すべてのトンネルを通じて同じルート(デフォルト・ルートなど)を通知した場合、VCNからオンプレミス・ネットワークへの戻りトラフィックは、使用可能なトンネルのいずれかにルーティングされます。これは、Oracleが非対称ルーティングを使用するためです。

Oracleルーティングの対称ルーティングの強制方法に関する具体的な推奨事項は、サイト間VPNのルーティングを参照してください。

ルートベースまたはポリシーベースのIPSec接続

IPSecプロトコルは、セキュリティ・アソシエーション(SA)を使用してパケットの暗号化方法を判断します。各SA内で、パケットのソースIPアドレスと宛先IPアドレスおよびプロトコル・タイプをSAデータベースのエントリにマップする暗号化ドメインを定義して、パケットを暗号化または復号化する方法を定義します。

ノート

他のベンダーまたは業界のドキュメントでは、SAまたは暗号化ドメインを参照するときに、プロキシID、セキュリティ・パラメータ・インデックス(SPI)またはトラフィック・セレクタという用語が使用される場合があります。

IPSecトンネルを実装するには、一般的に2つの方法があります:

  • ルートベース・トンネル: ネクスト・ホップベース・トンネルとも呼ばれます。ルート表検索は、パケットの宛先IPアドレス上で実行されます。そのルートのエグレス・インタフェースがIPSecトンネルである場合、パケットは暗号化され、トンネルの他方の側に送信されます。
  • ポリシーベース・トンネル: パケットのソースと宛先のIPアドレスおよびプロトコルがポリシー・ステートメントのリストと照合されます。一致が検出されると、そのポリシー・ステートメント内のルールに基づいてパケットが暗号化されます。

Oracleサイト間VPNヘッドエンドではルートベース・トンネルが使用されますが、次の各項に示す注意事項を考慮しながら、ポリシーベース・トンネルとともに使用できます。

ルートベース・トンネル用の暗号化ドメイン

CPEでルートベース・トンネルがサポートされている場合は、この方法を使用してトンネルを構成します。これは最も単純な構成で、Oracle VPNヘッドエンドとの相互運用性が最も高くなっています。

ルートベースのIPSecでは、次の値を持つ暗号化ドメインが使用されます:

  • ソースIPアドレス: 任意(0.0.0.0/0)
  • 宛先IPアドレス: 任意(0.0.0.0/0)
  • プロトコル: IPv4

より特定的にする必要がある場合は、デフォルト・ルートではなく、暗号化ドメイン値に単一のサマリー・ルートを使用できます。

ポリシーベース・トンネル用の暗号化ドメイン

ポリシーベースのトンネルを使用する場合、定義するすべてのポリシー・エントリ(IPSec接続の片側にあるCIDRブロック)によって、トンネルのもう一方の端にあるすべての適格なエントリでIPSecセキュリティ・アソシエーション(SA)が生成されます。このペアは暗号化ドメインと呼ばれます。

この図では、IPSecトンネルのOracle DRG側に、3つのIPv4 CIDRブロックと1つのIPv6 CIDRブロックのポリシー・エントリがあります。トンネルのオンプレミスCPE側には、2つのIPv4 CIDRブロックと2つのIPv6 CIDRブロックのポリシー・エントリがあります。各エントリによって、トンネルのもう一方の端にあるすべての使用可能なエントリで暗号化ドメインが生成されます。SAペアの両側では、同じバージョンのIPを使用する必要があります。その結果、合計8つの暗号化ドメインが生成されます。

複数の暗号化ドメインおよびその番号を決定する方法を示す図。
重要

CPEでポリシーベース・トンネルのみがサポートされている場合、次の制限に注意してください。

  • サイト間VPNは、複数の暗号化ドメインをサポートしていますが、暗号化ドメインの上限は50です。
  • 前の例に似た状況で、CPE側で使用可能な6つのIPv4暗号化ドメインのうち3つのみを構成した場合、使用可能なすべての暗号化ドメインは常にDRG側に作成されるため、リンクは「一部稼働中」状態でリストされます。
  • トンネルが作成された時期によっては、ポリシーベースのルーティングを使用するために既存のトンネルを編集できず、トンネルを新しいIPSecトンネルに置き換える必要がある場合があります。
  • トンネルのOracle DRG側で使用されるCIDRブロックは、トンネルのオンプレミスCPE側で使用されるCIDRブロックと重複できません。
  • 暗号化ドメインは常に、同じIPバージョンの2つのCIDRブロック間に存在する必要があります。

