サイト間VPNの設定

この例では、BGP動的ルーティングを使用するように両方のトンネルを構成します。

1. ナビゲーション・メニューを開き、「ネットワーク」をクリックします。「顧客接続」で、「サイト間VPN」をクリックします。
2. 「IPSec接続の作成」をクリックします。

3. 次の値を入力します。

   • 名前: IPSec接続のわかりやすい名前を入力します。一意である必要はなく、後で変更できます。機密情報の入力は避けてください。
   • コンパートメントに作成: そのままにします(VCNのコンパートメント)。
   • 顧客構内機器: 以前に作成したCPEオブジェクトを選択します。IPSec over FastConnectを構成する場合、選択するCPEには、そのCPEに対してIPSec over FastConnectが有効になっていることを確認するラベルが必要です。BGPルーティングは、FastConnectよりもIPSecを使用する接続に推奨されます。必要に応じて、CPEがNATデバイスの背後にあることを示すチェックボックスを選択します。チェック・ボックスが選択されている場合は、次の情報を指定します。
     • CPE IKE識別子タイプ: Internet Key Exchange (IKE)がCPEデバイスの識別に使用する識別子のタイプを選択します。FQDNまたはIPv4アドレスのいずれかをidentifier.Oracleにできます。デフォルトでは、CPEのパブリックIPアドレスが使用されます。CPEがNATデバイスの背後にある場合は、別の値の入力が必要になることもあります。ここで新しい値を入力することも、後で値を変更することもできます。
     • CPE IKE識別子: IKEがCPEデバイスの識別に使用する情報を入力します。
   • 動的ルーティング・ゲートウェイ・コンパートメント: そのままにします(VCNのコンパートメント)。
   • 動的ルーティング・ゲートウェイ: 以前に作成したDRGを選択します。
   • オンプレミス・ネットワークへのルート: このIPSec接続ではBGP動的ルーティングが使用されるため、空のままにします。以降のステップでは、BGPを使用するように2つのトンネルを構成します。

4. 「トンネル1」(必須):

