Oracle Cloud Infrastructureドキュメント

Palo Alto

このトピックでは、Palo Altoデバイスの構成を示します。 構成は、PAN-OSバージョンの8.0.0を使用して検証されました。

Palo Altoの経験が必要です。

重要

Oracleでは、「ベンダーおよびデバイス」のセットの構成手順を示します。 正しいベンダーに対してこの構成を使用してください。

構成の検証にOracleで使用されたデバイスまたはソフトウェアのバージョンが、デバイスまたはソフトウェアと完全に一致しない場合、構成が機能する可能性があります。 ベンダーのドキュメントを参照し、必要な調整を行います。

デバイスが、検証済のベンダーおよびデバイスのリストに含まれないベンダー用である場合、またはIPSecのデバイスの構成をよく理解している場合は、「サポートされているIPSecパラメータ」のリストを参照し、ベンダーのサポートについて問い合わせてください。

「VPN接続」は、Oracle Cloud Infrastructureによって仮想クラウド・ネットワーク(VCN)にオンプレミス・ネットワークを接続するために提供されるIPSec VPNです。

次の図は、冗長なトンネルを使用した、Oracle Cloud Infrastructureへの基本的なIPSec接続を示しています。 この図で使用するIPアドレスは、単なる例です。

このイメージは、オンプレミス・ネットワーク、VPN接続トンネルおよびVCNの一般的なレイアウトの概要を示しています。

ベスト・プラクティス

この項では、「VPN接続」の使用に関する一般的なベスト・プラクティスと考慮事項について説明します。

すべてのIPSec接続のためのすべてのトンネルの構成

Oracleは、接続ごとに2つのIPSecヘッドエンドをデプロイし、ミッション・クリティカルなワークロードの高可用性を提供します。 Oracle側では、これらの2つのヘッドエンドが別々のルーターに配置されて冗長性が確保されています。 Oracleでは、最大の冗長性のために使用可能なすべてのトンネルを構成することをお薦めします。 これは"不良の設計"哲学の重要な要素です。

オンプレミス・ネットワークのロケーションに冗長のCPEがある

IPSecをOracle Cloud Infrastructureに接続する各サイトには、冗長なエッジ・デバイス(カスタマ設置機器(CPE))を使用する必要があります。 Oracle コンソールに各CPEを追加し、動的ルーティング・ゲートウェイ(DRG)と各CPE間に別のIPSec接続を作成します。 各IPSec接続について、Oracleは、地理的に冗長なIPSecヘッドエンドに2つのトンネルをプロビジョニングします。 詳細は、「接続性冗長性ガイド(PDF)」を参照してください。

ルーティング・プロトコルに関する考慮事項

IPSec VPNを作成すると、2つの冗長なIPSecトンネルが作成されます。 Oracleでは、両方のトンネルを使用するようにCPEを構成することをお薦めします(CPEでサポートされている場合)。 Oracleは、過去、最大4つのIPSecトンネルを持つIPSec VPNを作成していました。

次の2つのルーティング・タイプを使用でき、IPSec VPNの各トンネルに対して別個にルーティング・タイプを選択します:

  • BGP動的ルーティング: 使用可能なルートはBGPによって動的に学習されます。 DRGは、オンプレミス・ネットワークからルートを動的に学習します。 Oracle側では、DRGによってVCNサブネットが通知されます。
  • 静的ルーティング: DRGへのIPSec接続を設定する際に、VCNが認識する対象のオンプレミス・ネットワークに特定のルートを指定します。 また、VCNサブネットに静的ルートを持つCPEデバイスを構成する必要もあります。 これらのルートは、動的には学習されません。

BGP最適パス選択アルゴリズムの操作方法に関するOracleの推奨など、「VPN接続」を使用したルーティングの詳細は、「Oracle IPSec VPNのルーティング」を参照してください。

その他の重要なCPE構成

NATトラバーサル (NAT-T)が「VPN接続」トラフィックに対して無効であることを確認します。 NAT-Tは、Oracle Cloud Infrastructureでサポートされていません。

CPEに対するアクセス・リストが、Oracle Cloud Infrastructureとの間で必要なトラフィックをブロックしないように正しく構成されていることを確認します。

複数のトンネルが同時に存在する場合、VCNからのトラフィックをいずれかのトンネルで処理するようにCPEが構成されていることを確認します。 たとえば、ICMP検査を無効にしたり、TCPステート・バイパスを構成したりする必要があります。 適切な構成の詳細は、CPEベンダーのサポートにお問い合せください。

注意事項および制限事項

この項では、「VPN接続」が認識できる一般的な重要な特性と制限について説明します。

非対称ルーティング

Oracleでは、IPSec接続を構成する複数のトンネル間で非対称ルーティングが使用されます。 それに応じてファイアウォールを構成します。 そうしないと、接続を介したpingテストやアプリケーション・トラフィックが確実に機能しなくなります。

