Oracle Cloud Infrastructureドキュメント

Cisco ASA: ポリシー・ベース

この項では、9.7.0.にソフトウェア・バージョン8.5を実行しているCisco ASAのポリシーベースの構成を示します。

注意として、OracleではASAソフトウェアに基づいて異なる構成が提供されます:

  • 9.7.1以降: ルート・ベースの構成
  • 8.5から9.7.0: ポリシー・ベースの構成(このトピック)
  • 8.5より古い: Oracleの構成指示ではサポートされません。 新しいバージョンにアップグレードすることを検討してください。
重要

Oracleでは、相互運用性の問題を回避し、単一のCisco ASAデバイスとのトンネル冗長性を実現するために、「ルート・ベースの構成」の使用を推奨しています。

Cisco ASAでは、9.7.1より古いソフトウェア・バージョンのルーティング・ベース構成はサポートされていません。 最適な結果を得るには、デバイスでそれが許可されていれば、Oracleは、ルーティング・ベースの構成をサポートするソフトウェア・バージョンへのアップグレードを推奨しています。

ポリシー・ベースの構成では、Cisco ASAと動的ルーティング・ゲートウェイ(DRG)の間に1つのトンネルのみを構成できます。

「VPN接続」は、Oracle Cloud Infrastructureによって仮想クラウド・ネットワーク(VCN)にオンプレミス・ネットワークを接続するために提供されるIPSec VPNです。

次の図は、冗長なトンネルを使用した、Oracle Cloud Infrastructureへの基本的なIPSec接続を示しています。 この図のIPアドレスは例のみであり、リテラルでは使用しません。

このイメージは、オンプレミス・ネットワーク、VPN接続トンネルおよびVCNの一般的なレイアウトの概要を示しています。

重要

Oracleでは、「ベンダーおよびデバイス」のセットの構成手順を示します。 正しいベンダーに対してこの構成を使用してください。

構成の検証にOracleで使用されたデバイスまたはソフトウェアのバージョンが、デバイスまたはソフトウェアと完全に一致しない場合、構成が機能する可能性があります。 ベンダーのドキュメントを参照し、必要な調整を行います。

デバイスが、検証済のベンダーおよびデバイスのリストに含まれないベンダー用である場合、またはIPSecのデバイスの構成をよく理解している場合は、「サポートされているIPSecパラメータ」のリストを参照し、ベンダーのサポートについて問い合わせてください。

ベスト・プラクティス

この項では、「VPN接続」の使用に関するベスト・プラクティスと考慮事項について説明します。

Cisco ASA固有: VPNフィルタ

VPNフィルタにより、トンネルの開始前または終了後に、トラフィックをさらにフィルタできます。 異なるトラフィック・タイプまたはソース/宛先フローをフィルタ処理するために別の粒度が必要な場合は、VPNフィルタを使用します。 詳細は、Cisco 「VPNフィルタのドキュメント」を参照してください。

VPNフィルタ構成が、「CPE構成」セクションに表示される構成テンプレートに含まれていません。 VPNフィルタを使用するには、次の構成アイテムを手動で追加します。

  • アクセス制御リスト(ACL): VPNフィルタがトンネルを通して許可されるトラフィックを制限するために使用できるACLを作成します。 VPNフィルタにすでにACLが使用されている場合は、インタフェース・アクセス・グループにも使用しないでください。

    access-list ${vpnFilterAclName} extended permit ip ${VcnCidrNetwork} ${VcnCidrNetmask} ${onPremCidrNetwork} ${onPremCidrNetmask}
  • グループ・ポリシー: VPNフィルタをグループ・ポリシーに適用します。

    group-policy oracle-vcn-vpn-policy attributes
     vpn-filter value ${vpnFilterAclName}
  • トンネル・グループ: グループ・ポリシーをトンネル・グループに適用します。

    tunnel-group ${oracleHeadend1} general-attributes
     default-group-policy oracle-vcn-vpn-policy

すべてのIPSec接続のためのすべてのトンネルの構成

Oracleは、接続ごとに2つのIPSecヘッドエンドをデプロイし、ミッション・クリティカルなワークロードの高可用性を提供します。 Oracle側では、これらの2つのヘッドエンドが別々のルーターに配置されて冗長性が確保されています。 Oracleでは、最大の冗長性のために使用可能なすべてのトンネルを構成することをお薦めします。 これは"不良の設計"哲学の重要な要素です。

