Oracle Cloud Infrastructureドキュメント

サイト間VPNの設定

このトピックでは、オンプレミス・ネットワークからVCNへのサイト間VPN IPSec接続を構築する手順について説明します。サイト間VPNの一般情報は、サイト間VPNの概要を参照してください。

開始する前に

準備として、まず次のことを行います:

  • 次の項を読みます: サイト間VPNのルーティング

  • 次の質問に答えます:

    質問 回答
    VCNのCIDRは何ですか。  

    CPEデバイスのパブリックIPアドレスは何ですか。冗長性のために複数のデバイスがある場合は、それぞれのIPアドレスを取得してください。

    ノート: CPEデバイスがNATデバイスの背後にある場合は、サイト間VPNコンポーネントの概要と、要件および前提条件も参照してください。

    		  
    各CPEデバイスとVCNの間でポート・アドレス変換(PAT)を使用しますか。  

    どのタイプのルーティングを使用する予定ですか。BGP動的ルーティングが必要な場合は、使用するBGPセッションIPアドレスとネットワークのASNをリストしてください。IPアドレスは、サイト間VPNの暗号化ドメインに属している必要があります。

    静的ルーティングが必要な場合、オンプレミス・ネットワークの静的ルートは何ですか。サイト間VPNのルーティングを参照してください。

    ポリシーベースのルーティングまたは複数の暗号化ドメインを使用する予定ですか。ポリシーベース・トンネル用の暗号化ドメインを参照してください。

    		  

    各トンネルの共有シークレットを指定しますか、またはOracleによって自動的に割り当てますか。サイト間VPNコンポーネントの概要を参照してください。

    		  
  • ネットワーク・レイアウトの図を描きます(例については、例: 概念実証サイト間VPNの設定の最初のタスクを参照してください)。オンプレミス・ネットワークのどの部分がVCNと通信する必要があるか、またその逆も考慮してください。VCNに必要なルーティング・ルールおよびセキュリティ・ルールを策定します。
ヒント

静的ルーティングを使用するサイト間VPNがすでに存在する場合は、かわりにBGP動的ルーティングを使用するようにトンネルを変更できます。

次のリンク・ローカルIP範囲は、トンネル・インタフェース内のサイト間VPNで使用できません:

  • 169.254.10.0-169.254.19.255
  • 169.254.100.0-169.254.109.255
  • 169.254.192.0-169.254.201.255

全体的なプロセス

サイト間VPNを設定するための全体的なプロセスを次に示します:

  1. 開始する前ににリストされたタスクを完了します。
  2. サイト間VPNコンポーネントを設定します(例: 概念実証サイト間VPNの設定の手順):
    1. VCNを作成します。
    2. DRGを作成します。
    3. DRGをVCNにアタッチします。
    4. DRGのルート表とルート・ルールを作成します。
    5. セキュリティ・リストおよび必要なルールを作成します。
    6. VCN内にサブネットを作成します。
    7. CPEオブジェクトを作成し、CPEデバイスのパブリックIPアドレスを指定します。
    8. CPEオブジェクトへのIPSec接続を作成し、必要なルーティング情報を指定します。
  3. CPE構成ヘルパーを使用します: ネットワーク・エンジニアは、前のステップでOracleから提供された情報を使用してCPEデバイスを構成する必要があります。CPE構成ヘルパーは、ネットワーク・エンジニア用の情報を生成します。詳細は、CPE構成ヘルパーの使用およびCPE構成を参照してください。
  4. ネットワーク・エンジニアがCPEデバイスを構成します。
  5. 接続を検証します。

冗長接続を設定する場合は、接続性冗長性ガイドを参照してください。

例: 概念実証サイト間VPNの設定

ヒント

Oracleでは、サイト間VPNの設定を簡単にするためのクイックスタート・ワークフローが用意されています。詳細は、サイト間VPNのクイックスタートを参照してください。

このシナリオ例では、概念実証(POC)に使用できる、単純なレイアウトのサイト間VPNを設定する方法を示します。これは全体的なプロセスのタスク1および2に続く手順であり、作成するレイアウト内の各コンポーネントを示しています。各タスクについて、どの情報が必要かがわかるように、コンソールからの対応するスクリーンショットが示されています。より複雑なレイアウトについては、複数の地理領域を使用したレイアウトの例またはPATを使用したレイアウトの例を参照してください。

タスク1: 情報の収集
質問 回答
VCNのCIDRは何ですか。 172.16.0.0/16

CPEデバイスのパブリックIPアドレスは何ですか。冗長性のために複数のデバイスがある場合は、それぞれのIPアドレスを取得してください。

ノート: CPEデバイスがNATデバイスの背後にある場合は、サイト間VPNコンポーネントの概要と、要件および前提条件も参照してください。

 142.34.145.37
各CPEデバイスとVCNの間でポート・アドレス変換(PAT)を実行しますか。 いいえ

どのタイプのルーティングを使用する予定ですか。相互排他的な3つの選択肢があります:

BGP動的ルーティングを使用する場合は、使用するBGPセッションIPアドレスとネットワークのASNをリストしてください。

静的ルーティングを使用する場合は、オンプレミス・ネットワークの静的ルートをリストしてください。サイト間VPNのルーティングを参照してください。

ポリシーベースのルーティングを使用する場合、または複数の暗号化ドメインが必要な場合は、接続の各端で使用されるIPv4 CIDRまたはIPv6接頭辞ブロックをリストしてください。ポリシーベース・トンネル用の暗号化ドメインを参照してください。

BGP動的ルーティングの例:

トンネル1:

  • BGPトンネル内インタフェース - CPE: 10.0.0.16/31
  • BGPトンネル内インタフェース - Oracle: 10.0.0.17/31

トンネル2:

  • BGPトンネル内インタフェース - CPE: 10.0.0.18/31
  • BGPトンネル内インタフェース - Oracle: 10.0.0.19/31

ネットワークASN: 12345

静的ルーティングの例:

単純なPOCの静的ルートには、10.0.0.0/16を使用します。

ポリシーベースのルーティングの例:

単純なPOCには、???を使用します。
各トンネルの共有シークレットを指定しますか、またはOracleによって自動的に割り当てますか。サイト間VPNコンポーネントの概要を参照してください。 Oracleにより自動で割り当てます。

BGP動的ルーティングを使用するタスク1の図の例を次に示します:

この図は、BGP動的ルーティングを使用するときの基本的なVPNレイアウトを示しています。
コールアウト1: デフォルト・サブネット・ルート表
宛先CIDR ルート・ターゲット
10.0.0.0/16 DRG
コールアウト2: セキュリティ・リスト
宛先CIDR 権限
10.0.0.0/16 許可
コールアウト3から6
コールアウト 機能 IP
3 CPEパブリックIPアドレス 142.34.145.37
4a トンネル1 BGP: トンネル内インタフェース