   • 名前: トンネルのわかりやすい名前を入力します。一意である必要はなく、後で変更できます。機密情報の入力は避けてください。
   • カスタム共有シークレットの指定(オプション): デフォルトでは、Oracleによりトンネルの共有シークレットが指定されます。指定する場合は、このチェック・ボックスを選択して共有シークレットを入力します。共有シークレットは後で変更できます。
   • IKEバージョン: このトンネルに使用するInternet Key Exchange (IKE)バージョン。「IKEv2」は、CPEでサポートされている場合にのみ選択してください。また、このトンネルにIKEv2のみを使用するようにCPEを構成する必要があります。
   • ルーティング・タイプ: 「BGP動的ルーティング」を選択します。
   • 選択したCPEがIPSec over FastConnectをサポートしている場合は、次の設定が必要です:
     • Oracleトンネル・ヘッドエンドIP: Oracle IPSecトンネル・エンドポイント(VPNヘッドエンド)のIPアドレスを入力します。Oracleは、FastConnect BGPセッションを介して、VPN IPを/32ホスト・ルートとしてアドバタイズします。VCNルートと重複するアドレスがある場合、接頭辞の一致が最も長いため、これが優先されます。
     • 関連付けられた仮想回線:作成時にFastConnectを介してIPSecに対して有効化された仮想回線を選択します。トンネルは選択した仮想回線にマップされ、定義されたヘッドエンドIPは、関連付けられた仮想回線を介してオンプレミスからのみアクセス可能になります。
     • DRGルート表: DRGルート表を選択または作成します。再帰的ルーティングの問題を回避するには、FCを介したIPsecに使用される仮想回線アタッチメントとIPSecトンネル・アタッチメントで、異なるDRGルート表を使用する必要があります。
   • BGP ASN: ネットワークのASNを入力します。
   • IPv4トンネル内インタフェース - CPE: トンネルのCPE側にサブネット・マスク(/30または/31)を使用するBGP IPv4アドレスを入力します。例: 10.0.0.16/31。IPアドレスは、サイト間VPNの暗号化ドメインに属している必要があります。
   • IPv4トンネル内インタフェース - Oracle: トンネルのOracle側にサブネット・マスク(/30または/31)を使用するBGP IPv4アドレスを入力します。例: 10.0.0.17/31。IPアドレスは、サイト間VPNの暗号化ドメインに属している必要があります。
   • IPv6とIPv4の両方を使用する場合は、「IPv6の有効化」をクリックし、次の詳細を入力します:
     • IPV6トンネル内インタフェース - CPE: トンネルのCPE側にサブネット・マスク(/126)を使用するBGP IPv6アドレスを入力します。例: 2001:db2::6/126。IPアドレスは、サイト間VPNの暗号化ドメインに属している必要があります。
     • IPV6トンネル内インタフェース - Oracle: トンネルのOracle側にサブネット・マスク(/126)を使用するBGP IPアドレスを入力します。例: 2001:db2::7/126。IPアドレスは、サイト間VPNの暗号化ドメインに属している必要があります。
     • 「拡張オプションの表示」をクリックすると、トンネル1の次の設定を変更できます:
       • Oracle開始: この設定は、IPSec接続のOracle側でIPSecトンネルの起動を開始できるかどうかを示します。デフォルトは「イニシエータまたはレスポンダ」です。また、CPEデバイスでIPSecトンネルを開始する必要があるレスポンダ専用になるようにOracle側を設定することもできます。Oracleでは、このオプションをデフォルト設定のままにすることをお薦めします。
       • NAT-T有効: この設定は、CPEデバイスがNATデバイスの背後にあるかどうかを示します。デフォルトは「自動」です。その他のオプションは、「無効」および「有効」です。Oracleでは、このオプションをデフォルト設定のままにすることをお薦めします。
       • Dead Peer Detectionタイムアウトの有効化: このオプションをクリックすると、CPEへの接続の安定性を定期的にチェックし、CPEが停止したことを検出できます。このオプションを選択した場合、IPSec接続がCPEとの通信を失ったことを示す前の、CPEデバイス・ヘルス・メッセージ間の最も長い間隔を選択することもできます。デフォルトは20秒です。Oracleでは、このオプションをデフォルト設定のままにすることをお薦めします。
     • 「フェーズ1 (ISAKMP)構成」セクションを展開し、「カスタム・オプションの設定」をクリックすると、次のオプション設定を設定できます(各オプションのいずれかを選択する必要があります):
       • カスタム暗号化アルゴリズム: プルダウン・メニューのオプションから選択できます。
       • カスタム認証アルゴリズム: プルダウン・メニューのオプションから選択できます。
       • Diffie-Hellmanグループ: プルダウン・メニューのオプションから選択できます。

       「カスタム構成の設定」チェック・ボックスが選択されていない場合は、デフォルト設定が提案されます。

       デフォルト提案を含むこれらのオプションの詳細を理解するには、サポートされているIPSecパラメータを参照してください。

     • IKEセッション・キー存続期間(秒): デフォルトは28800で、これは8時間に相当します。
     • 「フェーズ2 (IPSec)構成」オプションを展開し、「カスタム・オプションの設定」をクリックすると、トンネル1の次のオプション設定を設定できます(暗号化アルゴリズムを選択する必要があります):
       • カスタム暗号化アルゴリズム: プルダウン・メニューのオプションから選択できます。AES-CBC暗号化アルゴリズムを選択する場合は、認証アルゴリズムも選択する必要があります。
       • カスタム認証アルゴリズム: プルダウン・メニューのオプションから選択できます。選択した暗号化アルゴリズムに組込みの認証がある場合は、選択可能なオプションはありません。

       「カスタム構成の設定」チェック・ボックスが選択されていない場合は、デフォルト設定が提案されます。

       すべてのフェーズ2オプションについて、1つのオプションを選択した場合、そのオプションはデフォルト・セットをオーバーライドし、CPEデバイスに提案される唯一のオプションになります。

