Site - to - Site VPNの使用

このトピックでは、サイト間VPNおよび関連コンポーネントの作業について詳しく説明します。次のトピックも参照してください:

Site - to - Site VPNサービスの更新

Site - to - Site VPN v2により、IPSec接続の可用性と信頼性が向上し、新機能が可能になります。Site - to - Site VPN v2を提供できるリージョンは、Site - to - Site VPN v2の可用性にリストされています。使用可能な場合、新しく作成されたすべてのIPSec接続は、サイト間VPN v2を使用して作成されます。Site - to - Site VPN v2を設定するプロセスは、Site - to - Site VPN v1を設定するプロセスと同じです。

Site - to - Site VPN v2に依存する新しい機能は次のとおりです。

Site - to - Site VPNをサポートするリージョンv2は、Site - to - Site VPN v1を引き続きサポートします。これらのリージョンのいずれかにサイト間VPNがあり、サイト間VPN v2で使用可能な追加機能のいずれかを使用する場合は、新しい接続を作成して古い接続を終了する必要があります。現在、v1接続をv2接続に変更する移行パスはありません。

Site - to - Site VPN v2の可用性

Site - to - Site VPN v2は、次の例外を除き、すべての商用リージョンで使用できます。

  • サウジアラビア西部(ジッダ)
  • 韓国(Chuncheon)はロギングをサポートしていません

トンネルのステータスと構成の表示

IPSec接続が正常に作成されると、Oracleによって、結果の各IPSecトンネルに対して重要な構成情報が生成されます。例については、全体的な設定プロセスのタスク2 hを参照してください。トンネルのその情報およびステータスは、いつでも表示できます。トンネルがBGP動的ルーティングを使用するように構成されている場合、これにはBGPステータスが含まれます。

IPSecトンネルのステータスおよび構成情報を表示するには
  1. ナビゲーション・メニューを開き、「ネットワーク」をクリックします。「Customer Connectivity」で、「Site - to - Site VPN (IPSec)」をクリックします。

    表示しているコンパートメント内のIPSec接続のリストが表示されます。探しているものが表示されない場合は、正しいコンパートメントを表示していることを確認します(ページの左側のリストから選択します)。

  2. 目的のIPSec接続をクリックします。

    IPSecステータス、BGPステータス(トンネルがBGP動的ルーティングを使用する場合)およびOracle VPN IPアドレス(VPNヘッドエンド)を含む、各トンネルの詳細が表示されます。

  3. トンネルの共有シークレットを表示するには:
    1. 目的のトンネルをクリックします。
    2. 「共有シークレット」フィールドの横にある「表示」をクリックします。

CPE構成ヘルパーの使用

サイト間VPNの設定後、ネットワーク・エンジニアは、接続のユーザー側にある顧客構内機器(CPE)を構成する必要があります。この構成には、仮想クラウド・ネットワーク(VCN)とサイト間VPNのIPSecトンネルの詳細が含まれます。CPE構成ヘルパーは、ネットワーク・エンジニア用の情報を生成します。詳細は、CPE構成ヘルパーの使用を参照してください。

静的ルートの変更

既存のIPSec接続の静的ルートを変更できます。最大10個の静的ルートを指定できます。

IPSec接続では、静的ルーティングまたはBGP動的ルーティングを使用できることに注意してください。静的ルートは、個々のトンネルではなくIPSec接続全体に関連付けます。IPSec接続に静的ルートが関連付けられている場合、Oracleでトンネルのトラフィックのルーティングにその静的ルートが使用されるのは、トンネル自体が静的ルーティングを使用するように構成されているときのみです。BGP動的ルーティングを使用するように構成されている場合、IPSec接続の静的ルートは無視されます。

重要

静的ルートの変更で再プロビジョニングされている間、IPSec接続は停止します。
静的ルートを編集するには
  1. ナビゲーション・メニューを開き、「ネットワーク」をクリックします。「Customer Connectivity」で、「Site - to - Site VPN (IPSec)」をクリックします。

    表示しているコンパートメント内のIPSec接続のリストが表示されます。探しているものが表示されない場合は、正しいコンパートメントを表示していることを確認します(ページの左側のリストから選択します)。

  2. 目的のIPSec接続について、「アクション」アイコン(3つのドット)をクリックし、「編集」をクリックします。

    現在の静的ルートが表示されます。

  3. 変更を加え、「変更の保存」をクリックします。

Oracleで使用されるCPE IKE識別子の変更

CPEがNATデバイスの背後にある場合は、CPE IKE識別子をOracleに提供する必要があることもあります。IPSec接続の作成時にこれを指定することも、後からIPSec接続を編集して値を変更することもできます。Oracleでは、値がIPアドレスまたは完全修飾ドメイン名(FQDN)であることが必要です。値を指定するときに、その値のタイプも指定します。

