Oracle Cloud Infrastructureドキュメント

Cisco IOS

この構成は、Cisco IOSバージョン15.4(3) M3を実行しているCisco 2921を使用して検証されました。

重要

Oracleは、IPSec VPN接続を構成する複数のトンネル間で非対称ルーティングを使用します。
1つのトンネルをプライマリ、別のトンネルをバックアップとして構成しても、VCNからオンプレミス・ネットワークへのトラフィックは、デバイス上にあるすべてのトンネルを使用できます。 それに応じてファイアウォールを構成します。 そうしないと、接続を介したpingテストやアプリケーション・トラフィックが確実に機能しなくなります。

サポートされている暗号化ドメインまたはプロキシID

暗号化ドメイン(プロキシID、セキュリティ・パラメータ索引(SPI)またはトラフィック・セレクタとも呼ばれる)の値は、CPEがルーティング・ベースのトンネルとポリシー・ベースのトンネルのどちらをサポートしているかによって決まります。 使用する正しい暗号化ドメイン値の詳細は、「サポートされている暗号化ドメインまたはプロキシID」を参照してください。

APIまたはコンソールからのパラメータ

Oracle Cloud InfrastructureコンソールまたはAPIから次のパラメータを取得します。

${ipAddress#}

  • Oracle VPNのヘッド・エンドIPSecトンネル・エンドポイント。 各トンネルには1つの値があります。
  • 値の例: 129.146.12.52

${sharedSecret#}

  • IPSec IKE事前共有キー。 各トンネルには1つの値があります。
  • 値の例: EXAMPLEDPfAMkD7nTH3SWr6OFabdT6exXn6enSlsKbE

${cpePublicIpAddress}

  • CPEのパブリックIPアドレス(以前はコンソール経由でOracleに提供されていました)。

${VcnCidrBlock}

  • VCNを作成する際、このCIDRを選択して、すべてのVCNホストのIP集約ネットワークを表します。
  • 値の例: 10.0.0.0/20

現在のCPEの構成と状態に基づくパラメータ

次のパラメータは、CPEの現在の構成を調べ、現在のCPE構成と重複しない有効なパラメータ値を見つけることで検出する必要があります。

${tunnelNumber#} - トンネルごとに1つ

  • Cisco IOSは、仮想トンネル・インタフェース(vti)IPSecトンネル用に「トンネル」インタフェースを使用します。
  • 価値を見つけるためのコマンド: show run | inc interface Tunnel
  • トンネルごとに未使用のユニット番号が1つ必要です。
  • 値の例: 1, 2

構成テンプレートのパラメータの概要

各リージョンには複数のOracle IPSecヘッド・エンドがあります。 以下のテンプレートでは、CPEに複数のトンネルを設定し、それぞれ対応するヘッド・エンドに設定できます。 下の表のユーザーはあなた/会社です。

パラメータ ソース 値の例
${ipAddress1} Console/API 129.146.12.52
${sharedSecret1} Console/API (長い文字列)
${ipAddress2} Console/API 129.146.13.52
${sharedSecret2} Console/API (長い文字列)
${cpePublicIpAddress} ユーザー 1.2.3.4
${tunnelNumber1} ユーザー 1
${tunnelNumber2} ユーザー 2
${VcnCidrBlock} ユーザー 10.0.0.0/16

重要

次のISAKMPおよびIPSecポリシー・パラメータの値は、商用クラウドの「VPN接続」に適用できます。
Government Cloudの場合、「Government CloudのVPN接続パラメータが必要」にリストされている値を使用する必要があります。

ISAKMPポリシー・オプション

IPSecポリシー・オプション

CPE構成

事前共有キー構成

事前共有キーを構成に追加します:

crypto keyring oracle-vpn-${ipAddress1}  
  local-address ${cpePublicIpAddress}
  pre-shared-key address ${ipAddress1} key ${sharedSecret1}
crypto keyring oracle-vpn-${ipAddress2}  
  local-address ${cpePublicIpAddress}
  pre-shared-key address ${ipAddress2} key ${sharedSecret2}          

基本ISAKMPオプションの構成

オプションの構成オプションは次のとおりです:

crypto logging session
crypto isakmp fragmentation
crypto isakmp keepalive 10 10
crypto ipsec df-bit clear
crypto ipsec security-association replay window-size 128

基本ISAKMPおよびIPSecポリシーの構成

crypto isakmp policy 1
 encr aes 256
 hash sha384
 authentication pre-share
 group 5
 lifetime 28800
crypto ipsec transform-set oracle_vpn_transform esp-aes 256 esp-sha-hmac 
 mode tunnel
crypto ipsec profile oracle_vpn
 set security-association dfbit clear
 set transform-set oracle_vpn_transform 
 set pfs group5

ISAKMPおよびIPSecピアを構成

crypto isakmp profile oracle_vpn_${ipAddress1}
   keyring oracle-vpn-${ipAddress1}
   self-identity address
   match identity address ${ipAddress1} 255.255.255.255 
   keepalive 10 retry 10
crypto isakmp profile oracle_vpn_${ipAddress2}
   keyring oracle-vpn-${ipAddress2}
   self-identity address
   match identity address ${ipAddress2} 255.255.255.255 
   keepalive 10 retry 10

仮想トンネル・インタフェースの構成

interface Tunnel${tunnelNumber1}
 ip tcp adjust-mss 1387
 tunnel source ${cpePublicIpAddress}
 tunnel mode ipsec ipv4
 tunnel destination ${ipAddress1}
 tunnel protection ipsec profile oracle_vpn
!
interface Tunnel${tunnelNumber2}
 tunnel source ${cpePublicIpAddress}
 tunnel mode ipsec ipv4
 tunnel destination ${ipAddress2}
 tunnel protection ipsec profile oracle_vpn

IPSecおよびISAKMPパケットを許可するすべてのインターネット・フェイス・アクセス・リストを更新

トンネルが起動するためには、udpポート500を開き、CPEパブリックIPアドレスとのインタフェースにプロトコルespを開く必要があります。 例:

interface GigabitEthernet0/1
 description INTERNET
 ip address ${cpePublicIpAddress} 255.255.255.252
ip access-group INTERNET-INGRESS in
 duplex auto
 speed auto
!

ip access-list extended INTERNET-INGRESS
 permit udp host ${ipAddress1} host ${cpePublicIpAddress} eq isakmp
 permit esp host ${ipAddress1} host ${cpePublicIpAddress}
 permit udp host ${ipAddress2} host ${cpePublicIpAddress} eq isakmp
 permit esp host ${ipAddress2} host ${cpePublicIpAddress}
 permit icmp any any echo
 permit icmp any any echo-reply
 permit icmp any any unreachable

CPEからVCNへの静的ルート

IPSecトンネルでは、トラフィックを通過させるために静的ルートが必要です。 ルートはトンネル・インタフェースをポイントするように構成されています。 IPSecトンネルがダウンしている場合、Ciscoルーターはそのルートの使用を停止します。 これらのルートは、お客様の構内ネットワークに再配布する必要があります。

ip route ${vcnCidrBlock} 255.0.0.0 Tunnel${tunnelNumber1}
ip route ${vcnCidrBlock} 255.0.0.0 Tunnel${tunnelNumber2}