Oracle Cloud Infrastructureドキュメント

CPE構成

このトピックは、ネットワーク・エンジニアを対象にしています。ここでは、オンプレミス・ネットワークとVirtual Cloud Network (VCN)間でトラフィックがフローできるように、サイト間VPNの終端にオンプレミス・デバイス(顧客構内機器(CPE))を構成する方法を説明します。次の関連トピックを参照してください:

次の図は、インターネットを使用したサイト間VPNのIPSec接続の基本的なレイアウトを示しています。IPSec over FastConnectは似ていますが、トラフィックはプライベート仮想回線のみをトラバースします。

この図は、IPSec接続とトンネルの一般的なレイアウトを示しています。

要件および前提条件

作業を進める前に、注意が必要な要件と前提条件がいくつかあります。

ルーティングの考慮事項

サイト間VPNのルーティングに関する重要な詳細は、サイト間VPNのルーティングを参照してください。

Oracleでは、IPSec接続を構成する複数のトンネル間で非対称ルーティングが使用されます。あるトンネルをプライマリとして、別のトンネルをバックアップとして構成した場合でも、VCNからオンプレミス・ネットワークへのトラフィックは、デバイス上で稼働している任意のトンネルを使用できます。適切にファイアウォールを構成してください。そうしないと、接続間でのpingテストまたはアプリケーション・トラフィックが確実に動作しません。

サイト間VPNでBGP動的ルーティングを使用する場合、Oracleが一方のトンネルを他方より優先するようにルーティングを構成できます。

IPSec over FastConnectを使用する場合は、CPEオブジェクトを更新してその機能を追加することはできません。サポートはCPEの初期設定で確立する必要があります。また、この接続のIPsecトンネルおよび仮想回線で同じDRGルート表を使用することはできません。

Cisco ASAのポリシーベースの構成では、1つのトンネルを使用していることに注意してください。

クラウド・ネットワーク・コンポーネントの作成

ユーザーまたは組織内のユーザーが、冗長性のために複数のIPSecトンネルで構成されるVCNおよびIPSec接続を作成するには、Oracle Consoleを使用している必要があります。各コンポーネントに関する次の情報を収集する必要があります:

  • VCN OCID: VCN OCIDは、末尾にUUIDを持つ一意のOracle Cloud Infrastructure識別子です。このUUIDまたはその他の文字列を使用すると、デバイス構成でこのVCNを識別しやすくなり、他のオブジェクト・グループ名やアクセス・リスト名との競合を回避できます。
  • VCN CIDR
  • VCN CIDRサブネット・マスク

  • 各IPSecトンネルについて:

    • Oracle IPSecトンネル・エンドポイント(VPNヘッドエンド)のIPアドレス
    • 共有シークレット

CPEデバイスに関する情報

オンプレミス・デバイス(CPE)の内部または外部インタフェースに関する基本情報も必要です。特定のCPEに必要な情報のリストについては、このリスト(検証済CPEデバイス)のリンクを参照してください。

デフォルトでは、NAT-Tはすべてのサイト間VPN IPSecトンネルで有効です。Oracleでは、OCIへのサイト間VPNを構成する場合、NAT-Tを有効のままにしておくことをお薦めします。

CPEがNATデバイスの背後にある場合は、CPEのIKE識別子をOracleに提供できます。詳細は、サイト間VPNコンポーネントの概要を参照してください。

1つのCPEオブジェクトのパブリックIPには、最大8つのIPSec接続を設定できます。

ルートベースとポリシーベースのIPSec

Oracle VPNヘッドエンドではルートベース・トンネルが使用されますが、注意事項を考慮しながら、ポリシーベース・トンネルとともに使用できます。詳細は、ポリシーベース・トンネル用の暗号化ドメインを参照してください。

サイト間VPNのベスト・プラクティス

  • すべてのIPSec接続に対してすべてのトンネルを構成します: Oracleは、すべての接続に複数のIPSecヘッドエンドをデプロイし、ミッションクリティカルなワークロードに高可用性を提供します。使用可能なすべてのトンネルを構成することは、「障害を前提とした設計」原理の重要な要素です。(例外: Cisco ASAのポリシーベースの構成では、1つのトンネルを使用しています。)
  • オンプレミスの場所に冗長CPEを配置します: IPSecでOracle Cloud Infrastructureに接続する各サイトでは、冗長CPEデバイスを使用する必要があります。Oracle Cloud Infrastructure Consoleに各CPEを追加し、Dynamic Routing Gateway (DRG) と各CPE間に個別のIPSec接続を作成します。各IPSec接続に対して、Oracleは、地理的に冗長なIPSecヘッドエンド上に2つのトンネルをプロビジョニングします。Oracleでは、オンプレミス・ネットワークにトラフィックを返信するために、稼働している任意のトンネルを使用できます。詳細は、サイト間VPNのルーティングを参照してください。

  • バックアップ集約ルートを検討します: IPSec VPNsを介してOracle Cloud Infrastructureに接続された複数のサイトがあり、それらのサイトがオンプレミスのバックボーン・ルーターに接続されている場合、ローカル・サイトの集約ルートとデフォルト・ルートの両方を含むIPSec接続ルートを構成することを検討してください。

    IPSec接続から学習されるDRGルートは、VCNからDRGにルーティングするトラフィックによってのみ使用されることに注意してください。デフォルト・ルートは、宛先IPアドレスがどのトンネルの特定的なルートとも一致していないDRGに送信されたトラフィックによってのみ使用されます。

接続ステータスの確認

IPSec接続を構成したら、VCN内にインスタンスを起動してオンプレミス・ネットワークからpingすることで、接続をテストできます。インスタンスの起動の詳細は、インスタンスの起動を参照してください。インスタンスをpingするには、VCNのセキュリティ・ルールでpingトラフィックを許可している必要があります。

APIまたはコンソールでIPSecトンネルのステータスを取得できます。手順については、IPSecトンネルのステータスおよび構成情報を表示するにはを参照してください。

デバイス構成

検証済の各CPEデバイスに固有の構成情報へのリンクについては、検証済CPEデバイスを参照してください。