Palo Alto

このトピックでは、Palo Altoデバイスの構成について説明します。この構成は、PAN-OSバージョン8.0.0を使用して検証されました。

Palo Altoの経験が必要です。

重要

Oracleには、一連のベンダーおよびデバイスの構成手順が用意されています。構成は適切なベンダーに対して使用してください。

構成の検証にOracleで使用されたデバイスまたはソフトウェアのバージョンが、使用しているデバイスまたはソフトウェアと完全に一致しない場合でも、構成は動作する可能性があります。ベンダーのドキュメントを参照し、必要な調整を行ってください。

デバイスが、検証済のベンダーおよびデバイスのリストに含まれないベンダーのものである場合、またはIPSecのデバイスの構成をよく理解している場合は、サポートされているIPSecパラメータのリストを確認し、ベンダーのドキュメントを参照してください。

Oracle Cloud Infrastructureは、オンプレミス・ネットワークと仮想クラウド・ネットワーク(VCN)間のセキュアなIPSec接続であるサイト間VPNを提供します。

次の図は、冗長トンネルを使用した、Oracle Cloud Infrastructureへの基本的なIPSec接続を示しています。この図で使用されているIPアドレスは、単なる例です。

この図は、オンプレミス・ネットワーク、VPN接続IPSecトンネルおよびVCNの一般的なレイアウトを示しています。

ベスト・プラクティス

この項では、サイト間VPNの使用に関する一般的なベスト・プラクティスと考慮事項について説明します。

すべてのIPSec接続に対してすべてのトンネルを構成します

Oracleは、接続ごとに2つのIPSecヘッドエンドをデプロイし、ミッションクリティカルなワークロードに高可用性を提供します。Oracle側では、これらの2つのヘッドエンドが別々のルーターに配置されて冗長性が確保されます。最大の冗長性のために使用可能なすべてのトンネルを構成することをお薦めします。これは「障害を前提とした設計」原理の重要な要素です。

オンプレミス・ネットワークの場所に冗長CPEを配置します

IPSecでOracle Cloud Infrastructureに接続する各サイトでは、冗長エッジ・デバイス(顧客構内機器(CPE)とも呼ばれる)を使用する必要があります。Oracle Consoleに各CPEを追加し、動的ルーティング・ゲートウェイ(DRG)と各CPE間に個別のIPSec接続を作成します。各IPSec接続に対して、Oracleは、地理的に冗長なIPSecヘッドエンド上に2つのトンネルをプロビジョニングします。詳細は、接続性冗長性ガイド(PDF)を参照してください。

ルーティング・プロトコルの考慮事項

サイト間VPN IPSec接続を作成する場合、2つの冗長IPSecトンネルがあります。両方のトンネルを使用するようにCPEを構成することをお薦めします(CPEでサポートされている場合)。以前は、Oracleによって、最大4つのIPSecトンネルを持つIPSec接続が作成されていました。

次の2つのルーティング・タイプを使用でき、サイト間VPNの各トンネルに対して別個にルーティング・タイプを選択します:

  • BGP動的ルーティング: 使用可能なルートは、BGPによって動的に学習されます。DRGは、オンプレミス・ネットワークからルートを動的に学習します。Oracle側では、DRGはVCNのサブネットを通知します。
  • 静的ルーティング: DRGへのIPSec接続を設定する場合は、VCNに通知する必要のあるオンプレミス・ネットワークへの特定のルートを指定します。VCNのサブネットへの静的ルートを使用して、CPEデバイスを構成する必要もあります。これらのルートは、動的には学習されません。
  • ポリシー・ベースのルーティング: DRGへのIPSec接続を設定する場合は、VCNに通知する必要のあるオンプレミス・ネットワークへの特定のルートを指定します。VCNのサブネットへの静的ルートを使用して、CPEデバイスを構成する必要もあります。これらのルートは、動的には学習されません。

BGP最適パス選択アルゴリズムの操作方法に関するOracleの推奨事項など、サイト間VPNを使用したルーティングの詳細は、「サイト間VPNのルーティング」を参照してください。