重要

CPE IKE識別子を使用するように再プロビジョニングされている間、IPSec接続は停止します。
Oracleで使用されるCPE IKE識別子を変更するには
  1. ナビゲーション・メニューを開き、「ネットワーク」をクリックします。「Customer Connectivity」で、「Site - to - Site VPN (IPSec)」をクリックします。

    表示しているコンパートメント内のIPSec接続のリストが表示されます。探しているものが表示されない場合は、正しいコンパートメントを表示していることを確認します(ページの左側のリストから選択します)。

  2. 目的のIPSec接続について、「アクション」アイコン(3つのドット)をクリックし、「編集」をクリックします。

    Oracleが使用している現在のCPE IKE識別子が、ダイアログの下部に表示されます。

  3. 「CPE IKE識別子タイプ」「CPE IKE識別子」の新しい値を入力し、「変更の保存」をクリックします。

IKEv2の使用

Oracleは、Internet Key Exchange (IKE)バージョン1およびバージョン2 (IKEv2)をサポートしています。

CPEでIKEv2がサポートされている場合、IKEv2を使用するには、次の操作を行う必要があります:

  • Oracle Consoleで、IKEv2を使用するように各IPSecトンネルを構成します。次の手順を参照してください。
  • CPEでサポートされているIKEv2暗号化パラメータを使用するようにCPEを構成します。Oracleでサポートされているパラメータのリストについては、サポートされているIPSecパラメータを参照してください。
新しいIPSec接続: IKEv2の使用
ノート

新しいIPSec接続を手動で作成する場合は、Oracle Consoleで、IPSec接続を作成するときにIKEv2を指定できます。すぐ後に続く手順を参照してください。

かわりにVPNクイックスタート・ワークフローを使用すると、IPSec接続はIKEv1のみを使用するように構成されます。ただし、ワークフローの完了後に、Oracle Consoleで結果のIPSecトンネルを編集して、IKEv2を使用するように変更できます。

IKEv2を使用する新しいIPSec接続を手動で設定するには:

  1. Oracle ConsoleIPSec接続を作成中に、「拡張オプション」セクションで「トンネル1」タブをクリックします。
  2. 「IKEバージョン」メニューから、「IKEv2」を選択します。
  3. 「トンネル2」タブで、前のステップを繰り返します。
  4. 後でCPEを構成する際には、そのCPEでサポートされているIKEv2および関連するIKEv2暗号化パラメータのみを使用するように構成します。
既存のIPSec接続: IKEv2へのアップグレード
重要

接続全体の中断を回避するために、トンネルごとに次のプロセスを実行することをお薦めします。接続が冗長でない場合(たとえば、複数のトンネルがない場合)、IKEv2へのアップグレード中に停止時間が発生することが予想されます。
  1. Oracle Consoleで、トンネルのIKEバージョンを変更します:
    1. ナビゲーション・メニューを開き、「ネットワーク」をクリックします。「Customer Connectivity」で、「Site - to - Site VPN (IPSec)」をクリックします。

    2. 目的のIPSec接続をクリックします。
    3. トンネルをクリックして、その詳細を表示します。
    4. 「編集」をクリックします。
    5. 「IKEバージョン」メニューから、「IKEv2」を選択します。
    6. 「変更の保存」をクリックします。
  2. CPEでサポートされているIKEv2および関連する暗号化パラメータを使用するように、トンネルのCPE構成を更新します。Oracleでサポートされているパラメータのリストについては、サポートされているIPSecパラメータを参照してください。
  3. セキュリティ・アソシエーションによってすぐにキーが更新されなかった場合は、CPE上でそのトンネルのキー更新を強制的に実行します。つまり、フェーズ1とフェーズ2のセキュリティ・アソシエーションを、期限切れを待たずにクリアします。一部のCPEデバイスは、キー更新の前にSAが期限切れになるのを待ちます。キー更新を強制すると、IKEバージョン構成が正しいことをすぐに確認できます。
  4. 確認するには、トンネルのセキュリティ・アソシエーションによってキー更新が正しく行われることを確認します。行われない場合は、Oracle ConsoleおよびCPEで正しいIKEバージョンが設定されていること、およびCPEで適切なパラメータが使用されていることを確認してください。