CPEがNATデバイスの背後にある場合

一般的に、接続の終端で構成されたCPE IKE識別子は、Oracleが使用しているCPE IKE識別子と一致する必要があります。デフォルトでは、OracleではCPEのパブリックIPアドレスが使用されます。これは、Oracle ConsoleでCPEオブジェクトを作成したときに指定したものです。ただし、CPEがNATデバイスの背後にある場合、次の図に示すように、終端で構成されたCPE IKE識別子がCPEのプライベートIPアドレスになる可能性があります。

この図は、NATデバイスの背後にあるCPE、パブリックIPアドレスとプライベートIPアドレス、およびCPE IKE識別子を示しています。
ノート

一部のCPEプラットフォームでは、ローカルIKE識別子を変更できません。実行できない場合は、Oracle ConsoleでリモートIKE IDを変更し、CPEのローカルIKE IDと一致させる必要があります。IPSec接続を設定するときに、または設定後に、IPSec接続を編集して値を指定できます。Oracleでは、値がIPアドレスまたはcpe.example.comなどの完全修飾ドメイン名(FQDN)であることが必要です。手順については、Oracleで使用されるCPE IKE識別子の変更を参照してください。

サポートされているIPSecパラメータ

すべてのリージョンでサポートされているIPSecパラメータのベンダー非依存のリストについては、サポートされているIPSecパラメータを参照してください。

商用クラウド・レルムのOracle BGP ASNは31898です。US Government Cloud用のサイト間VPNを構成する場合は、Government Cloudに必要なサイト間VPNパラメータおよびOracleのBGP ASNを参照してください。United Kingdom Government Cloudについては、リージョンを参照してください。

CPE構成(ルートベース)

重要

この項の構成手順は、使用しているCPE用のOracle Cloud Infrastructureで提供されています。サポートが必要な場合は、CPEベンダーのサポートに直接問い合せてください。

次の図は、IPSec接続の基本的なレイアウトを示しています。

この図は、IPSec接続とトンネルの一般的なレイアウトを示しています。

IKEv2の使用について

Oracleは、Internet Key Exchangeバージョン1 (IKEv1)およびバージョン2 (IKEv2)をサポートしています。コンソールでIKEv2を使用するようにIPSec接続を構成する場合、CPEでサポートされているIKEv2および関連するIKEv2暗号化パラメータのみを使用するようにCPEを構成する必要があります。OracleでIKEv1またはIKEv2用にサポートされているパラメータのリストについては、サポートされているIPSecパラメータを参照してください。

IKEv2を使用する場合、次の項に示すタスクの1つにバリエーションがあります。具体的には、タスク4で暗号化を構成するときに、暗号化方式として「IKEv2のみ」を選択します。

BGP over IPSecによる冗長性

冗長性のために、BGP over IPSecを使用することをお薦めします。デフォルトで、同じタイプの2つの接続(両方ともBGPを使用する2つのIPSec VPNなど)があり、両方の接続で同じルートを通知する場合、Oracleでは、リクエストへの応答時または接続の開始時に最も古い確立されたルートが優先されます。ルーティングで対称性を強制的に使用する場合は、応答および接続の開始時にOracleが使用するパスに影響を与えるため、ルートにBGPおよびASパス・プリペンドを使用することをお薦めします。詳細は、オンプレミス・ネットワークへの接続のルーティング詳細を参照してください。

Oracle DRGでは、インタフェース・トンネル上でIPアドレスを構成するためのサブネットとして、/30または/31を使用します。IPアドレスは、サイト間VPNの暗号化ドメインの一部である必要があり、インタフェース・トンネルからピアVPNに到達できるようにファイアウォール・ポリシーで許可されている必要があります。場合によっては、ピアIPアドレスのトンネル・インタフェースを介した静的ルートを実装する必要があります。

Oracleの商用クラウド用のBGP ASNは31898です。ただし、セルビア中央部(ジョバノヴァック)リージョンは14544です。Government Cloud用のサイト間VPNを構成する場合は、Government Cloudに必要なサイト間VPNパラメータおよびOracleのBGP ASNを参照してください。

ユーザー側では、プライベートASNを使用できます。プライベートASNは、64512–65534の範囲です。

タスク1: Check Point CloudGuard Security Gatewayへのサイト間VPNのインストール
前提条件: 開始する前に、Check Point CloudGuard Security GatewayをCheck Point CloudGuard Security Managerに追加します。また、Check Point Smart Consoleを使用してIPSecトンネルを構成できるように、セキュアな内部通信(SIC)を確立します。CloudGuardにSecurity Gatewayを追加する手順またはSICを確立する手順は、Check Pointのドキュメントを参照してください。
この図は、前提条件を示しています。

