Oracle Cloud Infrastructureドキュメント

Cisco ASA: ポリシー・ベース

この項では、9.7.0.にソフトウェア・バージョン8.5を実行しているCisco ASAのポリシーベースの構成を示します。

注意として、OracleではASAソフトウェアに基づいて異なる構成が提供されます:

  • 9.7.1以降: ルート・ベースの構成
  • 8.5から9.7.0: ポリシー・ベースの構成(このトピック)
  • 8.5より古い: Oracleの構成指示ではサポートされません。 新しいバージョンにアップグレードすることを検討してください。
重要

Oracleでは、相互運用性の問題を回避し、単一のCisco ASAデバイスとのトンネル冗長性を実現するために、「ルート・ベースの構成」の使用を推奨しています。

Cisco ASAでは、9.7.1より古いソフトウェア・バージョンのルーティング・ベース構成はサポートされていません。 最適な結果を得るには、デバイスでそれが許可されていれば、Oracleは、ルーティング・ベースの構成をサポートするソフトウェア・バージョンへのアップグレードを推奨しています。

ポリシー・ベースの構成では、Cisco ASAと動的ルーティング・ゲートウェイ(DRG)の間に1つのトンネルのみを構成できます。

「VPN接続」は、Oracle Cloud Infrastructureによって仮想クラウド・ネットワーク(VCN)にオンプレミス・ネットワークを接続するために提供されるIPSec VPNです。

次の図は、冗長なトンネルを使用した、Oracle Cloud Infrastructureへの基本的なIPSec接続を示しています。 この図のIPアドレスは例のみであり、リテラルでは使用しません。

このイメージは、オンプレミス・ネットワーク、VPN接続トンネルおよびVCNの一般的なレイアウトの概要を示しています。

重要

Oracleでは、「ベンダーおよびデバイス」のセットの構成手順を示します。 正しいベンダーに対してこの構成を使用してください。

構成の検証にOracleで使用されたデバイスまたはソフトウェアのバージョンが、デバイスまたはソフトウェアと完全に一致しない場合、構成が機能する可能性があります。 ベンダーのドキュメントを参照し、必要な調整を行います。

デバイスが、検証済のベンダーおよびデバイスのリストに含まれないベンダー用である場合、またはIPSecのデバイスの構成をよく理解している場合は、「サポートされているIPSecパラメータ」のリストを参照し、ベンダーのサポートについて問い合わせてください。

ベスト・プラクティス

この項では、「VPN接続」の使用に関するベスト・プラクティスと考慮事項について説明します。

Cisco ASA固有: VPNフィルタ

VPNフィルタにより、トンネルの開始前または終了後に、トラフィックをさらにフィルタできます。 異なるトラフィック・タイプまたはソース/宛先フローをフィルタ処理するために別の粒度が必要な場合は、VPNフィルタを使用します。 詳細は、Cisco 「VPNフィルタのドキュメント」を参照してください。

VPNフィルタ構成が、「CPE構成」セクションに表示される構成テンプレートに含まれていません。 VPNフィルタを使用するには、次の構成アイテムを手動で追加します。

  • アクセス制御リスト(ACL): VPNフィルタがトンネルを通して許可されるトラフィックを制限するために使用できるACLを作成します。 VPNフィルタにすでにACLが使用されている場合は、インタフェース・アクセス・グループにも使用しないでください。

    access-list ${vpnFilterAclName} extended permit ip ${VcnCidrNetwork} ${VcnCidrNetmask} ${onPremCidrNetwork} ${onPremCidrNetmask}
  • グループ・ポリシー: VPNフィルタをグループ・ポリシーに適用します。

    group-policy oracle-vcn-vpn-policy attributes
     vpn-filter value ${vpnFilterAclName}
  • トンネル・グループ: グループ・ポリシーをトンネル・グループに適用します。

    tunnel-group ${oracleHeadend1} general-attributes
     default-group-policy oracle-vcn-vpn-policy