1つ目のトンネルが稼働していることを確認した後、2つ目のトンネルについて前のステップを繰り返します。

IPSecトンネルで使用される共有シークレットの変更

サイト間VPNを設定すると、Oracleによりデフォルトで各トンネルの共有シークレット(事前共有キーとも呼ばれる)が提供されます。それ以外の特定の共有シークレットを使用する必要がある場合もあります。IPSec接続の作成時に各トンネルの共有シークレットを指定することも、トンネルを編集して新しい各共有シークレットを指定することもできます。共有シークレットには、数字、文字およびスペースのみを使用できます。各トンネルに異なる共有シークレットを使用することをお薦めします。

重要

トンネルの共有シークレットを変更すると、トンネルが新しい共有シークレットで再プロビジョニングされている間、IPSec接続全体とトンネルは両方とも「プロビジョニング中」状態になります。IPSec接続のもう一方のトンネルは、「使用可能」状態のままです。ただし、1つ目のトンネルの再プロビジョニング中は、2つ目のトンネルの構成を変更できません。
IPSecトンネルで使用される共有シークレットを変更するには
  1. ナビゲーション・メニューを開き、「ネットワーク」をクリックします。「Customer Connectivity」で、「Site - to - Site VPN (IPSec)」をクリックします。

    表示しているコンパートメント内のIPSec接続のリストが表示されます。探しているものが表示されない場合は、正しいコンパートメントを表示していることを確認します(ページの左側のリストから選択します)。

  2. 目的のIPSec接続をクリックします。
  3. 目的のトンネルをクリックします。
  4. 「共有シークレット」フィールドの横にある「編集」をクリックします。
  5. 新しい値を入力します。数字、文字およびスペースのみを使用できます。
  6. 「変更の保存」をクリックします。

静的ルーティングからBGP動的ルーティングへの変更

既存のサイト間VPNを静的ルーティングの使用からBGP動的ルーティングの使用に変更する場合は、この項のプロセスに従います。

注意トンネルのルーティング・タイプを変更する

場合、再プロビジョニング中にトンネルのIPSecステータスは変わりません。ただし、トンネルを介するルーティングには影響します。ネットワーク・エンジニアがルーティング・タイプの変更に応じてCPEデバイスを構成するまで、トラフィックは一時的に中断されます。既存のサイト間VPNが現時点で単一のトンネルのみを使用するように構成されている場合、このプロセスによりOracleへの接続が中断されます。サイト間VPNで複数のトンネルを使用している場合は、Oracleへの接続の中断を回避するために、トンネルごとに再構成することをお薦めします。
静的ルーティングからBGP動的ルーティングに変更するには

前提条件:

  • サイト間VPNのルーティング」の項を読んでおきます。
  • 必要なBGPルーティング情報の収集を完了しています:

    • ネットワークのASN。商用クラウドのOracle BGP ASNは、31898です。Government Cloudについては、OracleのBGP ASNを参照してください。
    • 各トンネル:トンネルの各端のBGP IPアドレス(トンネルの2つのアドレスは/30または31サブネットからの1組であり、かつサイト間VPN暗号化ドメインに属している必要があります)

IPSec接続の各トンネルについて、次のプロセスを繰り返します:

  1. トンネルのルーティング・タイプを静的ルーティングからBGP動的ルーティングに再構成します:

    1. ナビゲーション・メニューを開き、「ネットワーク」をクリックします。「Customer Connectivity」で、「Site - to - Site VPN (IPSec)」をクリックします。

    2. 目的のIPSec接続をクリックします。

      トンネルがリストされ、各トンネルのステータスが表示されます。目的のトンネルの「BGPステータス」には、ハイフンのみ(値なし)が表示されています。これは、そのトンネルが現時点で静的ルーティングを使用するように構成されているという意味です。

    3. トンネルをクリックして、その詳細全部を表示します。
    4. 「編集」をクリックします。
    5. 次を行います:

      • ルーティング・タイプ: 「BGP動的ルーティング」のラジオ・ボタンを選択します。
      • BGP ASN: ネットワークのBGP ASNを入力します。
      • トンネル内インタフェース - CPE: トンネルのCPE側にサブネット・マスク(/30または/31)を使用するBGP IPアドレスを入力します。例: 10.0.0.16/31。
      • トンネル内インタフェース - Oracle: トンネルのOracle側にサブネット・マスク(/30または/31)を使用するBGP IPアドレスを入力します。例: 10.0.0.17/31。
    6. 「変更の保存」をクリックします。

