サポートされているIPSecパラメータ

このトピックでは、サイト間VPNでサポートされているフェーズ1 (ISAKMP)およびフェーズ2 (IPSec)の構成パラメータを示します。Oracleでは、これらの値を選択してセキュリティを最大化し、広い範囲にわたってCPEデバイスをカバーします。CPEデバイスが検証済デバイスのリストにない場合は、ここの情報を使用してデバイスを構成してください。

CPE構成ヘルパーを使用して、CPEデバイスの構成時にネットワーク・エンジニアが使用する情報を収集することもできます。

重要

Oracleは、IPSec接続を構成する複数のトンネル間で非対称ルーティングを使用します。あるトンネルをプライマリとして、別のトンネルをバックアップとして構成した場合でも、VCNからオンプレミス・ネットワークへのトラフィックは、デバイス上で稼働している任意のトンネルを使用できます。適切にファイアウォールを構成してください。そうしないと、接続間でのpingテストまたはアプリケーション・トラフィックが確実に動作しません。

サポートされている暗号化ドメインまたはプロキシID

暗号化ドメインの値(プロキシID、セキュリティ・パラメータ・インデックス(SPI)またはトラフィック・セレクタとも呼ばれます)は、CPEがルートベース・トンネルとポリシーベース・トンネルのどちらをサポートしているかによって異なります。使用する適切な暗号化ドメイン値の詳細は、サポートされている暗号化ドメインまたはプロキシIDを参照してください。

商用クラウドでサポートされているパラメータ

この項では、サイト間VPNが商用クラウド向けの場合にサポートされるパラメータを示します。商用クラウド・リージョンのリストは、リージョンと可用性ドメインを参照してください。

一部のパラメータでは、Oracleが複数の値をサポートしており、推奨値が示されています。

Oracleでは、IKEv1またはIKEv2の次のパラメータがサポートされています。特定のCPEについてドキュメントを調査し、IKEv1またはIKEv2に対してCPEがどのパラメータをサポートしているかを確認してください。

フェーズ1 (ISAKMP)

パラメータ オプション
ISAKMPプロトコル

バージョン1

交換タイプ

メイン・モード

認証方式

事前共有キー *

暗号化アルゴリズム

AES-256-cbc (推奨)

AES-192-cbc

AES-128-cbc

認証アルゴリズム

SHA-2 384 (推奨)

SHA-2 256

SHA-1 (SHAまたはSHA1-96とも呼ばれる)

Diffie-Hellmanグループ

グループ2 (MODP 1024)

グループ5 (MODP 1536)

グループ14 (MODP 2048)

グループ19 (ECP 256)

グループ20 (ECP 384) (推奨)

IKEセッション・キー存続期間

28800秒(8時間)

* 事前共有キーには、数字、文字およびスペースのみを使用できます。

フェーズ2 (IPSec)

パラメータ オプション
IPSecプロトコル

ESP、トンネル・モード

暗号化アルゴリズム

AES-256-gcm (推奨)

AES-192-gcm

AES-128-gcm

AES-256-cbc

AES-192-cbc

AES-128-cbc

認証アルゴリズム

GCM (Galois/Counter Mode)を使用する場合、GCM暗号化に認証が含まれるため、認証アルゴリズムは必要ありません。

GCMを使用しない場合は、次のオプションがサポートされています:

HMAC-SHA-256-128 (推奨)

HMAC-SHA1-96

IPSecセッション・キー存続期間

3600秒(1時間)

前方秘匿性(PFS)

有効化、グループ5

Government Cloudでサポートされているパラメータ

この項では、サイト間VPNGovernment Cloud向けの場合にサポートされるパラメータを示します。詳細は、すべての米国Government Cloudのお客様を参照してください。

一部のパラメータでは、Oracleが複数の値をサポートしており、推奨値は太字テキストで強調表示されています。

Oracleでは、IKEv1またはIKEv2の次のパラメータがサポートされています。特定のCPEについてドキュメントを調査し、IKEv1またはIKEv2に対してCPEがどのパラメータをサポートしているかを確認してください。

フェーズ1 (ISAKMP)

パラメータ オプション
ISAKMPプロトコル

バージョン1

交換タイプ

メイン・モード

認証方式

事前共有キー *

暗号化アルゴリズム

AES-256-cbc (推奨)

AES-192-cbc

AES-128-cbc

認証アルゴリズム

SHA-2 384 (推奨)

SHA-2 256

SHA-1 (SHAまたはSHA1-96とも呼ばれる)

Diffie-Hellmanグループ

グループ14 (MODP 2048)

グループ19 (ECP 256)

グループ20 (ECP 384) (推奨)

IKEセッション・キー存続期間

28800秒(8時間)

* 事前共有キーには、数字、文字およびスペースのみを使用できます。

フェーズ2 (IPSec)

パラメータ オプション
IPSecプロトコル

ESP、トンネル・モード

暗号化アルゴリズム

AES-256-gcm (推奨)

AES-192-gcm

AES-128-gcm

AES-256-cbc

AES-192-cbc

AES-128-cbc

認証アルゴリズム

GCM (Galois/Counter Mode)を使用する場合、GCM暗号化に認証が含まれるため、認証アルゴリズムは必要ありません。

GCMを使用しない場合、HMAC-SHA-256-128を使用します。

IPSecセッション・キー存続期間

3600秒(1時間)

前方秘匿性(PFS)

有効化、グループ14