その他の重要なCPE構成

CPEのアクセス・リストが、Oracle Cloud Infrastructureとの間で必要なトラフィックをブロックしないように正しく構成されていることを確認します。

複数のトンネルが同時にアップしている場合は、非対称ルーティングが発生する可能性があります。非対称ルーティングを可能にするには、CPEが任意のトンネルでVCNからのトラフィックを処理するように構成されていることを確認します。たとえば、ICMP検査を無効にしたり、TCP状態バイパスを構成したりする必要があります。適切な構成の詳細は、CPEベンダーのサポートに問い合せてください。対称になるようにルーティングを設定するには、「サイト間VPNのルーティング」を参照してください。

注意事項および制限事項

この項では、注意する必要のあるサイト間VPNの重要な一般的特性と制限について説明します。

非対称ルーティング

Oracleでは、IPSec接続を構成する複数のトンネル間で非対称ルーティングが使用されます。適切にファイアウォールを構成してください。そうしないと、接続間でのpingテストまたはアプリケーション・トラフィックが確実に動作しません。

複数のトンネルをOracle Cloud Infrastructureに使用する場合は、優先トンネルを通じてトラフィックを決定論的にルーティングするようにルーティングを構成することをお薦めします。1つのIPSecトンネルをプライマリとして使用し、別のトンネルをバックアップとして使用する場合は、プライマリ・トンネル(BGP)用として特定性の高いルートを構成し、バックアップ・トンネル(BGP/静的)用として特定性の低いルート(サマリーまたはデフォルト・ルート)を構成します。それ以外の場合、すべてのトンネルを通じて同じルート(デフォルト・ルートなど)を通知すると、Oracleが非対称ルーティングを使用するため、VCNからオンプレミス・ネットワークへの返却トラフィックは、使用可能なトンネルのいずれかにルーティングされます。

対称ルーティングの強制方法に関する特定のOracleルーティング推奨は、サイト間VPNのルーティングを参照してください。

ルートベースまたはポリシーベースのサイト間VPN

IPSecプロトコルは、セキュリティ・アソシエーション(SA)を使用してパケットの暗号化方法を判断します。各SA内で、パケットのソースIPアドレスと宛先IPアドレスおよびプロトコル・タイプをSAデータベースのエントリにマップする暗号化ドメインを定義して、パケットを暗号化または復号化する方法を定義します。

ノート

他のベンダーまたは業界のドキュメントでは、SAまたは暗号化ドメインを参照するときに、プロキシID、セキュリティ・パラメータ・インデックス(SPI)またはトラフィック・セレクタという用語が使用される場合があります。

IPSecトンネルを実装するには、一般的に2つの方法があります:

  • ルートベース・トンネル: ネクスト・ホップベース・トンネルとも呼ばれます。ルート表検索は、パケットの宛先IPアドレス上で実行されます。そのルートのエグレス・インタフェースがIPSecトンネルである場合、パケットは暗号化され、トンネルの他方の側に送信されます。
  • ポリシーベース・トンネル: パケットのソースと宛先のIPアドレスおよびプロトコルがポリシー・ステートメントのリストと照合されます。一致が検出されると、そのポリシー・ステートメント内のルールに基づいてパケットが暗号化されます。

Oracle Site - to - Site VPNヘッドエンドではルートベース・トンネルが使用されますが、次の各項に示す注意事項を考慮しながら、ポリシーベース・トンネルとともに使用できます。

ルートベース・トンネル用の暗号化ドメイン

CPEでルートベース・トンネルがサポートされている場合は、この方法を使用してトンネルを構成します。これは最も単純な構成で、Oracle VPNヘッドエンドとの相互運用性が最も高くなっています。

ルートベースのIPSecでは、次の値を持つ暗号化ドメインが使用されます:

  • ソースIPアドレス: 任意(0.0.0.0/0)
  • 宛先IPアドレス: 任意(0.0.0.0/0)
  • プロトコル: IPv4

より特定的にする必要がある場合は、デフォルト・ルートではなく、暗号化ドメイン値に単一のサマリー・ルートを使用できます。

ポリシーベース・トンネル用の暗号化ドメイン

ポリシーベースのトンネルを使用する場合、定義するすべてのポリシー・エントリ(IPSec接続の一方の側のCIDRブロック)によって、トンネルの他方の端の適格なすべてのエントリとのIPSecセキュリティ・アソシエーション(SA)が生成されます。このペアは暗号化ドメインと呼ばれます。

