Oracle Cloud Infrastructureドキュメント

CPE構成

このトピックは、ネットワーク・エンジニアを対象にしています。ここでは、オンプレミス・ネットワークとVirtual Cloud Network (VCN)間でトラフィックの流れるように、サイト間VPNの終端にオンプレミス・デバイス(顧客構内に機器(CPE))を構成する方法を説明します。次の関連トピックを参照してください:

次の図は、インターネットを使用したサイト間VPNのIPSec接続の基本的なレイアウトを示していますIPSec over FastConnectは似ていますが、トラフィックはプライベート仮想回線のみを経由します。

この図は、IPSec接続とトンネルの一般的なレイアウトを示しています。

要件および前提条件

作業を進める前に、注意が必要な要件と前提条件を次に示します。

ルーティングの考慮事項

サイト間VPNのルーティングに関する重要な詳細は、サイト間VPNのルーティングに関する項を参照してください。

Oracleでは、IPSec接続を構成するいくつかのトンネル間で非対称ルーティングが使用されます。あるトンネルはプライマリとして、別のトンネルはバックアップとして構成した場合でも、VCNからオンプレミス・ネットワークへのトラフィックはデバイス上で稼働中の任意のトンネルを使用できます。ファイアウォールを適切に構成します。そうしないと、接続を介したpingテストやアプリケーション・トラフィックが確実に機能しません。

サイト間VPNでBGP動的ルーティングを使用する場合、Oracleが一方のトンネルを他方よりも優先するようにルーティングを構成できます。

IPSec over FastConnectを使用するには、CPEオブジェクトを更新してその機能を追加できません。かわりに、CPEの初期設定でサポートを確立する必要があります。また、この接続のIPSecトンネルおよび仮想回線で同じDRGルート表を使用することはできません。

Cisco ASAのポリシーベースの構成では、1つのトンネルを使用していることに注意してください。

クラウド・ネットワーク・コンポーネントの作成

ユーザーまたは組織内のユーザーが、冗長性のために2つ以上のIPSecトンネルで構成されるVCNおよびIPSec接続を作成するには、Oracle Consoleを使用している必要があります。各コンポーネントに関する次の情報を収集する必要があります:

  • VCN OCID: VCN OCIDは、末尾にUUIDを持つ一意のOracle Cloud Infrastructure識別子です。このUUIDまたはその他の文字列を使用すると、デバイス構成でこのVCNを識別しやすくなり、他のオブジェクト・グループ名やアクセス・リスト名との競合を回避できます。
  • VCN CIDR
  • VCN CIDRサブネット・マスク

  • 各IPSecトンネルについて:

    • Oracle IPSecトンネル・エンドポイント(VPNヘッドエンド)のIPアドレス
    • 共有シークレット

オンプレミスCPEデバイスに関する情報

また、オンプレミス・デバイス(CPE)の内部および外部インタフェースに関する基本情報も必要です。特定のCPEに必要な情報のリストについては、このリスト(検証済CPPデバイス)のリンクに関する項を参照してください。

デフォルトでは、NAT-Tはすべてのサイト間VPN IPSecトンネルで有効です。OCIへのサイト間VPNを構成する場合は、NAT-Tを有効にしたままにすることをお薦めします。

CPEがNATデバイスの背後にある場合は、CPEのIKE識別子がOracleに提供できます。詳細は、サイト間VPNコンポーネントの概要を参照してください。

1つのCPEオブジェクトのパブリックIPには、最大8つのIPSec接続を設定できます。

ポリシー・ベースのIPSecと比較したルート・ベース

Oracle VPNヘッドエンドではルートベース・トンネルが使用されますが、注意事項を考慮しながら、ポリシーベース・トンネルとともに使用できます。詳細は、ポリシーベース・トンネル用の暗号化ドメインを参照してください。

サイト間VPNのベスト・プラクティス

  • すべてのIPSec接続に対してすべてのトンネルを構成します: Oracleは、接続に複数のIPSecヘッドエンドをデプロイして、ミッションクリティカルなワークロードに高可用性を提供します。使用可能なすべてのトンネルを構成することは、「障害を前提とした設計」原理の重要な要素です。(例外: Cisco ASAのポリシーベースの構成では、1つのトンネルを使用しています。)
  • オンプレミスの場所に冗長CPEを配置: IPSecとOracle Cloud Infrastructureに接続する各サイトには、冗長CPEデバイスを使用することをお薦めします。各CPEをOracle Cloud Infrastructure Consoleに追加し、Dynamic Routing Gateway (DRG)と各CPO間に個別のIPSec接続を作成します。各IPSec接続に対して、Oracleは、地理的に冗長なIPSecヘッドエンド上に2つのトンネルをプロビジョニングします。Oracleでは、「稼働中」のトンネルを使用して、トラフィックをオンプレミス・ネットワークに戻すことができます。詳細は、サイト間VPNのルーティングを参照してください。

  • バックアップ集約ルートの検討:サイト間VPNによってOracle Cloud Infrastructureに接続された複数のサイトがあり、それらのサイトがオンプレミスのバックボーン・ルーターに接続されている場合は、ローカル・サイト集約ルートとデフォルト・ルートの両方を使用してIPSec接続ルートを構成することを検討してください。

    Note that the DRG routes learned from the IPSec connections are only used by traffic you route from a VCN to the DRG.デフォルト・ルートは、「宛先IPアドレス」がどのトンネルの特定的なルートとも一致しないDRGに送信されたトラフィックによって使用されます。

接続ステータスの確認

IPSec接続を構成したら、VCNにコンピュート・インスタンスを作成し、オンプレミス・ネットワークからpingすることで、接続をテストできます。コンピュート・インスタンスの作成の詳細は、インスタンスの起動を参照してください。インスタンスをpingするには、VCNのセキュリティ・ルールでpingトラフィックを許可している必要があります。

APIまたはコンソールでIPSecトンネルのステータスを取得できます。手順については、「IPSecトンネルの詳細の取得」を参照してください。

デバイス構成

検証済の各CPEデバイスに固有の構成情報へのリンクについては、検証済CPEデバイスを参照してください。