Oracle Cloud Infrastructureドキュメント

サポートされるIPSecパラメータ

このトピックでは、VPN接続でサポートされているフェーズ1 (ISAKMP)とフェーズ2 (IPSec)の構成パラメータを示します。 Oracleでは、セキュリティを最大化したり、特定範囲のCPEデバイスに対応するために、これらの値を選択します。 CPEデバイスが「検証されたデバイスのリスト」上にない場合は、ここの情報を使用してデバイスを構成します。

重要

Oracleは、IPSec VPN接続を構成する複数のトンネル間で非対称ルーティングを使用します。
1つのトンネルをプライマリ、別のトンネルをバックアップとして構成しても、VCNからオンプレミス・ネットワークへのトラフィックは、デバイス上にあるすべてのトンネルを使用できます。 それに応じてファイアウォールを構成します。 そうしないと、接続を介したpingテストやアプリケーション・トラフィックが確実に機能しなくなります。

サポートされている暗号化ドメインまたはプロキシID

暗号化ドメイン(プロキシID、セキュリティ・パラメータ索引(SPI)またはトラフィック・セレクタとも呼ばれる)の値は、CPEがルーティング・ベースのトンネルとポリシー・ベースのトンネルのどちらをサポートしているかによって決まります。 使用する正しい暗号化ドメイン値の詳細は、「サポートされている暗号化ドメインまたはプロキシID」を参照してください。

商用クラウドでサポートされているパラメータ

この項では、「VPN接続」が商用クラウド用である場合にサポートされるパラメータを示します。 商用クラウド・リージョンのリストについては、「リージョンと可用性ドメイン」を参照してください。

一部のパラメータでは、Oracleは複数の値をサポートし、推奨される1つは「赤いイタリック体」で強調表示されます。

Oracleでは、IKEv1またはIKEv2の次のパラメータがサポートされています。 特定のCPEについてドキュメントをチェックし、IKEv1またはIKEv2に対してCPEがどのパラメータをサポートしているかを確認してください。

フェーズ1 (ISAKMP)

パラメータ オプション
ISAKMPプロトコル

バージョン 1

交換タイプ

メイン・モード

認証方式

事前共有キー

暗号化アルゴリズム

AES-256-cbc

AES-192-cbc

AES-128-cbc

認証アルゴリズム

SHA-2 384

SHA-2 256

SHA-1 (SHAまたはSHA1-96とも呼ばれる)

Diffie-Hellmanグループ

グループ1 (MODP 768)

グループ2 (MODP 1024)

グループ5 (MODP 1536)

グループ14 (MODP 2048)

グループ19 (ECP 256)

グループ20 (ECP 384) *

IKEセッション・キーの有効期間

28800秒(8時間)

*グループ20は、すべてのOracle Cloud Infrastructureリージョンでサポートされるようになります。

フェーズ2 (IPSec)

パラメータ オプション
IPSecプロトコル

ESP、トンネル・モード

暗号化アルゴリズム

AES-256-gcm

AES-192-gcm

AES-128-gcm

AES-256-cbc

AES-192-cbc

AES-128-cbc

認証アルゴリズム

GCM (Galois/Counter Mode)を使用する場合、GCM暗号化に認証が含まれているため、認証アルゴリズムは必要ありません。

GCMを使用していない場合、次がサポートされます:

HMAC-SHA-256-128

HMAC-SHA-196

IPSecセッション・キーの有効期間

3600秒(1時間)

完璧な前方秘密(PFS)

有効、グループ5

Government Cloudでサポートされているパラメータ

この項では、「VPN接続」Government Cloud用の場合にサポートされるパラメータを示します。 詳細は、「すべてのGovernment Cloud顧客への情報」を参照してください。

一部のパラメータでは、Oracleは複数の値をサポートし、推奨される1つは「赤いイタリック体」で強調表示されます。

Oracleでは、IKEv1またはIKEv2の次のパラメータがサポートされています。 特定のCPEについてドキュメントをチェックし、IKEv1またはIKEv2に対してCPEがどのパラメータをサポートしているかを確認してください。

フェーズ1 (ISAKMP)

パラメータ オプション
ISAKMPプロトコル

バージョン 1

交換タイプ

メイン・モード

認証方式

事前共有キー

暗号化アルゴリズム

AES-256-cbc

AES-192-cbc

AES-128-cbc

認証アルゴリズム

SHA-2 384

SHA-2 256

SHA-1 (SHAまたはSHA1-96とも呼ばれる)

Diffie-Hellmanグループ

グループ14 (MODP 2048)

グループ19 (ECP 256)

グループ20 (ECP 384) *

IKEセッション・キーの有効期間

28800秒(8時間)

*グループ20は、すべてのOracle Cloud Infrastructureリージョンでサポートされるようになります。

フェーズ2 (IPSec)

パラメータ オプション
IPSecプロトコル

ESP、トンネル・モード

暗号化アルゴリズム

AES-256-gcm

AES-192-gcm

AES-128-gcm

AES-256-cbc

AES-192-cbc

AES-128-cbc

認証アルゴリズム

GCM (Galois/Counter Mode)を使用する場合、GCM暗号化に認証が含まれているため、認証アルゴリズムは必要ありません。

GCMを使用していない場合は、HMAC-SHA-256-128.を使用します。

IPSecセッション・キーの有効期間

3600秒(1時間)

完璧な前方秘密(PFS)

有効,グループ14