この図では、IPSecトンネルのOracle DRG終端に、3つのIPv4 CIDRブロックと1つのIPv6 CIDRブロックのポリシー・エントリがあります。トンネルのオンプレミスCPE終端には、ポリシー・エントリ2つのIPv4 CIDRブロックと2つのIPv6 CIDRブロックがあります。各エントリは、トンネルの反対側にある可能性のあるすべてのエントリを含む暗号化ドメインを生成します。SAペアの両側で同じバージョンのIPを使用する必要があります。その結果、合計8つの暗号化ドメインが作成されます。

複数の暗号化ドメインとその数を決定する方法を示す図。
重要

CPEでポリシーベース・トンネルのみがサポートされている場合、次の制限に注意してください。

  • Site - to - Site VPNは複数の暗号化ドメインをサポートしていますが、暗号化ドメインの上限は50です。
  • 前述の例のような状況で、CPE側で6つの可能なIPv4暗号化ドメインのうち3つのみを構成した場合、すべての可能な暗号化ドメインが常にDRG側で作成されるため、リンクは「Partial UP」状態でリストされます。
  • ポリシーベースのルーティングは、すべてのリージョンで使用できるわけではなく、VPN接続v2接続に依存します。サポートされているリージョンのリストは、サイト間VPN v2の可用性を参照してください。
  • トンネルが作成された時期によっては、ポリシーベースのルーティングを使用するように既存のトンネルを編集できず、トンネルを新しいIPSecトンネルに置き換える必要がある場合があります。
  • トンネルのOracle DRG終端で使用されるCIDRブロックは、トンネルのオンプレミスCPE終端で使用されるCIDRブロックと重複できません。
  • 暗号化ドメインは、常に同じIPバージョンの2つのCIDRブロック間にある必要があります。

CPEがNATデバイスの背後にある場合

一般的に、接続の終端で構成されたCPE IKE識別子は、Oracleが使用しているCPE IKE識別子と一致する必要があります。デフォルトでは、OracleではCPEのパブリックIPアドレスが使用されます。これは、Oracle ConsoleでCPEオブジェクトを作成したときに指定したものです。ただし、CPEがNATデバイスの背後にある場合、次の図に示すように、終端で構成されたCPE IKE識別子がCPEのプライベートIPアドレスになる可能性があります。

この図は、NATデバイスの背後にあるCPE、パブリックIPアドレスとプライベートIPアドレス、およびCPE IKE識別子を示しています。
ノート

一部のCPEプラットフォームでは、ローカルIKE識別子を変更できません。実行できない場合は、Oracle ConsoleでリモートIKE IDを変更し、CPEのローカルIKE IDと一致させる必要があります。IPSec接続を設定するときに、または設定後に、IPSec接続を編集して値を指定できます。Oracleでは、値がIPアドレスまたはcpe.example.comなどの完全修飾ドメイン名(FQDN)であることが必要です。手順については、Oracleで使用されるCPE IKE識別子の変更を参照してください。

サポートされているIPSecパラメータ

すべてのリージョンでサポートされているIPSecパラメータのベンダー非依存のリストについては、サポートされているIPSecパラメータを参照してください。

商用クラウドのOracle BGP ASNは、31898です。US Government Cloudにサイト間VPNを構成する場合は、Government CloudおよびOracleのBGP ASNに必要なサイト間VPNパラメータを参照してください。United Kingdom Government Cloudについては、OracleのBGP ASNを参照してください。

CPE構成

重要

この項の構成手順は、使用しているCPE用のOracle Cloud Infrastructureで提供されています。サポートが必要な場合は、CPEベンダーのサポートに直接問い合せてください。

