サイト間VPNの設定
このトピックでは、オンプレミス・ネットワークからVCNへのサイト間VPN IPSec接続を構築する手順について説明します。Site-to-Site VPNの一般情報は、サイト間VPNの概要を参照してください。
開始する前に
準備として、まず次のことを行います:
- 次の項を読みます: サイト間VPNのルーティング
-
次の質問に答えます:
質問 回答 VCNのCIDRとは何ですか。 CPEデバイスのパブリックIPアドレスは何ですか。冗長性のために複数のデバイスがある場合は、それぞれのIPアドレスを取得してください。
ノート: CPEデバイスがNATデバイスの背後にある場合は、サイト間VPNコンポーネントの概要と、要件および前提条件も参照してください。
各CPEデバイスとVCN間でポート・アドレス変換(PAT)を使用しますか。 どのタイプのルーティングを使用する予定ですか。BGP動的ルーティングが必要な場合は、使用するBGPセッションIPアドレスとオンプレミス・ネットワークのASNをリストしてください。IPアドレスは、サイト間VPNの暗号化ドメインに属している必要があります。
静的ルーティングが必要な場合、オンプレミス・ネットワークの静的ルートは何ですか。サイト間VPNのルーティングを参照してください。
ポリシーベースのルーティングまたは複数の暗号化ドメインを使用する予定ですか。ポリシーベース・トンネル用の暗号化ドメインを参照してください。
各トンネルの共有シークレットを指定しますか、またはOracleによって自動的に割り当てますか。サイト間VPNコンポーネントの概要を参照してください。
- ネットワーク・レイアウトの図を描きます(例については、例: 概念実証サイト間VPNの設定の最初のタスクを参照してください)。オンプレミス・ネットワークのどの部分がVCNと通信する必要があるか、その逆について考えます。VCNに必要なルーティング・ルールおよびセキュリティ・ルールを策定します。
次のリンク・ローカルIP範囲は、トンネル・インタフェース内のサイト間VPNで使用できません:
- 169.254.10.0から169.254.19.255
- 169.254.100.0から169.254.109.255
- 169.254.192.0から169.254.201.255
全体的なプロセス
サイト間VPNを設定するための全体的なプロセスを次に示します:
- 開始する前ににリストされたタスクを完了します。
- Site-to-Site VPNコンポーネントを設定します(例: Proof of Concept Site-to-Site VPNの設定の手順):
- VCNを作成します。
- DRGを作成します。
- VCNへのDRGのアタッチ
- DRGのルート表とルート・ルールを作成します。
- セキュリティ・リストおよび必要なルールを作成します。
- VCN内にサブネットを作成します。
- CPEオブジェクトを作成し、CPEデバイスのパブリックIPアドレスを指定します。
- CPEオブジェクトへのIPSec接続を作成し、必要なルーティング情報を指定します。
- CPE構成ヘルパーを使用します:ネットワーク・エンジニアは前のステップでOracleから提供される情報を使用してCPEPEデバイスを構成する必要があります。CPE構成ヘルパーは、ネットワーク・エンジニア用の情報を生成する。詳細は、CPE構成ヘルパーの使用およびCPE構成を参照してください。
- ネットワーク・エンジニアがCPEデバイスを構成するようにします。
- 接続を検証します。
冗長接続を設定する場合は、接続性冗長性ガイド(PDF)を参照してください。
例: 概念実証サイト間VPNの設定
このシナリオ例では、概念実証(POC)に使用できる、レイアウトのサイト間VPNを設定する方法を示します。これは全体的なプロセスのタスク1および2に続く手順であり、作成するレイアウト内の各コンポーネントを示しています。より複雑なレイアウトについては、「複数の地理領域を使用したレイアウトの例」または「PATを使用したレイアウトの例」を参照。
| 質問 | 回答 |
|---|---|
| VCNのCIDRとは何ですか。 | 172.16.0.0/16 |
|
CPEデバイスのパブリックIPアドレスは何ですか。冗長性のために複数のデバイスがある場合は、それぞれのIPアドレスを取得してください。 ノート: CPEデバイスがNATデバイスの背後にある場合は、サイト間VPNコンポーネントの概要と、要件および前提条件も参照してください。 |
142.34.145.37 |
| 各CPEデバイスとVCNの間でポート・アドレス変換(PAT)を実行しますか。 | いいえ |
|
どのタイプのルーティングを使用する予定ですか。相互排他的な3つの選択肢があります: BGP動的ルーティングを使用する場合は、使用するBGPセッションIPアドレスとオンプレミス・ネットワークのASNをリストしてください。 静的ルーティングを使用する場合は、オンプレミス・ネットワークの静的ルートをリストしてください。サイト間VPNのルーティングを参照してください。 ポリシーベースのルーティングを使用する場合、または複数の暗号化ドメインが必要な場合は、接続の各端で使用されるIPv4 CIDRまたはIPv6接頭辞ブロックをリストしてください。ポリシーベース・トンネル用の暗号化ドメインを参照してください。 |