すべてのIPSec接続のためのすべてのトンネルの構成

Oracleは、接続ごとに2つのIPSecヘッドエンドをデプロイし、ミッション・クリティカルなワークロードの高可用性を提供します。 Oracle側では、これらの2つのヘッドエンドが別々のルーターに配置されて冗長性が確保されています。 Oracleでは、最大の冗長性のために使用可能なすべてのトンネルを構成することをお薦めします。 これは"不良の設計"哲学の重要な要素です。

オンプレミス・ネットワークのロケーションに冗長のCPEがある

IPSecをOracle Cloud Infrastructureに接続する各サイトには、冗長なエッジ・デバイス(カスタマ設置機器(CPE))を使用する必要があります。 Oracle コンソールに各CPEを追加し、動的ルーティング・ゲートウェイ(DRG)と各CPE間に別のIPSec接続を作成します。 各IPSec接続について、Oracleは、地理的に冗長なIPSecヘッドエンドに2つのトンネルをプロビジョニングします。 詳細は、「接続性冗長性ガイド(PDF)」を参照してください。

ルーティング・プロトコルに関する考慮事項

IPSec VPNを作成すると、2つの冗長なIPSecトンネルが作成されます。 Oracleでは、両方のトンネルを使用するようにCPEを構成することをお薦めします(CPEでサポートされている場合)。 Oracleは、過去、最大4つのIPSecトンネルを持つIPSec VPNを作成していました。

次の2つのルーティング・タイプを使用でき、IPSec VPNの各トンネルに対して別個にルーティング・タイプを選択します:

  • BGP動的ルーティング: 使用可能なルートはBGPによって動的に学習されます。 DRGは、オンプレミス・ネットワークからルートを動的に学習します。 Oracle側では、DRGによってVCNサブネットが通知されます。
  • 静的ルーティング: DRGへのIPSec接続を設定する際に、VCNが認識する対象のオンプレミス・ネットワークに特定のルートを指定します。 また、VCNサブネットに静的ルートを持つCPEデバイスを構成する必要もあります。 これらのルートは、動的には学習されません。

BGP最適パス選択アルゴリズムの操作方法に関するOracleの推奨など、「VPN接続」を使用したルーティングの詳細は、「Oracle IPSec VPNのルーティング」を参照してください。

その他の重要なCPE構成

NATトラバーサル (NAT-T)が「VPN接続」トラフィックに対して無効であることを確認します。 NAT-Tは、Oracle Cloud Infrastructureでサポートされていません。

CPEに対するアクセス・リストが、Oracle Cloud Infrastructureとの間で必要なトラフィックをブロックしないように正しく構成されていることを確認します。

複数のトンネルが同時に存在する場合、VCNからのトラフィックをいずれかのトンネルで処理するようにCPEが構成されていることを確認します。 たとえば、ICMP検査を無効にしたり、TCPステート・バイパスを構成したりする必要があります。 適切な構成の詳細は、CPEベンダーのサポートにお問い合せください。

Cisco ASA固有: 注意事項および制限事項

この項では、Cisco ASA固有の重要な特性および制限について説明します。

トンネルMTUおよびパスMTU検出

Cisco ASAを使用してトンネルMTU検出とパスMTU検出をアドレス指定するには、2つのオプションがあります:

オプション1: TCP MSS調整

IPSecトンネルを通じた最大転送単位(パケット・サイズ)は1500バイト未満です。 トンネルを通して合致させるには大きすぎるパケットを断片化します。 または、小さいパケットを送信する必要のあるトンネルを通して通信しているホストに信号を返すことができます。

トンネル経由で新しいTCPフローの最大セグメント・サイズ(MSS)を変更するようにCisco ASAを構成できます。 ASAは、SYNフラグが設定されているTCPパケットを検索し、MSS値を構成済の値に変更します。 この構成は、新規TCPフローによるパスの最大転送単位検出(PMTUD)の使用を回避するのに役立ちます。