次の図は、IPSec接続の基本的なレイアウトを示しています。

この図は、IPSec接続とトンネルの一般的なレイアウトを示しています。

構成手順に関する重要な詳細

  • コミット: PANで構成をアクティブ化するには、任意の構成変更の後にコミット処理を実行する必要があります。
  • IPアドレスの例: この構成例では、クラスA 10.0.0.0/8 (RFC1918)および198.51.100.0/24 (RFC5735)のIPアドレスを使用します。CPE上で構成を実行する場合、ネットワーキング・トポロジに正しいIPアドレス指定プランを使用してください。

この構成例では、次の変数と値を使用します:

  • 内部トンネル1インタフェース - CPE: 198.51.100.1/30
  • 内部トンネル2インタフェース - CPE: 198.51.100.5/30
  • 内部トンネル1インタフェース - Oracle: 198.51.100.2/30
  • 内部トンネル2インタフェース - Oracle: 198.51.100.6/30
  • CPE ASN: 64511
  • オンプレミス・ネットワーク: 10.200.1.0/24
  • VCN CIDRブロック: 10.200.0.0/24
  • CPEパブリックIPアドレス: 10.100.0.100/24
  • Oracle VPNヘッドエンド(DRG) IPアドレス1: 10.150.128.1/32
  • Oracle VPNヘッドエンド(DRG) IPアドレス2: 10.150.127.1/32
  • トンネル番号1: tunnel.1
  • トンネル番号2: tunnel.2
  • 終了インタフェース: ethernet1/1

IKEv2の使用について

Oracleは、Internet Key Exchangeバージョン1 (IKEv1)およびバージョン2 (IKEv2)をサポートしています。コンソールでIKEv2を使用するようにIPSec接続を構成する場合、CPEでサポートされているIKEv2および関連するIKEv2暗号化パラメータのみを使用するようにCPEを構成する必要があります。OracleでIKEv1またはIKEv2用にサポートされているパラメータのリストについては、サポートされているIPSecパラメータを参照してください。

IKEv2を使用する場合、次の項に示すいくつかのステップに特別なバリエーションがあります。特別なステップの概要は次のとおりです:

  • タスク2 (ISAKMPピアの定義)で、IKEゲートウェイを追加する場合:
    • 「一般」タブの「バージョン」で、「IKEv2のみのモード」を選択します。
    • 「拡張オプション」タブで、IKEv2トンネルに関連付けられたIKE暗号化プロファイルを選択します。
  • タスク5 (IPSecセッションの構成)で、プロキシIDを構成します。

構成プロセス

次のプロセスには、IPSec接続のBGP構成が含まれています。静的ルーティングを使用する場合は、タスク1から5までを実行してから、CPE構成にスキップします。

タスク1: ISAKMPフェーズ1ポリシーの構成

この例では、両方のトンネルに同じISAKMPポリシーが使用されます。

  1. 「ネットワーク」に移動して「IKE暗号化」に移動し、「追加」をクリックします。
  2. 次のスクリーンショットに示すようにパラメータを構成します。値のリストについては、サポートされているIPSecパラメータを参照してください。Government Cloudにサイト間VPNを構成する場合は、Government Cloudに必要なサイト間VPNパラメータを参照してください。

    この図は、ISAKMPポリシーを構成する場所を示しています。

    次のスクリーンショットは、このタスクの最終結果を示しています:

    この図は、ISAKMPポリシー作成後の最終結果を示しています。

タスク2: ISAKMPピアの定義
  1. 「ネットワーク」に移動して「IKEゲートウェイ」に移動し、「追加」をクリックします。
  2. ピア1では、次のスクリーンショットに示すようにパラメータを構成します。

    1. 「一般」タブ:

      • バージョン: IKEv1の場合、「IKEv1のみモード」を選択します。IKEv2を使用する場合、「IKEv2のみのモード」を選択します。IKEv2を使用している場合は、後続のタスク5でプロキシIDも追加します。
      • インタフェース: CPEのパブリックIPアドレスを所有するインタフェース。「ethernet1/1」を、ネットワーキング・トポロジの特定の値に変更します。
      • ピアIPアドレス: OracleがトンネルのOracleヘッドエンドに割り当てたパブリックIPアドレス。最初のトンネルの正しいIPアドレスに値を変更します。
      • 事前共有キー: IPSecトンネルの作成中にOracleによって自動的に割り当てられた共有シークレット。必要に応じて、別の値を指定できます。こことOracle Consoleには同じ値を入力します。
      • ローカル識別ピア識別: IKE ID。ローカル識別は、CPEのパブリックIPアドレスです。「リモート識別」は、最初のトンネルのOracle VPNヘッドエンドIPアドレスです。