CPE - 10.0.0.16/31

Oracle - 10.0.0.17/31
4b トンネル2 BGP: トンネル内インタフェース

CPE - 10.0.0.18/31

Oracle - 10.0.0.19/31
5

トンネル1 Oracle VPN IPアドレス:

129.213.240.50
6

トンネル2 Oracle VPN IPアドレス:

129.213.240.53

静的ルーティングを使用するタスク1の図の例を次に示します:

この図は、静的ルーティングを使用するときの基本的なVPNレイアウトを示しています。
コールアウト1: デフォルト・サブネット・ルート表
宛先CIDR ルート・ターゲット
10.0.0.0/16 DRG
コールアウト2: セキュリティ・リスト
宛先CIDR 権限
10.0.0.0/16 許可
コールアウト3から6
コールアウト 機能 IP
3 CPEパブリックIPアドレス 142.34.145.37
4 IPSec接続の静的ルート 10.0.0.0/16
5

トンネル1 Oracle VPN IPアドレス:

129.213.240.50
6

トンネル2 Oracle VPN IPアドレス:

129.213.240.53
タスク2a: VCNの作成

すでにVCNがある場合は、次のタスクにスキップします。

ヒント:

コンソールを使用してVCNを作成する場合、VCNのみを作成することも、関連する複数のリソースとともにVCNを作成することもできます。このタスクではVCNのみを作成し、以降のタスクで他の必要なリソースを作成します。
この図は、VCNの作成を示しています
  1. ナビゲーション・メニューを開き、「ネットワーキング」「仮想クラウド・ネットワーク」の順にクリックします。
  2. 「リスト範囲」で、作業する権限があるコンパートメントを選択します。ページが更新され、そのコンパートメントのリソースのみが表示されます。使用するコンパートメントが不明な場合は、管理者に問い合せてください。詳細は、アクセス制御を参照してください。
  3. 「仮想クラウド・ネットワークの作成」をクリックします。

  4. 次の値を入力します。

    • コンパートメントで作成: そのままにします。
    • 名前: クラウド・ネットワークのわかりやすい名前。必ずしも一意である必要はありませんが、後でコンソールで変更することはできません(ただし、APIで変更できます)。機密情報の入力は避けてください。
    • CIDRブロック: クラウド・ネットワークの単一の連続CIDRブロック(172.16.0.0/16など)。この値は後で変更できません許容されるVCNのサイズとアドレス範囲を参照してください。参照用として、CIDR計算機を使用してください。
    • IPv6アドレス割当ての有効化: このオプションは、VCNがIPv6に対して有効になっている場合にのみ使用できます。IPv6アドレス指定は、すべての商用リージョンおよび政府リージョンでサポートされています。詳細は、IPv6アドレスを参照してください。

  5. これ以外のオプションは、値を指定することも、無視することもできます:

    • DNS Resolution: This option is required to assign DNS hostnames to hosts in the VCN, and required if you plan to use the VCN's default DNS feature (called the Internet and VCN Resolver).If you select this option you can specify a DNS label for the VCN, or you can allow the Console to generate one for you.The dialog box automatically displays the corresponding DNS Domain Name for the VCN (<VCN_DNS_label>.oraclevcn.com).詳細は、仮想クラウド・ネットワークのDNSを参照してください。
    • タグ: リソースを作成する権限がある場合、そのリソースにフリーフォーム・タグを適用する権限もあります。定義済のタグを適用するには、タグ・ネームスペースを使用する権限が必要です。タグ付けの詳細は、リソース・タグを参照してください。タグを適用するかどうかがわからない場合は、このオプションをスキップするか、管理者に連絡してください。タグは後から適用できます。
  6. 「仮想クラウド・ネットワークの作成」をクリックします。

VCNが作成され、ページに表示されます。必ず、プロビジョニングが完了したことを確認してから次に進んでください。

タスク2b: DRGの作成
この図は、DRGの作成を示しています

  1. ナビゲーション・メニューを開き、「ネットワーク」をクリックします「顧客接続」で、「動的ルーティング・ゲートウェイ」をクリックします。

  2. 「動的ルーティング・ゲートウェイの作成」をクリックします。
  3. 次の値を入力します。
    • コンパートメントに作成: そのままにします(VCNのコンパートメント)。
    • 名前: DRGのわかりやすい名前。必ずしも一意である必要はありませんが、後でコンソールで変更することはできません(ただし、APIで変更できます)。機密情報の入力は避けてください。
    • タグ: そのままにします。必要に応じて後でタグを追加できます。詳細は、リソース・タグを参照してください。
  4. 「動的ルーティング・ゲートウェイの作成」をクリックします。

DRGが作成され、ページに表示されます。必ず、プロビジョニングが完了したことを確認してから次に進んでください。

ヒント

このDRGは、オンプレミス・ネットワークをVCNに接続するための代替手段である、Oracle Cloud Infrastructure FastConnectのゲートウェイとしても使用できます。
タスク2c: DRGのVCNへのアタッチ
この図は、DRGのVCNへのアタッチメントを示しています
  1. 作成したDRGの名前をクリックします。
  2. 「リソース」で、「仮想クラウド・ネットワーク」をクリックします。
  3. 「仮想クラウド・ネットワークへのアタッチ」をクリックします。
  4. VCNを選択します。拡張オプションのセクションは無視してください。これは、転送ルーティングという拡張ルーティング・シナリオで使用するもので、ここでは関係ありません。
  5. 「アタッチ」をクリックします。

準備ができるまでの短い間、アタッチメントは「アタッチ中」状態になります。

タスク2d: DRGのルート表とルート・ルールの作成

VCNには、(ルールのない)デフォルト・ルート表が付属していますが、このタスクでは、DRGにルート・ルールを含むカスタム・ルート表を作成します。この例では、オンプレミス・ネットワークは10.0.0.0/16です。10.0.0.0/16を宛先とするトラフィックをDRGにルーティングするルート・ルールを作成します。タスク2fでサブネットを作成するとき、このカスタム・ルート表をサブネットに関連付けます。

ヒント

サブネットを含むVCNがすでにある場合、ルート表またはサブネットを作成する必要はありません。かわりに、DRGのルート・ルールを含めて既存のサブネットのルート表を更新できます。
この図は、DRGのルート表とルート・ルールの作成を示しています
コールアウト1: VCNルート表MyExampleRouteTable
宛先CIDR ルート表
10.0.0.0/16 DRG
  1. ナビゲーション・メニューを開き、「ネットワーキング」「仮想クラウド・ネットワーク」の順にクリックします。
  2. VCNをクリックします。
  3. 「ルート表」をクリックして、VCNのルート表を表示します。
  4. 「ルート表の作成」をクリックします。