次のコマンドを使用して、MSSを変更します。 このコマンドは、このトピックの「CPE構成」セクションのサンプル構成には含まれていません。 必要に応じて、TCP MSS調整コマンドを手動で適用します。

sysopt connection tcpmss 1387

オプション2: 断片化しないビットのクリア/設定

パスMTU検出では、すべてのTCPパケットにDon't Fragment (DF)ビットが設定されている必要があります。 DFビットが設定されていて、パケットが大きすぎてトンネルを通過できない場合、ASAはパケットが到着するとパケットをドロップします。 ASAは、ICMPパケットを送信元に戻し、受信したパケットがトンネルに対して大きすぎたことを示します。 ASAには、DFビットを処理するための3つのオプションがあります。 いずれかのオプションを選択し、構成に適用します:

  • DFビットを設定する(推奨): パケットのIPヘッダーにはDFビットが設定されます。 元の受信パケットがDFビットをクリアした場合でも、ASAはパケットをフラグメントする可能性があります。

    crypto ipsec df-bit set-df ${outsideInterface}
  • DFビットをクリアします: DFビットはパケットIPヘッダーでクリアされます。 パケットが同じように断片化され、Oracle Cloud Infrastructureのエンド・ホストに送信されるようにします。

    crypto ipsec df-bit clear-df ${outsideInterface}
  • DFビットを無視(コピー)します: ASAは元のパケットIPヘッダー情報を調べ、DFビット設定をコピーします。

    crypto ipsec df-bit copy-df ${outsideInterface}

VPNトラフィックの混載を1つ入力して別のトンネルを終了

VPNトラフィックが、パケットの次のホップに対するインタフェースと同じセキュリティ・レベルでインタフェースに入っている場合は、そのトラフィックを許可する必要があります。 デフォルトでは、ASAに同じセキュリティ・レベルを持つインタフェース間のパケットは削除されます。

同じセキュリティ・レベルのインタフェース間のトラフィックを許可する必要がある場合は、次のコマンドを手動で追加します。 このコマンドは、「CPE構成」セクションのサンプル構成には含まれていません。

same-security-traffic permit inter-interface

一般的な注意事項および制限事項

この項では、「VPN接続」の一般的な特性と制限について説明します。

非対称ルーティング

Oracleでは、IPSec接続を構成する複数のトンネル間で非対称ルーティングが使用されます。 それに応じてファイアウォールを構成します。 そうしないと、接続を介したpingテストやアプリケーション・トラフィックが確実に機能しなくなります。

複数のトンネルをOracle Cloud Infrastructureに使用する場合は、Oracleによって、優先トンネルを通してトラフィックを永続的にルーティングするようにルーティングを構成することをお薦めします。 1つのIPSecトンネルをプライマリとして使用し、別のトンネルをバックアップとして使用する場合は、バックアップ・トンネル(BGP)用にセカンダリ固有のルート(サマリーまたはデフォルト・ルート)を、バックアップ・トンネル(BGP/静的)用に構成します。 それ以外の場合は、すべてのトンネルを通して同じルート(たとえば、デフォルト・ルート)を通知する場合、Oracleが非対称ルーティングを使用するため、VCNからオンプレミス・ネットワークにトラフィックを返します。

対称ルーティングを強制する方法の詳細は、「IPSec VPNの特定トンネルの優先順位」を参照してください。

ルート・ベースまたはポリシーベースのIPSec VPN

IPSecプロトコルは、セキュリティ関連付け(SAs)を使用してパケットを暗号化する方法を決定します。 各SA内では、パケットのソースおよび宛先のIPアドレスとプロトコル・タイプをSAデータベース内のエントリにマップする暗号化ドメインを定義して、パケットの暗号化または復号化の方法を定義します。

ノート

他のベンダーまたは業界のドキュメントでは、「プロキシID、セキュリティ・パラメータ索引(SPI)」または「トラフィック・セレクタ」という用語が、saまたは暗号化ドメインを参照している場合に使用されることがあります。

