Oracle Cloud Infrastructureドキュメント

CPEの構成

このトピックはネットワーク・エンジニア向けです。 オンプレミス・ルーター(顧客構内装置またはCPE)をIPSec VPNの最後に構成する方法について説明します。これにより、オンプレミス・ネットワークと仮想クラウド・ネットワーク(VCN)間でトラフィックが流れる可能性があります。 次の関連トピックを参照してください:

次の図は、IPSec VPN接続の基本的なレイアウトを示しています。

このイメージは、IPSec接続とトンネルの一般的なレイアウトをまとめたものです。

要件と前提条件

前進する前に知っておくべきいくつかの要件と前提条件があります。

非対称ルーティング

Oracleは、IPSec VPN接続を構成する複数のトンネル間で非対称ルーティングを使用します。 1つのトンネルをプライマリ、別のトンネルをバックアップとして構成しても、VCNからオンプレミス・ネットワークへのトラフィックは、デバイス上にあるすべてのトンネルを使用できます。 それに応じてファイアウォールを構成します。 そうしないと、接続を介したpingテストやアプリケーション・トラフィックが確実に機能しなくなります。

例外: Cisco ASAポリシーベースの構成は、単一のトンネルを使用します。

クラウド・ネットワーク・コンポーネントの作成

あなたまたは組織内の誰かが、すでにNetworkingを使用してVCNとIPSec接続を作成している必要があります。これは冗長性のための複数のIPSecトンネルで構成されています。 これらのコンポーネントに関する次の情報を収集する必要があります:

  • VCN ID: VCN IDの最後にはUUIDがあります。 このUUID、またはデバイス構成でこのVCNを識別し、他のオブジェクト・グループまたはアクセス・リスト名と競合しないようにするその他の文字列を使用できます。
  • VCN CIDR
  • VCN CIDRサブネット・マスク
  • IPSecトンネルごとに:

    • Oracle IPSecトンネル・エンドポイント(VPNヘッド・エンド)のIPアドレス
    • 事前共有キー(PSK)

CPEに関する情報

オンプレミス・ルーター(あなたのCPE)の内部インタフェースと外部インタフェースに関する基本的な情報も必要です。 詳細は、「タイプのルーターの構成トピック」を参照してください。

Oracle Cloud Infrastructureを使用してIPSecトンネルを確立するときは、CPEでNAT-Tを無効にすることをお薦めします。 同じNAT IPを複数のCPEで共有している場合を除き、NAT-Tは必要ありません。

CPEがNATデバイスの背後にある場合、唯一の特別な要件は、CPE IPSecローカル・アイデンティティがCPEパブリックIPと一致することです。 CPEがNATデバイスの背後にあるがIPSecローカル・アイデンティティの構成をサポートしていない場合は、CPEを構成してトンネルを起動するためのチケットをMy Oracle Supportで提出してください。

ルート・ベース対ポリシー・ベースIPSec

IPSecプロトコルは、セキュリティ関連付け(SAs)を使用してパケットを暗号化する方法を決定します。 各SA内で、セキュリティ・パラメータ・インデックス(SPI)を定義して、パケットの暗号化方法および復号化方法を定義するために、パケットの発信元と着信先のIPアドレスとプロトコル・タイプをSAデータベース内のエントリにマッピングします。

IPSecトンネルを実装するには、一般的に次の2つのメソッドがあります。

  • ルーティング・ベースのトンネル: 次のルーチン・ベースのトンネルとも呼ばれます。 パケット宛先IPアドレスでルート表参照が実行されます。 そのルートのエグレス・インタフェースがIPSecトンネルの場合、そのパケットは暗号化されてから、そのトンネルの反対側に送信されます。
  • ポリシーベースのトンネル:パケットのソースIPアドレスおよび宛先IPアドレスとプロトコルは、ポリシー文のリストと照合されます。 一致が見つかった場合、そのポリシー文のルールに基づいてパケットが暗号化されます。

Oracle VPNのヘッド・ポイントでは、ルーティング・ベースのトンネルが使用されますが、次の項に示す警告を含むポリシーベースのトンネルを使用できます。

ルーティング・ベースのトンネルのSPI
ポリシーベースのトンネルの場合のSPI

IPSec VPNのベスト・プラクティス

  • IPSec接続ごとにすべてのトンネルを構成します: Oracleはすべての接続に複数のIPSecヘッド・エンドをデプロイし、ミッション・クリティカルなワークロードの高可用性を実現します。 使用可能なすべてのトンネルを構成することは、"Design for Failure"の哲学の重要な部分です。 (例外: 単一のトンネルを使用するCisco ASAポリシーベースの構成。)
  • お客様の敷地内に冗長CPEを設置する: IPSec経由でOracle Cloud Infrastructureに接続する各サイトには、冗長CPEデバイスが必要です。 各CPEをOracle Cloud Infrastructure コンソールに追加し、動的ルーティング・ゲートウェイ(DRG)と各CPEとの間にIPSec接続を作成すると、オラクルはCPEへのOracle IPSecヘッド・エンドのトンネル・エンドポイントのフル・メッシュをプロビジョニングします。 Oracleネットワークは、どのトンネルが稼動しているかを動的に学習し、トンネルの状態とロケーションに基づいて最適なトンネルを使用します。
  • バックアップ集約ルートを検討する:複数のサイトがIPSec VPN経由でOracle Cloud Infrastructureに接続されており、それらのサイトがオンプレミスのバックボーン・ルーターに接続されている場合は、IPSec接続ルートをローカル・サイト集約ルートとデフォルト・ルートの両方で構成することを検討してください。

    IPSec接続から学習されたDRGルートは、VCNからDRGにルーティングするトラフィックによってのみ使用されます。 デフォルト・ルートは、宛先IPアドレスがいずれかのトンネルのより特定のルートと一致しないDRGに送信されるトラフィックによってのみ使用されます。

接続のステータスの確認

IPSec接続を構成した後、インスタンスをVCNに起動してオンプレミス・ネットワークからpingすることで、接続をテストできます。 インスタンスの起動については、「インスタンスの起動」を参照してください。

APIまたはコンソールでIPSecトンネル「のステータスを取得できます。」 手順については、「IPSecトンネルのステータスと構成情報を取得するには」を参照してください。

デバイス構成