Oracle Cloud Infrastructureドキュメント

パロアルト

この構成は、PanOSバージョン6.0.6を実行しているPA-500を使用して検証されました。

重要

Oracleは、IPSec VPN接続を構成する複数のトンネル間で非対称ルーティングを使用します。
1つのトンネルをプライマリ、別のトンネルをバックアップとして構成しても、VCNからオンプレミス・ネットワークへのトラフィックは、デバイス上にあるすべてのトンネルを使用できます。 それに応じてファイアウォールを構成します。 そうしないと、接続を介したpingテストやアプリケーション・トラフィックが確実に機能しなくなります。

APIまたはコンソールからのパラメータ

Oracle Cloud InfrastructureコンソールまたはAPIから次のパラメータを取得します。

${ipAddress#}

  • Oracle VPNのヘッド・エンドIPSecトンネル・エンドポイント。 各トンネルには1つの値があります。
  • 値の例: 129.146.12.52

${sharedSecret#}

  • IPSec IKE事前共有キー。 各トンネルには1つの値があります。
  • 値の例: EXAMPLEDPfAMkD7nTH3SWr6OFabdT6exXn6enSlsKbE

${cpeInterfaceName}

  • CPE IPアドレスが構成されているCPEインタフェースの名前。
  • 値の例: ethernet1/1

${VcnCidrBlock}

  • VCNを作成する際、このCIDRを選択して、すべてのVCNホストのIP集約ネットワークを表します。
  • 値の例: 10.0.0.0/20

CPE構成から検出されるパラメータ

次のパラメータは、現在のCPE構成に基づいています。

${tunnelUnit#}

  • 各トンネルには、そのトンネルを識別するユニット番号が必要です。
  • 例: 10、ここで10はインタフェースtunnel.10のtunnelUnitです

${oracleSecurityZoneName}

  • トンネルは、アクセス・プロファイルを定義するセキュリティ・ゾーン内に配置する必要があります。
  • 例: "Oracle Cloud Infrastructure"
  • 注意: 値は引用符で囲む必要があります。

${CpeVirtualRouterName}

  • トンネルはパロアルトの仮想ルーターに終端します。 既存の仮想ルーターにそれらを終了するか、新しい仮想ルーターを構成することができます。
  • 値の例: Oracle-virtual-router

ISAKMPポリシー・オプション

IPSecポリシー・オプション

セキュリティ・パラメータ・インデックス

セキュリティ・パラメータ・インデックス(SPI)の値は、CPEがルーティング・ベースのトンネルをサポートするか、ポリシーベースのトンネルをサポートするかによって決まります。 使用する正しいSPI値の詳細は、「ルート・ベース対ポリシー・ベースIPSec」を参照してください。

一般的なISAKMPおよびIPSecプロファイルの構成

set network ike crypto-profiles ike-crypto-profiles oracle-bare-metal-cloud-ike encryption aes256
set network ike crypto-profiles ike-crypto-profiles oracle-bare-metal-cloud-ike hash sha384
set network ike crypto-profiles ike-crypto-profiles oracle-bare-metal-cloud-ike dh-group group5
set network ike crypto-profiles ike-crypto-profiles oracle-bare-metal-cloud-ike lifetime hours 8
set network ike crypto-profiles ipsec-crypto-profiles oracle-bare-metal-cloud-ipsec esp encryption aes256
set network ike crypto-profiles ipsec-crypto-profiles oracle-bare-metal-cloud-ipsec esp authentication sha1
set network ike crypto-profiles ipsec-crypto-profiles oracle-bare-metal-cloud-ipsec dh-group group5
set network ike crypto-profiles ipsec-crypto-profiles oracle-bare-metal-cloud-ipsec lifetime hours 1

ISAKMPゲートウェイの構成

set network ike gateway oracle-gateway-${ipAddress1} authentication pre-shared-key key ${sharedSecret1}
set network ike gateway oracle-gateway-${ipAddress1} protocol-common nat-traversal enable no
set network ike gateway oracle-gateway-${ipAddress1} local-address interface ${cpeInterfaceName}
set network ike gateway oracle-gateway-${ipAddress1} peer-address ip ${ipAddress1}
set network ike gateway oracle-gateway-${ipAddress1} protocol ikev1 ike-crypto-profile oracle-bare-metal-cloud-ike

set network ike gateway oracle-gateway-${ipAddress2} authentication pre-shared-key key ${sharedSecret2}
set network ike gateway oracle-gateway-${ipAddress2} protocol-common nat-traversal enable no
set network ike gateway oracle-gateway-${ipAddress2} local-address interface ${cpeInterfaceName}
set network ike gateway oracle-gateway-${ipAddress2} peer-address ip ${ipAddress2}
set network ike gateway oracle-gateway-${ipAddress2} protocol ikev1 ike-crypto-profile oracle-bare-metal-cloud-ike

IPSecの構成

set network tunnel ipsec oracle-ipsec-vpn-${ipAddress1} auto-key ike-gateway oracle-gateway-${ipAddress1} 
set network tunnel ipsec oracle-ipsec-vpn-${ipAddress1} auto-key ipsec-crypto-profile oracle-bare-metal-cloud-ipsec
set network tunnel ipsec oracle-ipsec-vpn-${ipAddress1} tunnel-monitor enable no
set network tunnel ipsec oracle-ipsec-vpn-${ipAddress1} tunnel-interface tunnel.${tunnelUnit1}

set network tunnel ipsec oracle-ipsec-vpn-${ipAddress2} auto-key ike-gateway oracle-gateway-${ipAddress2}
set network tunnel ipsec oracle-ipsec-vpn-${ipAddress2} auto-key ipsec-crypto-profile oracle-bare-metal-cloud-ipsec
set network tunnel ipsec oracle-ipsec-vpn-${ipAddress2} tunnel-monitor enable no
set network tunnel ipsec oracle-ipsec-vpn-${ipAddress2} tunnel-interface tunnel.${tunnelUnit2}

仮想ルーターの構成

PanOSの新しいバージョンでは、ECMP (Equal-Cost Multipath Routing)がサポートされています。

set network virtual-router ${CpeVirtualRouterName} interface [ tunnel.101 tunnel.102 ]
set network virtual-router ${CpeVirtualRouterName} routing-table ip static-route oracle-vpn-${ipAddress1} destination ${VcnCidrBlock}
set network virtual-router ${CpeVirtualRouterName} routing-table ip static-route oracle-vpn-${ipAddress1} interface tunnel.${tunnelUnit1}
set network virtual-router ${CpeVirtualRouterName} routing-table ip static-route oracle-vpn-${ipAddress1} metric 10
set network virtual-router ${CpeVirtualRouterName} routing-table ip static-route oracle-vpn-${ipAddress2} destination ${VcnCidrBlock}
set network virtual-router ${CpeVirtualRouterName} routing-table ip static-route oracle-vpn-${ipAddress2} interface tunnel.${tunnelUnit2}
set network virtual-router ${CpeVirtualRouterName} routing-table ip static-route oracle-vpn-${ipAddress2} metric 11

セキュリティ・ゾーンの構成

set zone ${oracleSecurityZoneName} network layer3 [ tunnel.101 tunnel.102 ]