IPSecトンネルを実装するには、一般的に次の2つのメソッドがあります:

  • ルート・ベースのトンネル: 次のルーチン・ベースのトンネルとも呼ばれます。 パケット宛先IPアドレスでルート表参照が実行されます。 そのルートのエグレス・インタフェースがIPSecトンネルの場合、そのパケットは暗号化されてから、そのトンネルの反対側に送信されます。
  • ポリシーベースのトンネル: パケットのソースIPアドレスおよび宛先IPアドレスとプロトコルは、ポリシー文のリストと照合されます。 一致が見つかった場合、そのポリシー文のルールに基づいてパケットが暗号化されます。

Oracle VPNヘッドエンドは、ルート・ベースのトンネルを使用しますが、次の項にリストされているいくつかの警告を含むポリシーベースのトンネルを使用できます。

重要

Oracle VPNヘッドエンドは、単一の暗号化ドメインのみをサポートします。
ポリシーに複数のエントリが含まれる場合、トンネルはフラグを設定するか、または接続性に問題が発生し、その中で一度に1つのポリシーのみが機能します。

ルート・ベースのトンネル用の暗号化ドメイン
ポリシーベースのトンネルの暗号化ドメイン

CPEがNATデバイスの妨げになる場合

通常、接続の最後に構成されたCPE IKE識別子は、Oracleが使用しているCPE IKE識別子と一致している必要があります。 デフォルトでは、OracleではCPE 「パブリック」 IPアドレスが使用されます。このアドレスは、Oracle コンソールでCPEオブジェクトを作成したときに指定します。 ただし、CPEがNATデバイスより遅れている場合、次の図に示すように、最後に構成されたCPE IKE識別子がCPE「プライベート」IPアドレスになる場合があります。

このイメージは、NATデバイスの背後のCPE、パブリックIPアドレスとプライベートIPアドレス、およびCPE IKE識別子を示しています。

ノート

一部のCPEプラットフォームでは、ローカルIKE識別子を変更できません。
実行できない場合は、Oracle コンソールでリモートIKE IDを、CPEローカルIKE IDと一致するように変更する必要があります。 この値は、IPSec接続の設定時に指定することも、後でIPSec接続を編集して指定することもできます。 Oracleでは、値はcpe.example.comなどのIPアドレスまたは完全修飾ドメイン名(FQDN)のいずれかであると想定されています。 手順については、「Oracleで使用されるCPE IKE識別子の変更」を参照してください。

サポートされているIPSecパラメータ

すべてのリージョンでサポートされるIPSecパラメータのベンダー固有のリストについては、「サポートされるIPSecパラメータ」を参照してください。

商用クラウドのOracle BGP ASNは、31898です。 Government Cloud用に「VPN接続」を構成する場合は、「Government CloudのVPN接続パラメータが必要」および「OracleのBGP ASN」も参照してください。

CPE構成

重要

この項で説明する構成手順は、Oracle Cloud InfrastructureによってCPEに提供されています。 サポートが必要な場合は、CPEベンダーのサポートに直接お問い合せください。

次の図は、IPSec接続の基本レイアウトを示しています。

このイメージは、IPSec接続とトンネルの一般的なレイアウトをまとめたものです。

指定された構成テンプレートは、バージョン8.5のソフトウェア(以降)を実行するCisco ASA用です。

ノート

Cisco ASAバージョン9.7.1以降では、相互運用性の問題を回避するために推奨されるメソッドである「ルート・ベースの構成」がサポートされています。

単一のCisco ASAデバイスに対してトンネル冗長性を確保する場合は、ルート・ベース構成を使用する必要があります。 ポリシー・ベースの構成では、Cisco ASAと動的ルーティング・ゲートウェイ(DRG)の間に1つのトンネルのみを構成できます。

構成テンプレートは、次のアイテムを指定する必要があります:

