Oracle Cloud Infrastructureドキュメント

Cisco ASA: Route-Based

Cisco ASAバージョン9.7.1以降では、ルート・ベースの構成がサポートされています。これは、相互運用性の問題を回避するために推奨されるメソッドです。 以前のバージョンのソフトウェアがある場合は、「Cisco ASA: VPNフィルタなしのポリシー・ベース」または「Cisco ASA: VPNフィルタを使用したポリシー・ベース」のいずれかを参照してください。

重要

Oracleは、IPSec VPN接続を構成する複数のトンネル間で非対称ルーティングを使用します。
1つのトンネルをプライマリ、別のトンネルをバックアップとして構成しても、VCNからオンプレミス・ネットワークへのトラフィックは、デバイス上にあるすべてのトンネルを使用できます。 それに応じてファイアウォールを構成します。 そうしないと、接続を介したpingテストやアプリケーション・トラフィックが確実に機能しなくなります。

APIまたはコンソールからのパラメータ

Oracle Cloud InfrastructureコンソールまたはAPIから次のパラメータを取得します。

${ipAddress#}

  • Oracle VPNのヘッド・エンドIPSecトンネル・エンドポイント。 各トンネルには1つの値があります。
  • 値の例: 129.146.12.52

${sharedSecret#}

  • IPSec IKE事前共有キー。 各トンネルには1つの値があります。
  • 値の例: EXAMPLEDPfAMkD7nTH3SWr6OFabdT6exXn6enSlsKbE

${cpePublicIpAddress}

  • CPEのパブリックIPアドレス(以前はコンソール経由でOracleに提供されていました)。 これは外部インタフェースのIPアドレスです。
  • 値の例: 1.2.3.4

追加の構成パラメータ

Cisco ASAの構成には、次の追加の変数が必要です:

${vcnID}

  • アクセス・リストとオブジェクト・グループを一意に指定するために使用されるUUID文字列(既存のオブジェクト・グループまたはアクセス・リストと競合する名前を作成しない他の文字列も使用できます)。
  • 例: oracle-vcn-1

${VcnCidrBlock}

  • VCNを作成する際、このCIDRを選択して、すべてのVCNホストのIP集約ネットワークを表します。
  • 値の例: 10.0.0.0/20

${VcnCidrNetwork}${VcnCidrNetmask}

CPE構成から検出されるパラメータ

次のパラメータは、現在のCPE構成に基づいています。

${outsideInterface}

  • これはCPEの外に面するインタフェースです。
  • 外部インタフェースは、Oracle VPNヘッド・エンドIPにpingできる必要があります。

${CpeInsideTunnelIpAddressWithMask#}${OracleInsideTunnelIPAddress#}

これらの2つの変数は、特定のトンネルに割り当てたIPアドレスのペアです(トンネルの両端に1つのIPアドレス)。 次の表に示すように、構成するトンネルごとに1組のアドレスを割り当てます。 トンネルのCPE側の変数は、マスクを含みます。

トンネル CPE側トンネル Oracleトンネルのサイド
トンネル1

${CpeInsideTunnelIpAddressWithMask1}

例: 192.168.1.1 255.255.255.252

${OracleInsideTunnelIPAddress1}

例: 192.168.1.2

トンネル2

${CpeInsideTunnelIpAddressWithMask2}

例: 192.168.1.5 255.255.255.252

${OracleInsideTunnelIPAddress2}

例: 192.168.1.6

構成テンプレートのパラメータの概要

各リージョンには複数のOracle IPSecヘッド・エンドがあります。 次の表を参照して、CPE上に複数のトンネルをそれぞれ対応するヘッダーに設定できます。 表ユーザーはあなた/あなたの会社です。

