サイト間VPNの設定
このトピックでは、オンプレミス・ネットワークからVCNへのサイト間VPN IPSec接続を構築する手順について説明します。Site-to-Site VPNの一般情報は、サイト間VPNの概要を参照してください。
開始する前に
準備として、まず次のことを行います:
- 次の項を読みます: サイト間VPNのルーティング
-
次の質問に答えます:
質問 回答 VCNのCIDRとは何ですか。 CPEデバイスのパブリックIPアドレスは何ですか。冗長性のために複数のデバイスがある場合は、それぞれのIPアドレスを取得してください。
ノート: CPEデバイスがNATデバイスの背後にある場合は、サイト間VPNコンポーネントの概要と、要件および前提条件も参照してください。
各CPEデバイスとVCN間でポート・アドレス変換(PAT)を使用しますか。 どのタイプのルーティングを使用する予定ですか。BGP動的ルーティングが必要な場合は、使用するBGPセッションIPアドレスとオンプレミス・ネットワークのASNをリストしてください。IPアドレスは、サイト間VPNの暗号化ドメインに属している必要があります。
静的ルーティングが必要な場合、オンプレミス・ネットワークの静的ルートは何ですか。サイト間VPNのルーティングを参照してください。
ポリシーベースのルーティングまたは複数の暗号化ドメインを使用する予定ですか。ポリシーベース・トンネル用の暗号化ドメインを参照してください。
各トンネルの共有シークレットを指定しますか、またはOracleによって自動的に割り当てますか。サイト間VPNコンポーネントの概要を参照してください。
- ネットワーク・レイアウトの図を描きます(例については、例: 概念実証サイト間VPNの設定の最初のタスクを参照してください)。オンプレミス・ネットワークのどの部分がVCNと通信する必要があるか、その逆について考えます。VCNに必要なルーティング・ルールおよびセキュリティ・ルールを策定します。
次のリンク・ローカルIP範囲は、トンネル・インタフェース内のサイト間VPNで使用できません:
- 169.254.10.0から169.254.19.255
- 169.254.100.0から169.254.109.255
- 169.254.192.0から169.254.201.255
全体的なプロセス
サイト間VPNを設定するための全体的なプロセスを次に示します:
- 開始する前ににリストされたタスクを完了します。
- Site-to-Site VPNコンポーネントを設定します(例: Proof of Concept Site-to-Site VPNの設定の手順):
- VCNを作成します。
- DRGを作成します。
- VCNへのDRGのアタッチ
- DRGのルート表とルート・ルールを作成します。
- セキュリティ・リストおよび必要なルールを作成します。
- VCN内にサブネットを作成します。
- CPEオブジェクトを作成し、CPEデバイスのパブリックIPアドレスを指定します。
- CPEオブジェクトへのIPSec接続を作成し、必要なルーティング情報を指定します。
- CPE構成ヘルパーを使用します:ネットワーク・エンジニアは、前のステップでOracleから提供された情報を使用してCPEデバイスを構成する必要があります。CPE構成ヘルパーは、ネットワーク・エンジニア用の情報を生成します。詳細は、CPE構成ヘルパーの使用およびCPE構成を参照してください。
- ネットワーク・エンジニアがCPEデバイスを構成するようにします。
- 接続を検証します。
冗長接続を設定する場合は、接続性冗長性ガイド(PDF)を参照してください。
例: 概念実証サイト間VPNの設定
このシナリオ例では、概念実証(POC)に使用できるレイアウトのサイト間VPNを設定する方法を示します。これは全体的なプロセスのタスク1および2に続く手順であり、作成するレイアウト内の各コンポーネントを示しています。より複雑なレイアウトについては、複数の地理領域を使用したレイアウトの例またはPATを使用したレイアウトの例を参照してください。
| 質問 | 回答 |
|---|---|
| VCNのCIDRとは何ですか。 | 172.16.0.0/16 |
|
CPEデバイスのパブリックIPアドレスは何ですか。冗長性のために複数のデバイスがある場合は、それぞれのIPアドレスを取得してください。 ノート: CPEデバイスがNATデバイスの背後にある場合は、サイト間VPNコンポーネントの概要と、要件および前提条件も参照してください。 |
142.34.145.37 |
| 各CPEデバイスとVCNの間でポート・アドレス変換(PAT)を実行しますか。 | いいえ |
|
どのタイプのルーティングを使用する予定ですか。相互排他的な3つの選択肢があります: BGP動的ルーティングを使用する場合は、使用するBGPセッションIPアドレスとオンプレミス・ネットワークのASNをリストしてください。 静的ルーティングを使用する場合は、オンプレミス・ネットワークの静的ルートをリストしてください。サイト間VPNのルーティングを参照してください。 ポリシーベースのルーティングを使用する場合、または複数の暗号化ドメインが必要な場合は、接続の各端で使用されるIPv4 CIDRまたはIPv6接頭辞ブロックをリストしてください。ポリシーベース・トンネル用の暗号化ドメインを参照してください。 |
BGP動的ルーティングの例: トンネル1:
トンネル2:
ネットワークASN: 12345 静的ルーティングの例: POCの静的ルートには、10.0.0.0/16を使用します。 ポリシーベースのルーティングの例: 単純なPOCには、???を使用します。 |
| 各トンネルの共有シークレットを指定しますか、またはOracleによって自動的に割り当てますか。サイト間VPNコンポーネントの概要を参照してください。 | Oracleにより自動で割り当てます。 |
BGP動的ルーティングを使用するタスク1の図の例を次に示します:
| 宛先CIDR | ルート・ターゲット |
|---|---|
| 10.0.0.0/16 | DRG |
| 宛先CIDR | 権限 |
|---|---|
| 10.0.0.0/16 | 許可 |
| コールアウト | 機能 | IP |
|---|---|---|
| 3 | CPEパブリックIPアドレス | 142.34.145.37 |
| 4a | トンネル1 BGP: トンネル内インタフェース |
CPE - 10.0.0.16/31 Oracle - 10.0.0.17/31 |
| 4b | トンネル2 BGP: トンネル内インタフェース |
CPE - 10.0.0.18/31 Oracle - 10.0.0.19/31 |
| 5 |
トンネル1 Oracle VPN IPアドレス: |
129.213.240.50 |
| 6 |
トンネル2 Oracle VPN IPアドレス: |
129.213.240.53 |
静的ルーティングを使用するタスク1の図の例を次に示します:
