Oracle Cloud Infrastructureドキュメント

NEC IXシリーズ

この構成は、IX3315が実行しているファームウェアVer.10.1.16およびIX2106が実行しているファームウェアVer.10.1.16を使用して検証されました。

重要

Oracleは、IPSec VPN接続を構成する複数のトンネル間で非対称ルーティングを使用します。
1つのトンネルをプライマリ、別のトンネルをバックアップとして構成しても、VCNからオンプレミス・ネットワークへのトラフィックは、デバイス上にあるすべてのトンネルを使用できます。 それに応じてファイアウォールを構成します。 そうしないと、接続を介したpingテストやアプリケーション・トラフィックが確実に機能しなくなります。

始める前に

CPEを構成する前に、次のことを確認してください:

  • インターネット・プロバイダ設定を構成します。
  • UDPポート500、UDPポート4500、およびESPを開くようにファイアウォール・ルールを構成します。

サポートされている暗号化ドメインまたはプロキシID

暗号化ドメイン(プロキシID、セキュリティ・パラメータ索引(SPI)またはトラフィック・セレクタとも呼ばれる)の値は、CPEがルーティング・ベースのトンネルとポリシー・ベースのトンネルのどちらをサポートしているかによって決まります。 使用する正しい暗号化ドメイン値の詳細は、「サポートされている暗号化ドメインまたはプロキシID」を参照してください。

APIまたはコンソールからのパラメータ

Oracle Cloud InfrastructureコンソールまたはAPIから次のパラメータを取得します。

${ipAddress#} - トンネルごとに1つ

  • Oracle VPNのヘッドエンドIPSecトンネル・エンドポイント。
  • 値の例: 129.146.12.52, 129.146.13.52

${sharedSecret#} - トンネルごとに1つ

  • IPSec IKE事前共有キー。
  • 値の例: EXAMPLEDPfAMkD7nTH3SWr6OFabdT6exXn6enSlsKbE

${cpePublicIpAddress}

  • CPEのパブリックIPアドレス(以前はコンソール経由でOracleに提供されていました)。

${vcnCidrBlock}

  • VCNを作成する際、このCIDRを選択して、すべてのVCNホストのIP集約ネットワークを表します。
  • 値の例: 10.0.0.0/20

現在のCPEの構成と状態に基づくパラメータ

次のパラメータは、現在のCPE構成に基づいています。

${tunnelNumber#} - トンネルごとに1つ

  • トンネルごとに未使用のユニット番号が1つ必要です。
  • 値の例: 1, 2

${ikePolicy#} - トンネルごとに1つ

  • トンネルごとに1つの未使用のIKEポリシー名が必要になります。
  • 値の例: ike-policy1, ike-policy2

${ipsecPolicy#} - トンネルごとに1つ

  • トンネルごとに1つの未使用の自動キー・ポリシー・マップ名が必要になります。

  • 値の例: ipsec-policy1, ipsec-policy2

${lanIpAddress}

  • CPEのローカルIPアドレス。
  • 値の例: 192.168.100.254

${lanInterfaceNumber}

  • CPEのLANインタフェース
  • 値の例: 1.0

構成テンプレートのパラメータの概要

各リージョンには複数のOracle IPSecヘッドエンドがあります。 以下のテンプレートでは、CPEに複数のトンネルを設定し、それぞれ対応するヘッドエンドに設定できます。 下の表のユーザーはあなた/会社です。

パラメータ ソース 値の例
${ipAddress1} Console/API 129.146.12.52
${ipAddress2} Console/API 129.146.13.52
${sharedSecret1} Console/API (長い文字列)
${sharedSecret2} Console/API (長い文字列)

${cpePublicIpAddress}

ユーザー 203.0.113.1
${vcnCidrBlock} ユーザー 10.0.0.0/20
${tunnelNumber1} ユーザー 1
${tunnelNumber2} ユーザー 2
${ikePolicy1} ユーザー ike-policy1
${ikePolicy2} ユーザー ike-policy2
${ipsecPolicy1} ユーザー ipsec-policy1
${ipsecPolicy2} ユーザー ipsec-policy2
${lanInterfaceNumber} ユーザー 1.0
${lanIpAddress} ユーザー 192.168.100.254

重要

次のISAKMPおよびIPSecポリシー・パラメータの値は、商用クラウドの「VPN接続」に適用できます。
Government Cloudの場合、「Government CloudのVPN接続パラメータが必要」にリストされている値を使用する必要があります。

商用クラウド: ISAKMPポリシー・オプション

商用クラウド: IPSecポリシー・オプション

CPE構成

ISAKMPとIPSecポリシーの構成

ip access-list sec-list permit ip src any dest any
ike nat-traversal
!
ike proposal ike-prop encryption aes-256 hash sha2-256 group 1536-bit
ike policy ${ikePolicy1} peer ${ipAddress1} key ${sharedSecret1} ike-prop
ike policy ${ikePolicy2} peer ${ipAddress2} key ${sharedSecret2} ike-prop
!
ipsec autokey-proposal ipsec-prop esp-aes-256 esp-sha lifetime time 3600
ipsec autokey-map ${ipsecPolicy1} sec-list peer ${ipAddress1} ipsec-prop pfs 1536-bit
ipsec autokey-map ${ipsecPolicy2} sec-list peer ${ipAddress2} ipsec-prop pfs 1536-bit

ICMPのキープアライブ設定の構成

watch-group watch_tunnel1 10
  event 20 ip unreach-host ${lanIpAddress} Tunnel${tunnelNumber1} source GigaEthernet${lanInterfaceNumber}
  action 10 ip shutdown-route  ${vcnCidrBlock} Tunnel${tunnelNumber1}
  action 20 ipsec clear-sa Tunnel${tunnelNumber1}
!
network-monitor watch_tunnel1 enable
!
watch-group watch_tunnel2 10
  event 20 ip unreach-host ${lanIpAddress} Tunnel${tunnelNumber2} source GigaEthernet${lanInterfaceNumber}
  action 10 ip shutdown-route  ${vcnCidrBlock} Tunnel${tunnelNumber2}
  action 20 ipsec clear-sa Tunnel${tunnelNumber2}
!
network-monitor watch_tunnel2 enable

仮想トンネル・インタフェースの構成

interface Tunnel${tunnelNumber1}
  tunnel mode ipsec
  ip unnumbered GigaEthernet${lanInterfaceNumber}
  ip tcp adjust-mss auto
  ipsec policy tunnel ipsec-policy1 out
  no shutdown
!
interface Tunnel${tunnelNumber2}
  tunnel mode ipsec
  ip unnumbered GigaEthernet${lanInterfaceNumber}
  ip tcp adjust-mss auto
  ipsec policy tunnel ipsec-policy2 out
  no shutdown

静的ルートの構成

ip ufs-cache enable
ip multipath per-flow
ip route  ${vcnCidrBlock} Tunnel0.0
ip route  ${vcnCidrBlock} Tunnel1.0