     • IPSecセッション・キー存続期間(秒): デフォルトは3600で、これは1時間に相当します。
     • Perfect Forward Secrecyの有効化: デフォルトでは、このオプションはオンです。これにより、「Perfect Forward Secrecy Diffie-Hellmanグループ」を選択できます。プルダウン・メニューのオプションから選択できます。選択しない場合、GROUP5が提案されます。
5. 「トンネル2」タブでは、トンネル1で説明したものと同じオプションを使用できます。また、別のオプションを選択するか、トンネルを未構成のままにすることもできます(CPEデバイスでサポートされるトンネルは1つのみであるため)。
6. 「タグ付けオプションの表示」をクリックして、IPSec接続のタグを今すぐ追加するか、後で追加できます。詳細は、リソース・タグを参照してください。

7. 「IPSec接続の作成」をクリックします。

   IPSec接続が作成され、ページに表示されます。これは、短い間「プロビジョニング中」状態になります。

   表示されるトンネル情報には次のものが含まれます:

   • (Oracle VPNヘッドエンドの) Oracle VPN IPv4またはIPv6アドレス。
   • トンネルのIPSecステータス(可能な値は「稼働中」、「停止中」および「メンテナンスのための停止」です)。この時点でのステータスは「停止中」です。1つ以上のトンネルを確立する前に、ネットワーク・エンジニアがCPEデバイスを構成する必要があります。
   • トンネルのBGPステータス。この時点でのステータスは「停止中」です。ネットワーク・エンジニアがCPEデバイスを構成する必要があります。

   トンネルの共有シークレットを表示するには、トンネルをクリックしてその詳細を表示してから、「共有シークレット」の横にある「表示」をクリックします。

   「フェーズの詳細」タブをクリックして、トンネルのフェーズ1 (ISAKMP)およびフェーズ2 (IPSec)の詳細を表示することもできます。

8. 各トンネルのOracle VPN IPアドレスと共有シークレットを、CPEデバイスを構成するネットワーク・エンジニアに提供できるように、電子メールまたはその他の場所にコピーします。

   このトンネル情報は、コンソールのこの場所でいつでも確認できます。

これで、サイト間VPNに必要なすべてのコンポーネントを作成しました。次に、ネットワーク・トラフィックがオンプレミス・ネットワークとVCNの間を流れるようになるには、ネットワーク・エンジニアがCPEデバイスを構成する必要があります。

1. ナビゲーション・メニューを開き、「ネットワーク」をクリックします。「顧客接続」で、「サイト間VPN」をクリックします。
2. 「IPSec接続の作成」をクリックします。

3. 次の値を入力します。

   • コンパートメントに作成: そのままにします(VCNのコンパートメント)。
   • 名前: IPSec接続のわかりやすい名前を入力します。一意である必要はなく、後で変更できます。機密情報の入力は避けてください。
   • 顧客構内機器コンパートメント: そのままにします(VCNのコンパートメント)。
   • 顧客構内機器: 以前に作成したCPEオブジェクトを選択します。IPSec over FastConnectを構成する場合、選択するCPEには、そのCPEに対してIPSec over FastConnectが有効になっていることを確認するラベルが必要です。IPSec over FastConnectは、静的ルーティングを使用する接続に使用できますが、お薦めしません。
   • 動的ルーティング・ゲートウェイ・コンパートメント: そのままにします(VCNのコンパートメント)。
   • 動的ルーティング・ゲートウェイ: 以前に作成したDRGを選択します。
   • 静的ルートCIDR: 少なくとも1つの静的ルートCIDRを入力します(開始する前にで収集する情報のリストを参照してください)。この例では、10.0.0.0/16と入力します。最大10の静的ルートを入力でき、後から静的ルートを変更することもできます。
4. 「拡張オプションの表示」をクリックします。
5. 「CPE IKE識別子」タブ(オプション): Oracleでは、デフォルトでCPEのパブリックIPアドレスが使用されます。CPEがNATデバイスの背後にある場合は、別の値の入力が必要になることもあります。ここで新しい値を入力することも、後で値を変更することもできます。