複数のトンネルをOracle Cloud Infrastructureに使用する場合は、Oracleによって、優先トンネルを通してトラフィックを永続的にルーティングするようにルーティングを構成することをお薦めします。 1つのIPSecトンネルをプライマリとして使用し、別のトンネルをバックアップとして使用する場合は、バックアップ・トンネル(BGP)用にセカンダリ固有のルート(サマリーまたはデフォルト・ルート)を、バックアップ・トンネル(BGP/静的)用に構成します。 それ以外の場合は、すべてのトンネルを通して同じルート(たとえば、デフォルト・ルート)を通知する場合、Oracleが非対称ルーティングを使用するため、VCNからオンプレミス・ネットワークにトラフィックを返します。

対称ルーティングを強制する方法の詳細は、「IPSec VPNの特定トンネルの優先順位」を参照してください。

ルート・ベースまたはポリシーベースのIPSec VPN

IPSecプロトコルは、セキュリティ関連付け(SAs)を使用してパケットを暗号化する方法を決定します。 各SA内では、パケットのソースおよび宛先のIPアドレスとプロトコル・タイプをSAデータベース内のエントリにマップする暗号化ドメインを定義して、パケットの暗号化または復号化の方法を定義します。

ノート

他のベンダーまたは業界のドキュメントでは、「プロキシID、セキュリティ・パラメータ索引(SPI)」または「トラフィック・セレクタ」という用語が、saまたは暗号化ドメインを参照している場合に使用されることがあります。

IPSecトンネルを実装するには、一般的に次の2つのメソッドがあります:

  • ルート・ベースのトンネル: 次のルーチン・ベースのトンネルとも呼ばれます。 パケット宛先IPアドレスでルート表参照が実行されます。 そのルートのエグレス・インタフェースがIPSecトンネルの場合、そのパケットは暗号化されてから、そのトンネルの反対側に送信されます。
  • ポリシーベースのトンネル: パケットのソースIPアドレスおよび宛先IPアドレスとプロトコルは、ポリシー文のリストと照合されます。 一致が見つかった場合、そのポリシー文のルールに基づいてパケットが暗号化されます。

Oracle VPNヘッドエンドは、ルート・ベースのトンネルを使用しますが、次の項にリストされているいくつかの警告を含むポリシーベースのトンネルを使用できます。

重要

Oracle VPNヘッドエンドは、単一の暗号化ドメインのみをサポートします。
ポリシーに複数のエントリが含まれる場合、トンネルはフラグを設定するか、または接続性に問題が発生し、その中で一度に1つのポリシーのみが機能します。

ルート・ベースのトンネル用の暗号化ドメイン
ポリシーベースのトンネルの暗号化ドメイン

CPEがNATデバイスの妨げになる場合

通常、接続の最後に構成されたCPE IKE識別子は、Oracleが使用しているCPE IKE識別子と一致している必要があります。 デフォルトでは、OracleではCPE 「パブリック」 IPアドレスが使用されます。このアドレスは、Oracle コンソールでCPEオブジェクトを作成したときに指定します。 ただし、CPEがNATデバイスより遅れている場合、次の図に示すように、最後に構成されたCPE IKE識別子がCPE「プライベート」IPアドレスになる場合があります。

このイメージは、NATデバイスの背後のCPE、パブリックIPアドレスとプライベートIPアドレス、およびCPE IKE識別子を示しています。

ノート

一部のCPEプラットフォームでは、ローカルIKE識別子を変更できません。
実行できない場合は、Oracle コンソールでリモートIKE IDを、CPEローカルIKE IDと一致するように変更する必要があります。 この値は、IPSec接続の設定時に指定することも、後でIPSec接続を編集して指定することもできます。 Oracleでは、値はcpe.example.comなどのIPアドレスまたは完全修飾ドメイン名(FQDN)のいずれかであると想定されています。 手順については、「Oracleで使用されるCPE IKE識別子の変更」を参照してください。

サポートされているIPSecパラメータ

すべてのリージョンでサポートされるIPSecパラメータのベンダー固有のリストについては、「サポートされるIPSecパラメータ」を参照してください。

商用クラウドのOracle BGP ASNは、31898です。 Government Cloud用に「VPN接続」を構成する場合は、「Government CloudのVPN接続パラメータが必要」および「OracleのBGP ASN」も参照してください。

CPE構成

重要

この項で説明する構成手順は、Oracle Cloud InfrastructureによってCPEに提供されています。 サポートが必要な場合は、CPEベンダーのサポートに直接お問い合せください。

次の図は、IPSec接続の基本レイアウトを示しています。

このイメージは、IPSec接続とトンネルの一般的なレイアウトをまとめたものです。

構成手順に関する重要な詳細

  • コミット: PANで構成をアクティブ化するには、構成の変更後にコミット処理を実行する必要があります。
  • IPアドレスの例: この構成例では、クラスA 10.0.0.0/8 (RFC918)および198.51.100.0/24 (RFC5735)のIPアドレスを使用します。 CPE上で構成を実行するときには、ネットワーキング・トポロジに正しいIPアドレス指定プランを使用してください。