    トンネルの「BGPステータス」が「停止中」に変わります。

  2. ネットワーク・エンジニアが、BGPを使用するようにCPEデバイスのトンネル構成を更新します。
  3. 接続のユーザー側で、トンネルのBGPセッションが確立された状態になっていることを確認します。なっていない場合は、Oracle Consoleでトンネルに正しいIPアドレスを構成したこと、およびCPEデバイスについてもそれを確認してください。
  4. Oracle Consoleで、トンネルの「BGPステータス」が「稼働中」になったことを確認します。
  5. CPEデバイスがOracleからルートを学習していること、およびCPEデバイスがOracleにルートを通知していることを確認します。BGPから返されたOracleルートをオンプレミス・ネットワークに再通知する場合は、CPEデバイスがそれに対応するように構成されていることを確認してください。オンプレミス・ネットワークに静的ルートを通知する既存のポリシーが、BGPの学習されたルートに対して機能しない場合があります。
  6. そのトラフィックが流れていることを確認するために、接続のユーザー側からOracle BGP IPアドレスをpingします。

1つ目のトンネルがBGPに対して稼働していることを確認した後、2つ目のトンネルについてプロセスを繰り返します。

重要

サイト間VPNのルーティングで示したように、IPSec接続全体に対してまだ構成されている静的ルートがBGPルーティングをオーバーライドすることはありません。BGPを使用するように構成されたトンネルを介してOracleがトラフィックをルーティングするとき、これらの静的ルートは無視されます。

また、必要に応じてトンネルのルーティング・タイプを静的ルーティングに戻すこともできます。CPEデバイスの予定された停止時間が間もなく終わるのに、BGPセッションの確立で問題が発生している場合などは、そうする必要があります。静的ルーティングに切り替える場合は、IPSec接続全体に対して必要な静的ルートがまだ構成されていることを確認してください。

Site - to - Site VPNのモニタリング

メトリック、アラームおよび通知を使用して、Oracle Cloud Infrastructureリソースのヘルス、容量およびパフォーマンスをモニターできます。詳細は、モニタリングおよび通知の概要を参照してください。

接続のモニタリングの詳細は、サイト間VPNのメトリックを参照してください。

サイト間VPNログメッセージの表示

Site - to - Site VPNのログメッセージにアクセスします。

IPSecトンネルの起動時に発生するネゴシエーションなど、サイト間VPNの様々な操作面に対して生成されたログ・メッセージを表示できます。サイト間VPNログ・メッセージの有効化およびアクセスは、サイト間VPNまたはロギング・サービスを介して実行できます。

  • ロギング・サービスの概要は、「ロギングの概要」を参照してください。
  • ロギング・サービスを介したサイト間VPNログ・メッセージの有効化およびアクセスの詳細は、サービス・ログを参照してください
  • Site - to - Site VPNログ・メッセージ・スキーマの詳細は、Site - to - Site VPNの詳細を参照してください。

メッセージ・ロギングを有効にするには
  1. ナビゲーション・メニューを開き、「ネットワーク」をクリックします。「Customer Connectivity」で、「Site - to - Site VPN (IPSec)」をクリックします。

  2. 表示しているコンパートメント内のIPSec接続のリストが表示されます。探しているものが表示されない場合は、正しいコンパートメントを表示していることを確認します(ページの左側のリストから選択します)。

  3. 目的のIPSec接続の名前をクリックします。

    接続の詳細ページが表示されます。

  4. 画面の左側の「Resources」の下で、「Logs」をクリックします。

    このオプションが表示されない場合は、古いサイト間VPN v1タイプの接続です。メッセージ・ロギングには、サイト間VPN v2が必要です。

  5. ログ」詳細ページで、「ログの有効化」フィールドを「有効」に設定します。新しい画面が表示されます。

    画面上のオプションの詳細は、「リソースのロギングの有効化」を参照してください。ログは、ログを生成するリソース・タイプに関係なく同じように処理されます。

  6. Enable Log」をクリックします。

「ログの詳細」ページが表示され、ログが作成中になります(「ログの作成中」メッセージが表示されます)。

ログ・メッセージを表示するには

メッセージ・ログを表示するには、ロギングを有効にしておく必要があります。メッセージ・ログを表示するには:

  1. ナビゲーション・メニューを開き、「ネットワーク」をクリックします。「Customer Connectivity」で、「Site - to - Site VPN (IPSec)」をクリックします。

  2. 表示しているコンパートメント内のIPSec接続のリストが表示されます。探しているものが表示されない場合は、正しいコンパートメントを表示していることを確認します(ページの左側のリストから選択します)。