| 宛先CIDR | ルート・ターゲット |
|---|---|
| 10.0.0.0/16 | DRG |
| 宛先CIDR | 権限 |
|---|---|
| 10.0.0.0/16 | 許可 |
| コールアウト | 機能 | IP |
|---|---|---|
| 3 | CPEパブリックIPアドレス | 142.34.145.37 |
| 4 | IPSec接続の静的ルート | 10.0.0.0/16 |
| 5 |
トンネル1 Oracle VPN IPアドレス: |
129.213.240.50 |
| 6 |
トンネル2 Oracle VPN IPアドレス: |
129.213.240.53 |
すでにVCNがある場合は、次のタスクにスキップします。
コンソールを使用してVCNを作成する場合、VCNのみを作成することも、関連する複数のリソースとともにVCNを作成することもできます。このタスクではVCNのみを作成し、次のタスクで他の必要なリソースを作成します。
- ナビゲーション・メニューを開き、「ネットワーキング」、「仮想クラウド・ネットワーク」の順に選択します。
- 「リスト範囲」で、in.Theページの更新を操作する権限があるコンパートメントを選択し、そのコンパートメント内のリソースのみを表示します。使用するコンパートメントが不明な場合は、管理者に問い合せてください。詳細は、アクセス制御を参照してください。
- 「Create Virtual Cloud Network」を選択します。
-
次の値を入力します。
- コンパートメントで作成: そのままにします。
- 名前: クラウド・ネットワークのわかりやすい名前。必ずしも一意である必要はありませんが、後でコンソールで変更することはできません(ただし、APIで変更できます)。機密情報の入力は避けてください。
- CIDRブロック: クラウド・ネットワークの単一の連続CIDRブロック(172.16.0.0/16など)。この値は後で変更できません。許容されるVCNのサイズとアドレス範囲を参照してください。参照用として、CIDR計算機を使用してください。
- IPv6アドレス割当ての有効化: このオプションは、VCNがIPv6に対して有効になっている場合にのみ使用できます。IPv6アドレス指定は、すべての商用リージョンおよび政府リージョンでサポートされています。詳細は、IPv6アドレスを参照してください。
-
これ以外のオプションは、値を指定することも、無視することもできます:
- DNS解決: VCNのホストにDNSホスト名を割り当てるにはこのオプションが必要です。また、VCNのデフォルトのDNS機能(Internet and VCN Resolverと呼ばれる)を使用する予定の場合に必要です。このオプションを選択した場合、VCNのDNSラベルを指定することも、コンソールに生成させることもできます。ダイアログ・ボックスには、VCNの対応するDNSドメイン名(
<VCN_DNS_label>.oraclevcn.com)が自動的に表示されます。詳細は、仮想クラウド・ネットワークのDNSを参照してください。 - タグ: リソースの作成権限がある場合は、そのリソースにフリーフォーム・タグを適用する権限もあります。定義済のタグを適用するには、タグ・ネームスペースを使用する権限が必要です。タグ付けの詳細は、リソース・タグを参照してください。タグを適用するかどうかがわからない場合は、このオプションをスキップするか、管理者に問い合せてください。タグは後で適用できます。
- DNS解決: VCNのホストにDNSホスト名を割り当てるにはこのオプションが必要です。また、VCNのデフォルトのDNS機能(Internet and VCN Resolverと呼ばれる)を使用する予定の場合に必要です。このオプションを選択した場合、VCNのDNSラベルを指定することも、コンソールに生成させることもできます。ダイアログ・ボックスには、VCNの対応するDNSドメイン名(
- 「Create Virtual Cloud Network」を選択します。
VCNが作成され、ページに表示されます。必ず、プロビジョニングが完了したことを確認してから次に進んでください。
- ナビゲーション・メニューを開き、「ネットワーキング」を選択します。「顧客接続」で、「動的ルーティング・ゲートウェイ」を選択します。
- 「Dynamic Routing Gatewayの作成」を選択します。
- 次の値を入力します。
- コンパートメントに作成: そのままにします(VCNのコンパートメント)。
- 名前: DRGのわかりやすい名前。必ずしも一意である必要はありませんが、後でコンソールで変更することはできません(ただし、APIで変更できます)。機密情報の入力は避けてください。
- タグ: そのままにします。必要に応じて後でタグを追加できます。詳細は、リソース・タグを参照してください。
- 「Dynamic Routing Gatewayの作成」を選択します。
DRGが作成され、ページに表示されます。必ず、プロビジョニングが完了したことを確認してから次に進んでください。
- 作成したDRGの名前を選択します。
- 「リソース」で、「Virtual Cloud Networks」を選択します。
- 「Virtual Cloud Networkにアタッチ」を選択します。
- VCNを選択します。拡張オプションのセクションは無視してください。これは、転送ルーティングという拡張ルーティング・シナリオで使用するもので、ここでは関係ありません。
- 「添付」を選択します。
準備ができるまでの短い間、アタッチメントは「アタッチ中」状態になります。
VCNには、(ルールのない)デフォルト・ルート表が付属していますが、このタスクでは、DRGにルート・ルールを含むカスタム・ルート表を作成します。この例では、オンプレミス・ネットワークは10.0.0.0/16です。10.0.0.0/16を宛先とするトラフィックをDRGにルーティングするルート・ルールを作成します。タスク2fでサブネットを作成するとき、このカスタム・ルート表をサブネットに関連付けます。
サブネットを含むVCNがすでにある場合、ルート表またはサブネットを作成する必要はありません。かわりに、DRGのルート・ルールを含めて既存のサブネットのルート表を更新できます。
| 宛先CIDR | ルート表 |
|---|---|
| 10.0.0.0/16 | DRG |
- ナビゲーション・メニューを開き、「ネットワーキング」、「仮想クラウド・ネットワーク」の順に選択します。
- VCNを選択します。
- 「ルート表」を選択して、VCNのルート表を表示します。
- 「ルート表の作成」を選択します。
-
次の値を入力します。
- 名前: ルート表のわかりやすい名前(MyExampleRouteTableなど)。名前は必ずしも一意である必要はありませんが、後でコンソールで変更することはできません(ただし、APIで変更できます)。機密情報の入力は避けてください。