この構成例では、次の変数と値を使用しています:

  • トンネル1インタフェースの中 - CPE: 198.51.100.1/30
  • トンネル2インタフェースの中 - CPE: 198.51.100.5/30
  • トンネル1インタフェースの中 - Oracle: 198.51.100.2/30
  • トンネル2インタフェースの中 - Oracle: 198.51.100.6/30
  • CPE ASN: 64511
  • オンプレミス・ネットワーク : 10.200.1.0/24
  • VCN CIDRブロック: 10.200.0.0/24
  • CPEパブリックIPアドレス: 10.100.0.100/24
  • Oracle VPNヘッドエンド (DRG) IPアドレス1: 10.150.128.1/32
  • Oracle VPNヘッドエンド (DRG)のIPアドレス2: 10.150.127.1/32
  • トンネル番号1: tunnel.1
  • トンネル番号2: tunnel.2
  • インタフェースの終了: ethernet1/1

構成プロセス

次のプロセスには、IPSec接続のBGP構成が含まれています。 かわりに、静的ルーティングを使用する場合は、タスク1-5を実行し、「静的ルーティングの構成」にスキップします。

タスク1: ISAKMPフェーズ1ポリシーの構成
タスク2: ISAKMPピアの定義
タスク3: IPSecフェーズ2ポリシーの定義
タスク4: 仮想トンネル・インタフェースの構成
タスク5: IPSecセッションの構成
タスク6: IPSecを介したBGPの構成

Configuring Static Routing

IPSec上でCPEがBGPをサポートしていない場合、またはIPSec上でBGPを使用しない場合は、ここに示す手順を使用してください。

このタスクでは、DRGと最終的にVCNホストに到達するように、トンネル・インタフェースを介してトラフィックを転送するように静的ルートを構成します。

  1. 前の項のタスク1-5をフォローします。
  2. 静的ルートを構成します:
    1. 「ネットワーク」「仮想ルート」default「静的ルート」へ移動して、「追加」をクリックします。
    2. ルート1で、次のイメージに示すようにパラメータを構成します。

      このイメージは、ルート1の静的ルート設定を示しています。

    3. ルート2については、次のイメージに示すようにパラメータを構成します。

      このイメージは、ルート2の静的ルート設定を示しています。

  3. (推奨) 2つのトンネルを介して送信されるトラフィックに対してECMPを有効にします。 両方のルートのメトリックは10に設定されます。 ECMPの有効化に関する重要な注意事項を次に示します:

    • 最初に、ネットワーク設計でECMPが許可されているかどうかを確認します。
    • 既存の仮想ルーター上でECMPを有効または無効にすると、システムが仮想ルーターを再起動します。 この場合、既存のセッションが終了する可能性があります。
    • この例では、デフォルトの仮想ルーターを使用します。 ネットワーク環境に適切な仮想ルーターを使用します。

    ECMPを有効にするには、「ネットワーク」「仮想ルート」default「ルーター設定」ECMP「有効化」のチェック・ボックスを選択します。

    このイメージは、ECMP設定を示しています。

このタスクが完了したあとの最終的な構成を示すスクリーンショットを次に示します:

このイメージは、静的ルートを構成した後のIPv4タブ上の最終構成を示しています。

このイメージは、静的ルートを構成した後の最終構成を示しています。

IKE識別子の変更

CPEがNATデバイスの背後にあり、トンネル・インタフェースがソースとして使用するexitインタフェース上にプライベートIPアドレスがある場合は、NATデバイスのパブリックIPアドレスをローカルIKE IDとして指定する必要があります。 これを行うには、「IKEゲートウェイ」構成の「ローカル識別」値を設定します:

このイメージは、CPE IKE識別子の変更先を示しています。

検証

IPSecトンネルのステータスを確認するには:

このイメージは、IPSecトンネル・ステータスを確認する場所を示しています。

次のコマンドを使用して、IKE SAを確認します:

show vpn ike-sa

このコマンドを使用して、IPSecトンネル構成を確認します:

show vpn tunnel name <tunnel_name>

BGPステータスを検証するには、設定済を探します:

このイメージは、BGPステータスを検証する場所を示しています。

コマンドラインからBGPステータスを検証するには、次のようにします:

show routing protocol bgp peer peer-name <name>

ルートがルーティング表にインストールされていることを確認するには:

show routing route

モニタリングサービス」Oracle Cloud Infrastructureからも入手可能で、クラウド・リソースを積極的にモニターします。 「VPN接続」のモニターの詳細は、「VPN接続メトリック」で入手してください。

問題がある場合は、「VPN接続のトラブルシューティング」を参照してください。