      この図は、最初のピアのパラメータを構成する場所を示しています。

    2. 「拡張オプション」タブで、次のスクリーンショットに従って最初のピアに値が設定されていることを確認します。

      この図は、最初のピアのIKEゲートウェイ拡張オプションを示しています。

      IKEv2を使用している場合は、IKEv2トンネルに関連付けられたIKE暗号化プロファイルを選択します。

      この図は、IKEv2暗号化プロファイルの設定を示しています。

  3. ピア2では、次のスクリーンショットに示すようにパラメータを構成します。

    1. 「一般」タブ:

      • バージョン: IKEv1の場合、「IKEv1のみモード」を選択します。IKEv2を使用する場合、「IKEv2のみのモード」を選択します。IKEv2の場合、後続のタスク5でプロキシIDを指定する必要もあります。
      • インタフェース: CPEのパブリックIPアドレスを所有するインタフェース。「ethernet1/1」を、ネットワーキング・トポロジの特定の値に変更します。
      • ピアIPアドレス: OracleがトンネルのOracleヘッドエンドに割り当てたパブリックIPアドレス。2番目のトンネルの正しいIPアドレスに値を変更します。
      • 事前共有キー: IPSecトンネルの作成中にOracleによって自動的に割り当てられた共有シークレット。必要に応じて、別の値を指定できます。こことOracle Consoleには同じ値を入力します。
      • ローカル識別ピア識別: IKE ID。ローカル識別は、CPEのパブリックIPアドレスです。「リモート識別」は、2番目のトンネルのOracle VPNヘッドエンドIPアドレスです。

      この図は、2番目のピアのパラメータを構成する場所を示しています。

    2. 「拡張オプション」タブで、次のスクリーンショットに従って2番目のピアに値が設定されていることを確認します:

      この図は、2番目のピアのIKEゲートウェイ拡張オプションを示しています。

      IKEv2を使用している場合は、IKEv2トンネルに関連付けられたIKE暗号化プロファイルを選択します。

      この図は、IKEv2暗号化プロファイルの設定を示しています。

次のスクリーンショットは、このタスクの最終結果を示しています:

この図は、ISAKMPピア定義後の最終結果を示しています。

タスク3: IPSecフェーズ2ポリシーの定義

この例では、両方のトンネルに同じIPSec暗号化プロファイルが使用されます。

  1. 「ネットワーク」に移動して「IPSec暗号化」に移動し、「追加」をクリックします。
  2. 次のスクリーンショットに示すようにパラメータを構成します。

    この図は、IPSec暗号化プロファイルを構成する場所を示しています。

    次のスクリーンショットは、このタスクの最終結果を示しています:

    この図は、IPSec暗号化プロファイル作成後の最終結果を示しています。

タスク4: 仮想トンネル・インタフェースの構成
  1. 「ネットワーク」「インタフェース」「トンネル」の順に移動して、「追加」をクリックします。
  2. ピア1では、次のスクリーンショットに示すようにパラメータを構成します。

    1. 「構成」タブで、仮想ルーターおよびセキュリティ・ゾーンの構成に従ってインタフェースを割り当てます。この例では、デフォルトの仮想ルーターおよびipsec_tunnelセキュリティ・ゾーンを使用します。

      この図は、最初のピアのトンネル・インタフェース・パラメータを構成する場所を示しています。

    2. 「IPv4」タブで、次のスクリーンショットに従って最初のピアに値が設定されていることを確認します。この例では、トンネル・インタフェースのIPアドレスはipsec_address_static1 = 198.51.100.1/30です。ネットワーキングIPアドレス指定プランに従ってトンネルIPアドレスを構成します。

      この図は、最初のピアのトンネル・インタフェースIPv4パラメータを示しています。

  3. ピア2では、次のスクリーンショットに示すようにパラメータを構成します。

    1. 「構成」タブで、仮想ルーターおよびセキュリティ・ゾーンの構成に従ってインタフェースを割り当てます。この例では、デフォルトの仮想ルーターおよびipsec_tunnelセキュリティ・ゾーンを使用します。

      この図は、2番目のピアのトンネル・インタフェース・パラメータを構成する場所を示しています。

    2. 「IPv4」タブで、次のスクリーンショットに従って2番目のピアに値が設定されていることを確認します。この例では、トンネル・インタフェースのIPアドレスはipsec_address_static2 = 198.51.100.5/30です。ネットワーキングIPアドレス指定プランに従ってトンネルIPアドレスを構成します。

      この図は、2番目のピアのトンネル・インタフェースIPv4パラメータを示しています。

次のスクリーンショットは、このタスクの最終結果を示しています:

この図は、トンネル・インタフェース追加後の最終結果を示しています。

タスク5: IPSecセッションの構成
  1. 「ネットワーク」に移動して「IPSecトンネル」に移動し、「追加」をクリックします。
  2. ピア1では、次のスクリーンショットに示すように「一般」タブでパラメータを構成します。

    IKEv1を使用している場合、「プロキシid」タブに特定のプロキシIDを追加する必要はありません。それらは、IKEv1のルートベースのVPN構成に必要ありません。

    ただし、IKEv2の場合は、相互運用性を向上するために「プロキシid」タブにプロキシIDを追加してください。タスク2で以前にIKEv2を使用するようにIKEゲートウェイも構成していることを確認します。

    この図は、ピア1のIPSecセッションを構成する場所を示しています。

  3. ピア2では、次のスクリーンショットに示すように「一般」タブでパラメータを構成します。

    IKEv2を使用している場合は、「プロキシid」タブでプロキシIDも追加します。

    この図は、ピア2のIPSecセッションを構成する場所を示しています。

タスク6: BGP over IPSecの構成
ノート

BGPではなく静的ルーティングを使用する場合は、タスク6をスキップして、静的ルーティングの構成に進んでください。

BGP over IPSecでは、両端のトンネル・インタフェース上にIPアドレスが必要です。

この例のスクリーンショットでは、トンネル・インタフェースに次のサブネットを使用します:

  • 198.51.100.0/30
    • CPE: 198.51.100.1/30
    • DRG: 198.51.100.2/30
  • 198.51.100.4/30
    • CPE: 198.51.100.5/30
    • DRG: 198.51.100.6/30

例の値を、内部トンネル・インタフェース用にOracle Consoleで指定したBGP IPアドレスで置き換えます。

このタスクは3つのサブタスクで構成され、それぞれに複数のステップがあります。

サブタスク6-a: BGPパラメータの構成
  1. 「ネットワーク」「仮想ルート」「デフォルト」「BGP」の順に移動します。この例では、デフォルトの仮想ルーターを使用します。また、この例では、ルーターIDとして10.200.1.10を、ASNとして64511を使用します。ネットワーキング構成に基づいて正しい仮想ルーターを使用し、現在の環境にとって正しいルーターIDおよびASNを使用します。

    この図は、BGP構成の開始を示しています。

  2. 「一般」タブで、次のスクリーンショットに示すようにパラメータを構成します。

    この図は、BGPの「一般」タブを示しています。

  3. 「詳細」タブで、次のスクリーンショットに示すようにパラメータを構成します。

    この図は、BGPの「拡張」タブを示しています。

  4. 「ピア・グループ」タブ:

    1. 最初のピア・グループを追加し、「ピア・グループ名」で最初のセッションを追加します。DRGを使用して、BGPセッションを追加します。

      この図は、BGPピア・グループを示しています。

    2. 最初のトンネルについて、「アドレス指定」タブで、次のスクリーンショットに示すようにパラメータを構成します。商用リージョンにおけるOracleのBGP ASNは31898です。Government Cloudに対してサイト間VPNを構成する場合は、OracleのBGP ASNを参照してください。

      この図は、BGPピアの「アドレス」タブを示しています。

    3. 「接続オプション」タブで、次のスクリーンショットに示すようにパラメータを構成します。

      この図は、BGPピアの「接続オプション」タブを示しています。

    4. 「詳細」タブで、次のスクリーンショットに示すようにパラメータを構成します。

      この図は、BGPピアの「拡張」タブを示しています。

    5. 「ピア・グループ」タブで2番目のピア・グループを追加し、「ピア・グループ名」で2番目のセッションを追加します。DRGを使用して、BGPセッションを追加します。

      この図は、BGPピア・グループを示しています。

    6. 2番目のトンネルについて、「アドレス指定」タブで、次のスクリーンショットに示すようにパラメータを構成します。

      この図は、BGPピアの「アドレス」タブを示しています。

    7. 「接続オプション」タブで、次のスクリーンショットに示すようにパラメータを構成します。

      この図は、BGPピアの「接続オプション」タブを示しています。

    8. 「詳細」タブで、次のスクリーンショットに示すようにパラメータを構成します。

      この図は、BGPピアの「拡張」タブを示しています。

    次のスクリーンショットは、最終的なピア・グループ構成を示しています:

    この図は、最終的なピア・グループ構成を示しています。

  5. 「インポート」タブで、次のスクリーンショットに示すようにパラメータを構成します。ここで、プライマリとしてtunnel.1を、BGP (10.200.0.0/24)経由でDRGから受信したVCNルートのバックアップとしてtunnel.2を構成します。BGPの観点からは、両方のトンネルが確立された状態にあります。

    1. 最初のルールについて、「一般」タブで、次のスクリーンショットに示すようにパラメータを構成します。

      この図は、インポート・ルールの「一般」タブを示しています。

    2. 「一致」タブで、次のスクリーンショットに示すようにパラメータを構成します。

      この図は、インポート・ルールの「一致」タブを示しています。

    3. 「アクション」タブで、次のスクリーンショットに示すようにパラメータを構成します。

      この図は、インポート・ルールの「アクション」タブを示しています。

    4. 2番目のルールについて、「一般」タブで、次のスクリーンショットに示すようにパラメータを構成します。

      この図は、インポート・ルールの「一般」タブを示しています。

    5. 「一致」タブで、次のスクリーンショットに示すようにパラメータを構成します。

      この図は、インポート・ルールの「一致」タブを示しています。

    6. 「アクション」タブで、次のスクリーンショットに示すようにパラメータを構成します。

      この図は、インポート・ルールの「アクション」タブを示しています。

  6. 「エクスポート」タブで、次のスクリーンショットに示すようにパラメータを構成します。ここでは、オンプレミス・ネットワークCIDR (10.200.1.0/24)への返却パスとしてtunnel.1を優先するようにDRGに強制するポリシーを構成します。

    1. 「一般」タブで、次のスクリーンショットに示すようにパラメータを構成します。

      この図は、エクスポートの「一般」タブを示しています。

    2. 「一致」タブで、次のスクリーンショットに示すようにパラメータを構成します。

      この図は、エクスポートの「一致」タブを示しています。

    3. 「アクション」タブで、次のスクリーンショットに示すようにパラメータを構成します。

      この図は、エクスポートの「アクション」タブを示しています。

    次のスクリーンショットは、最終的なエクスポート構成を示しています:

    この図は、最終的なエクスポート構成を示しています。

    「条件付きAdv」または「集計」タブの構成は不要です。

  7. 「再配布ルール」タブで、次のスクリーンショットに示すようにパラメータを構成します。ここで、BGPのオンプレミス・ネットワークCIDRを通知します。

    この図は、「再分散ルール」タブを示しています。

サブタスク6-b: BGPセッションが確立されるまで待機してからBGPステータスを確認する
  1. 「ネットワーク」「IPSecトンネル」「仮想ルーター」列の順に移動して、「ルートの表示」をクリックします。

    この図は、仮想ルーターのルートを表示する場所を示しています。

  2. 「BGP」に移動し、「ピア」タブに移動して、BGPセッションが確立されていることを確認します。その他の値は、BGPセッションが正常に確立されておらず、ルート交換が発生しないことを意味します。