  • CPEパブリックIPアドレス: CPE上の外部インタフェースに割り当てられるinternet-routable IPアドレス。 Oracle コンソールでCPEオブジェクトを作成するときに、Oracle管理者がこの値をOracleに提供します。
  • 内部トンネル・インタフェース(BGPを使用している場合に必要): 内部トンネル・インタフェースのCPEおよびOracle側のIPアドレス。 これらの値は、Oracle コンソールでIPSec接続を作成するときに指定します。
  • BGP ASN (BGPを使用する場合は必須): BGP ASN。

さらに、次のことが必要です:

  • CPEとローカル・ネットワーク間のトラフィックをルーティングする内部ルーティングを構成します。
  • ASAとOracle VCNの間のトラフィックを許可するようにします(次の構成テンプレートは、このアクセス・リストを変数${outboundAclName}と呼びます)。
  • 内部VPNグループ・ポリシーを特定します(次の構成テンプレートは、このグループ・ポリシーをoracle-vcn-vpn-policyとして参照しています)。
  • 暗号化マップに使用される変換セットを指定します(次の構成テンプレートはこの変換セットをoracle-vcn-transformとして参照します)。
  • 暗号化マップの名前と順序番号を指定します(次の構成テンプレートは、マップ名をoracle-vpn-map-v1および順序番号1として参照します)。
  • IP SLA連続pingの操作番号を特定する(次の構成テンプレートは操作番号1を使用)。
重要

Oracle Cloud Infrastructure 「CPEに適用する必要がある作業の開始ポイントです」の次の構成テンプレート。 各CPEデバイス構成の構文は、モデルおよびソフトウェアのバージョンによって異なります。 CPEモデルとバージョンを適切な構成テンプレートと比較してください。

テンプレートで参照されているパラメータの一部は、CPEに対して一意である必要があります。また、CPEにアクセスして一意性を判別することしかできません。 CPEに対してパラメータが有効であり、以前に構成した値が上書きされないことを確認してください。 特に、次の値が一意であることを確認してください:

  • ポリシー名または番号
  • 暗号化マップ名およびシーケンス番号

  • インタフェース名
  • リスト名または番号にアクセス(該当する場合)

構成テンプレートを全画面で表示して読みやすくします。

構成テンプレート

!-------------------------------------------------------------------------------------------------------------------------------------------------------------
! Configuration Template
! The configuration consists of a single IPSec tunnel.
!-------------------------------------------------------------------------------------------------------------------------------------------------------------
! The configuration template involves setting up the following:
! Access Lists
! ISAKMP Policy
! Base VPN Policy
! IPSec Configuration
! IPSec Tunnel Group Configuration
! IP Routing (BGP or Static)
! Optional: Disable NAT for VPN Traffic
!-------------------------------------------------------------------------------------------------------------------------------------------------------------
! The configuration template has various parameters that you must define before applying the configuration.
!-------------------------------------------------------------------------------------------------------------------------------------------------------------
! PARAMETERS REFERENCED:
! ${OracleInsideTunnelIpAddress1} = Inside tunnel IP address of Oracle-side for the first tunnel. You provide these values when creating the IPSec connection in the Oracle Console.
! ${bgpASN} = Your BGP ASN
! ${cpePublicIpAddress} = The public IP address for the CPE. This is the IP address of your outside interface
! ${outboundAclName} = ACL used to control traffic out of your inside and outside interfaces
! ${oracleHeadend1} = Oracle public IP endpoint obtained from the Oracle Console.
! ${sharedSecret1} = You provide when you set up the IPSec connection in the Oracle Console, or you can use the default Oracle-provided value.
! ${outsideInterface} = The public interface or outside of tunnel interface which is configured with the CPE public IP address.
! ${vcnCidrNetwork} = VCN IP range
! ${vcnCidrNetmask} = Subnet mask for VCN
! ${onPremCidrNetwork} = On-premises IP range
! ${onPremCidrNetmask} = ON-premises subnet mask
! ${cryptoMapAclName} = Name of ACL which will be associated with the IPSec security association.
! ${vcnHostIp} = IP address of a VCN host. Used for IP SLA continuous ping to maintain tunnel UP state.
!-------------------------------------------------------------------------------------------------------------------------------------------------------------
 