  5. 次の値を入力します。

    • 名前: ルート表のわかりやすい名前(MyExampleRouteTableなど)。名前は必ずしも一意である必要はありませんが、後でコンソールで変更することはできません(ただし、APIで変更できます)。機密情報の入力は避けてください。
    • コンパートメントに作成: そのままにします。

    • 「+追加ルート・ルール」をクリックし、次の情報を入力します:

      • ターゲット・タイプ: 動的ルーティング・ゲートウェイ。VCNのアタッチされているDRGがターゲットとして自動的に選択されるため、ターゲットを自分で指定する必要はありません。
      • 宛先CIDRブロック: オンプレミス・ネットワークのCIDR (この例では10.0.0.0/16)。
      • 説明: ルールのオプションの説明。
    • タグ: タグ情報はそのままにします。
  6. 「ルート表の作成」をクリックします。

ルート表が作成され、ページに表示されます。ただし、ルート表は、サブネットの作成時にサブネットに関連付けないかぎり何も行いません(タスク2fを参照)。

タスク2e: セキュリティ・リストの作成

デフォルトでは、すべてのポートおよびすべてのプロトコルで、VCN内のインスタンスの着信トラフィックがDENYに設定されます。このタスクでは、基本的な必須のネットワーク・トラフィックを許可する2つのイングレス・ルールと1つのエグレス・ルールを設定します。VCNには、デフォルト・ルール・セットを含むデフォルト・セキュリティ・リストが付属しています。ただし、このタスクでは、オンプレミス・ネットワークとのトラフィックに重点を置いた、より限定的なルール・セットを含めて個別のセキュリティ・リストを作成します。タスク2fでサブネットを作成するとき、このセキュリティ・リストをサブネットに関連付けます。

ヒント

セキュリティ・リストは、VCNのリソース内外のトラフィックを制御する1つの方法です。また、ネットワーク・セキュリティ・グループを使用すると、すべて同じセキュリティ体制を持つ一連のリソースにセキュリティ・ルールのセットを適用できます。
この図は、セキュリティ・リストの作成を示しています
コールアウト1: VCNルート表MyExampleRouteTable
宛先CIDR ルート表
10.0.0.0/16 DRG
コールアウト2: セキュリティ・リストMyExampleSecurityList
イングレス/エグレス CIDR プロトコル: ポート
イングレス 10.0.0.0/16 TCP: 22
イングレス 10.0.0.0/16 ICMP: すべて
エグレス 10.0.0.0/16 TCP: すべて
重要

次の手順で、セキュリティ・リスト・ルールで指定するオンプレミスCIDRが、前のタスクのルート・ルールで指定したCIDRと同じ(またはそれより小さい)ことを確認してください。そうでない場合、セキュリティ・リストによってトラフィックがブロックされます。
  1. VCNがまだ表示されている状態で、ページの左側にある「セキュリティ・リスト」をクリックします。
  2. 「セキュリティ・リストの作成」をクリックします。

  3. 次の値を入力します。

    • 名前: セキュリティ・リストのわかりやすい名前。名前は必ずしも一意である必要はありませんが、後でコンソールで変更することはできません(ただし、APIで変更できます)。機密情報の入力は避けてください。
    • コンパートメントに作成: そのままにします。

  4. 「イングレスのルールを許可」セクションで、「イングレス・ルールの追加」をクリックし、イングレス・ルールの次の値を入力します。これにより、TCPポート22でオンプレミス・ネットワークからの受信SSHが許可されます:

    • ソース・タイプ: CIDR
    • ソースCIDR: オンプレミス・ネットワークのCIDR (この例では10.0.0.0/16)
    • IPプロトコル: TCP。
    • ソース・ポート範囲: そのままにします(デフォルトの「すべて」)。
    • 宛先ポート範囲: 22 (SSHトラフィック用)。
    • 説明: ルールのオプションの説明。

  5. 「エグレス・ルールの許可」セクションで、「エグレス・ルールの追加」をクリックし、エグレス・ルールの次の値を入力します。これにより、すべてのポートでオンプレミス・ネットワークへの送信TCPトラフィックが許可されます:

    • 宛先タイプ: CIDR
    • 宛先CIDR: オンプレミス・ネットワークのCIDR (この例では10.0.0.0/16)。
    • IPプロトコル: TCP。
    • ソース・ポート範囲: そのままにします(デフォルトの「すべて」)。
    • 宛先ポート範囲: そのままにします(デフォルトの「すべて」)。
    • 説明: ルールのオプションの説明。
  6. タグ情報はそのままにします。
  7. 「セキュリティ・リストの作成」をクリックします。

セキュリティ・リストが作成され、ページに表示されます。ただし、セキュリティ・リストは、サブネットの作成時にサブネットに関連付けないかぎり何も行いません(タスク2fを参照)。

タスク2f: サブネットの作成

このタスクでは、VCN内にサブネットを作成します。通常、サブネットにはVCNのCIDRより小さいCIDRブロックがあります。このサブネット内に作成したインスタンスはいずれも、オンプレミス・ネットワークにアクセスできます。リージョナル・サブネットの使用をお薦めします。ここでは、リージョナル・プライベート・サブネットを作成します。

この図は、サブネットの作成を示しています
コールアウト1: VCNルート表MyExampleRouteTable
宛先CIDR ルート表
10.0.0.0/16 DRG
コールアウト2: セキュリティ・リストMyExampleSecurityList
イングレス/エグレス CIDR プロトコル: ポート
イングレス 10.0.0.0/16 TCP: 22
イングレス 10.0.0.0/16 ICMP: すべて
エグレス 10.0.0.0/16 TCP: すべて
  1. VCNがまだ表示されている状態で、ページの左側にある「サブネット」をクリックします。
  2. 「サブネットの作成」をクリックします。

  3. 次の値を入力します。

    • 名前: サブネットのわかりやすい名前。必ずしも一意である必要はありませんが、後でコンソールで変更することはできません(ただし、APIで変更できます)。機密情報の入力は避けてください。
    • リージョナルまたはAD固有のサブネット: 「リージョナル」ラジオ・ボタンを選択します。リージョナル・サブネットの使用をお薦めします。
    • CIDRブロック: サブネットの単一の連続CIDRブロック(172.16.0.0/24など)。クラウド・ネットワークのCIDRブロック内に存在する必要があり、他のサブネットと重複することはできません。この値は後で変更できません許容されるVCNのサイズとアドレス範囲を参照してください。参照用として、CIDR計算機を使用してください。
    • IPv6アドレス割当ての有効化: このオプションは、VCNがIPv6に対してすでに有効になっている場合にのみ使用できます。IPv6アドレス指定は、すべての商用リージョンおよび政府リージョンでサポートされています。詳細は、IPv6アドレスを参照してください。
    • ルート表: 以前に作成したルート表。
    • プライベート・サブネット: このオプションを選択します。詳細は、インターネットへのアクセスを参照してください。
    • このサブネットでDNSホスト名を使用: そのままにします(選択済)。
    • DHCPオプション: サブネットに関連付けるDHCPオプションのセット。VCNにデフォルトのDHCPオプション・セットを選択します。
    • セキュリティ・リスト: 以前に作成したセキュリティ・リスト。
    • タグ: そのままにします。必要に応じて後でタグを追加できます。詳細は、リソース・タグを参照してください。
  4. 「サブネットの作成」をクリックします。