    この図は、BGPセッション・ステータスを表示する場所を示しています。

  3. 「ローカルRIB」タブ: DRGから接頭辞を受け取り、tunnel.1が優先されます。

    この図は、BGPの「ローカルRIB」タブを示しています。

  4. 「RIB Out」タブ: オンプレミス・ネットワークCIDRは、as_pathが64511でBGP経由でDRG1に送信され、DRG2にはas_pathが64511、64511で送信されます。このように、BGP最適パス・アルゴリズムに基づいて、オンプレミス・ネットワークCIDRに到達するためにDRGで優先されるルートは、tunnel.1経由の接続を使用します。

    この図は、BGPの「RIB出力」タブを示しています。

サブタスク6 - c: BGPルートがルート表に挿入されていることを確認する

ルートを表示するには、「ルーティング」に移動し、「ルート表」タブに移動します。

この図は、ルート表に挿入されたルートを示しています。

静的ルーティングの構成

CPEがBGP over IPSecをサポートしていない場合、またはBGP over IPSecを使用しない場合は、ここに示す手順を使用してください。

このタスクでは、DRGと最終のVCNホストに到達するように、トンネル・インタフェースを介してトラフィックを転送するように静的ルートを構成します。

  1. 前の項のタスク1から5を実行します。
  2. 静的ルートを構成します:
    1. 「ネットワーク」「仮想ルート」「デフォルト」「静的ルート」の順に移動して、「追加」をクリックします。
    2. ルート1では、次の図に示すようにパラメータを構成します。

      この図は、ルート1の静的ルート設定を示しています。

    3. ルート2では、次の図に示すようにパラメータを構成します。

      この図は、ルート2の静的ルート設定を示しています。

  3. (推奨) 2つのトンネルを介して送信されるトラフィックに対してECMPを有効にします。両方のルートのメトリックは10に設定されます。ECMPの有効化に関する重要な注意事項を次に示します:

    • 最初に、ネットワーキング設計でECMPが許可されているかどうかを確認します。
    • 既存の仮想ルーター上でECMPを有効化または無効化すると、システムが仮想ルーターを再起動します。再起動すると、既存のセッションが終了する可能性があります。
    • この例では、デフォルトの仮想ルーターを使用します。ネットワーク環境にとって適切な仮想ルーターを使用してください。

    ECMPを有効にするには、「ネットワーク」「仮想ルーター」「デフォルト」「ルーター設定」「ECMP」の順に移動して、「有効化」のチェック・ボックスを選択します。

    この図は、ECMP設定を示しています。

このタスクが完了した後の最終的な構成を示すスクリーンショットを次に示します:

この図は、静的ルートを構成した後の「IPv4」タブ上の最終構成を示しています。

この図は、静的ルートを構成した後の最終構成を示しています。

IKE識別子の変更

CPEがNATデバイスの背後にあり、トンネル・インタフェースがソースとして使用する終了インタフェース上にプライベートIPアドレスがある場合は、NATデバイスのパブリックIPアドレスをローカルIKE IDとして指定する必要があります。これを行うには、「IKEゲートウェイ」構成で「ローカル識別」の値を設定します:

この図は、CPEのIKE識別子を変更する場所を示しています。

検証

IPSecトンネル・ステータスを確認するには:

この図は、IPSecトンネル・ステータスを確認する場所を示しています。

次のコマンドを使用して、IKE SAを確認します:

show vpn ike-sa

次のコマンドを使用して、IPSecトンネル構成を確認します:

show vpn tunnel name <tunnel_name>

BGPステータスを確認するには、「確立済」を検索します:

この図は、BGPステータスを確認する場所を示しています。

コマンドラインからBGPステータスを確認するには:

show routing protocol bgp peer peer-name <name>

ルートがルート表に挿入されていることを確認するには:

show routing route

モニタリング・サービスは、クラウド・リソースをアクティブおよびパッシブにモニターするためにOracle Cloud Infrastructureから使用できます。サイト間VPNのモニタリングの詳細は、「サイト間VPNメトリック」を参照してください。

問題がある場合は、「サイト間VPNのトラブルシューティング」を参照してください。