BGP動的ルーティングの例: トンネル1:
トンネル2:
ネットワークASN: 12345 静的ルーティングの例: POCの静的ルートには、10.0.0.0/16を使用します。 |
| 各トンネルの共有シークレットを指定しますか、またはOracleによって自動的に割り当てますか。サイト間VPNコンポーネントの概要を参照してください。 | Oracleにより自動で割り当てます。 |
BGP動的ルーティングを使用するタスク1の図の例を次に示します:
| 宛先CIDR | ルート・ターゲット |
|---|---|
| 10.0.0.0/16 | DRG |
| 宛先CIDR | 権限 |
|---|---|
| 10.0.0.0/16 | 許可 |
| コールアウト | 機能 | IP |
|---|---|---|
| 3 | CPEパブリックIPアドレス | 142.34.145.37 |
| 4a | トンネル1 BGP: トンネル内インタフェース |
CPE - 10.0.0.16/31 Oracle - 10.0.0.17/31 |
| 4b | トンネル2 BGP: トンネル内インタフェース |
CPE - 10.0.0.18/31 Oracle - 10.0.0.19/31 |
| 5 |
トンネル1 Oracle VPN IPアドレス: |
129.213.240.50 |
| 6 |
トンネル2 Oracle VPN IPアドレス: |
129.213.240.53 |
静的ルーティングを使用するタスク1の図の例を次に示します:
| 宛先CIDR | ルート・ターゲット |
|---|---|
| 10.0.0.0/16 | DRG |
| 宛先CIDR | 権限 |
|---|---|
| 10.0.0.0/16 | 許可 |
| コールアウト | 機能 | IP |
|---|---|---|
| 3 | CPEパブリックIPアドレス | 142.34.145.37 |
| 4 | IPSec接続の静的ルート | 10.0.0.0/16 |
| 5 |
トンネル1 Oracle VPN IPアドレス: |
129.213.240.50 |
| 6 |
トンネル2 Oracle VPN IPアドレス: |
129.213.240.53 |
すでにVCNがある場合は、次のタスクにスキップします。
コンソールを使用してVCNを作成する場合、VCNのみを作成することも、関連する複数のリソースとともにVCNを作成することもできます。このタスクではVCNのみを作成し、次のタスクで他の必要なリソースを作成します。
コンソールでのVCNの作成の詳細なステップは、VCNの作成を参照してください。
続行する前に、VCNのプロビジョニングが完了していることを確認してください。この例では、VCNのCIDRとして172.16.0.0/16を使用していますが、一貫性があるかぎり、選択した内容は重要ではありません。
VCNには、(ルールのない)デフォルト・ルート表が付属していますが、このタスクでは、DRGにターゲットとしてルート・ルールを含むカスタムVCNルート表を作成します。この例では、オンプレミス・ネットワークは10.0.0.0/16です。10.0.0.0/16を宛先とするトラフィックをDRGにルーティングするルート・ルールを作成します。タスク2fでサブネットを作成するとき、このカスタム・ルート表をサブネットに関連付けます。
サブネットを含むVCNがすでにある場合、ルート表またはサブネットを作成する必要はありません。かわりに、DRGのルート・ルールを含めて既存のサブネットのルート表を更新できます。
| 宛先CIDR | ルート表 |
|---|---|
| 10.0.0.0/16 | DRG |
コンソールでのVCNルート表の作成の詳細なステップは、VCNルート表の作成を参照してください。ルート・ルールには、次の設定を使用します。
- ターゲット・タイプ: 動的ルーティング・ゲートウェイ。VCNのアタッチされているDRGがターゲットとして自動的に選択されるため、ターゲットを自分で指定する必要はありません。
- 宛先CIDRブロック:オンプレミス・ネットワークのCIDR (この例では10.0.0.0/16)。
ルート表が作成され、ページに表示されます。ただし、ルート表は、サブネットの作成時にサブネットに関連付けないかぎり何も行いません(タスク2fを参照)。
デフォルトでは、すべてのポートおよびプロトコルで、VCN内のインスタンスの受信トラフィックがDENYに設定されます。このタスクでは、基本的な必須のネットワーク・トラフィックを許可する2つのイングレス・ルールと1つのエグレス・ルールを設定します。VCNには、デフォルト・ルール・セットを含むデフォルト・セキュリティ・リストが用意されています。ただし、このタスクでは、オンプレミス・ネットワークとのトラフィックに焦点を当てた、より限定的なルール・セットを含めて個別のセキュリティ・リストを作成します。タスク2fでサブネットを作成するとき、このセキュリティ・リストをサブネットに関連付けます。
| 宛先CIDR | ルート表 |
|---|---|
| 10.0.0.0/16 | DRG |
| イングレス/エグレス | CIDR | プロトコル: ポート |
|---|---|---|
| イングレス | 10.0.0.0/16 | TCP: 22 |
| イングレス | 10.0.0.0/16 | ICMP: すべて |
| エグレス | 10.0.0.0/16 | TCP: すべて |
次の手順で、セキュリティ・リスト・規則で指定するオンプレミスCIDRが、前のタスクのルート・ルールで指定したCIDRと同じ(またはそれより小さい)を確認してください。そうでない場合、セキュリティ・リストによってトラフィックがブロックされる。
コンソールを使用してVCNにセキュリティ・リストを作成する方法の詳細は、セキュリティ・リストを作成を参照してください。
-
次の値を使用してイングレス・ルールを追加します。これにより、オンプレミス・ネットワークからのTCPポート22での受信SSHが可能になります。
- ソース・タイプ: CIDR
- ソースCIDR:オンプレミス・ネットワークのCIDR (この例では10.0.0.0/16)
- IPプロトコル: TCP。
- ソース・ポート範囲: そのままにします(デフォルトの「すべて」)。
- 宛先ポート範囲: 22 (SSHトラフィック用)。
- 説明: ルールのオプションの説明。
-
次の値を持つエグレス・ルールを追加します。これにより、オンプレミス・ネットワークへのすべてのポートでの送信TCPトラフィックが許可されます。
- 宛先タイプ: CIDR
- 宛先CIDR:オンプレミス・ネットワークのCIDR (この例では10.0.0.0/16)。
- IPプロトコル: TCP。
- ソース・ポート範囲: そのままにします(デフォルトの「すべて」)。
- 宛先ポート範囲:そのままにします(デフォルトの「すべて」)。
- 説明: ルールのオプションの説明。
セキュリティ・リストが作成されると、ページに表示されます。ただし、セキュリティ・リストは、サブネットの作成時にサブネットに関連付けないかぎり何も行いません(タスク2fを参照)。
このタスクでは、VCN内にサブネットを作成します。通常、サブネットにはVCNのCIDRより小さいCIDRブロックがあります。このサブネット内に作成したインスタンスはいずれも、オンプレミス・ネットワークにアクセスできます。リージョナル・サブネットを使用することをお薦めします。ここでは、リージョナル・プライベート・サブネットを作成します。
| 宛先CIDR | ルート表 |
|---|---|
| 10.0.0.0/16 | DRG |
| イングレス/エグレス | CIDR | プロトコル: ポート |
|---|---|---|
| イングレス | 10.0.0.0/16 | TCP: 22 |
| イングレス | 10.0.0.0/16 | ICMP: すべて |
| エグレス | 10.0.0.0/16 | TCP: すべて |
コンソールを使用したVCNのサブネットの作成の詳細は、サブネットの作成を参照してください。次の値を使用します。
- リージョナルまたはAD固有のサブネット: 「リージョナル」ラジオ・ボタンを選択します。リージョナル・サブネットを使用することをお薦めします。
- CIDRブロック: サブネットの単一の連続CIDRブロック(172.16.0.0/24など)。クラウド・ネットワークのCIDRブロック内に存在する必要があり、他のサブネットと重複することはできません。この値は後で変更できません。許容されるVCNのサイズとアドレス範囲を参照してください。参照用として、CIDR計算機を使用してください。
- ルート表:タスク2dで作成したルート表。
- プライベート・サブネット: このオプションを選択します。詳細は、インターネットへのアクセスを参照してください。
- このサブネットでDNSホスト名を使用: そのままにします(選択済)。
- DHCPオプション: サブネットに関連付けるDHCPオプションのセット。VCNにデフォルトのDHCPオプション・セットを選択します。
- セキュリティ・リスト: 以前に作成したセキュリティ・リスト。
サブネットが作成され、ページに表示されます。これで、この例の基本的なVCNが設定され、サイト間VPNの残りのコンポーネントを作成できます。
このタスクでは、実際のCPEデバイスを仮想表現するCPEオブジェクトを作成します。CPEオブジェクトは、テナンシのコンパートメントに存在します。サイト間VPNを構成する場合、CPEオブジェクトの構成と一致するように、オンプレミスのネットワークの実際のエッジ・デバイスの構成を変更する必要があります。
| 宛先CIDR | ルート表 |
|---|---|
| 10.0.0.0/16 | DRG |
| イングレス/エグレス | CIDR | プロトコル: ポート |
|---|---|---|
| イングレス | 10.0.0.0/16 | TCP: 22 |
| イングレス | 10.0.0.0/16 | ICMP: すべて |
| エグレス | 10.0.0.0/16 | TCP: すべて |
CPEオブジェクトの作成ステップの詳細は、CPEの作成を参照してください。この例では、指定する最も重要なIPアドレスは、物理CPEデバイスのパブリックIPアドレスまたはプライベートIPアドレスである142.34.145.37です。
このタスクでは、IPSecトンネルを作成し、それに対するルーティングのタイプ(BGP動的ルーティング、静的ルーティング、またはポリシーベースのルーティング)を構成します。詳細なステップは、IPSec接続の作成を参照してください。
CPE構成ヘルパーを使用して、ネットワーク・エンジニアがCPEの構成に使用できる構成コンテンツを生成します。
コンテンツには次の項目が含まれます:
- 各IPSecトンネルのOracle VPN IPアドレスおよび共有シークレット。
- サポートされているIPSecパラメータ値。
- VCNに関する情報。
- CPE固有の構成情報。
詳細は、CPE構成ヘルパーの使用を参照してください。
ネットワークエンジニアに次の項目を提供します。
- CPE構成ヘルパーによって生成されたコンテンツ。
- Oracleでサポートされる一般的なIPSecパラメータ。
1つのトンネルに障害が発生した場合や、Oracleがメンテナンスのために1つのトンネルを停止した場合に備えて、必ずネットワーク・エンジニアに両方のトンネルをサポートするようにCPEデバイスを構成してもらってください。BGPを使用している場合は、サイト間VPNのルーティングを参照してください。
ネットワーク・エンジニアがCPEデバイスを構成した後は、トンネルのIPSecステータスが「稼働中」で緑色になっていることを確認できます。次に、VCN内のサブネットにLinuxインスタンスを作成できます。次に、SSHを使用して、オンプレミス・ネットワーク内のホストからインスタンスのプライベートIPアドレスに接続します。詳細は、インスタンスの作成を参照してください。
複数の地理的領域を含むレイアウトの例
次の図は、次の構成の別の例を示しています。
- それぞれがVCNに接続する、別々の地理的領域の2つのネットワーク
- 各領域に1つのCPEデバイス
- 2つのIPSec VPN (各CPEデバイスに1つずつ)
各サイト間VPNには2つのルートが関連付けられています。1つは特定の地理的領域のサブネット用、もう1つはデフォルトの0.0.0.0/0ルートです。Oracleは、各トンネルに使用可能なルートについて学習します。(トンネルでBGPが使用されている場合は) BGP経由のルート、または(トンネルで静的ルーティングが使用されている場合は) IPSec接続の静的ルートとして設定したルートです。
| 宛先CIDR | ルート・ターゲット |
|---|---|
| 10.20.0.0/16 | DRG |
| 0.0.0.0/0 | DRG |
| 宛先CIDR | ルート・ターゲット |
|---|---|
| 10.40.0.0/16 | DRG |
| 0.0.0.0/0 | DRG |
0.0.0.0/0ルートで柔軟性が得られる状況の例を次にいくつか示します:
- CPE 1デバイスが停止したとします(次の図を参照)。サブネット1とサブネット2が相互に通信できる場合、CPE 2に移動する0.0.0.0/0ルートのため、VCNはサブネット1のシステムに到達する可能性があります。
-
組織がサブネット3を含む新しい地理領域を追加し、最初はそれをサブネット2に接続する場合(次の図を参照)。サブネット3のVCNのルート表にルート・ルールを追加した場合、CPE 2に移動する0.0.0.0/0ルートのため、VCNはサブネット3のシステムに到達する可能性があります。
コールアウト1: VCNルート表 宛先CIDR ルート・ターゲット 10.20.0.0/16 DRG 10.40.0.0/16 DRG 10.60.0.0/16 DRG
PATを使用したレイアウトの例
次の図は、この構成を使用した例を示しています:
- それぞれがVCNに接続する、別々の地理的領域の2つのネットワーク
- 冗長CPEデバイス(各地理領域内に2つ)
- 4つのIPSec VPN (各CPEデバイスに1つずつ)
- 各CPEデバイスのポート・アドレス変換(PAT)
4つの接続それぞれについて、Oracleが知る必要のあるルートは、特定のCPEデバイスのPAT IPアドレスです。Oracleは、各トンネルのPAT IPアドレス・ルートについて学習しますルートは、BGPを介して(トンネルでBGPが使用されている場合は)、または(トンネルで静的ルーティングが使用されている場合は) IPSec接続の静的ルートとして設定した関連アドレスです。
VCNのルート・ルールを設定する際には、DRGをルールのターゲットとして、各PAT IPアドレスのルール(または、すべてをカバーする集約CIDR)を指定します。
| 宛先CIDR | ルート・ターゲット |
|---|---|
| PAT IP 1 | DRG |
| PAT IP 2 | DRG |
| PAT IP 3 | DRG |
| PAT IP 4 | DRG |
次の手順
関連する次のトピックおよび手順を参照してください: