Oracle Cloud Infrastructureドキュメント

サポートされているIPSecパラメータ

このトピックでは、IPSec VPNでサポートされているISAKMPおよびIPSec構成パラメータを示します。 Oracleでは、セキュリティを最大化したり、特定範囲のCPEデバイスに対応するために、これらの値を選択します。 一部のパラメータでは、Oracleは複数の値をサポートし、推奨される1つは「赤いイタリック体」で強調表示されます。 CPEデバイスが「検証されたデバイスのリスト」上にない場合は、ここの情報を使用してデバイスを構成します。

重要

Oracleは、IPSec VPN接続を構成する複数のトンネル間で非対称ルーティングを使用します。
1つのトンネルをプライマリ、別のトンネルをバックアップとして構成しても、VCNからオンプレミス・ネットワークへのトラフィックは、デバイス上にあるすべてのトンネルを使用できます。 それに応じてファイアウォールを構成します。 そうしないと、接続を介したpingテストやアプリケーション・トラフィックが確実に機能しなくなります。

ISAKMPポリシー・オプション

  • ISAKMPプロトコル・バージョン1
  • 交換タイプ: メイン・モード
  • 認証メソッド: pre-shared-keys
  • 暗号化: AES-256-cbc, AES-192-cbc, AES-128-cbc
  • 認証アルゴリズム: SHA-384、SHA-256、SHA1 (SHAまたはSHA1-96とも呼ばれる)
  • Diffie-Hellmanグループ: グループ5、グループ2、グループ1
  • IKEセッション・キーの有効期間: 28800秒(8時間)

IPSecポリシー・オプション

  • IPSecプロトコル: ESP, tunnel-mode
  • 暗号化:AES-256-cbc, AES-192-cbc, AES-128-cbc
  • 認証アルゴリズム: HMAC-SHA1-96
  • IPSecセッション・キーの有効期間: 3600秒(1時間)
  • 完璧な前方秘密(PFS): 有効、グループ5

セキュリティ・パラメータ・インデックス

セキュリティ・パラメータ・インデックス(SPI)の値は、CPEがルーティング・ベースのトンネルをサポートするか、ポリシーベースのトンネルをサポートするかによって決まります。 使用する正しいSPI値の詳細は、「ルート・ベース対ポリシー・ベースIPSec」を参照してください。