Oracle Cloud Infrastructureドキュメント

IPSec VPNの設定

このトピックでは、VCNのIPSec VPNを設定する手順を示します。 IPSec VPNの一般情報については、「IPSec VPN概要」を参照してください。

警告

Oracle Cloud Infrastructureコンソール、APIまたはCLIを使用してクラウド・リソースに説明、タグまたはわかりやすい名前を割り当てるときは、機密情報を入力しないでください。

構成前に

準備するには、まずこれらのことを行います:

  • これらの質問に答えなさい:

  • 前のセクションのようなネットワーク・レイアウトの図を描きます。 オンプレミス・ネットワークのどの部分がVCNと通信する必要があるか、その逆を考えてください。 VCNに必要なrouting「セキュリティ・リスト」をマップします。

全体的なプロセス

ここでは、IPSec VPNを設定するための全体的なプロセスを示します:

  1. 始める前ににリストされているタスクを完了します。
  2. 「IPSec VPNコンポーネントを設定」(「例 : 概念の証明を設定するIPSec VPN」の手順」) :
    1. VCNを作成します。
    2. DRGを作成します。
    3. DRGをVCNにアタッチします。
    4. DRGのルート表とルート・ルールを作成します。
    5. セキュリティ・リストと必要なルールを作成します。
    6. VCNにサブネットを作成します。
    7. CPEオブジェクトを作成し、ルーターのパブリックIPアドレスを指定します。
    8. DRGから、CPEオブジェクトへのIPSec接続を作成し、静的ルートを提供します。
  3. ネットワーク・エンジニアにCPEルーターを構成させてください:ネットワーク・エンジニアは、前のステップでオラクルが提供する情報を使用してオンプレミス・ルーターを構成する必要があります。 VCNに関する一般的な情報、および各IPSecトンネルに関する特定の情報があります。 これは、コンソールまたはAPIを使用して実行できない設定の唯一の部分です。 この構成を使用しないと、VCNとオンプレミス・ネットワーク間でトラフィックは流れません。 詳細は、「CPEの構成」を参照してください。
  4. 接続を検証します。

例: 概念の証明を設定するIPSec VPN

この例のシナリオでは、概念証明(POC)のために使用できる単純なレイアウトで単一のIPSec VPNを設定する方法を示しています。 「全体的なプロセス」のタスク1と2に続き、作成されているレイアウトの各コンポーネントが示されています。 各タスクには、コンソールからの対応するスクリーンショットがあり、必要な情報がどこにあるかを理解するのに役立ちます。 より複雑なレイアウトについては、「複数の地理的エリアを含むレイアウトの例」または「PATによるレイアウトの例」を参照してください。

タスク1: 情報を収集
タスク2a: VCNを作成します
タスク2b: DRGを作成します。
タスク2c: DRGをVCNにアタッチします。
タスク2d: DRGのルート表およびルート・ルールの作成
タスク2e: セキュリティ・リストを作成
タスク2f: サブネットを作成
タスク2g: CPEオブジェクトを作成し、ルーターのパブリックIPアドレスを指定します
タスク2h: DRGから、CPEオブジェクトへのIPSec接続を作成し、静的ルートを提供
タスク3: ネットワーク・エンジニアにCPEルーターを構成させる
タスク4: 接続の検証

複数の地理的エリアを含むレイアウトの例

次の図は、この構成の例を示しています:

  • VCNにそれぞれ接続する別々の地理的エリアにある2つのネットワーク
  • 各エリア内の単一のオンプレミス・ルーター
  • 2つのIPSec VPN (各オンプレミス・ルーターに1つ)

各IPSec VPNには2つの静的ルートが関連付けられています。1つは特定のエリアのCIDRに対応し、0.0.0.0/0の広範な静的ルートを提供します。 理由を理解するには、「静的ルートについて」を参照してください。

このイメージは、2つの地理的領域と2つのルーター

0.0.0.0/0の静的ルートが柔軟性を提供できる状況の例を以下に示します:

  • CPE 1ルーターがダウンしたとします(次の図を参照)。 Subnet 1とSubnet 2が相互に通信できる場合、CPE 2に向かう0.0.0.0/0静的ルートのため、VCNはSubnet 1のシステムに到達できます。

    このイメージは、CPEルーターの1つがダウンするレイアウトを示しています

  • 組織がSubnet 3で新しい地理的エリアを追加し、最初はそれをSubnet 2に接続すると仮定します(次の図を参照)。 サブネット3のVCNルート表にルート・ルールを追加した場合、VCNは、0.0.0.0/0の静的ルートがCPE 2に送信されるため、サブネット3のシステムに到達する可能性があります。

    このイメージは、新しいサブネットを持つレイアウトを示しています

PATによるレイアウトの例

次の図は、この構成の例を示しています:

  • VCNにそれぞれ接続する別々の地理的エリアにある2つのネットワーク
  • 冗長化されたオンプレミス・ルーター(各エリアに2つ)
  • 4つのIPSec VPN (各オンプレミス・ルーターに1つ)
  • オンプレミス・ルーターごとのポート・アドレス変換(PAT)

4つのIPSec接続をそれぞれ作成する場合、指定する静的ルートは、特定のオンプレミス・ルーターのPAT IPアドレスです。 VCNのルート・ルールを設定するときは、ルール・ターゲットとしてDRGを使用して、各PAT IPアドレス(またはすべてをカバーする集合CIDR)のルールを指定します。

このイメージは、複数のIPSec VPN、ルーター、およびPATがあるシナリオを示しています

次のステップ

次の関連トピックを参照してください: