ipsec...
TRANSCRIPT
IPSec VPNのベスト・プラクティス ORACLE WHITE PAPER | 2019年5月
2 | IPSEC VPN BEST PRACTICES
免責事項 以下の事項は、弊社の一般的な製品の方向性に関する概要を説明するものです。また、情報提供を
唯一の目的とするものであり、いかなる契約にも組み込むことはできません。マテリアルやコード、
機能を提供することをコミットメント(確約)するものではないため、購買決定を行う際の判断材料
になさらないで下さい。オラクル製品に関して記載されている機能の開発、リリースおよび時期に
ついては、弊社の裁量により決定されます。
改訂履歴 このホワイト・ペーパーには、初版発行以来、次の改訂が加えられています。
更新日 改訂内容
2019年5月21日 初版発行
Oracle Cloud Infrastructureホワイト・ペーパーの最新版は
https://cloud.oracle.com/iaas/technical-resourcesでご覧いただけます。
3 | IPSEC VPN BEST PRACTICES
目次
概要 4
設計の原則 4
Oracle Cloud Infrastructure VPN接続 5
エッジ・デバイスに関する推奨事項 6
Oracle Cloudに関する推奨事項 9
冗長性テスト 10
ユース・ケース 11
リージョンもお客様のエッジ・デバイスも1つずつの場合 12
リージョンは1つで、お客様のエッジ・デバイスが冗長な場合 13
FastConnectに加えて、リージョンとお客様のエッジ・デバイスVPNが1つずつの場合 15
リージョンは1つで、VCNは複数、お客様のエッジ・デバイスが1つまたは2つの場合 17
リージョンは2つで、お客様のエッジ・デバイスが1つまたは2つの場合 19
参考資料 21
4 | IPSEC VPN BEST PRACTICES
概要 多くのベンダーが、IPSecトンネルを構築できる物理アプライアンスや仮想アプライアンスを提供し
ています。そうした製品では標準のIPSecトンネルをサポートしていますが、ベンダー間で互換性が
ない部分があります。このドキュメントでは、インターネット上でIPSec VPNを使用して、オンプ
レミス・ネットワークをOracle Cloud Infrastructureに問題なく接続する方法のベスト・プラクティ
スを説明します。読者は、ルーティング・プロトコルや概念、IPSec VPNテクノロジと構成、
Oracle Cloud Infrastructureの概念とコンポーネントに精通していると仮定しています。様々なIPSec VPNソリューションのデプロイを支援するため、このドキュメントで扱うユース・ケースには、シ
ンプルなもの、冗長なもの、複雑なものがあります。順を追っての説明はありませんが、Oracle Cloudドキュメントの参照先が記載されています。このドキュメントはベンダー・フリーです。
設計の原則 IPSec VPNソリューションを設計する際は、次の原則を考慮してください。
• ハードウェアの性能: 必要なワークロードに応じて、インフラストラクチャには、オンプレ
ミス・ネットワークからOracle Cloudへの帯域幅の要件をサポートする十分な性能が求めら
れます。インフラストラクチャのすべてのデバイス(VPNゲートウェイ、ルーター、ファイ
アウォールおよびスイッチ)とインターネット回線が、求められる性能をサポートできる必
要があります。経路内にあるコンポーネントのいずれかがその性能を満たさない場合、接続
全体が影響を受けます。VPNゲートウェイには、求められる性能レベルでトラフィックを暗
号化するのに十分なリソースが必要です。
• 可用性: クラウドにデプロイするワークロードはミッション・クリティカルであるため、ソ
リューションに冗長性を持たせ、ダウンタイムを回避する必要があります。可能な場合は、
ハードウェアとサイトの多様性も必要です。Oracle Cloud InfrastructureとのIPSec VPNを構
築する場合、オラクルはデフォルトで、トンネルの境界となるゲートウェイを2つ提供しま
す。2つのトンネルは常にアクティブで、どちらのトンネルからのトラフィックもお客様の
ネットワークに入れるようにする必要があります。アクティブとスタンバイとして使用しな
いでください。
• パフォーマンス: Oracle Cloud Infrastructure内のIPSec VPNは、パブリック・インターネッ
トを使用して、Oracle Cloudへのオンプレミス・ネットワークに接続します。接続のスルー
プットは、インターネットの品質や、お客様のVPNゲートウェイ(エッジ・サービス)とOracle VPNゲートウェイ間のレイテンシ、インターネット回線の帯域幅、VPNデバイスの
性能など、様々なことで変わります。より信頼性の高い接続が必要な場合、オラクルでは、
プライベート・ネットワーク上に堅牢で信頼性の高い接続を実現するFastConnectを提供し
ます。
• ルーティング: ルーティングは、お客様が構築したトンネルにトラフィックがどのように誘
導されるかを決定します。両方のトンネルがアップ状態であったとしても、ルーティングが
正しく設定されていないと、トラフィックはトンネルを通過しません。IPSec VPNでは、静
的ルーティングとBorder Gateway Protocol (BGP)がサポートされています。トンネルが適
正なフェイルオーバーでダウンしている場合には、ルートがそのルート表から削除されるよ
うに構成されていて、フェイルバックの正しい優先度が設定されていることを確認してくだ
さい。
5 | IPSEC VPN BEST PRACTICES
• IPSec VPNの構成: 2つのエンドポイントでIPSec接続を確立し、トラフィックがトンネル
を正常に通過するには、両端の設定が100%一致する必要があります。そうでない場合、接
続のパフォーマンスに影響があります。次の項で、推奨の設定を示します。
• セキュリティ: 全体的な戦略において、セキュリティも重要な役割を果たします。アクセ
ス・リストを使用すると、特定のトラフィックが接続を使用するようにできます。ルー
ティングと暗号化ドメインではより大まかな方法でトラフィックが許可されますが、アク
セス・リストでは、ポート・レベルでよりきめ細かくトラフィックをフィルタできます。
アクセス・リストの使用方法は、接続で許可するトラフィックのタイプによって変わるた
め、このドキュメントでは詳しく説明しません。
• コスト: ワークロードのサポートに必要なインフラストラクチャには、それに関連するコ
ストがあります。IPSec VPNソリューションは、最初のクラウド・デプロイメントの間は、
お客様の要件を満たせるかもしれません。しかし、成長に伴い、環境のアップグレードが
必要になる場合があります。IPSec VPNを使用し続ける場合は、VPNゲートウェイをアッ
プグレードするか、FastConnectを使用したプライベート接続への移行を決断する必要が
あります。どちらを選択しても投資が必要です。
Oracle Cloud Infrastructure VPN接続 Oracle Cloud Infrastructure VPN接続は、お客様のオンプレミス・ネットワークが、Oracle Cloudの1つ以上のリージョンにデプロイされている仮想クラウド・ネットワークに接続できるようにしま
す。Oracle Cloud Infrastructureコンソールを使用して、オラクル側のIPSec VPN接続を構成します。
Oracleコンソールおよびエッジ・デバイスでのVPN接続の構成には、お客様のネットワーク・チー
ムが関わることをお薦めします。順を追っての説明は、「VPN接続の設定」を参照してください。
図1に、接続の概要と、Oracle Cloudとお客様のオンプレミス・ネットワークに含まれる様々なコ
ンポーネントを示します。IPSec VPNの構成は、お客様のエッジ・デバイスと、Oracle Cloudの動
的ルーティング・ゲートウェイ(DRG)で行います。
注意: コンソールにおいて、DRGでVPN接続を構成する場合、オラクルは、リージョン内にトンネルの境界
となるVPNゲートウェイを2つ提供します。ただし、VPNゲートウェイは、お客様がコンソールで構成でき
るオブジェクトではありません。このドキュメントに示されている図において、VPNゲートウェイは独立し
たコンポーネントとして表されていますが、これは概念とトンネルの終端を説明するためで、接続は主とし
てDRGに向かいます。
6 | IPSEC VPN BEST PRACTICES
図1.VPN接続の概要
エッジ・デバイスに関する推奨事項 エッジ・デバイスは、標準のIPSec VPNトンネルをサポートしていれば、ルーター、ファイア
ウォール、SD-WANデバイス、VMのいずれでもかまいません。このデバイスの管理は、お客様の
ネットワーク・エンジニアリング・チームか、マネージド・サービス・プロバイダが行います。オ
ンプレミス・ネットワークにあるVPN対応のエッジ・デバイスは、次に示すお客様側のトンネル用
のガイドラインに従って構成することをお薦めします。
• トンネル・モード暗号化がサポートされています。トランスポート・モードはサポートさ
れていません。
• オンプレミス・ネットワークでは、IKE識別子をエッジ・デバイスのパブリックIPアドレ
スにする必要があります。リモートIKE識別子は、オラクルのVPNゲートウェイのIPアド
レスです。
エッジ・デバイスがNATデバイスの背後にあり、エッジ・デバイスのIKE識別子がパブ