サブネットが作成され、ページに表示されます。これで、この例の基本的なVCNが設定され、サイト間VPNの残りのコンポーネントを作成する準備ができました。

タスク2g: CPEオブジェクトの作成と、CPEデバイスのパブリックIPアドレスの指定

このタスクでは、CPEデバイスの仮想表現であるCPEオブジェクトを作成します。CPEオブジェクトは、テナンシ内のコンパートメントに存在します。サイト間VPNを構成する場合、CPEオブジェクトの構成と一致するように、ネットワークの実際のエッジ・デバイスの構成を変更する必要があります。

この図は、CPEオブジェクトの作成を示しています
コールアウト1: VCNルート表MyExampleRouteTable
宛先CIDR ルート表
10.0.0.0/16 DRG
コールアウト2: セキュリティ・リストMyExampleSecurityList
イングレス/エグレス CIDR プロトコル: ポート
イングレス 10.0.0.0/16 TCP: 22
イングレス 10.0.0.0/16 ICMP: すべて
エグレス 10.0.0.0/16 TCP: すべて

  1. ナビゲーション・メニューを開き、「ネットワーク」をクリックします「顧客接続」で、「顧客構内機器」をクリックします。

  2. 「顧客構内機器の作成」をクリックします。

  3. 次の値を入力します。

    • 名前: CPEオブジェクトのわかりやすい名前。必ずしも一意である必要はありませんが、後でコンソールで変更することはできません(ただし、APIで変更できます)。機密情報の入力は避けてください。
    • IPアドレス: VPNのユーザー側にある実際のCPE/エッジ・デバイスのパブリックIPアドレス(開始する前にで収集する情報のリストを参照してください)。
    • IPSec over FastConnectを有効にする: (オプション) IPSec over FastConnect機能を構成する場合にのみ、このオプションを選択します。When this option is enabled, the label of the next field changes to IP Address since the IP address used as the CPE IKE identifier can be either public or private.Checking this option signals to Oracle that the CPE IP address will not be reachable over the internet and will be reachable over private peering only.
    • Public IP Address: The public IP address of the actual CPE/edge device at your end of the VPN (see the list of information to gather in Before You Get Started).
    • タグ: そのままにします。必要に応じて後でタグを追加できます。詳細は、リソース・タグを参照してください。
  4. 「CPEの作成」をクリックします。

CPEオブジェクトが作成され、ページに表示されます。

タスク2h: CPEオブジェクトへのIPSec接続の作成

このタスクでは、IPSecトンネルを作成し、それに対するルーティングのタイプ(BGP動的ルーティングまたは静的ルーティング)を構成します。

ヒント

静的ルーティングを使用するサイト間VPNがすでに存在する場合は、かわりにBGP動的ルーティングを使用するようにトンネルを変更できます。
BGP動的ルーティングの場合
Note

Oracle recommends that you use BGP route-based IPSec connections for IPSec over FastConnect.

この例では、BGP動的ルーティングを使用するように両方のトンネルを構成します。

この図は、BGP動的ルーティングを使用するときの基本的なVPNレイアウトを示しています。
コールアウト1: デフォルト・サブネット・ルート表
宛先CIDR ルート・ターゲット
10.0.0.0/16 DRG
コールアウト2: セキュリティ・リスト
宛先CIDR 権限
10.0.0.0/16 許可
コールアウト3から6
コールアウト 機能 IP
3 CPEパブリックIPアドレス 142.34.145.37
4a トンネル1 BGP: トンネル内インタフェース

CPE - 10.0.0.16/31

Oracle - 10.0.0.17/31
4b トンネル2 BGP: トンネル内インタフェース

CPE - 10.0.0.18/31

Oracle - 10.0.0.19/31
5

トンネル1 Oracle VPN IPアドレス:

129.213.240.50
6

トンネル2 Oracle VPN IPアドレス:

129.213.240.53

  1. ナビゲーション・メニューを開き、「ネットワーク」をクリックしますUnder Customer connectivity, click Site-to-Site VPN.

  2. 「IPSec接続の作成」をクリックします。

  3. 次の値を入力します。

    • 名前: IPSec接続のわかりやすい名前を入力します。一意である必要はなく、後で変更できます。機密情報の入力は避けてください。
    • コンパートメントに作成: そのままにします(VCNのコンパートメント)。
    • 顧客構内機器: 以前に作成したCPEオブジェクトを選択します。If you are configuringIPSec over FastConnect, the CPE you choose must have a label confirming that IPSec over FastConnect is enabled for that CPE.BGP routing is preferred for connections that use IPSec over FastConnect.If necessary, select the checkbox to indicate that the CPE is behind a NAT device.チェックボックスが選択されている場合は、次の情報を指定します。
      • CPE IKE識別子タイプ: Internet Key Exchange (IKE)がCPEデバイスの識別に使用する識別子のタイプを選択します。FQDNまたはIPv4アドレスのいずれかを識別子にできます。Oracleでは、デフォルトでCPEのパブリックIPアドレスが使用されます。CPEがNATデバイスの背後にある場合は、別の値の入力が必要になることもあります。ここで新しい値を入力することも、後で値を変更することもできます。
      • CPE IKE識別子: IKEがCPEデバイスの識別に使用する情報を入力します。
    • 動的ルーティング・ゲートウェイ・コンパートメント: そのままにします(VCNのコンパートメント)。
    • 動的ルーティング・ゲートウェイ: 以前に作成したDRGを選択します。
    • オンプレミス・ネットワークへのルート: このIPSec接続ではBGP動的ルーティングが使用されるため、空のままにします。以降のステップでは、BGPを使用するように2つのトンネルを構成します。

  4. トンネル1 (必須)の場合:

    • 名前: トンネルのわかりやすい名前を入力します。一意である必要はなく、後で変更できます。機密情報の入力は避けてください。
    • カスタム共有シークレットの指定(オプション): デフォルトでは、Oracleによりトンネルの共有シークレットが指定されます。自分で指定する場合は、このチェック・ボックスを選択して共有シークレットを入力します。共有シークレットは後で変更できます。
    • IKEバージョン: このトンネルに使用するInternet Key Exchange (IKE)バージョン。「IKEv2」は、CPEでサポートされている場合にのみ選択してください。また、このトンネルにIKEv2のみを使用するようにCPEを構成する必要があります。
    • ルーティング・タイプ: 「BGP動的ルーティング」を選択します。
    • If your selected CPE supports IPSec over FastConnect, the following settings are required:
      • Oracle tunnel headend IP: Enter the IP address of the Oracle IPSec tunnel endpoint (the VPN headend). Oracle will advertise the VPN IP as a /32 host route via the FastConnect BGP session. If there is any address overlap with a VCN route this will take precedence due to longest prefix match.
      • 関連付けられた仮想回線:作成時にFastConnectを介してIPSecに対して有効化された仮想回線を選択します。The tunnel will be mapped to the chosen virtual circuit and the defined headend IP will only be reachable from on-premises via the associated virtual circuit.
      • DRG route table: Choose or create a DRG route table. To prevent any issues with recursive routing, the virtual circuit attachment and the IPSec tunnel attachment used for IPsec over FC must use different DRG route tables.
    • BGP ASN: ネットワークのASNを入力します。
    • IPv4トンネル内インタフェース - CPE: トンネルのCPE側にサブネット・マスク(/30または/31)を使用するBGP IPv4アドレスを入力します。例: 10.0.0.16/31。IPアドレスは、サイト間VPNの暗号化ドメインに属している必要があります。
    • IPv4トンネル内インタフェース - Oracle: トンネルのOracle側にサブネット・マスク(/30または/31)を使用するBGP IPv4アドレスを入力します。例: 10.0.0.17/31。IPアドレスは、サイト間VPNの暗号化ドメインに属している必要があります。
    • IPv6とIPv4の両方を使用する場合は、「IPv6の有効化」をクリックし、次の詳細を入力します:
      • IPV6トンネル内インタフェース - CPE: トンネルのCPE側にサブネット・マスク(/126)を使用するBGP IPv6アドレスを入力します。例: 2001:db2::6/126。IPアドレスは、サイト間VPNの暗号化ドメインに属している必要があります。
      • IPV6トンネル内インタフェース - Oracle: トンネルのOracle側にサブネット・マスク(/126)を使用するBGP IPアドレスを入力します。例: 2001:db2::7/126。IPアドレスは、サイト間VPNの暗号化ドメインに属している必要があります。
      • 「拡張オプションの表示」をクリックすると、トンネル1の次の設定を変更できます:
        • Oracle開始: この設定は、IPSec接続のOracle側でIPSecトンネルの起動を開始できるかどうかを示します。デフォルトは「イニシエータまたはレスポンダ」です。また、CPEデバイスでIPSecトンネルを開始する必要があるレスポンダ専用になるようにOracle側を設定することもできます。Oracleでは、このオプションをデフォルト設定のままにすることをお薦めします。
        • NAT-T有効: この設定は、CPEデバイスがNATデバイスの背後にあるかどうかを示します。デフォルトは「自動」です。その他のオプションは、「無効」および「有効」です。Oracleでは、このオプションをデフォルト設定のままにすることをお薦めします。
        • Dead Peer Detectionタイムアウトの有効化: このオプションをクリックすると、CPEへの接続の安定性を定期的にチェックし、CPEが停止したことを検出できます。このオプションを選択した場合、IPSec接続がCPEとの通信を失ったことを示す前の、CPEデバイス・ヘルス・メッセージ間の最も長い間隔を選択することもできます。デフォルトは20秒です。Oracleでは、このオプションをデフォルト設定のままにすることをお薦めします。
      • 「フェーズ1 (ISAKMP)構成」セクションを展開し、「カスタム・オプションの設定」をクリックすると、次のオプション設定を設定できます(各オプションのいずれかを選択する必要があります):
        • カスタム暗号化アルゴリズム: プルダウン・メニューのオプションから選択できます。
        • カスタム認証アルゴリズム: プルダウン・メニューのオプションから選択できます。
        • Diffie-Hellmanグループ: プルダウン・メニューのオプションから選択できます。

        「カスタム構成の設定」チェック・ボックスが選択されていない場合は、デフォルト設定が提案されます。

        デフォルト提案を含むこれらのオプションの詳細を理解するには、サポートされているIPSecパラメータを参照してください。

      • IKEセッション・キー存続期間(秒): デフォルトは28800で、これは8時間に相当します。
      • 「フェーズ2 (IPSec)構成」オプションを展開し、「カスタム・オプションの設定」をクリックすると、トンネル1の次のオプション設定を設定できます(暗号化アルゴリズムを選択する必要があります):
        • カスタム暗号化アルゴリズム: プルダウン・メニューのオプションから選択できます。AES-CBC暗号化アルゴリズムを選択する場合は、認証アルゴリズムも選択する必要があります。
        • カスタム認証アルゴリズム: プルダウン・メニューのオプションから選択できます。選択した暗号化アルゴリズムに組込みの認証がある場合は、選択可能なオプションはありません。

        「カスタム構成の設定」チェック・ボックスが選択されていない場合は、デフォルト設定が提案されます。

        すべてのフェーズ2オプションについて、1つのオプションを選択した場合、そのオプションはデフォルト・セットをオーバーライドし、CPEデバイスに提案される唯一のオプションになります。

      • IPSecセッション・キー存続期間(秒): デフォルトは3600で、これは1時間に相当します。
      • Perfect Forward Secrecyの有効化: デフォルトでは、このオプションはオンです。これにより、「Perfect Forward Secrecy Diffie-Hellmanグループ」を選択できます。プルダウン・メニューのオプションから選択できます。選択しない場合、GROUP5が提案されます。
  5. 「トンネル2」タブでは、トンネル1で説明したものと同じオプションを使用できます。また、別のオプションを選択するか、トンネルを未構成のままにすることもできます(CPEデバイスでサポートされるトンネルは1つのみであるため)。
  6. 「タグ付けオプションの表示」をクリックして、IPSec接続のタグを今すぐ追加するか、後で追加できます。詳細は、リソース・タグを参照してください。

  7. 「IPSec接続の作成」をクリックします。

    IPSec接続が作成され、ページに表示されます。これは、短い間「プロビジョニング中」状態になります。

    表示されるトンネル情報には次のものが含まれます:

    • (Oracle VPNヘッドエンドの) Oracle VPN IPv4またはIPv6アドレス。
    • トンネルのIPSecステータス(可能な値は「稼働中」、「停止中」および「メンテナンスのための停止」です)。この時点でのステータスは「停止中」です。1つ以上のトンネルを確立する前に、ネットワーク・エンジニアがCPEデバイスを構成する必要があります。
    • トンネルのBGPステータス。この時点でのステータスは「停止中」です。ネットワーク・エンジニアがCPEデバイスを構成する必要があります。

    トンネルの共有シークレットを表示するには、トンネルをクリックしてその詳細を表示してから、「共有シークレット」の横にある「表示」をクリックします。

    「フェーズの詳細」タブをクリックして、トンネルのフェーズ1 (ISAKMP)およびフェーズ2 (IPSec)の詳細を表示することもできます。

  8. 各トンネルのOracle VPN IPアドレスと共有シークレットを、CPEデバイスを構成するネットワーク・エンジニアに提供できるように、電子メールまたはその他の場所にコピーします。

    このトンネル情報は、コンソールのこの場所でいつでも確認できます。

これで、サイト間VPNに必要なすべてのコンポーネントを作成しました。次に、ネットワーク・トラフィックがオンプレミス・ネットワークとVCNの間を流れるようになるには、ネットワーク・エンジニアがCPEデバイスを構成する必要があります。

静的ルーティングの場合
Note

Oracle recommends that you use BGP route-based IPSec connections for IPSec over FastConnect.
この図は、静的ルーティングを使用したIPSec接続の作成を示しています。クリックして拡大
コールアウト1: VCNルート表MyExampleRouteTable
宛先CIDR ルート表
10.0.0.0/16 DRG
コールアウト2: セキュリティ・リストMyExampleSecurityList
イングレス/エグレス CIDR プロトコル: ポート
イングレス 10.0.0.0/16 TCP: 22
イングレス 10.0.0.0/16 ICMP: すべて
エグレス 10.0.0.0/16 TCP: すべて
コールアウト3: 静的ルート10.0.0.0/16のIPSec接続詳細
トンネル Oracle側IPアドレス オンプレミス側IPアドレス
トンネル1 10.0.0.17/31 10.0.0.16/31
トンネル2 10.0.0.19/31 10.0.0.18/31

  1. ナビゲーション・メニューを開き、「ネットワーク」をクリックします「顧客接続」で、「サイト間VPN」をクリックします。

  2. 「IPSec接続の作成」をクリックします。

  3. 次の値を入力します。

    • コンパートメントに作成: そのままにします(VCNのコンパートメント)。
    • 名前: IPSec接続のわかりやすい名前を入力します。一意である必要はなく、後で変更できます。機密情報の入力は避けてください。
    • 顧客構内機器コンパートメント: そのままにします(VCNのコンパートメント)。
    • 顧客構内機器: 以前に作成したCPEオブジェクトを選択します。If you are configuringIPSec over FastConnect, the CPE you choose must have a label confirming that IPSec over FastConnect is enabled for that CPE.IPSec over FastConnectは、静的ルーティングを使用する接続に使用できますが、お薦めしません。
    • 動的ルーティング・ゲートウェイ・コンパートメント: そのままにします(VCNのコンパートメント)。
    • 動的ルーティング・ゲートウェイ: 以前に作成したDRGを選択します。
    • 静的ルートCIDR: 少なくとも1つの静的ルートCIDRを入力します(開始する前にで収集する情報のリストを参照してください)。この例では、10.0.0.0/16と入力します。最大10の静的ルートを入力でき、後から静的ルートを変更することもできます。
  4. 「拡張オプションの表示」をクリックします。
  5. 「CPE IKE識別子」タブ(オプション): Oracleでは、デフォルトでCPEのパブリックIPアドレスが使用されます。CPEがNATデバイスの背後にある場合は、別の値の入力が必要になることもあります。ここで新しい値を入力することも、後で値を変更することもできます。

  6. 「トンネル1」タブ(オプション):

    • トンネル名: トンネルのわかりやすい名前を入力します。一意である必要はなく、後で変更できます。機密情報の入力は避けてください。
    • カスタム共有シークレットの指定(オプション): デフォルトでは、Oracleによりトンネルの共有シークレットが指定されます。自分で指定する場合は、このチェック・ボックスを選択して共有シークレットを入力します。共有シークレットは後で変更できます。
    • IKEバージョン: このトンネルに使用するInternet Key Exchange (IKE)バージョン。「IKEv2」は、CPEでサポートされている場合にのみ選択してください。また、このトンネルにIKEv2のみを使用するようにCPEを構成する必要があります。
    • ルーティング・タイプ: 「静的ルーティング」のラジオ・ボタンを選択されたままにします。
    • トンネル内インタフェース - CPE (オプション): トンネルのトラブルシューティングまたはモニタリングの目的で、トンネルのCPE側にサブネット・マスク(/30または/31)を使用するIPアドレスを入力できます。例: 10.0.0.16/31。IPアドレスは、サイト間VPNの暗号化ドメインに属している必要があります。
    • トンネル内インタフェース - Oracle (オプション): トンネルのトラブルシューティングまたはモニタリングの目的で、トンネルのOracle側にサブネット・マスク(/30または/31)を使用するIPアドレスを入力できます。例: 10.0.0.17/31。IPアドレスは、サイト間VPNの暗号化ドメインに属している必要があります。

  7. 「トンネル2」タブ(オプション):

    • トンネル名: トンネルのわかりやすい名前を入力します。一意である必要はなく、後で変更できます。機密情報の入力は避けてください。
    • カスタム共有シークレットの指定(オプション): デフォルトでは、Oracleによりトンネルの共有シークレットが指定されます。自分で指定する場合は、このチェック・ボックスを選択して共有シークレットを入力します。共有シークレットは後で変更できます。
    • IKEバージョン: このトンネルに使用するInternet Key Exchange (IKE)バージョン。「IKEv2」は、CPEでサポートされている場合にのみ選択してください。また、このトンネルにIKEv2のみを使用するようにCPEを構成する必要があります。
    • ルーティング・タイプ: 「静的ルーティング」のラジオ・ボタンを選択されたままにします。
    • トンネル内インタフェース - CPE (オプション): トンネルのトラブルシューティングまたはモニタリングの目的で、トンネルのCPE側にサブネット・マスク(/30または/31)を使用するIPアドレスを入力できます。トンネル1とは異なるIPアドレスを使用してください。例: 10.0.0.18/31。IPアドレスは、サイト間VPNの暗号化ドメインに属している必要があります。
    • トンネル内インタフェース - Oracle (オプション): トンネルのトラブルシューティングまたはモニタリングの目的で、トンネルのOracle側にサブネット・マスク(/30または/31)を使用するIPアドレスを入力できます。トンネル1とは異なるIPアドレスを使用してください。例: 10.0.0.19/31。IPアドレスは、サイト間VPNの暗号化ドメインに属している必要があります。
  8. タグ: そのままにします。必要に応じて後でタグを追加できます。詳細は、リソース・タグを参照してください。