パラメータ ソース 値の例
${ipAddress1} Console/API 129.146.12.52
${sharedSecret1} Console/API (長い文字列)
${ipAddress2} Console/API 129.146.13.52
${sharedSecret2} Console/API (長い文字列)
${cpePublicIpAddress} ユーザー 1.2.3.4
${vcnID} Console/API/User 1
${VcnCidrBlock} ユーザー 10.0.0.0/16
${VcnCidrNetwork} ユーザー 10.0.0.0
${VcnCidrNetmask} ユーザー 255.255.0.0
${outsideInterface} ユーザーCPE Vlan101
${outsideInterfaceName} ユーザーCPE outside
${CpeInsideTunnelIpAddressWithMask1} ユーザーCPE 192.168.1.1 255.255.255.252
${CpeInsideTunnelIpAddressWithMask2} ユーザーCPE 192.168.1.5 255.255.255.252
${OracleInsideTunnelIPAddress1} ユーザーCPE 192.168.1.2
${OracleInsideTunnelIPAddress2} ユーザーCPE 192.168.1.6
${tunnelInterfaceName1} ユーザーCPE tunnel1
${tunnelInterfaceName2} ユーザーCPE tunnel2

ISAKMPポリシー・オプション

IPSecポリシー・オプション

CPE構成

IKEとIPSecポリシーの構成

crypto ikev1 enable ${outsideInterface}

crypto ikev1 policy 1
  authentication pre-share
  encryption aes-256
  hash sha
  group 5
  lifetime 28800

crypto ipsec ikev1 transform-set oracle-vcn-transform esp-aes-256 esp-sha-hmac

 crypto ipsec profile oracle-vcn-vpn-policy
   set ikev1 transform-set oracle-vcn-transform
   set pfs group5
   set security-association lifetime seconds 3600

トンネル・グループの構成

tunnel-group ${ipAddress1} type ipsec-l2l
tunnel-group ${ipAddress1} ipsec-attributes
  ikev1 pre-shared-key ${sharedSecret1}

tunnel-group ${ipAddress2} type ipsec-l2l
tunnel-group ${ipAddress2} ipsec-attributes
 ikev1 pre-shared-key ${sharedSecret2}

VTIインタフェースの構成

interface ${tunnelInterfaceName1}
  nameif ORACLE-VPN1
  ip address ${CpeInsideTunnelIpAddressWithMask1}
  tunnel source interface ${outsideInterfaceName}
  tunnel destination ${ipAddress1}
  tunnel mode ipsec ipv4
  tunnel protection ipsec profile oracle-vcn-vpn-policy

interface ${tunnelInterfaceName2}
  nameif ORACLE-VPN2
  ip address ${CpeInsideTunnelIpAddressWithMask2}
  tunnel source interface ${outsideInterfaceName}
  tunnel destination ${ipAddress2}
  tunnel mode ipsec ipv4
  tunnel protection ipsec profile oracle-vcn-vpn-policy

静的ルートの構成

route ORACLE-VPN1 ${VcnCidrNetwork} ${VcnCidrNetmask} ${OracleInsideTunnelIpAddress1} 1 track
route ORACLE-VPN2 ${VcnCidrNetwork} ${VcnCidrNetmask} ${OracleInsideTunnelIpAddress2} 100

トンネル・フェイルオーバーの構成

sla monitor 10
  type echo protocol ipIcmpEcho ${ipAddress1}interface outside
  frequency 5
  sla monitor schedule 10 life forever start-time now

track 1 rtr 10 reachability

その他の重要なデバイス構成

  • VPNトラフィックに対してNATが無効になっていることを確認します。
  • ASAのアクセス・リストが正しく構成されていることを確認します。
  • 複数のトンネルを同時に使用している場合は、ASAがアクティブで、もう一方がバックアップであっても、「いずれかのトンネル」上のVCN/Oracleからのトラフィックを処理するようにASAが構成されていることを確認してください。 たとえば、ICMP検査を無効にしたり、TCPステート・バイパスを構成したりする必要があります。 適切な構成の詳細については、シスコのサポートにお問い合わせください。