6. 「トンネル1」タブ(オプション):

   • トンネル名: トンネルのわかりやすい名前を入力します。一意である必要はなく、後で変更できます。機密情報の入力は避けてください。
   • カスタム共有シークレットの指定(オプション): デフォルトでは、Oracleによりトンネルの共有シークレットが指定されます。指定する場合は、このチェック・ボックスを選択して共有シークレットを入力します。共有シークレットは後で変更できます。
   • IKEバージョン: このトンネルに使用するInternet Key Exchange (IKE)バージョン。「IKEv2」は、CPEでサポートされている場合にのみ選択してください。また、このトンネルにIKEv2のみを使用するようにCPEを構成する必要があります。
   • ルーティング・タイプ: 「静的ルーティング」のラジオ・ボタンを選択されたままにします。
   • トンネル内インタフェース - CPE (オプション): トンネルのトラブルシューティングまたはモニタリングの目的で、トンネルのCPE側にサブネット・マスク(/30または/31)を使用するIPアドレスを入力できます。例: 10.0.0.16/31。IPアドレスは、サイト間VPNの暗号化ドメインに属している必要があります。
   • トンネル内インタフェース - Oracle (オプション): トンネルのトラブルシューティングまたはモニタリングの目的で、トンネルのOracle側にサブネット・マスク(/30または/31)を使用するIPアドレスを入力できます。例: 10.0.0.17/31。IPアドレスは、サイト間VPNの暗号化ドメインに属している必要があります。

7. 「トンネル2」タブ(オプション):

   • トンネル名: トンネルのわかりやすい名前を入力します。一意である必要はなく、後で変更できます。機密情報の入力は避けてください。
   • カスタム共有シークレットの指定(オプション): デフォルトでは、Oracleによりトンネルの共有シークレットが指定されます。指定する場合は、このチェック・ボックスを選択して共有シークレットを入力します。共有シークレットは後で変更できます。
   • IKEバージョン: このトンネルに使用するInternet Key Exchange (IKE)バージョン。「IKEv2」は、CPEでサポートされている場合にのみ選択してください。また、このトンネルにIKEv2のみを使用するようにCPEを構成する必要があります。
   • ルーティング・タイプ: 「静的ルーティング」のラジオ・ボタンを選択されたままにします。
   • トンネル内インタフェース - CPE (オプション): トンネルのトラブルシューティングまたはモニタリングの目的で、トンネルのCPE側にサブネット・マスク(/30または/31)を使用するIPアドレスを入力できます。トンネル1とは異なるIPアドレスを使用してください。例: 10.0.0.18/31。IPアドレスは、サイト間VPNの暗号化ドメインに属している必要があります。
   • トンネル内インタフェース - Oracle (オプション): トンネルのトラブルシューティングまたはモニタリングの目的で、トンネルのOracle側にサブネット・マスク(/30または/31)を使用するIPアドレスを入力できます。トンネル1とは異なるIPアドレスを使用してください。例: 10.0.0.19/31。IPアドレスは、サイト間VPNの暗号化ドメインに属している必要があります。
8. タグ: そのままにします。必要に応じて後でタグを追加できます。詳細は、リソース・タグを参照してください。

9. 「IPSec接続の作成」をクリックします。

   IPSec接続が作成され、ページに表示されます。これは、短い間「プロビジョニング中」状態になります。

   表示されるトンネル情報には次のものが含まれます:

   • (Oracle VPNヘッドエンドの) Oracle VPN IPアドレス。
   • トンネルのIPSecステータス(可能な値は「稼働中」、「停止中」および「メンテナンスのための停止」です)。この時点でのステータスは「停止中」です。まだ、ネットワーク・エンジニアがCPEデバイスを構成する必要があります。