オンプレミス・ネットワークのロケーションに冗長のCPEがある

IPSecをOracle Cloud Infrastructureに接続する各サイトには、冗長なエッジ・デバイス(カスタマ設置機器(CPE))を使用する必要があります。 Oracle コンソールに各CPEを追加し、動的ルーティング・ゲートウェイ(DRG)と各CPE間に別のIPSec接続を作成します。 各IPSec接続について、Oracleは、地理的に冗長なIPSecヘッドエンドに2つのトンネルをプロビジョニングします。 詳細は、「接続性冗長性ガイド(PDF)」を参照してください。

ルーティング・プロトコルに関する考慮事項

IPSec VPNを作成すると、2つの冗長なIPSecトンネルが作成されます。 Oracleでは、両方のトンネルを使用するようにCPEを構成することをお薦めします(CPEでサポートされている場合)。 Oracleは、過去、最大4つのIPSecトンネルを持つIPSec VPNを作成していました。

次の2つのルーティング・タイプを使用でき、IPSec VPNの各トンネルに対して別個にルーティング・タイプを選択します:

  • BGP動的ルーティング: 使用可能なルートはBGPによって動的に学習されます。 DRGは、オンプレミス・ネットワークからルートを動的に学習します。 Oracle側では、DRGによってVCNサブネットが通知されます。
  • 静的ルーティング: DRGへのIPSec接続を設定する際に、VCNが認識する対象のオンプレミス・ネットワークに特定のルートを指定します。 また、VCNサブネットに静的ルートを持つCPEデバイスを構成する必要もあります。 これらのルートは、動的には学習されません。

BGP最適パス選択アルゴリズムの操作方法に関するOracleの推奨など、「VPN接続」を使用したルーティングの詳細は、「Oracle IPSec VPNのルーティング」を参照してください。

その他の重要なCPE構成

CPEに対するアクセス・リストが、Oracle Cloud Infrastructureとの間で必要なトラフィックをブロックしないように正しく構成されていることを確認します。

複数のトンネルが同時に存在する場合、VCNからのトラフィックをいずれかのトンネルで処理するようにCPEが構成されていることを確認します。 たとえば、ICMP検査を無効にしたり、TCPステート・バイパスを構成したりする必要があります。 適切な構成の詳細は、CPEベンダーのサポートにお問い合せください。

Cisco ASA固有: 注意事項および制限事項

この項では、Cisco ASA固有の重要な特性および制限について説明します。

トンネルMTUおよびパスMTU検出

Cisco ASAを使用してトンネルMTU検出とパスMTU検出をアドレス指定するには、2つのオプションがあります:

オプション1: TCP MSS調整

IPSecトンネルを通じた最大転送単位(パケット・サイズ)は1500バイト未満です。 トンネルを通して合致させるには大きすぎるパケットを断片化します。 または、小さいパケットを送信する必要のあるトンネルを通して通信しているホストに信号を返すことができます。

トンネル経由で新しいTCPフローの最大セグメント・サイズ(MSS)を変更するようにCisco ASAを構成できます。 ASAは、SYNフラグが設定されているTCPパケットを検索し、MSS値を構成済の値に変更します。 この構成は、新規TCPフローによるパスの最大転送単位検出(PMTUD)の使用を回避するのに役立ちます。

次のコマンドを使用して、MSSを変更します。 このコマンドは、このトピックの「CPE構成」セクションのサンプル構成には含まれていません。 必要に応じて、TCP MSS調整コマンドを手動で適用します。

sysopt connection tcpmss 1387

オプション2: 断片化しないビットのクリア/設定

パスMTU検出では、すべてのTCPパケットにDon't Fragment (DF)ビットが設定されている必要があります。 DFビットが設定されていて、パケットが大きすぎてトンネルを通過できない場合、ASAはパケットが到着するとパケットをドロップします。 ASAは、ICMPパケットを送信元に戻し、受信したパケットがトンネルに対して大きすぎたことを示します。 ASAには、DFビットを処理するための3つのオプションがあります。 いずれかのオプションを選択し、構成に適用します:

  • DFビットを設定する(推奨): パケットのIPヘッダーにはDFビットが設定されます。 元の受信パケットがDFビットをクリアした場合でも、ASAはパケットをフラグメントする可能性があります。

    crypto ipsec df-bit set-df ${outsideInterface}
  • DFビットをクリアします: DFビットはパケットIPヘッダーでクリアされます。 パケットが同じように断片化され、Oracle Cloud Infrastructureのエンド・ホストに送信されるようにします。

    crypto ipsec df-bit clear-df ${outsideInterface}
  • DFビットを無視(コピー)します: ASAは元のパケットIPヘッダー情報を調べ、DFビット設定をコピーします。

    crypto ipsec df-bit copy-df ${outsideInterface}

VPNトラフィックの混載を1つ入力して別のトンネルを終了

VPNトラフィックが、パケットの次のホップに対するインタフェースと同じセキュリティ・レベルでインタフェースに入っている場合は、そのトラフィックを許可する必要があります。 デフォルトでは、ASAに同じセキュリティ・レベルを持つインタフェース間のパケットは削除されます。