  9. 「IPSec接続の作成」をクリックします。

    IPSec接続が作成され、ページに表示されます。これは、短い間「プロビジョニング中」状態になります。

    表示されるトンネル情報には次のものが含まれます:

    • (Oracle VPNヘッドエンドの) Oracle VPN IPアドレス。
    • トンネルのIPSecステータス(可能な値は「稼働中」、「停止中」および「メンテナンスのための停止」です)。この時点でのステータスは「停止中」です。まだ、ネットワーク・エンジニアがCPEデバイスを構成する必要があります。

    トンネルの共有シークレットを表示するには、トンネルをクリックしてその詳細を表示してから、「共有シークレット」の横にある「表示」をクリックします。

  10. 各トンネルのOracle VPN IPアドレスと共有シークレットを、CPEデバイスを構成するネットワーク・エンジニアに提供できるように、電子メールまたはその他の場所にコピーします。

    このトンネル情報は、コンソールのこの場所でいつでも確認できます。

これで、サイト間VPNに必要なすべてのコンポーネントを作成しました。次に、ネットワーク・トラフィックがオンプレミス・ネットワークとVCNの間を流れるようになるには、ネットワーク・エンジニアがCPEデバイスを構成する必要があります。

詳細は、CPE構成を参照してください。

ポリシーベースのルーティング用
Note

Oracle recommends that you use BGP route-based IPSec connections for IPSec over FastConnect.
ノート

ポリシーベースのルーティング・オプションはすべてのADで使用できるわけではなく、新しいIPSecトンネルの作成が必要になる場合があります。

  1. ナビゲーション・メニューを開き、「ネットワーク」をクリックします「顧客接続」で、「サイト間VPN」をクリックします。

  2. 「IPSec接続の作成」をクリックします。

  3. 次の値を入力します。

    • コンパートメントに作成: そのままにします(VCNのコンパートメント)。
    • 名前: IPSec接続のわかりやすい名前を入力します。一意である必要はなく、後で変更できます。機密情報の入力は避けてください。
    • 顧客構内機器コンパートメント: そのままにします(VCNのコンパートメント)。
    • 顧客構内機器: 以前に作成したCPEオブジェクトを選択します。If you are configuringIPSec over FastConnect, the CPE you choose must have a label confirming that IPSec over FastConnect is enabled for that CPE.IPSec over FastConnectは、ポリシーベースのルーティングを使用する接続に使用できますが、お薦めしません。
    • 動的ルーティング・ゲートウェイ・コンパートメント: そのままにします(VCNのコンパートメント)。
    • 動的ルーティング・ゲートウェイ: 以前に作成したDRGを選択します。
    • 静的ルートCIDR: 少なくとも1つの静的ルートCIDRを入力します(開始する前にで収集する情報のリストを参照してください)。この例では、10.0.0.0/16と入力します。最大10の静的ルートを入力でき、後から静的ルートを変更することもできます。
  4. 「拡張オプションの表示」をクリックします。
  5. 「CPE IKE識別子」タブ(オプション): Oracleでは、デフォルトでCPEのパブリックIPアドレスが使用されます。CPEがNATデバイスの背後にある場合は、別の値の入力が必要になることもあります。ここで新しい値を入力することも、後で値を変更することもできます。

  6. 「トンネル1」タブ(オプション):

    • トンネル名: トンネルのわかりやすい名前を入力します。一意である必要はなく、後で変更できます。機密情報の入力は避けてください。
    • カスタム共有シークレットの指定(オプション): デフォルトでは、Oracleによりトンネルの共有シークレットが指定されます。自分で指定する場合は、このチェック・ボックスを選択して共有シークレットを入力します。共有シークレットは後で変更できます。
    • IKEバージョン: このトンネルに使用するInternet Key Exchange (IKE)バージョン。「IKEv2」は、CPEでサポートされている場合にのみ選択してください。また、このトンネルにIKEv2のみを使用するようにCPEを構成する必要があります。
    • ルーティング・タイプ: ポリシーベースのルーティングのラジオ・ボタンを選択します。
    • オンプレミス: オンプレミス・ネットワーク内のリソースによって使用される複数のIPv4 CIDRまたはIPv6接頭辞ブロックを、CPEデバイス・ポリシーによって決定されるルーティングに指定できます。
      ノート

      使用できるIPv4 CIDRまたはIPv6接頭辞ブロックの数に対する制限は、ポリシーベース・トンネル用の暗号化ドメインを参照してください。
    • Oracle Cloud: VCN内のリソースによって使用される複数のIPv4 CIDRまたはIPv6接頭辞ブロックを指定できます。
      ノート

      使用できるIPv4 CIDRまたはIPv6接頭辞ブロックの数に対する制限は、ポリシーベース・トンネル用の暗号化ドメインを参照してください。
    • トンネル内インタフェース - CPE (オプション): トンネルのトラブルシューティングまたはモニタリングの目的で、トンネルのCPE側にサブネット・マスク(/30または/31)を使用するIPアドレスを入力できます。例: 10.0.0.16/31。IPアドレスは、サイト間VPNの暗号化ドメインのいずれかに属している必要があります。
    • トンネル内インタフェース - Oracle (オプション): トンネルのトラブルシューティングまたはモニタリングの目的で、トンネルのOracle側にサブネット・マスク(/30または/31)を使用するIPアドレスを入力できます。例: 10.0.0.17/31。IPアドレスは、サイト間VPNの暗号化ドメインのいずれかに属している必要があります。

  7. 「トンネル2」タブ(オプション):

    • トンネル名: トンネルのわかりやすい名前を入力します。一意である必要はなく、後で変更できます。機密情報の入力は避けてください。
    • カスタム共有シークレットの指定(オプション): デフォルトでは、Oracleによりトンネルの共有シークレットが指定されます。自分で指定する場合は、このチェック・ボックスを選択して共有シークレットを入力します。共有シークレットは後で変更できます。
    • IKEバージョン: このトンネルに使用するInternet Key Exchange (IKE)バージョン。「IKEv2」は、CPEでサポートされている場合にのみ選択してください。また、このトンネルにIKEv2のみを使用するようにCPEを構成する必要があります。
    • ルーティング・タイプ: ポリシーベースのルーティングのラジオ・ボタンを選択します。
    • オンプレミス: オンプレミス・ネットワーク内のリソースによって使用される複数のIPv4 CIDRまたはIPv6接頭辞ブロックを、CPEデバイス・ポリシーによって決定されるルーティングに指定できます。
      ノート

      制限事項は、ポリシーベース・トンネル用の暗号化ドメインを参照してください。
    • Oracle Cloud: VCN内のリソースによって使用される複数のIPv4 CIDRまたはIPv6接頭辞ブロックを指定できます。
      ノート

