Oracle Cloud Infrastructureドキュメント

CPEの構成

このトピックはネットワーク・エンジニア向けです。 ここでは、IPSec VPNの最後でオンプレミス・デバイス(顧客分割機器またはCPE)を構成し、オンプレミス・ネットワークと仮想クラウド・ネットワーク(VCN)の間のトラフィックの流れを可能にする方法について説明します。 次の関連トピックを参照してください:

次の図は、IPSec VPN接続の基本的なレイアウトを示しています。

このイメージは、IPSec接続とトンネルの一般的なレイアウトをまとめたものです。

要件と前提条件

前進する前に知っておくべきいくつかの要件と前提条件があります。

ルーティングの考慮事項

IPSec VPNのルーティングに関する重要な詳細は、「Oracle IPSec VPNのルーティング」を参照してください。

Oracleは、IPSec VPN接続を構成する複数のトンネル間で非対称ルーティングを使用します。 1つのトンネルをプライマリ、別のトンネルをバックアップとして構成しても、VCNからオンプレミス・ネットワークへのトラフィックは、デバイス上にあるすべてのトンネルを使用できます。 それに応じてファイアウォールを構成します。 そうしないと、接続を介したpingテストやアプリケーション・トラフィックが確実に機能しなくなります。

IPSec VPNでBGP動的ルーティングを使用する場合は、Oracleでトンネルをもう一方より優先するようにルーティングを構成できます。

「Cisco ASAポリシーベースの構成」では、単一トンネルが使用されることに注意してください。

クラウド・ネットワーク・コンポーネントの作成

組織内のユーザーは、すでにOracle コンソールを使用して、冗長性のために複数のIPSecトンネルで構成されるVCNおよびIPSec接続を作成している必要があります。 これらのコンポーネントに関する次の情報を収集する必要があります:

  • VCN OCID: VCN OCIDは、最後にUUIDを持つ一意のOracle Cloud Infrastructure識別子です。 このUUIDまたは他の文字列は、デバイス構成でこのVCNを識別しやすく、他のオブジェクト・グループ名やアクセス・リスト名と競合しないために使用できます。
  • VCN CIDR
  • VCN CIDRサブネット・マスク
  • IPSecトンネルごとに:

    • Oracle IPSecトンネル・エンドポイント(VPNヘッド・エンド)のIPアドレス
    • 共有シークレット

CPEデバイスに関する情報

オンプレミス・デバイス(CPE)の内部および外部インタフェースに関する基本情報も必要になります。 特定のCPEに関する必須情報のリストは、このリストのリンクを参照してください: 検証済CPEデバイス

Oracle Cloud Infrastructureを使用してIPSecトンネルを確立するときは、CPEでNAT-Tを無効にすることをお薦めします。 同じNAT IPを複数のCPEで共有している場合を除き、NAT-Tは必要ありません。

CPEがNATデバイスより遅れている場合は、CPE IKE識別子を使用してOracleを提供できます。 詳細は、「CPEがNATデバイスの妨げになる場合」を参照してください。

ルート・ベース対ポリシー・ベースIPSec

IPSecプロトコルは、セキュリティ関連付け(SAs)を使用してパケットを暗号化する方法を決定します。 各SA内で、セキュリティ・パラメータ・インデックス(SPI)を定義して、パケットの暗号化方法および復号化方法を定義するために、パケットの発信元と着信先のIPアドレスとプロトコル・タイプをSAデータベース内のエントリにマッピングします。 他のベンダーまたは業界のドキュメントでは、SPIsのかわりに「暗号化ドメイン」という用語が使用される場合があります。

IPSecトンネルを実装するには、一般的に次の2つのメソッドがあります。

  • ルーティング・ベースのトンネル: 次のルーチン・ベースのトンネルとも呼ばれます。 パケット宛先IPアドレスでルート表参照が実行されます。 そのルートのエグレス・インタフェースがIPSecトンネルの場合、そのパケットは暗号化されてから、そのトンネルの反対側に送信されます。
  • ポリシーベースのトンネル: パケットのソースIPアドレスおよび宛先IPアドレスとプロトコルは、ポリシー文のリストと照合されます。 一致が見つかった場合、そのポリシー文のルールに基づいてパケットが暗号化されます。

Oracle VPNのヘッド・ポイントでは、ルーティング・ベースのトンネルが使用されますが、次の項に示す警告を含むポリシーベースのトンネルを使用できます。

Oracleは、単一のSPI暗号化ドメインのみをサポートします。

ルーティング・ベースのトンネルのSPI
ポリシーベースのトンネルの場合のSPI

IPSec VPNのベスト・プラクティス

  • IPSec接続ごとにすべてのトンネルを構成します: Oracleはすべての接続に複数のIPSecヘッド・エンドをデプロイし、ミッション・クリティカルなワークロードの高可用性を実現します。 使用可能なすべてのトンネルを構成することは、"Design for Failure"の哲学の重要な部分です。 (例外: 単一のトンネルを使用するCisco ASAポリシーベースの構成。)
  • オンプレミスのロケーションで冗長なCpeを持っている場合: IPSecとOracle Cloud Infrastructureを接続する各サイトには、冗長なCPEデバイスが必要です。 各CPEをOracle Cloud Infrastructure コンソールに追加し、動的ルーティング・ゲートウェイ(DRG)と各CPEの間に個別のIPSec接続を作成します。 各IPSec接続について、Oracleは、地理的に冗長なIPSec側に2つのトンネルをプロビジョニングします。 Oracleは、稼働中のトンネルを使用して、トラフィックをオンプレミス・ネットワークに戻します。 詳細は、「Oracle IPSec VPNのルーティング」を参照してください。
  • バックアップ集約ルートを検討する: 複数のサイトがIPSec VPN経由でOracle Cloud Infrastructureに接続されており、それらのサイトがオンプレミスのバックボーン・ルーターに接続されている場合は、IPSec接続ルートをローカル・サイト集約ルートとデフォルト・ルートの両方で構成することを検討してください。

    IPSec接続から学習されたDRGルートは、VCNからDRGにルーティングするトラフィックによってのみ使用されます。 デフォルト・ルートは、宛先IPアドレスがいずれかのトンネルのより特定のルートと一致しないDRGに送信されるトラフィックによってのみ使用されます。

接続のステータスの確認

IPSec接続を構成した後、インスタンスをVCNに起動してオンプレミス・ネットワークからpingすることで、接続をテストできます。 インスタンスの起動については、「インスタンスの起動」を参照してください。

APIまたはコンソールでIPSecトンネル「のステータスを取得できます。」 手順については、「IPSecトンネルのステータスと構成情報を表示するには」を参照してください。

デバイス構成

検証済の各CPEデバイスの特定の構成情報へのリンクについては、「検証済CPEデバイス」を参照してください。