同じセキュリティ・レベルのインタフェース間のトラフィックを許可する必要がある場合は、次のコマンドを手動で追加します。 このコマンドは、「CPE構成」セクションのサンプル構成には含まれていません。

same-security-traffic permit inter-interface

一般的な注意事項および制限事項

この項では、「VPN接続」の一般的な特性と制限について説明します。

非対称ルーティング

Oracleでは、IPSec接続を構成する複数のトンネル間で非対称ルーティングが使用されます。 それに応じてファイアウォールを構成します。 そうしないと、接続を介したpingテストやアプリケーション・トラフィックが確実に機能しなくなります。

複数のトンネルをOracle Cloud Infrastructureに使用する場合は、Oracleによって、優先トンネルを通してトラフィックを永続的にルーティングするようにルーティングを構成することをお薦めします。 1つのIPSecトンネルをプライマリとして使用し、別のトンネルをバックアップとして使用する場合は、バックアップ・トンネル(BGP)用にセカンダリ固有のルート(サマリーまたはデフォルト・ルート)を、バックアップ・トンネル(BGP/静的)用に構成します。 それ以外の場合は、すべてのトンネルを通して同じルート(たとえば、デフォルト・ルート)を通知する場合、Oracleが非対称ルーティングを使用するため、VCNからオンプレミス・ネットワークにトラフィックを返します。

対称ルーティングを強制する方法の詳細は、「IPSec VPNの特定トンネルの優先順位」を参照してください。

ルート・ベースまたはポリシーベースのIPSec VPN

IPSecプロトコルは、セキュリティ関連付け(SAs)を使用してパケットを暗号化する方法を決定します。 各SA内では、パケットのソースおよび宛先のIPアドレスとプロトコル・タイプをSAデータベース内のエントリにマップする暗号化ドメインを定義して、パケットの暗号化または復号化の方法を定義します。

ノート

他のベンダーまたは業界のドキュメントでは、「プロキシID、セキュリティ・パラメータ索引(SPI)」または「トラフィック・セレクタ」という用語が、saまたは暗号化ドメインを参照している場合に使用されることがあります。

IPSecトンネルを実装するには、一般的に次の2つのメソッドがあります:

  • ルート・ベースのトンネル: 次のルーチン・ベースのトンネルとも呼ばれます。 パケット宛先IPアドレスでルート表参照が実行されます。 そのルートのエグレス・インタフェースがIPSecトンネルの場合、そのパケットは暗号化されてから、そのトンネルの反対側に送信されます。
  • ポリシーベースのトンネル: パケットのソースIPアドレスおよび宛先IPアドレスとプロトコルは、ポリシー文のリストと照合されます。 一致が見つかった場合、そのポリシー文のルールに基づいてパケットが暗号化されます。

Oracle VPNヘッドエンドは、ルート・ベースのトンネルを使用しますが、次の項にリストされているいくつかの警告を含むポリシーベースのトンネルを使用できます。

重要

Oracle VPNヘッドエンドは、単一の暗号化ドメインのみをサポートします。
ポリシーに複数のエントリが含まれる場合、トンネルはフラグを設定するか、または接続性に問題が発生し、その中で一度に1つのポリシーのみが機能します。

ルート・ベースのトンネル用の暗号化ドメイン
ポリシーベースのトンネルの暗号化ドメイン

CPEがNATデバイスの妨げになる場合

通常、接続の最後に構成されたCPE IKE識別子は、Oracleが使用しているCPE IKE識別子と一致している必要があります。 デフォルトでは、OracleではCPE 「パブリック」 IPアドレスが使用されます。このアドレスは、Oracle コンソールでCPEオブジェクトを作成したときに指定します。 ただし、CPEがNATデバイスより遅れている場合、次の図に示すように、最後に構成されたCPE IKE識別子がCPE「プライベート」IPアドレスになる場合があります。

