ヤマハRTXシリーズ
この構成は、ファームウェアRev.14.01.28を実行しているRTX1210およびファームウェアRev.15.02.03を実行しているRTX830を使用して検証されました。
Oracleには、テスト済の一連のベンダーおよびデバイスの構成手順が用意されています。ベンダーおよびソフトウェアのバージョンに正しい構成を使用してください。
構成の検証にOracleで使用されたデバイスまたはソフトウェアのバージョンが、使用しているデバイスまたはソフトウェアと完全に一致しない場合でも、必要な構成をデバイスに作成できます。ベンダーのドキュメントを参照し、必要な調整を行ってください。
デバイスが、検証済のベンダーおよびデバイスのリストに含まれないベンダーのものである場合、またはIPSecのデバイスの構成をよく理解している場合は、サポートされているIPSecパラメータのリストを確認し、ベンダーのドキュメントを参照してください。
Oracleでは、IPSec接続を構成する複数のトンネル間で非対称ルーティングが使用されます。あるトンネルをプライマリとして、別のトンネルをバックアップとして構成した場合でも、VCNからオンプレミス・ネットワークへのトラフィックは、デバイス上で稼働している任意のトンネルを使用できます。適切にファイアウォールを構成してください。そうしないと、接続間でのpingテストまたはアプリケーション・トラフィックが確実に動作しません。
開始する前に
CPEを構成する前に:
- インターネット・プロバイダ設定を構成します
- UDPポート500、UDPポート4500およびESPをオープンするようにファイアウォール・ルールを構成します。
サポートされている暗号化ドメインまたはプロキシID
暗号化ドメインの値(プロキシID、セキュリティ・パラメータ・インデックス(SPI)またはトラフィック・セレクタとも呼ばれます)は、CPEがルートベース・トンネルとポリシーベース・トンネルのどちらをサポートしているかによって異なります。使用する適切な暗号化ドメイン値の詳細は、サポートされている暗号化ドメインまたはプロキシIDを参照してください。
APIまたはコンソールからのパラメータ
Oracle Cloud Infrastructure ConsoleまたはAPIから次のパラメータを取得します。
${ipAddress#}
- Oracle VPNヘッドエンドのIPSecトンネル・エンドポイント。トンネルごとに1つの値があります。
- 値の例: 129.146.12.52
${sharedSecret#}
- IPSec IKE事前共有キー。トンネルごとに1つの値があります。
- 値の例: EXAMPLEDPfAMkD7nTH3SWr6OFabdT6exXn6enSlsKbE
${cpePublicIpAddress}
- CPEのパブリックIPアドレス(前にコンソールを介してOracleで使用できるようになりました)。
${VcnCidrBlock}
- VCNを作成する際、すべてのVCNホストのIP集約ネットワークを表すように会社でこのCIDRを選択しました。
- 値の例: 10.0.0.0/20
現在のCPE構成と状態に基づくパラメータ
次のパラメータは、現在のCPE構成に基づきます。
${tunnelInterface#}
- 特定のトンネルを識別するためのインタフェース番号。
- 値の例: 1
${ipsecPolicy#}
- 選択したインライン・インタフェースで使用されるSAポリシー。
- 値の例: 1
${localAddress}
- CPEのパブリックIPアドレス。
- 値の例: 146.56.2.52
構成テンプレート・パラメータのサマリー
各リージョンには複数のOracle IPSecヘッドエンドがあります。次のテンプレートにより、それぞれ対応するヘッドエンドに対して、CPEに複数のトンネルを設定できます。表で、「ユーザー」は、ユーザー自身またはユーザーの会社です。
| パラメータ | ソース | 値の例 |
|---|---|---|
${ipAddress1}
|
コンソール/API | 129.146.12.52 |
${sharedSecret1}
|
コンソール/API | (長い文字列) |
${ipAddress2}
|
コンソール/API | 129.146.13.52 |
${sharedSecret2}
|
コンソール/API | (長い文字列) |
${cpePublicIpAddress}
|
ユーザー | 1.2.3.4 |
${VcnCidrBlock}
|
ユーザー | 10.0.0.0/20 |
次のISAKMPおよびIPSecポリシー・パラメータの値は商用クラウドのサイト間VPNに適用できます。Government Cloudの場合は、Government Cloudに必要なサイト間VPNパラメータにリストされている値を使用する必要があります。
ISAKMPポリシー・オプション
| パラメータ | 推奨値 |
|---|---|
| ISAKMPプロトコル・バージョン | バージョン1 |
| 交換タイプ | メイン・モード |
| 認証方式 | 事前共有キー |
| 暗号化 | AES-256-cbc |
| 認証アルゴリズム | SHA-256 |
| Diffie-Hellmanグループ | グループ5 |
| IKEセッション・キー存続期間 | 28800秒(8時間) |
IPSecポリシー・オプション
| パラメータ | 推奨値 |
|---|---|
| IPSecプロトコル | ESP、トンネル・モード |
| 暗号化 | AES-256-cbc |
| 認証アルゴリズム | HMAC-SHA1-96 |
| Diffie-Hellmanグループ | グループ5 |
| 前方秘匿性 | 有効化 |
| IPSecセッション・キー存続期間 | 3600秒(1時間) |
CPE構成
ISAKMPとIPSecの構成
tunnel select 1
description tunnel OCI-VPN1
ipsec tunnel 1
ipsec sa policy 1 1 esp aes256-cbc sha-hmac
ipsec ike duration ipsec-sa 1 3600
ipsec ike duration isakmp-sa 1 28800
ipsec ike encryption 1 aes256-cbc
ipsec ike group 1 modp1536
ipsec ike hash 1 sha256
ipsec ike keepalive log 1 off
ipsec ike keepalive use 1 on dpd 5 4
ipsec ike local address 1 ${cpePublicIpAddress}
ipsec ike local id 1 0.0.0.0/0
ipsec ike nat-traversal 1 on
ipsec ike pfs 1 on
ipsec ike pre-shared-key 1 text ${sharedSecret1}
ipsec ike remote address 1 ${ipAddress1}
ipsec ike remote id 1 0.0.0.0/0
ip tunnel tcp mss limit auto
tunnel enable 1
tunnel select 2
description tunnel OCI-VPN2
ipsec tunnel 2
ipsec sa policy 2 2 esp aes256-cbc sha-hmac
ipsec ike duration ipsec-sa 2 3600
ipsec ike duration isakmp-sa 2 28800
ipsec ike encryption 2 aes256-cbc
ipsec ike group 2 modp1536
ipsec ike hash 2 sha256
ipsec ike keepalive log 2 off
ipsec ike keepalive use 2 on dpd 5 4
ipsec ike local address 2 ${cpePublicIpAddress}
ipsec ike local id 2 0.0.0.0/0
ipsec ike nat-traversal 2 on
ipsec ike pfs 2 on
ipsec ike pre-shared-key 2 text ${sharedSecret2}
ipsec ike remote address 2 ${ipAddress2}
ipsec ike remote id 2 0.0.0.0/0
ip tunnel tcp mss limit auto
tunnel enable 2
ipsec auto refresh on
静的ルートの構成
ip route ${VcnCidrBlock} gateway tunnel 1 hide gateway tunnel 2 hide