   トンネルの共有シークレットを表示するには、トンネルをクリックしてその詳細を表示してから、「共有シークレット」の横にある「表示」をクリックします。

10. 各トンネルのOracle VPN IPアドレスと共有シークレットを、CPEデバイスを構成するネットワーク・エンジニアに提供できるように、電子メールまたはその他の場所にコピーします。

    このトンネル情報は、コンソールのこの場所でいつでも確認できます。

これで、サイト間VPNに必要なすべてのコンポーネントを作成しました。次に、ネットワーク・トラフィックがオンプレミス・ネットワークとVCNの間を流れるようになるには、ネットワーク・エンジニアがCPEデバイスを構成する必要があります。

詳細は、CPE構成を参照してください。

1. ナビゲーション・メニューを開き、「ネットワーク」をクリックします。「顧客接続」で、「サイト間VPN」をクリックします。
2. 「IPSec接続の作成」をクリックします。

3. 次の値を入力します。

   • コンパートメントに作成: そのままにします(VCNのコンパートメント)。
   • 名前: IPSec接続のわかりやすい名前を入力します。一意である必要はなく、後で変更できます。機密情報の入力は避けてください。
   • 顧客構内機器コンパートメント: そのままにします(VCNのコンパートメント)。
   • 顧客構内機器: 以前に作成したCPEオブジェクトを選択します。IPSec over FastConnectを構成する場合、選択するCPEには、そのCPEに対してIPSec over FastConnectが有効になっていることを確認するラベルが必要です。IPSec over FastConnectは、ポリシーベースのルーティングを使用する接続に使用できますが、お薦めしません。
   • 動的ルーティング・ゲートウェイ・コンパートメント: そのままにします(VCNのコンパートメント)。
   • 動的ルーティング・ゲートウェイ: 以前に作成したDRGを選択します。
   • 静的ルートCIDR: 少なくとも1つの静的ルートCIDRを入力します(開始する前にで収集する情報のリストを参照してください)。この例では、10.0.0.0/16と入力します。最大10の静的ルートを入力でき、後から静的ルートを変更することもできます。
4. 「拡張オプションの表示」をクリックします。
5. 「CPE IKE識別子」タブ(オプション): Oracleでは、デフォルトでCPEのパブリックIPアドレスが使用されます。CPEがNATデバイスの背後にある場合は、別の値の入力が必要になることもあります。ここで新しい値を入力することも、後で値を変更することもできます。

6. 「トンネル1」タブ(オプション):

   • トンネル名: トンネルのわかりやすい名前を入力します。一意である必要はなく、後で変更できます。機密情報の入力は避けてください。
   • カスタム共有シークレットの指定(オプション): デフォルトでは、Oracleによりトンネルの共有シークレットが指定されます。指定する場合は、このチェック・ボックスを選択して共有シークレットを入力します。共有シークレットは後で変更できます。
   • IKEバージョン: このトンネルに使用するInternet Key Exchange (IKE)バージョン。「IKEv2」は、CPEでサポートされている場合にのみ選択してください。また、このトンネルにIKEv2のみを使用するようにCPEを構成する必要があります。
   • ルーティング・タイプ: ポリシーベースのルーティングのラジオ・ボタンを選択します。
   • オンプレミス: オンプレミス・ネットワーク内のリソースによって使用される複数のIPv4 CIDRまたはIPv6接頭辞ブロックを、CPEデバイス・ポリシーによって決定されるルーティングに指定できます。
     ノート
     
     使用できるIPv4 CIDRまたはIPv6接頭辞ブロックの数に対する制限は、ポリシーベース・トンネル用の暗号化ドメインを参照してください。
   • Oracle Cloud: VCN内のリソースによって使用される複数のIPv4 CIDRまたはIPv6接頭辞ブロックを指定できます。
     ノート
     