  1. IPSec VPNモジュールをインストールします。トラフィック分析用のモニタリング・モジュールもインストールすることをお薦めします。

    この図は、IPSec VPNモジュールを有効化する場所を示しています。

  2. 「OK」をクリックして変更を保存します。
タスク2: GAIAからのVTIインタフェースの作成

このタスクでは、VTIインタフェースから新しく作成されたIPSecトンネルへのルーティング・ルールを使用して、トラフィックを渡すVTIインタフェースを構成します。

  1. Check Point CloudGuard Security GatewayのパブリックまたはプライベートIPアドレスを使用してGAIAポータルにログインします。
  2. GAIAポータルで、「詳細」ビューを選択します。
  3. 「ネットワーク管理」で、「ネットワーク・インタフェース」に移動します。

  4. 「追加」をクリックしてから、「VPNトンネル」をクリックします。

    この図は、GAIAポータルでVPNトンネルを追加する場所を示しています。

  5. 次の項目を指定します:

    • VPNトンネルID: vpnt*と呼ばれるVTIインタフェースに追加される番号。ここで、アスタリスクは、指定されたVPNトンネルID番号です。VPNトンネルID = 1の場合、インタフェースにはvpnt1というラベルが付けられます。

    • ピア: IPSecトンネル用に以前作成した相互運用可能デバイスの名前。この場合、名前はOCI-VPN_BGP1です。

      重要

      ここで指定する名前が相互運用可能デバイスの名前と一致しない場合、トラフィックはIPSecトンネルを通じて流れません。
    • 番号付き: 「番号付き」を選択して、番号付きインタフェースを作成します。
    • ローカル・アドレス: Oracle Consoleで「トンネル内部インタフェース - CPE」として指定されたローカルIPアドレス。
    • リモート・アドレス: Oracle Consoleで「トンネル内部インタフェース - Oracle」として指定されたリモートIPアドレス。
    この図は、GAIAポータルで構成するVPNトンネルのパラメータを示しています。

  6. 「OK」をクリックします。

  7. 「ネットワーク管理」で、「IPv4の静的ルート」に移動します。

  8. 次の項目を指定します:

    • Oracle IPアドレスの静的ルート: Oracle Consoleで「内部トンネル・インタフェース - Oracle」として指定されたリモートIPアドレスのIPアドレスを/32マスク付きで追加します。
    • VCNサブネットへの静的ルート: このIPSec接続でOracleへの静的ルーティングを使用している場合は、Oracle VCNにIPSecトンネルを通じて到達できるように少なくとも1つのサブネットを追加します。次のスクリーンショットは、172.31.2.0/26への静的ルートを示しています。OracleへのこのIPSec接続でBGPを使用している場合は、これらのルートがBGPを通じて学習されるため、この項目をスキップします(次の項を参照)。
    この図は、GAIAポータルで構成する静的ルートを示しています。

    これで、静的ルートから学習された特定の宛先を持つすべてのトラフィックが、新しく作成されたIPSecトンネルを通過します。

  9. インタフェースを取得し、VPNトンネルがリストにあることを確認します:

    1. スマート・コンソールで、「ゲートウェイおよびサーバー」に移動します。
    2. Check Point Security Gatewaysを選択し、ダブルクリックします。

    3. 「一般プロパティ」「ネットワーク管理」ページで、「インタフェースの取得」を選択します。

      VPNトンネルのインタフェースがリストに表示されます。

  10. ルートベースのVPNを強制的に優先するには、空のグループを作成してVPNドメインに割り当てます:
    1. 「VPNドメイン」ページで、「手動で定義」を選択し、「空のグループの作成」を選択します。
    2. 「新規」をクリックして「グループ」を選択し、「単純グループ」を選択します。

    3. 「オブジェクト名」を入力し、「OK」をクリックします。この空のグループにはオブジェクトを割り当てないでください。

      この図は、VPNドメインの空のグループを示しています。
タスク3: 相互運用可能デバイスの作成

後に、VPNコミュニティを作成します。その前に、Check Point CloudGuard Security GatewayでOracle DRGを定義するために使用する相互運用可能デバイスを作成しておく必要があります。

  1. 新しい相互運用可能デバイスを作成します。

    この図は、新しい相互運用可能デバイスを作成する場所を示しています。

  2. 新しい相互運用可能デバイスの「一般プロパティ」ページで、IPSecトンネルを識別するための名前を追加します。IPSec接続を作成するときに、トンネルのOracle終端にOracleが割り当てたIPアドレスを入力します。

    この図は、相互運用可能デバイスの構成場所を示しています。

  3. ルートベースのVPNを強制的に優先するには、空のグループを作成してVPNドメインに割り当てる必要があります。これを実行するには、「トポロジ」ページの「VPNドメイン」セクションで、「手動で定義」を選択し、空のグループを選択します。

  4. 「IPSec VPN」ページでは、オプションで新しい相互運用可能デバイスを既存のVPNコミュニティに追加できます。VPNコミュニティをまだ作成していない場合は、このステップをスキップできます。

    後続のステップでVPNコミュニティのフェーズ1およびフェーズ2のすべてのパラメータを定義するため、「従来のモードの構成」はスキップすることに注意してください。VPNコミュニティは、VPNコミュニティに属するすべての相互運用可能デバイスにこれらのパラメータを適用します。

    この図は、相互運用可能デバイスをVPNコミュニティに追加する場所を示しています。

  5. 「リンク選択」ページの「常にこのIPアドレスを使用」で、相互運用可能デバイスの作成時に指定したアドレスである「メイン・アドレス」を選択します。必要に応じて、IKE IDとして使用される特定のIPアドレスを使用できます。

    この図は、相互運用可能デバイスに使用するアドレスを指定する場所を示しています。

  6. 「VPN拡張」ページで、「コミュニティ設定の使用」を選択します。これにより、フェーズ1パラメータやフェーズ2パラメータなど、VPNコミュニティのすべてのオプションと値が適用されます。

    この図は、拡張VPN設定を指定する場所を示しています。
  7. 「OK」をクリックして変更を保存します。
タスク4: VPNコミュニティの作成
  1. 「セキュリティ・ポリシー」に移動し、「アクセス・ツール」から「VPNコミュニティ」を選択します。

  2. スター・コミュニティを作成します。

    この図は、VPNコミュニティを作成する場所を示しています。

  3. スター・コミュニティに対して、名前を追加します。

  4. 「Gateways」ページで、「Center Gateways」および「Satellite Gateways」の値を選択します。このスター・コミュニティは、「中央ゲートウェイ」および「Satellite Gateway」で指定する相互運用可能デバイスの設定テンプレートとして機能します。

    • 中央ゲートウェイ: Check Point CloudGuard Security Gateway用です。
    • サテライト・ゲートウェイ: IPSecトンネルごとにOracle DRGに接続するCPE用です。
    この図は、VPNコミュニティのゲートウェイを構成する場所を示しています。

  5. トラフィックを許可するには、「グローバル・プロパティ」「VPN」「上級」の順に移動します。

    この図は、グローバル・プロパティの検索場所を示しています。
    この図は、トラフィックを許可するVPN拡張プロパティの検索場所を示しています。

  6. 「VPN列でのVPN照合の有効化」を選択します。後で、ルーティング・ルールに基づいてトラフィックを渡せるように、方向一致条件を使用するセキュリティ・ポリシーを作成します。

  7. 「OK」をクリックします。

  8. 「暗号化」ページで、Oracleでサポートされるフェーズ1およびフェーズ2のパラメータを構成します。これらの値のリストについては、サポートされているIPSecパラメータを参照してください。

    Government Cloud用のサイト間VPNを構成する場合は、Government Cloudに必要なサイト間VPNパラメータを参照してください。

    IKEv2を使用する場合、「Encryption Method」で、かわりに「IKEv2のみ」を選択します。

    この図は、フェーズ1およびフェーズ2のパラメータを構成できる場所を示しています。

  9. 「トンネル管理」ページで、「永続トンネルの設定」を選択します。次のことをお薦めします:

    • すべてのOracle IPSecトンネルを常に稼働状態にするため、「コミュニティ内のすべてのトンネル」を選択します。
    • 「VPNトンネル共有」セクションで、「ゲートウェイ・ペアごとに1つのVPNトンネル」を選択します。

    後者のオプションは、1組のIPSecセキュリティ・アソシエーション(SA)のみを生成し、各SAは1つのセキュリティ・パラメータ・インデックス(SPI) (単方向)のみを使用します。

    ポリシーベース・トンネルを使用する場合、すべてのポリシー・エントリによってIPSec SAのペア(暗号化ドメインとも呼ばれる)が生成されます。

    重要

    Oracle VPNヘッドエンドでは複数の暗号化ドメインをサポートできますが、制限があります。詳細は、ポリシーベース・トンネル用の暗号化ドメインを参照してください。

    Oracleでは、ルートベースのIPSec接続が作成されます。つまり、ローカル・トラフィック用の0.0.0.0/0 (任意)とリモート・トラフィック用の0.0.0.0/0 (任意)が含まれる暗号化ドメインを介してすべてがルーティングされます。詳細は、サポートされている暗号化ドメインまたはプロキシIDを参照してください。