- コンパートメントに作成: そのままにします。
-
「+追加ルート・ルール」を選択し、次の情報を入力します:
- ターゲット・タイプ: 動的ルーティング・ゲートウェイ。VCNのアタッチされているDRGがターゲットとして自動的に選択されるため、ターゲットを自分で指定する必要はありません。
- 宛先CIDRブロック:オンプレミス・ネットワークのCIDR (この例では10.0.0.0/16)。
- 説明: ルールのオプションの説明。
- タグ: タグ情報はそのままにします。
- 「ルート表の作成」を選択します。
ルート表が作成され、ページに表示されます。ただし、ルート表は、サブネットの作成時にサブネットに関連付けないかぎり何も行いません(タスク2fを参照)。
デフォルトでは、すべてのポートおよびプロトコルで、VCN内のインスタンスの受信トラフィックがDENYに設定されます。このタスクでは、基本的な必須のネットワーク・トラフィックを許可する2つのイングレス・ルールと1つのエグレス・ルールを設定します。VCNには、デフォルト・ルール・セットを含むデフォルト・セキュリティ・リストが用意されています。ただし、このタスクでは、オンプレミス・ネットワークとのトラフィックに焦点を当てた、より限定的なルール・セットを含めて個別のセキュリティ・リストを作成します。タスク2fでサブネットを作成するとき、このセキュリティ・リストをサブネットに関連付けます。
| 宛先CIDR | ルート表 |
|---|---|
| 10.0.0.0/16 | DRG |
| イングレス/エグレス | CIDR | プロトコル: ポート |
|---|---|---|
| イングレス | 10.0.0.0/16 | TCP: 22 |
| イングレス | 10.0.0.0/16 | ICMP: すべて |
| エグレス | 10.0.0.0/16 | TCP: すべて |
次の手順で、セキュリティ・リスト・ルールで指定するオンプレミスCIDRが、前のタスクのルート・ルールで指定したCIDRと同じ(またはそれより小さい)ことを確認してください。そうでない場合、セキュリティ・リストによってトラフィックがブロックされます。
- VCNの表示中に、ページの左側にある「セキュリティ・リスト」を選択します。
- 「セキュリティ・リストの作成」を選択します。
-
次の値を入力します。
- 名前: セキュリティ・リストのわかりやすい名前。名前は必ずしも一意である必要はありませんが、後でコンソールで変更することはできません(ただし、APIで変更できます)。機密情報の入力は避けてください。
- コンパートメントに作成: そのままにします。
-
「イングレスのルールを許可」セクションで、「イングレス・ルールの追加」を選択し、イングレス・ルールの次の値を入力して、TCPポート22でオンプレミス・ネットワークからの受信SSHを許可します:
- ソース・タイプ: CIDR
- ソースCIDR:オンプレミス・ネットワークのCIDR (この例では10.0.0.0/16)
- IPプロトコル: TCP。
- ソース・ポート範囲: そのままにします(デフォルトの「すべて」)。
- 宛先ポート範囲: 22 (SSHトラフィック用)。
- 説明: ルールのオプションの説明。
-
「エグレス・ルールの許可」セクションで、「エグレス・ルールの追加」を選択し、エグレス・ルールの次の値を入力します。これにより、すべてのポートでオンプレミス・ネットワークへの送信TCPトラフィックが許可されます:
- 宛先タイプ: CIDR
- 宛先CIDR:オンプレミス・ネットワークのCIDR (この例では10.0.0.0/16)。
- IPプロトコル: TCP。
- ソース・ポート範囲: そのままにします(デフォルトの「すべて」)。
- 宛先ポート範囲: そのままにします(デフォルトの「すべて」)。
- 説明: ルールのオプションの説明。
- タグ情報はそのままにします。
- 「セキュリティ・リストの作成」を選択します。
セキュリティ・リストが作成され、ページに表示されます。ただし、セキュリティ・リストは、サブネットの作成時にサブネットに関連付けないかぎり何も行いません(タスク2fを参照)。
このタスクでは、VCN内にサブネットを作成します。通常、サブネットにはVCNのCIDRより小さいCIDRブロックがあります。このサブネット内に作成したインスタンスはいずれも、オンプレミス・ネットワークにアクセスできます。リージョナル・サブネットを使用することをお薦めします。ここでは、リージョナル・プライベート・サブネットを作成します。
| 宛先CIDR | ルート表 |
|---|---|
| 10.0.0.0/16 | DRG |
| イングレス/エグレス | CIDR | プロトコル: ポート |
|---|---|---|
| イングレス | 10.0.0.0/16 | TCP: 22 |
| イングレス | 10.0.0.0/16 | ICMP: すべて |
| エグレス | 10.0.0.0/16 | TCP: すべて |
- VCNの表示中に、ページの左側にある「サブネット」を選択します。
- 「サブネットの作成」を選択します。
-
次の値を入力します。
- 名前: サブネットのわかりやすい名前。必ずしも一意である必要はありませんが、後でコンソールで変更することはできません(ただし、APIで変更できます)。機密情報の入力は避けてください。
- リージョナルまたはAD固有のサブネット: 「リージョナル」ラジオ・ボタンを選択します。リージョナル・サブネットを使用することをお薦めします。
- CIDRブロック: サブネットの単一の連続CIDRブロック(172.16.0.0/24など)。クラウド・ネットワークのCIDRブロック内に存在する必要があり、他のサブネットと重複することはできません。この値は後で変更できません。許容されるVCNのサイズとアドレス範囲を参照してください。参照用として、CIDR計算機を使用してください。
- IPv6アドレス割当ての有効化: このオプションは、VCNがIPv6に対してすでに有効になっている場合にのみ使用できます。IPv6アドレス指定は、すべての商用リージョンおよび政府リージョンでサポートされています。詳細は、IPv6アドレスを参照してください。
- ルート表: 以前に作成したルート表。
- プライベート・サブネット: このオプションを選択します。詳細は、インターネットへのアクセスを参照してください。
- このサブネットでDNSホスト名を使用: そのままにします(選択済)。
- DHCPオプション: サブネットに関連付けるDHCPオプションのセット。VCNにデフォルトのDHCPオプション・セットを選択します。
- セキュリティ・リスト: 以前に作成したセキュリティ・リスト。
- タグ: そのままにします。必要に応じて後でタグを追加できます。詳細は、リソース・タグを参照してください。
- 「サブネットの作成」を選択します。
サブネットが作成され、ページに表示されます。これで、この例の基本的なVCNが設定され、サイト間VPNの残りのコンポーネントを作成できます。
このタスクでは、実際のCPEデバイスの仮想表現であるCPEオブジェクトを作成します。CPEオブジェクトはテナンシのコンパートメントに存在します。Site-to-Site VPNを構成する場合、CPEオブジェクトの構成と一致するように、オンプレミス・ネットワークの実際のエッジ・デバイスの構成を変更する必要があります。
| 宛先CIDR | ルート表 |
|---|---|
| 10.0.0.0/16 | DRG |
| イングレス/エグレス | CIDR | プロトコル: ポート |
|---|---|---|
| イングレス | 10.0.0.0/16 | TCP: 22 |
| イングレス | 10.0.0.0/16 | ICMP: すべて |
| エグレス | 10.0.0.0/16 | TCP: すべて |
- ナビゲーション・メニューを開き、「ネットワーキング」を選択します。「顧客接続」で、「顧客構内機器」を選択します。
- 「顧客構内機器の作成」を選択します。
-
次の値を入力します。
- 名前: CPEオブジェクトのわかりやすい名前。必ずしも一意である必要はありませんが、後でコンソールで変更することはできません(ただし、APIで変更できます)。機密情報の入力は避けてください。
- IPアドレス: VPNのオンプレミス側にある実際のCPE/エッジ・デバイスのパブリックIPアドレス(開始する前にで収集する情報のリストを参照してください)。
- FastConnectに対するIPSecの有効化: (オプション) IPSec over FastConnect機能を構成する場合にのみ、このオプションを選択します。このオプションを有効にすると、CPE IKE識別子として使用されるIPアドレスはパブリックまたはプライベートにできるため、次のフィールドのラベルがIPアドレスに変わります。このオプションを選択すると、CPE IPアドレスがインターネットを介して到達できず、プライベート・ピアリングを介してのみ到達可能であることがOracleに通知されます。
- パブリックIPアドレス: VPNのオンプレミス端にある実際のCPE/エッジ・デバイスのパブリックIPアドレス(開始する前に収集する情報のリストを参照してください)。
- タグ: そのままにします。必要に応じて後でタグを追加できます。詳細は、リソース・タグを参照してください。
- 「CPEの作成」を選択します。
CPEオブジェクトが作成され、ページに表示されます。
このタスクでは、IPSecトンネルを作成し、それに対するルーティングのタイプ(BGP動的ルーティングまたは静的ルーティング)を構成します。
Oracleでは、FastConnectを介してIPSecに対してBGPルートベースのIPSec接続を使用することをお薦めします。
この例では、BGP動的ルーティングを使用するように両方のトンネルを構成します。
| 宛先CIDR | ルート・ターゲット |
|---|---|
| 10.0.0.0/16 | DRG |
| 宛先CIDR | 権限 |
|---|---|
| 10.0.0.0/16 | 許可 |
| コールアウト | 機能 | IP |
|---|---|---|
| 3 | CPEパブリックIPアドレス | 142.34.145.37 |
| 4a | トンネル1 BGP: トンネル内インタフェース |
CPE - 10.0.0.16/31 Oracle - 10.0.0.17/31 |
| 4b | トンネル2 BGP: トンネル内インタフェース |
CPE - 10.0.0.18/31 Oracle - 10.0.0.19/31 |
| 5 |
トンネル1 Oracle VPN IPアドレス: |
129.213.240.50 |
| 6 |
トンネル2 Oracle VPN IPアドレス: |
129.213.240.53 |
- ナビゲーション・メニューを開き、「ネットワーキング」を選択します。「顧客接続」で、「サイト間VPN」を選択します。
- 「IPSec接続の作成」をクリックします。
-
次の値を入力します。
- 名前: IPSec接続のわかりやすい名前を入力します。一意である必要はなく、後で変更できます。機密情報の入力は避けてください。
- コンパートメントに作成: そのままにします(VCNのコンパートメント)。
- 顧客構内機器: 以前に作成したCPEオブジェクトを選択します。IPSec over FastConnectを構成する場合、選択するCPEには、そのCPEに対してIPSec over FastConnectが有効になっていることを確認するラベルが必要です。BGPルーティングは、FastConnectよりもIPSecを使用する接続に推奨されます。必要に応じて、CPEがNATデバイスの背後にあることを示すチェックボックスを選択します。チェック・ボックスが選択されている場合は、次の情報を指定します。
- CPE IKE識別子タイプ: Internet Key Exchange (IKE)がCPEデバイスの識別に使用する識別子のタイプを選択します。FQDNまたはIPv4アドレスのいずれかをidentifier.Oracleにできます。デフォルトでは、CPEのパブリックIPアドレスが使用されます。CPEがNATデバイスの背後にある場合は、別の値の入力が必要になることもあります。ここで新しい値を入力することも、後で値を変更することもできます。
- CPE IKE識別子: IKEがCPEデバイスの識別に使用する情報を入力します。
- 動的ルーティング・ゲートウェイ・コンパートメント: そのままにします(VCNのコンパートメント)。
- 動的ルーティング・ゲートウェイ: 以前に作成したDRGを選択します。
- オンプレミス・ネットワークへのルート:このIPSec接続ではBGP動的ルーティングが使用されるため、空白のままにします。以降のステップでは、BGPを使用するように2つのトンネルを構成します。
-
「トンネル1」(必須):
- 名前: トンネルのわかりやすい名前を入力します。一意である必要はなく、後で変更できます。機密情報の入力は避けてください。
- カスタム共有シークレットの指定(オプション): デフォルトでは、Oracleによりトンネルの共有シークレットが指定されます。指定する場合は、このチェック・ボックスを選択して共有シークレットを入力します。共有シークレットは後で変更できます。
- IKEバージョン: このトンネルに使用するInternet Key Exchange (IKE)バージョン。「IKEv2」は、CPEでサポートされている場合にのみ選択してください。また、このトンネルにIKEv2のみを使用するようにCPEを構成する必要があります。
- ルーティング・タイプ: 「BGP動的ルーティング」を選択します。
- 選択したCPEがIPSec over FastConnectをサポートしている場合は、次の設定が必要です:
- Oracleトンネル・ヘッドエンドIP: Oracle IPSecトンネル・エンドポイント(VPNヘッドエンド)のIPアドレスを入力します。Oracleは、FastConnect BGPセッションを介して、VPN IPを/32ホスト・ルートとしてアドバタイズします。VCNルートと重複するアドレスがある場合、接頭辞の一致が最も長いため、これが優先されます。
- 関連付けられた仮想回線:作成時にFastConnectを介してIPSecに対して有効化された仮想回線を選択します。トンネルは選択した仮想回線にマップされ、定義されたヘッドエンドIPは、関連付けられた仮想回線を介してオンプレミスからのみアクセス可能になります。
- DRGルート表: DRGルート表を選択または作成します。再帰的ルーティングの問題を回避するには、FCを介したIPsecに使用される仮想回線アタッチメントとIPSecトンネル・アタッチメントで、異なるDRGルート表を使用する必要があります。
- BGP ASN: ネットワークのASNを入力します。
- IPv4トンネル内インタフェース- CPE:トンネルのCPE側にサブネット・マスク(/30または/31)を使用するBGP IPv4アドレスを入力します。例: 10.0.0.16/31。IPアドレスは、サイト間VPNの暗号化ドメインに属している必要があります。
- IPv4トンネル内インタフェース- Oracle:トンネルのOracle側にサブネット・マスク(/30または/31)を使用するBGP IPv4アドレスを入力します。例: 10.0.0.17/31。IPアドレスは、サイト間VPNの暗号化ドメインに属している必要があります。
- IPv6とIPv4の両方を使用する場合は、「IPv6の有効化」をクリックし、次の詳細を入力します:
- IPv6トンネル内インタフェース- CPE:トンネルのCPE終端のサブネット・マスク(/126)を使用してBGP IPv6アドレスを入力します。例: 2001:db2::6/126。IPアドレスは、サイト間VPNの暗号化ドメインに属している必要があります。
- IPv6トンネル内インタフェース- Oracle:トンネルのOracle終端のサブネット・マスク(/126)を使用してBGP IPアドレスを入力します。例: 2001:db2::7/126。IPアドレスは、サイト間VPNの暗号化ドメインに属している必要があります。
- 「拡張オプションの表示」をクリックすると、トンネル1の次の設定を変更できます:
- Oracle開始:この設定は、IPSec接続のOracle側でIPSecトンネルの起動を開始できるかどうかを示します。デフォルトは「イニエータまたはレスポンダ」です。また、CPEデバイスでIPSecトンネルを開始する必要があるレスポンダ専用になるようにOracle側を設定することもできます。Oracleでは、このオプションをデフォルト設定のままにすることをお薦めします。
- NAT-T有効:この設定は、CPEデバイスがNATデバイスの背後にあるかどうかを示します。デフォルトは「自動」です。その他のオプションは、「無効」および「有効」です。Oracleでは、このオプションをデフォルト設定のままにすることをお薦めします。
- デッド・ピア検出タイムアウトの有効化:このオプションをクリックすると、CPEへの接続の安定性を定期的にチェックし、CPEが停止したことを検出できます。このオプションを選択した場合、IPSec接続がCPEとの通信を失ったことを示す前の、CPEデバイス・ヘルス・メッセージ間の最も長い間隔を選択することもできます。デフォルトは20秒です。Oracleでは、このオプションをデフォルト設定のままにすることをお薦めします。
- 「フェーズ1 (ISAKMP)構成」セクションを展開し、「カスタム・オプションの設定」をクリックすると、次のオプション設定を設定できます(各オプションのいずれかを選択する必要があります):
- カスタム暗号化アルゴリズム:プルダウン・メニューのオプションから選択できます。
- カスタム認証アルゴリズム:プルダウン・メニューのオプションから選択できます。
- Diffie-Hellmanグループ:プルダウン・メニューのオプションから選択できます。
「カスタム構成の設定」チェック・ボックスが選択されていない場合は、デフォルト設定が提案されます。
デフォルト提案を含むこれらのオプションの詳細を理解するには、サポートされているIPSecパラメータを参照してください。
- IKEセッション・キー存続期間(秒):デフォルトは28800で、これは8時間に相当します。
- 「フェーズ2 (IPSec)構成」オプションを展開し、「カスタム・オプションの設定」をクリックすると、トンネル1の次のオプション設定を設定できます(暗号化アルゴリズムを選択する必要があります):
- カスタム暗号化アルゴリズム:プルダウン・メニューのオプションから選択できます。AES-CBC暗号化アルゴリズムを選択する場合は、認証アルゴリズムも選択する必要があります。
- カスタム認証アルゴリズム:プルダウン・メニューのオプションから選択できます。選択した暗号化アルゴリズムに組込みの認証がある場合は、選択可能なオプションはありません。
「カスタム構成の設定」チェック・ボックスが選択されていない場合は、デフォルト設定が提案されます。
すべてのフェーズ2オプションについて、1つのオプションを選択した場合、そのオプションはデフォルト・セットをオーバーライドし、CPEデバイスに提案される唯一のオプションになります。
- IPSecセッション・キー存続期間(秒):デフォルトは3600で、これは1時間に相当します。
- Perfectフォワード・シークレットの有効化:デフォルトでは、このオプションはオンです。これにより、「Perfect Forward Secrecy Diffie-Hellmanグループ」を選択できます。プルダウン・メニューのオプションから選択できます。選択しない場合、GROUP5が提案されます。
- 「トンネル2」タブでは、トンネル1で説明したものと同じです。また、別のオプションを選択するか、トンネルを未構成のままにすることもできます(CPEデバイスでサポートされるトンネルは1つのみであるため)。
- 「タグ・オプションの表示」をクリックして、IPSec接続のタグを今すぐ追加するか、後で追加できます。詳細は、リソース・タグを参照してください。
-
「IPSec接続の作成」をクリックします。
IPSec接続が作成され、ページに表示されます。これは、短い間「プロビジョニング中」状態になります。
表示されるトンネル情報には次のものが含まれます:
- (Oracle VPNヘッドエンドの) Oracle VPN IPv4またはIPv6アドレス。
- トンネルのIPSecステータス(可能な値は「稼働中」、「停止中」および「メンテナンスのための停止」です)。この時点でのステータスは「停止中」です。1つ以上のトンネルを確立する前に、ネットワーク・エンジニアがCPEデバイスを構成する必要があります。