このイメージは、NATデバイスの背後のCPE、パブリックIPアドレスとプライベートIPアドレス、およびCPE IKE識別子を示しています。

ノート

一部のCPEプラットフォームでは、ローカルIKE識別子を変更できません。
実行できない場合は、Oracle コンソールでリモートIKE IDを、CPEローカルIKE IDと一致するように変更する必要があります。 この値は、IPSec接続の設定時に指定することも、後でIPSec接続を編集して指定することもできます。 Oracleでは、値はcpe.example.comなどのIPアドレスまたは完全修飾ドメイン名(FQDN)のいずれかであると想定されています。 手順については、「Oracleで使用されるCPE IKE識別子の変更」を参照してください。

サポートされているIPSecパラメータ

すべてのリージョンでサポートされるIPSecパラメータのベンダー固有のリストについては、「サポートされるIPSecパラメータ」を参照してください。

商用クラウドのOracle BGP ASNは、31898です。 Government Cloud用にVPN接続を構成する場合は、「Government Cloudに必要なVPN接続パラメータ」およびOracle BGP ASNも参照してください。

CPE構成

重要

この項で説明する構成手順は、Oracle Cloud InfrastructureによってCPEに提供されています。 サポートが必要な場合は、CPEベンダーのサポートに直接お問い合せください。

次の図は、IPSec接続の基本レイアウトを示しています。

このイメージは、IPSec接続とトンネルの一般的なレイアウトをまとめたものです。

指定された構成テンプレートは、バージョン8.5のソフトウェア(以降)を実行するCisco ASA用です。

ノート

Cisco ASAバージョン9.7.1以降では、相互運用性の問題を回避するために推奨されるメソッドである「ルート・ベースの構成」がサポートされています。

単一のCisco ASAデバイスに対してトンネル冗長性を確保する場合は、ルート・ベース構成を使用する必要があります。 ポリシー・ベースの構成では、Cisco ASAと動的ルーティング・ゲートウェイ(DRG)の間に1つのトンネルのみを構成できます。

構成テンプレートは、次のアイテムを指定する必要があります:

  • CPEパブリックIPアドレス: CPE上の外部インタフェースに割り当てられるinternet-routable IPアドレス。 Oracle コンソールでCPEオブジェクトを作成するときに、Oracle管理者がこの値をOracleに提供します。
  • 内部トンネル・インタフェース(BGPを使用している場合に必要): 内部トンネル・インタフェースのCPEおよびOracle側のIPアドレス。 これらの値は、Oracle コンソールでIPSec接続を作成するときに指定します。
  • BGP ASN (BGPを使用する場合は必須): BGP ASN。

さらに、次のことが必要です:

  • CPEとローカル・ネットワーク間のトラフィックをルーティングする内部ルーティングを構成します。
  • ASAとOracle VCNの間のトラフィックを許可するようにします(次の構成テンプレートは、このアクセス・リストを変数${outboundAclName}と呼びます)。
  • 内部VPNグループ・ポリシーを特定します(次の構成テンプレートは、このグループ・ポリシーをoracle-vcn-vpn-policyとして参照しています)。
  • 暗号化マップに使用される変換セットを指定します(次の構成テンプレートはこの変換セットをoracle-vcn-transformとして参照します)。
  • 暗号化マップの名前と順序番号を指定します(次の構成テンプレートは、マップ名をoracle-vpn-map-v1および順序番号1として参照します)。
  • IP SLA連続pingの操作番号を特定する(次の構成テンプレートは操作番号1を使用)。
重要

Oracle Cloud Infrastructure 「CPEに適用する必要がある作業の開始ポイントです」の次の構成テンプレート。 各CPEデバイス構成の構文は、モデルおよびソフトウェアのバージョンによって異なります。 CPEモデルとバージョンを適切な構成テンプレートと比較してください。

テンプレートで参照されているパラメータの一部は、CPEに対して一意である必要があります。また、CPEにアクセスして一意性を判別することしかできません。 CPEに対してパラメータが有効であり、以前に構成した値が上書きされないことを確認してください。 特に、次の値が一意であることを確認してください:

  • ポリシー名または番号
  • 暗号化マップ名およびシーケンス番号

  • インタフェース名
  • リスト名または番号にアクセス(該当する場合)

Oracleは、Internet Key Exchangeバージョン1 (IKEv1)およびバージョン2 (IKEv2)をサポートしています。 「IKEv2を使用するための、コンソールでのIPSec接続の構成」の場合、CPEでサポートされているIKEv2および関連するIKEv2暗号化パラメータのみを使用するようにCPEを構成する必要があります。 OracleでIKEv1またはIKEv2がサポートされているパラメータのリストは、「サポートされるIPSecパラメータ」を参照してください。

IKEv1とIKEv2には別個の構成テンプレートがあります。