    この図は、トンネル管理オプションを構成できる場所を示しています。

  10. 「共有シークレット」ページで、「すべての外部メンバーに対して共有シークレットのみを使用」を選択し、IPSec接続の作成時にトンネル用にOracleで生成された共有シークレットを追加します。

    現在、Oracleは共有秘密キーのみをサポートしています。Oracle Consoleで共有シークレットを変更できることに注意してください。

    この図は、トンネルに共有シークレットを指定できる場所を示しています。
  11. 「OK」をクリックして変更を保存します。
タスク5: セキュリティ・ポリシーの作成

  1. 「アクセス制御」「ポリシー」タブの順に移動します。「方向一致条件」を使用して特定のセキュリティ・ポリシーを作成します。これにより、トラフィックがルート表に基づいて渡されます。次の設定で条件を設定します:

    • Internal_Clear > 作成済のVPNコミュニティ
    • 作成済のVPNコミュニティ > 作成済のVPNコミュニティ
    • 作成済のVPNコミュニティ > Internal_Clear

    この場合、VPNコミュニティOCI-DRG-BGPで、Internal_ClearはCheck Pointによって事前定義されています。

    この図は、セキュリティ・ポリシーの方向一致条件の構成方法を示しています。
  2. 「OK」をクリックして変更を保存します。

  3. 「ポリシーのインストール」をクリックして、構成を適用します。

    この図は、「ポリシーのインストール」をクリックする場所を示しています。
タスク6: BGPの有効化

各トンネルに対して次のステップを実行します。

  1. 「拡張ルーティング」「BGP」の順に移動します。

  2. 「BGPグローバル設定」で、「グローバル設定の変更」をクリックし、ルーターIDとローカルASNを追加します。

    この図は、BGPグローバル設定を変更する場所を示しています。
  3. 「保存」をクリックします。
タスク7: BGPへのルートの再分散
  1. 「拡張ルーティング」「ルート分布」の順に移動します。

  2. 「再分散の追加元」をクリックし、「インタフェース」を選択します(接続されているすべてのサブネットを追加するため)。

    この図は、ルート分散を構成する場所を示しています。

  3. 「インタフェースからの再配分の追加」ダイアログで、次の項目を構成します:

    • プロトコル: 至: 「BGP AS 31898」を選択します。Oracleの商用クラウド用のBGP ASNは31898です。ただし、セルビア中央部(ジョバノヴァック)リージョンは14544です。Government Cloudに対してサイト間VPNを構成する場合は、OracleのBGP ASNを参照してください。
    • インタフェース: すべての接続サブネットを通知する場合は、「すべて」を選択します。
    この図は、「インタフェースからの再分散の追加」ダイアログを示しています。
  4. 「保存」をクリックします。

これで、BGPセッションが起動され、サブネットの通知と受信が行われます。

検証

次のCLIコマンドでは、BGPピアおよびルーティングを検証します。

show bgp peers

次のコマンドでは、BGPルートを受信していることを検証します。

show route bgp

次のコマンドでは、通知されているルートを検証します。この例では、<remote_IP_address>を、Oracle Consoleで「トンネル内部インタフェース - Oracle」として指定されたリモートIPアドレスに置き換えます。

show bgp peer <remote_IP_address> advertise

次のコマンドでは、受信されているルートを検証します。

show bgp peer <remote_IP_address> received

次のコマンドでオプション2および4を使用して、セキュリティ・アソシエーション(SA)を検証します。


vpn tunnelutil


**********     Select Option     **********


(1)                List all IKE SAs
(2)              * List all IPsec SAs
(3)                List all IKE SAs for a given peer (GW) or user (Client)
(4)              * List all IPsec SAs for a given peer (GW) or user (Client)
(5)                Delete all IPsec SAs for a given peer (GW)
(6)                Delete all IPsec SAs for a given User (Client)
(7)                Delete all IPsec+IKE SAs for a given peer (GW)
(8)                Delete all IPsec+IKE SAs for a given User (Client)
(9)                Delete all IPsec SAs for ALL peers and users
(0)                Delete all IPsec+IKE SAs for ALL peers and users


* To list data for a specific CoreXL instance, append "-i <instance number>" to your selection.


(Q)               Quit


*******************************************

モニタリング・サービスは、クラウド・リソースをアクティブおよびパッシブにモニターするためにOracle Cloud Infrastructureから使用できます。サイト間VPNのモニタリングの詳細は、サイト間VPNのメトリックを参照してください。

問題がある場合は、サイト間VPNのトラブルシューティングを参照してください。