- トンネルのBGPステータス。この時点でのステータスは「停止中」です。ネットワーク・エンジニアがCPEデバイスを構成する必要があります。
トンネルの共有シークレットを表示するには、トンネルをクリックしてその詳細を表示してから、「共有シークレット」の横にある「表示」をクリックします。
「フェーズの詳細」タブをクリックして、トンネルのフェーズ1 (ISAKMP)およびフェーズ2 (IPSec)の詳細を表示することもできます。
-
各トンネルのOracle VPN IPアドレスと共有シークレットを、CPEデバイスを構成するネットワーク・エンジニアに提供できるように、電子メールまたはその他の場所にコピーします。
このトンネル情報は、コンソールのこの場所でいつでも確認できます。
これで、サイト間VPNに必要なすべてのコンポーネントを作成しました。次に、ネットワーク・トラフィックがオンプレミス・ネットワークとVCNの間を流れるようになるには、ネットワーク・エンジニアがCPEデバイスを構成する必要があります。
Oracleでは、FastConnectを介してIPSecに対してBGPルートベースのIPSec接続を使用することをお薦めします。
| 宛先CIDR | ルート表 |
|---|---|
| 10.0.0.0/16 | DRG |
| イングレス/エグレス | CIDR | プロトコル: ポート |
|---|---|---|
| イングレス | 10.0.0.0/16 | TCP: 22 |
| イングレス | 10.0.0.0/16 | ICMP: すべて |
| エグレス | 10.0.0.0/16 | TCP: すべて |
| トンネル | Oracle側IPアドレス | オンプレミス側IPアドレス |
|---|---|---|
| トンネル1 | 10.0.0.17/31 | 10.0.0.16/31 |
| トンネル2 | 10.0.0.19/31 | 10.0.0.18/31 |
- ナビゲーション・メニューを開き、「ネットワーキング」を選択します。「顧客接続」で、「サイト間VPN」を選択します。
- 「IPSec接続の作成」をクリックします。
-
次の値を入力します。
- コンパートメントに作成: そのままにします(VCNのコンパートメント)。
- 名前: IPSec接続のわかりやすい名前を入力します。一意である必要はなく、後で変更できます。機密情報の入力は避けてください。
- 顧客構内機器コンパートメント: そのままにします(VCNのコンパートメント)。
- 顧客構内機器: 以前に作成したCPEオブジェクトを選択します。IPSec over FastConnectを構成する場合、選択するCPEには、そのCPEに対してIPSec over FastConnectが有効になっていることを確認するラベルが必要です。IPSec over FastConnectは、静的ルーティングを使用する接続に使用できますが、お薦めしません。
- 動的ルーティング・ゲートウェイ・コンパートメント: そのままにします(VCNのコンパートメント)。
- 動的ルーティング・ゲートウェイ: 以前に作成したDRGを選択します。
- 静的ルートCIDR: 少なくとも1つの静的ルートCIDRを入力します(開始する前にで収集する情報のリストを参照してください)。この例では、10.0.0.0/16と入力します。最大10の静的ルートを入力でき、後から静的ルートを変更することもできます。
- 「拡張オプションの表示」をクリックします。
- 「CPE IKE識別子」タブ(オプション): Oracleでは、デフォルトでCPEのパブリックIPアドレスが使用されます。CPEがNATデバイスの背後にある場合は、別の値の入力が必要になることもあります。ここで新しい値を入力することも、後で値を変更することもできます。
-
「トンネル1」タブ(オプション):
- トンネル名: トンネルのわかりやすい名前を入力します。一意である必要はなく、後で変更できます。機密情報の入力は避けてください。
- カスタム共有シークレットの指定(オプション): デフォルトでは、Oracleによりトンネルの共有シークレットが指定されます。指定する場合は、このチェック・ボックスを選択して共有シークレットを入力します。共有シークレットは後で変更できます。
- IKEバージョン: このトンネルに使用するInternet Key Exchange (IKE)バージョン。「IKEv2」は、CPEでサポートされている場合にのみ選択してください。また、このトンネルにIKEv2のみを使用するようにCPEを構成する必要があります。
- ルーティング・タイプ: 「静的ルーティング」のラジオ・ボタンを選択されたままにします。
- トンネル内インタフェース - CPE (オプション): トンネルのトラブルシューティングまたはモニタリングの目的で、トンネルのCPE側にサブネット・マスク(/30または/31)を使用するIPアドレスを入力できます。例: 10.0.0.16/31。IPアドレスは、サイト間VPNの暗号化ドメインに属している必要があります。
- トンネル内インタフェース - Oracle (オプション): トンネルのトラブルシューティングまたはモニタリングの目的で、トンネルのOracle側にサブネット・マスク(/30または/31)を使用するIPアドレスを入力できます。例: 10.0.0.17/31。IPアドレスは、サイト間VPNの暗号化ドメインに属している必要があります。
-
「トンネル2」タブ(オプション):
- トンネル名: トンネルのわかりやすい名前を入力します。一意である必要はなく、後で変更できます。機密情報の入力は避けてください。
- カスタム共有シークレットの指定(オプション): デフォルトでは、Oracleによりトンネルの共有シークレットが指定されます。指定する場合は、このチェック・ボックスを選択して共有シークレットを入力します。共有シークレットは後で変更できます。
- IKEバージョン: このトンネルに使用するInternet Key Exchange (IKE)バージョン。「IKEv2」は、CPEでサポートされている場合にのみ選択してください。また、このトンネルにIKEv2のみを使用するようにCPEを構成する必要があります。
- ルーティング・タイプ: 「静的ルーティング」のラジオ・ボタンを選択されたままにします。
- トンネル内インタフェース - CPE (オプション): トンネルのトラブルシューティングまたはモニタリングの目的で、トンネルのCPE側にサブネット・マスク(/30または/31)を使用するIPアドレスを入力できます。トンネル1とは異なるIPアドレスを使用してください。例: 10.0.0.18/31。IPアドレスは、サイト間VPNの暗号化ドメインに属している必要があります。