! Access Lists
 
! Permit Traffic Between Your ASA and Your Oracle VCN
! Assuming there is an access-list controlling traffic in and out of your Internet facing interface, you will need to permit traffic between your CPE and the Oracle VPN Headend
! WARNING: The new ACL entry you add to permit the traffic between your ASA and VPN headend needs to be above any deny statements you might have in your existing access-list
 
access-list ${outboundAclName} extended permit ip host ${oracleHeadend1} host ${cpePublicIpAddress}
 
! Crypto ACL
! Create an ACL named ${cryptoMapAclName} which will later be associated with the IPSec security association using the 'crypto-map' command. This will define which source/destination traffic needs to be encrypted and sent across the VPN tunnel.
! Keep this ACL to a single entry. In a policy based configuration each ACL line will establish a separate encryption domain.
! The single encryption domain used in this configuration sample will have a source/destination of any/VCN CIDR. Refer to the 'Encryption domain for policy-based tunnels' subsection for supported alternatives.
 
access-list ${cryptoMapAclName} extended permit ip any ${vcnCidrNetwork} ${vcnCidrNetmask}
 
! ISAKMP Policy
 
! ISAKMP Phase 1 configuration.
! IKEv1 is enabled on the outside interface.
! IKEv1 policy is created for Phase 1 which specifies to use a Pre-Shared Key, AES256, SHA1, Diffie-Hellman Group 5, and a Phase 1 lifetime of 28800 seconds (8 hours).
! If different parameters are required, modify this template before applying the configuration.
! WARNING: The IKEv1 group policy is created with a priority of 10. Make sure this doesn't conflict with any pre-existing configuration on your ASA.
 
crypto ikev1 enable outside
crypto ikev1 policy 10
 authentication pre-share
 encryption aes-256
 hash sha
 group 5
 lifetime 28800
 
! Base VPN Policy
 
! An internal VPN group policy named 'oracle-vcn-vpn-policy' is created to define some basic VPN tunnel settings
! Idle and session timeouts are disabled to maintain the tunnel UP state and tunnel protocol is set to IKEv1
 
group-policy oracle-vcn-vpn-policy internal
group-policy oracle-vcn-vpn-policy attributes
 vpn-idle-timeout none
 vpn-session-timeout none
 vpn-tunnel-protocol ikev1
 
! IPSec Configuration
 
! Create an IKEv1 transform set named 'oracle-vcn-transform' which defines a combination of IPSec (Phase 2) policy options. Specifically, AES256 for encryption and SHA1 for authentication.
! If different parameters are required, modify this template before applying the configuration.
 
crypto ipsec ikev1 transform-set oracle-vcn-transform esp-aes-256 esp-sha-hmac
 
! A crypto map is used to tie together the important traffic that needs encryption (via crypto map ACL) with defined security policies (from the transform set along with other crypto map statements), and the destination of the traffic to a specific crypto peer.
! In this configuration example, a single crypto map is created named 'oracle-vpn-map-v1' This crypto map references the previously created crypto map ACL, the 'oracle-vcn-transform' transform set and further defines PFS Group 5 and the security association lifetime to 3600 seconds (1 hour).
! WARNING: Make sure your crypto map name and sequence numbers do not overlap with existing crypto maps.
! WARNING: DO NOT use the 'originate-only' option with an Oracle IPSec VPN tunnel. It causes the tunnel's traffic to be inconsistently blackholed. The command is only for tunnels between two Cisco devices. Here's an example of the command that you should NOT use for the Oracle IPSec VPN tunnels: crypto map <map name> <sequence number> set connection-type originate-only
 
crypto map oracle-vpn-map-v1 1 match address ${cryptoMapAclName}
crypto map oracle-vpn-map-v1 1 set pfs group5
crypto map oracle-vpn-map-v1 1 set peer ${oracleHeadend1}
crypto map oracle-vpn-map-v1 1 set ikev1 transform-set oracle-vcn-transform
crypto map oracle-vpn-map-v1 1 set security-association lifetime seconds 3600
 
! WARNING: The below command will apply the 'oracle-vpn-map-v1' crypto map to the outside interface. The Cisco ASA supports a single crypto map per interface. Make sure no other crypto map is applied to the outside interface before using this command.
 
crypto map oracle-vpn-map-v1 interface outside
 
! IPSec Tunnel Group Configuration
 
! This configuration matches the group policy 'oracle-vcn-vpn-policy' with an Oracle VPN headend endpoint.
! The pre-shared key for each Oracle VPN headend is defined in the corresponding tunnel group.
 
tunnel-group ${oracleHeadend1} type ipsec-l2l
tunnel-group ${oracleHeadend1} general-attributes
 default-group-policy oracle-vcn-vpn-policy
tunnel-group ${oracleHeadend1} ipsec-attributes
 ikev1 pre-shared-key ${sharedSecret1}
 
! IP SLA Configuration
 
! The Cisco ASA doesn't establish a tunnel if there's no interesting traffic trying to pass through the tunnel.
! You must configure IP SLA on your device for a continuous ping so that the tunnel remains up at all times.
! You must allow ICMP on the outside interface.
! Make sure that the SLA monitor number used is unique.
 
sla monitor 1
 type echo protocol ipIcmpEcho ${vcnHostIp} interface outside
 frequency 5
sla monitor schedule 1 life forever start-time now
 
icmp permit any ${outsideInterface}
 
! IP Routing
! Pick either dynamic (BGP) or static routing. Uncomment the corresponding commands prior to applying configuration.
 
! Border Gateway Protocol (BGP) Configuration
! Uncomment below lines if you want to use BGP.
 
! router bgp ${bgpASN}
!  address-family ipv4 unicast
!   neighbor ${OracleInsideTunnelIpAddress1} remote-as 31898
!   neighbor ${OracleInsideTunnelIpAddress1} activate
!   network ${onPremCidrNetwork} mask ${onPremCidrNetmask}
!   no auto-summary
!   no synchronization
!  exit-address-family
 
! Static Route Configuration
! Uncomment below line if you want to use static routing.
  
! route outside ${VcnCidrNetwork} ${VcnCidrNetmask} ${OracleInsideTunnelIpAddress1}
 
! Disable NAT for VPN Traffic
 
! If you are using NAT for traffic between your inside and outside interfaces, you might need to disable NAT for traffic between your on-premises network and the Oracle VCN.
! Two objects are created for this NAT exemption. 'obj-OnPrem' represents the on-premises network as a default route, and 'obj-oracle-vcn-1' represents the VCN CIDR block used in Oracle Cloud Infrastructure.
! If different address ranges are required, modify this template before applying the configuration.
 
! object network obj-onprem
!  subnet 0.0.0.0 0.0.0.0
! object network obj-oracle-vcn-1
!  subnet ${vcnCidrNetwork} ${vcnCidrNetmask}
! nat (inside,outside) source static obj-onprem obj-onprem destination static obj-oracle-vcn-1 obj-oracle-vcn-1

検証

基本的なトラブルシューティングのために、次のASAコマンドが用意されています。 詳細は、Cisco 「IPSecのトラブルシューティング」のドキュメントを参照してください。

次のコマンドを使用して、ISAKMPセキュリティとの関連付けが2つのピア間で構築されていることを確認します。

show crypto isakmp sa

次のコマンドを使用して、すべてのBGP接続のステータスを確認します。

show bgp summary

次のコマンドを使用して、ASAルート表を確認します。

show route

モニタリングサービス」Oracle Cloud Infrastructureからも入手可能で、クラウド・リソースを積極的にモニターします。 「VPN接続」のモニターの詳細は、「VPN接続メトリック」で入手してください。

問題がある場合は、「VPN接続のトラブルシューティング」を参照してください。