     使用できるIPv4 CIDRまたはIPv6接頭辞ブロックの数に対する制限は、ポリシーベース・トンネル用の暗号化ドメインを参照してください。
   • トンネル内インタフェース - CPE (オプション): トンネルのトラブルシューティングまたはモニタリングの目的で、トンネルのCPE側にサブネット・マスク(/30または/31)を使用するIPアドレスを入力できます。例: 10.0.0.16/31。IPアドレスは、サイト間VPNのいずれかの暗号化ドメインに属している必要があります。
   • トンネル内インタフェース - Oracle (オプション): トンネルのトラブルシューティングまたはモニタリングの目的で、トンネルのOracle側にサブネット・マスク(/30または/31)を使用するIPアドレスを入力できます。例: 10.0.0.17/31。IPアドレスは、サイト間VPNのいずれかの暗号化ドメインに属している必要があります。

7. 「トンネル2」タブ(オプション):

   • トンネル名: トンネルのわかりやすい名前を入力します。一意である必要はなく、後で変更できます。機密情報の入力は避けてください。
   • カスタム共有シークレットの指定(オプション): デフォルトでは、Oracleによりトンネルの共有シークレットが指定されます。指定する場合は、このチェック・ボックスを選択して共有シークレットを入力します。共有シークレットは後で変更できます。
   • IKEバージョン: このトンネルに使用するInternet Key Exchange (IKE)バージョン。「IKEv2」は、CPEでサポートされている場合にのみ選択してください。また、このトンネルにIKEv2のみを使用するようにCPEを構成する必要があります。
   • ルーティング・タイプ: ポリシーベースのルーティングのラジオ・ボタンを選択します。
   • オンプレミス: オンプレミス・ネットワーク内のリソースによって使用される複数のIPv4 CIDRまたはIPv6接頭辞ブロックを、CPEデバイス・ポリシーによって決定されるルーティングに指定できます。
     ノート
     
     制限事項は、ポリシーベース・トンネル用の暗号化ドメインを参照してください。
   • Oracle Cloud: VCN内のリソースによって使用される複数のIPv4 CIDRまたはIPv6接頭辞ブロックを指定できます。
     ノート
     
     制限事項は、ポリシーベース・トンネル用の暗号化ドメインを参照してください。
   • トンネル内インタフェース - CPE (オプション): トンネルのトラブルシューティングまたはモニタリングの目的で、トンネルのCPE側にサブネット・マスク(/30または/31)を使用するIPアドレスを入力できます。例: 10.0.0.16/31。IPアドレスは、サイト間VPNのいずれかの暗号化ドメインに属している必要があります。
   • トンネル内インタフェース - Oracle (オプション): トンネルのトラブルシューティングまたはモニタリングの目的で、トンネルのOracle側にサブネット・マスク(/30または/31)を使用するIPアドレスを入力できます。例: 10.0.0.17/31。IPアドレスは、サイト間VPNのいずれかの暗号化ドメインに属している必要があります。
8. タグ: そのままにします。必要に応じて後でタグを追加できます。詳細は、リソース・タグを参照してください。

9. 「IPSec接続の作成」をクリックします。

   IPSec接続が作成され、ページに表示されます。これは、短い間「プロビジョニング中」状態になります。

   表示されるトンネル情報には次のものが含まれます:

   • (Oracle VPNヘッドエンドの) Oracle VPN IPアドレス。
   • トンネルのIPSecステータス(可能な値は「稼働中」、「停止中」および「メンテナンスのための停止」です)。この時点でのステータスは「停止中」です。まだ、ネットワーク・エンジニアがCPEデバイスを構成する必要があります。

   トンネルの共有シークレットを表示するには、トンネルをクリックしてその詳細を表示してから、「共有シークレット」の横にある「表示」をクリックします。

10. 各トンネルのOracle VPN IPアドレスと共有シークレットを電子メールまたはその他の場所にコピーして、CPEデバイスを構成するネットワーク・エンジニアに提供します。

    このトンネル情報は、コンソールのこの場所でいつでも確認できます。

これで、サイト間VPNに必要なすべてのコンポーネントを作成しました。次に、ネットワーク・トラフィックがオンプレミス・ネットワークとVCNの間を流れるようになるには、ネットワーク・エンジニアがCPEデバイスを構成する必要があります。

詳細は、CPE構成を参照してください。