- トンネル内インタフェース - Oracle (オプション): トンネルのトラブルシューティングまたはモニタリングの目的で、トンネルのOracle側にサブネット・マスク(/30または/31)を使用するIPアドレスを入力できます。トンネル1とは異なるIPアドレスを使用してください。例: 10.0.0.19/31。IPアドレスは、サイト間VPNの暗号化ドメインに属している必要があります。
- タグ: そのままにします。必要に応じて後でタグを追加できます。詳細は、リソース・タグを参照してください。
-
「IPSec接続の作成」をクリックします。
IPSec接続が作成され、ページに表示されます。これは、短い間「プロビジョニング中」状態になります。
表示されるトンネル情報には次のものが含まれます:
- (Oracle VPNヘッドエンドの) Oracle VPN IPアドレス。
- トンネルのIPSecステータス(可能な値は「稼働中」、「停止中」および「メンテナンスのための停止」です)。この時点でのステータスは「停止中」です。まだ、ネットワーク・エンジニアがCPEデバイスを構成する必要があります。
トンネルの共有シークレットを表示するには、トンネルをクリックしてその詳細を表示してから、「共有シークレット」の横にある「表示」をクリックします。
-
各トンネルのOracle VPN IPアドレスと共有シークレットを、CPEデバイスを構成するネットワーク・エンジニアに提供できるように、電子メールまたはその他の場所にコピーします。
このトンネル情報は、コンソールのこの場所でいつでも確認できます。
これで、サイト間VPNに必要なすべてのコンポーネントを作成しました。次に、ネットワーク・トラフィックがオンプレミス・ネットワークとVCNの間を流れるようになるには、ネットワーク・エンジニアがCPEデバイスを構成する必要があります。
詳細は、CPE構成を参照してください。
Oracleでは、FastConnectを介してIPSecに対してBGPルートベースのIPSec接続を使用することをお薦めします。
ポリシーベースのルーティング・オプションはすべてのADで使用できるわけではなく、新しいIPSecトンネルの作成が必要になる場合があります。
- ナビゲーション・メニューを開き、「ネットワーキング」を選択します。「顧客接続」で、「サイト間VPN」を選択します。
- 「IPSec接続の作成」をクリックします。
-
次の値を入力します。
- コンパートメントに作成: そのままにします(VCNのコンパートメント)。
- 名前: IPSec接続のわかりやすい名前を入力します。一意である必要はなく、後で変更できます。機密情報の入力は避けてください。
- 顧客構内機器コンパートメント: そのままにします(VCNのコンパートメント)。
- 顧客構内機器: 以前に作成したCPEオブジェクトを選択します。IPSec over FastConnectを構成する場合、選択するCPEには、そのCPEに対してIPSec over FastConnectが有効になっていることを確認するラベルが必要です。IPSec over FastConnectは、ポリシーベースのルーティングを使用する接続に使用できますが、お薦めしません。
- 動的ルーティング・ゲートウェイ・コンパートメント: そのままにします(VCNのコンパートメント)。
- 動的ルーティング・ゲートウェイ: 以前に作成したDRGを選択します。
- 静的ルートCIDR: 少なくとも1つの静的ルートCIDRを入力します(開始する前にで収集する情報のリストを参照してください)。この例では、10.0.0.0/16と入力します。最大10の静的ルートを入力でき、後から静的ルートを変更することもできます。
- 「拡張オプションの表示」をクリックします。
- 「CPE IKE識別子」タブ(オプション): Oracleでは、デフォルトでCPEのパブリックIPアドレスが使用されます。CPEがNATデバイスの背後にある場合は、別の値の入力が必要になることもあります。ここで新しい値を入力することも、後で値を変更することもできます。
-
「トンネル1」タブ(オプション):
- トンネル名: トンネルのわかりやすい名前を入力します。一意である必要はなく、後で変更できます。機密情報の入力は避けてください。
- カスタム共有シークレットの指定(オプション): デフォルトでは、Oracleによりトンネルの共有シークレットが指定されます。指定する場合は、このチェック・ボックスを選択して共有シークレットを入力します。共有シークレットは後で変更できます。
- IKEバージョン: このトンネルに使用するInternet Key Exchange (IKE)バージョン。「IKEv2」は、CPEでサポートされている場合にのみ選択してください。また、このトンネルにIKEv2のみを使用するようにCPEを構成する必要があります。
- ルーティング・タイプ: ポリシーベースのルーティングのラジオ・ボタンを選択します。
- オンプレミス:オンプレミス・ネットワーク内のリソースによって使用される複数のIPv4 CIDRまたはIPv6接頭辞ブロックを、CPEデバイス・ポリシーによって決定されるルーティングに指定できます。
- Oracle Cloud: VCN内のリソースが使用する複数のIPv4 CIDRまたはIPv6接頭辞ブロックを指定できます。
- トンネル内インタフェース - CPE (オプション): トンネルのトラブルシューティングまたはモニタリングの目的で、トンネルのCPE側にサブネット・マスク(/30または/31)を使用するIPアドレスを入力できます。例: 10.0.0.16/31。IPアドレスは、サイト間VPNのいずれかの暗号化ドメインに属している必要があります。
- トンネル内インタフェース - Oracle (オプション): トンネルのトラブルシューティングまたはモニタリングの目的で、トンネルのOracle側にサブネット・マスク(/30または/31)を使用するIPアドレスを入力できます。例: 10.0.0.17/31。IPアドレスは、サイト間VPNのいずれかの暗号化ドメインに属している必要があります。
-
「トンネル2」タブ(オプション):
- トンネル名: トンネルのわかりやすい名前を入力します。一意である必要はなく、後で変更できます。機密情報の入力は避けてください。
- カスタム共有シークレットの指定(オプション): デフォルトでは、Oracleによりトンネルの共有シークレットが指定されます。指定する場合は、このチェック・ボックスを選択して共有シークレットを入力します。共有シークレットは後で変更できます。
- IKEバージョン: このトンネルに使用するInternet Key Exchange (IKE)バージョン。「IKEv2」は、CPEでサポートされている場合にのみ選択してください。また、このトンネルにIKEv2のみを使用するようにCPEを構成する必要があります。
- ルーティング・タイプ: ポリシーベースのルーティングのラジオ・ボタンを選択します。
- オンプレミス:オンプレミス・ネットワーク内のリソースによって使用される複数のIPv4 CIDRまたはIPv6接頭辞ブロックを、CPEデバイス・ポリシーによって決定されるルーティングに指定できます。