      制限事項は、ポリシーベース・トンネル用の暗号化ドメインを参照してください。
    • トンネル内インタフェース - CPE (オプション): トンネルのトラブルシューティングまたはモニタリングの目的で、トンネルのCPE側にサブネット・マスク(/30または/31)を使用するIPアドレスを入力できます。例: 10.0.0.16/31。IPアドレスは、サイト間VPNの暗号化ドメインのいずれかに属している必要があります。
    • トンネル内インタフェース - Oracle (オプション): トンネルのトラブルシューティングまたはモニタリングの目的で、トンネルのOracle側にサブネット・マスク(/30または/31)を使用するIPアドレスを入力できます。例: 10.0.0.17/31。IPアドレスは、サイト間VPNの暗号化ドメインのいずれかに属している必要があります。
  8. タグ: そのままにします。必要に応じて後でタグを追加できます。詳細は、リソース・タグを参照してください。

  9. 「IPSec接続の作成」をクリックします。

    IPSec接続が作成され、ページに表示されます。これは、短い間「プロビジョニング中」状態になります。

    表示されるトンネル情報には次のものが含まれます:

    • (Oracle VPNヘッドエンドの) Oracle VPN IPアドレス。
    • トンネルのIPSecステータス(可能な値は「稼働中」、「停止中」および「メンテナンスのための停止」です)。この時点でのステータスは「停止中」です。まだ、ネットワーク・エンジニアがCPEデバイスを構成する必要があります。

    トンネルの共有シークレットを表示するには、トンネルをクリックしてその詳細を表示してから、「共有シークレット」の横にある「表示」をクリックします。

  10. 各トンネルのOracle VPN IPアドレスと共有シークレットを電子メールまたはその他の場所にコピーして、CPEデバイスを構成するネットワーク・エンジニアに提供します。

    このトンネル情報は、コンソールのこの場所でいつでも確認できます。

これで、サイト間VPNに必要なすべてのコンポーネントを作成しました。次に、ネットワーク・トラフィックがオンプレミス・ネットワークとVCNの間を流れるようになるには、ネットワーク・エンジニアがCPEデバイスを構成する必要があります。

詳細は、CPE構成を参照してください。

タスク3: CPE構成ヘルパーの使用

CPE構成ヘルパーを使用して、ネットワーク・エンジニアがCPEの構成に使用できる構成コンテンツを生成します。

コンテンツには次の項目が含まれます:

  • 各IPSecトンネルのOracle VPN IPアドレスおよび共有シークレット。
  • サポートされているIPSecパラメータ値。
  • VCNに関する情報。
  • CPE固有の構成情報。

詳細は、CPE構成ヘルパーの使用を参照してください。

タスク4: ネットワーク・エンジニアによるCPEの構成

ネットワーク・エンジニアに次の項目を提供します:

重要

一方のトンネルに障害が発生した場合や、Oracleがメンテナンスのために一方をオフラインにした場合に備えて、必ずネットワーク・エンジニアに両方のトンネルをサポートするようにCPEデバイスを構成してもらってください。BGPを使用している場合は、サイト間VPNのルーティングを参照してください。
タスク5: 接続の検証

ネットワーク・エンジニアによりCPEデバイスが構成された後は、トンネルのIPSecステータスが「稼働中」で緑色になっていることを確認できます。次に、VCN内のサブネットにLinuxインスタンスを作成できます。これにより、SSHを使用して、オンプレミス・ネットワーク内のホストからインスタンスのプライベートIPアドレスに接続できるようになります。詳細は、インスタンスの作成を参照してください。

複数の地理領域を使用したレイアウトの例

次の図は、この構成を使用した例を示しています:

  • それぞれがVCNに接続する、別々の地理的領域にある2つのネットワーク
  • 各領域に1つのCPEデバイス
  • 2つのIPSec VPN (各CPEデバイスに1つずつ)

サイト間VPNには2つのルートが関連付けられています。1つは特定の地理的領域のサブネット用のルートで、もう1つはデフォルトの0.0.0.0/0ルートです。Oracleは、各トンネルに使用可能なルートについて学習します。(トンネルでBGPが使用されている場合は) BGP経由のルート、または(トンネルで静的ルーティングが使用されている場合は) IPSec接続の静的ルートとしてユーザーが設定したルートです。

この図は、2つの地理領域と2つのルーターを含むレイアウトを示しています
コールアウト1: VCNルート表
宛先CIDR ルート・ターゲット
10.20.0.0/16 DRG
10.40.0.0/16 DRG

0.0.0.0/0ルートで柔軟性が得られる状況の例を次にいくつか示します:

  • CPE 1デバイスが停止したとします(次の図を参照)。サブネット1とサブネット2が互いに通信できれば、CPE 2につながる0.0.0.0/0ルートがあるため、VCNはまだサブネット1内のシステムに到達できます。

    この図は、CPEルーターの1つが停止したレイアウトを示しています
    コールアウト1: VCNルート表
    宛先CIDR ルート・ターゲット
    10.20.0.0/16 DRG
    10.40.0.0/16 DRG

  • 組織がサブネット3を含む新しい地理領域を追加し、最初はそれをサブネット2に接続するだけとします(次の図を参照)。サブネット3のVCNのルート表にルート・ルールを追加した場合、VCNは、CPE 2につながる0.0.0.0/0ルートがあるために、サブネット3内のシステムに到達できます。

    この図は、新しいサブネットを含むレイアウトを示しています
    コールアウト1: VCNルート表
    宛先CIDR ルート・ターゲット
    10.20.0.0/16 DRG
    10.40.0.0/16 DRG
    10.60.0.0/16 DRG

PATを使用したレイアウトの例

次の図は、この構成を使用した例を示しています:

  • それぞれがVCNに接続する、別々の地理的領域にある2つのネットワーク
  • 冗長CPEデバイス(各地理領域内に2つ)
  • 4つのIPSec VPN (各CPEデバイスに1つずつ)
  • 各CPEデバイスのポート・アドレス変換(PAT)

4つの接続それぞれについて、Oracleが知る必要のあるルートは、特定のCPEデバイスのPAT IPアドレスです。Oracleは、各トンネルのPAT IPアドレス・ルートについて学習します。(トンネルでBGPが使用されている場合は) BGP経由のルート、または(トンネルで静的ルーティングが使用されている場合は) IPSec接続の静的ルートとして自分で設定した関連アドレスです。

VCNのルート・ルールを設定する際には、DRGをルールのターゲットに設定して、各PAT IPアドレスのルール(または、すべてをカバーする集約CIDR)を指定します。

この図は、複数のIPSec VPN、ルーターおよびPATを使用したシナリオを示しています
コールアウト1: VCNルート表
宛先CIDR ルート・ターゲット
PAT IP 1 DRG
PAT IP 2 DRG
PAT IP 3 DRG
PAT IP 4 DRG