  3. 画面の左側の「Resources」の下で、「Logs」をクリックします。

    このオプションが表示されない場合は、古いサイト間VPN v1タイプの接続です。メッセージ・ロギングには、サイト間VPN v2が必要です。

  4. 目的のログの「ログ名」をクリックします。これにより、リクエストされたログを表示する新しいブラウザ・タブが開きます。

ログ表示画面の使用方法の詳細は、ログの内容を表示するにはを参照してください

Site - to - Site VPNのディセーブル化または終了

オンプレミス・ネットワークとVCNの間のサイト間VPNを無効にする場合、IPSec接続を削除する必要はなく、DRGをVCNからデタッチするだけです。FastConnectでもDRGを使用している場合、DRGをデタッチすると、FastConnectを介するトラフィックのフローも中断されます。

IPSec接続は削除できます。ただし、後でそれを再確立する必要が生じた場合は、ネットワーク・エンジニアが、Oracleからの新しいトンネル構成情報セットを使用してもう一度CPEデバイスを構成する必要があります。

サイト間VPNを完全に削除する場合は、まずIPSec接続を終了する必要があります。その後、CPEオブジェクトを削除できます。オンプレミス・ネットワークへの別の接続にDRGを使用していない場合は、DRGをVCNからデタッチした後、削除できます。

IPSec接続を削除するには
  1. ナビゲーション・メニューを開き、「ネットワーク」をクリックします。「Customer Connectivity」で、「Site - to - Site VPN (IPSec)」をクリックします。

    表示しているコンパートメント内のIPSec接続のリストが表示されます。探しているものが表示されない場合は、正しいコンパートメントを表示していることを確認します(ページの左側のリストから選択します)。

  2. 目的のIPSec接続をクリックします。
  3. 「終了」をクリックします。
  4. 要求されたら、削除を確定します。

削除中の短い間、IPSec接続は「終了中」状態になります。

CPEオブジェクトを削除するには

前提条件: CPEオブジェクトとDRGの間にIPSec接続が存在していない必要があります。

  1. ナビゲーション・メニューを開き、「ネットワーク」をクリックします。「顧客接続」で、「顧客構内設備」をクリックします。

    表示しているコンパートメント内のCPEオブジェクトのリストが表示されます。探しているものが表示されない場合は、正しいコンパートメントを表示していることを確認します(ページの左側のリストから選択します)。

  2. 削除するCPEオブジェクトについて、「アクション」アイコン(3つのドット)をクリックし、「削除」をクリックします。
  3. 要求されたら、削除を確定します。

削除中の短い間、オブジェクトは「終了中」状態になります。

IPSec接続またはCPEオブジェクトのタグの管理

リソースにタグを適用すると、ビジネス・ニーズに応じてそれらを整理しやすくなります。リソースの作成時にタグを適用することも、後でリソースを必要なタグで更新することもできます。タグ適用についての一般情報は、リソース・タグを参照してください。

IPSec接続のタグを管理するには
  1. ナビゲーション・メニューを開き、「ネットワーク」をクリックします。「Customer Connectivity」で、「Site - to - Site VPN (IPSec)」をクリックします。

    表示しているコンパートメント内のIPSec接続のリストが表示されます。探しているものが表示されない場合は、正しいコンパートメントを表示していることを確認します(ページの左側のリストから選択します)。

  2. 目的のIPSec接続をクリックします。
  3. 既存のタグを表示または編集するには、「タグ」タブをクリックします。または、「タグの追加」をクリックして新しいタグを追加します。
CPEオブジェクトのタグを管理するには
  1. ナビゲーション・メニューを開き、「ネットワーク」をクリックします。「顧客接続」で、「顧客構内設備」をクリックします。

    表示しているコンパートメント内のCPEオブジェクトのリストが表示されます。探しているものが表示されない場合は、正しいコンパートメントを表示していることを確認します(ページの左側のリストから選択します)。

  2. 目的のCPEオブジェクトをクリックします。
  3. 既存のタグを表示または編集するには、「タグ」タブをクリックします。または、「タグの適用」をクリックして新しいタグを追加します。

別のコンパートメントへのIPSec接続またはCPEオブジェクトの移動

リソースは、コンパートメント間で移動できます。リソースを新しいコンパートメントに移動すると、固有のポリシーがただちに適用され、コンソールを介したリソースへのアクセスが影響を受けます。CPEオブジェクトを別のコンパートメントに移動しても、データ・センターとOracle Cloud Infrastructure間の接続には影響しません。詳細は、コンパートメントの作業を参照してください。

CPEオブジェクトを別のコンパートメントに移動するには
  1. ナビゲーション・メニューを開き、「ネットワーク」をクリックします。「顧客接続」で、「顧客構内設備」をクリックします。

  2. リストでCPEオブジェクトを検索し、「アクション」アイコン(3つのドット)をクリックして、「リソースの移動」をクリックします。
  3. リストから宛先コンパートメントを選択します。
  4. 「リソースの移動」をクリックします。