- Oracle Cloud: VCN内のリソースが使用する複数のIPv4 CIDRまたはIPv6接頭辞ブロックを指定できます。
- トンネル内インタフェース - CPE (オプション): トンネルのトラブルシューティングまたはモニタリングの目的で、トンネルのCPE側にサブネット・マスク(/30または/31)を使用するIPアドレスを入力できます。例: 10.0.0.16/31。IPアドレスは、サイト間VPNのいずれかの暗号化ドメインに属している必要があります。
- トンネル内インタフェース - Oracle (オプション): トンネルのトラブルシューティングまたはモニタリングの目的で、トンネルのOracle側にサブネット・マスク(/30または/31)を使用するIPアドレスを入力できます。例: 10.0.0.17/31。IPアドレスは、サイト間VPNのいずれかの暗号化ドメインに属している必要があります。
- タグ: そのままにします。必要に応じて後でタグを追加できます。詳細は、リソース・タグを参照してください。
-
「IPSec接続の作成」をクリックします。
IPSec接続が作成され、ページに表示されます。これは、短い間「プロビジョニング中」状態になります。
表示されるトンネル情報には次のものが含まれます:
- (Oracle VPNヘッドエンドの) Oracle VPN IPアドレス。
- トンネルのIPSecステータス(可能な値は「稼働中」、「停止中」および「メンテナンスのための停止」です)。この時点でのステータスは「停止中」です。まだ、ネットワーク・エンジニアがCPEデバイスを構成する必要があります。
トンネルの共有シークレットを表示するには、トンネルをクリックしてその詳細を表示してから、「共有シークレット」の横にある「表示」をクリックします。
-
各トンネルのOracle VPN IPアドレスと共有シークレットを電子メールまたはその他の場所にコピーして、CPEデバイスを構成するネットワーク・エンジニアに提供します。
このトンネル情報は、コンソールのこの場所でいつでも確認できます。
これで、サイト間VPNに必要なすべてのコンポーネントを作成しました。次に、ネットワーク・トラフィックがオンプレミス・ネットワークとVCNの間を流れるようになるには、ネットワーク・エンジニアがCPEデバイスを構成する必要があります。
詳細は、CPE構成を参照してください。
CPE構成ヘルパーを使用して、ネットワーク・エンジニアがCPEの構成に使用できる構成コンテンツを生成します。
コンテンツには次の項目が含まれます:
- 各IPSecトンネルのOracle VPN IPアドレスおよび共有シークレット。
- サポートされているIPSecパラメータ値。
- VCNに関する情報。
- CPE固有の構成情報。
詳細は、CPE構成ヘルパーの使用を参照してください。
ネットワークエンジニアに次の項目を提供します。
- CPE構成ヘルパーによって生成されたコンテンツ。
- Oracleでサポートされる一般的なIPSecパラメータ。
1つのトンネルに障害が発生した場合や、Oracleがメンテナンスのために1つのトンネルを停止した場合に備えて、必ずネットワーク・エンジニアに両方のトンネルをサポートするようにCPEデバイスを構成してもらってください。BGPを使用している場合は、サイト間VPNのルーティングを参照してください。
ネットワーク・エンジニアがCPEデバイスを構成した後は、トンネルのIPSecステータスが「稼働中」で緑色になっていることを確認できます。次に、VCN内のサブネットにLinuxインスタンスを作成できます。次に、SSHを使用して、オンプレミス・ネットワーク内のホストからインスタンスのプライベートIPアドレスに接続します。詳細は、インスタンスの作成を参照してください。
複数の地理領域を使用したレイアウトの例
次の図は、次の構成の別の例を示しています。
- それぞれがVCNに接続する、別々の地理的領域の2つのネットワーク
- 各領域に1つのCPEデバイス
- 2つのIPSec VPN (各CPEデバイスに1つずつ)
各サイト間VPNには2つのルートが関連付けられています。1つは特定の地理的領域のサブネット用、もう1つはデフォルトの0.0.0.0/0ルートです。Oracleは、各トンネルに使用可能なルートについて学習します。(トンネルでBGPが使用されている場合は) BGP経由のルート、または(トンネルで静的ルーティングが使用されている場合は) IPSec接続の静的ルートとして設定したルートです。
| 宛先CIDR | ルート・ターゲット |
|---|---|
| 10.20.0.0/16 | DRG |
| 0.0.0.0/0 | DRG |
| 宛先CIDR | ルート・ターゲット |
|---|---|
| 10.40.0.0/16 | DRG |
| 0.0.0.0/0 | DRG |
0.0.0.0/0ルートで柔軟性が得られる状況の例を次にいくつか示します:
- CPE 1デバイスが停止したとします(次の図を参照)。サブネット1とサブネット2が相互に通信できる場合、CPE 2に移動する0.0.0.0/0ルートのため、VCNはサブネット1のシステムに到達する可能性があります。
-
組織がサブネット3を含む新しい地理領域を追加し、最初はそれをサブネット2に接続する場合(次の図を参照)。サブネット3のVCNのルート表にルート・ルールを追加した場合、CPE 2に移動する0.0.0.0/0ルートのため、VCNはサブネット3のシステムに到達する可能性があります。
コールアウト1: VCNルート表 宛先CIDR ルート・ターゲット 10.20.0.0/16 DRG 10.40.0.0/16 DRG 10.60.0.0/16 DRG
PATを使用したレイアウトの例
次の図は、この構成を使用した例を示しています:
- それぞれがVCNに接続する、別々の地理的領域の2つのネットワーク
- 冗長CPEデバイス(各地理領域内に2つ)
- 4つのIPSec VPN (各CPEデバイスに1つずつ)
- 各CPEデバイスのポート・アドレス変換(PAT)
4つの接続それぞれについて、Oracleが知る必要のあるルートは、特定のCPEデバイスのPAT IPアドレスです。Oracleは、各トンネルのPAT IPアドレス・ルートについて学習しますルートは、BGPを介して(トンネルでBGPが使用されている場合は)、または(トンネルで静的ルーティングが使用されている場合は) IPSec接続の静的ルートとして設定した関連アドレスです。
VCNのルート・ルールを設定する際には、DRGをルールのターゲットとして、各PAT IPアドレスのルール(または、すべてをカバーする集約CIDR)を指定します。
| 宛先CIDR | ルート・ターゲット |
|---|---|
| PAT IP 1 | DRG |
| PAT IP 2 | DRG |
| PAT IP 3 | DRG |
| PAT IP 4 | DRG |