リックIPアドレスと一致するように設定できない場合は、OracleコンソールでIPSec接続を
変更し、正しいパブリックIPアドレスまたはホスト名を入力します。
• オラクルがサポートする暗号化ドメインは1つのみです。暗号化ドメインでは、トンネル
内で暗号化される"関心のあるトラフィック"を定義します。Oracle VCNまたはオンプレミ
ス・ネットワークにある様々なサブネットに対応するために、複数の暗号化ドメインを作
成しないでください。かわりに、複数のサブネットを1つのスーパーネット(複数のサブ
ネットが1つのCIDR接頭辞で1つのネットワークに結合または要約されている)に要約しま
す。たとえば、VCNネットワークが10.40.0.0/17と10.40.128.0/17で、オンプレミス・ネッ
トワークが10.0.0.0/18、10.0.64.0/18、10.0.128.0/18および10.0.192.0/18の場合、次のい
ずれかのオプションを使用して、1つの暗号化ドメインを作成します。
表1.暗号化ドメインの例
すべて許可 サブネットを要約
• ソースIPアドレス: 任意(0.0.0.0/0) • 宛先IPアドレス: 任意(0.0.0.0/0) • プロトコル: IPv4
• ソースIPアドレス: お客様のサブネット(10.0.0.0/16) • 宛先IPアドレス: VCNサブネット(10.40.0.0/16) • プロトコル: IPv4
ORACLE CLOUD INFRASTRUCTURE (REGION)
Customer Premises
VPN Gateway
1 VCN
Internet Host
Private Edge
Device
Dynamic Routing
DRG Gateway
Private Subnet
Tunnel 1 Tunnel 2
VPN Gateway
2
Private Subnet
Public Subnet
7 | IPSEC VPN BEST PRACTICES
• Oracle Cloudに接続する際は、最大限の互換性を実現し、正常に接続できるよう、表2のパ
ラメータを使用してください。値が複数表示されている場合は、太字のアイテムが、エッ
ジ・デバイスの構成時に使用する推奨のパラメータを表しています。これらのパラメータ
をコンソールで構成することはできませんが、あらゆるオプションをサポートできるよう、
ポリシーが事前に構成されています。表にパラメータがリストされていない場合、そのパ
ラメータはサポートされていません。
表2.フェーズ1とフェーズ2でサポートされているパラメータ
ISAKMPポリシーのオプション(フェーズ1) IPSecポリシーのオプション(フェーズ2)
• ISAKMPプロトコル・バージョン1 • 交換タイプ: メイン・モード • 認証方法: pre-shared-keys • 暗号化: AES-256-cbc、AES-192-cbc、AES-
128-cbc • 認証アルゴリズム: SHA-384、SHA-256、
SHA1 (SHAまたはSHA1-96とも呼ばれる) • Diffie-Hellmanグループ: group 5、group 2、
group 1 • IKEセッション・キーの存続期間: 28800秒(8時間)
• IPSecプロトコル: ESP、トンネルモード • 暗号化: AES-256-cbc、AES-192-cbc、
AES-128-cbc • 認証アルゴリズム: HMAC-SHA1- 96 • IPSecセッション・キーの存続
期間: 3600秒(1時間) • 前方秘匿性(PFS):
enabled、group 5
表3には、表2の推奨パラメータを使用して、エッジ・デバイスをどのように構成すればよ
いかと、オラクル側がどのように構成されているかの例を示します。エッジ・デバイスと
オラクル側の構成は完全に同一であることに注意してください。
表3.VPNの両端における2つのフェーズのIPSEC VPN構成例
お客様のエッジ・デバイス オラクル
ISAKMPポリシーのオプション(フェーズ1) • ISAKMPプロトコル・バージョン1 • 交換タイプ: メイン・モード • 認証方法: pre-shared-keys • 暗号化: AES-256-cbc • 認証アルゴリズム: SHA-384 • Diffie-Hellmanグループ: group 5 • IKEセッション・キーの存続期間: 28800秒
ISAKMPポリシーのオプション(フェーズ1) • ISAKMPプロトコル・バージョン1 • 交換タイプ: メイン・モード • 認証方法: pre-shared-keys • 暗号化: AES-256-cbc • 認証アルゴリズム: SHA-384 • Diffie-Hellmanグループ: group 5 • IKEセッション・キーの存続期間: 28800秒
IPSecポリシーのオプション(フェーズ2) • IPSecプロトコル: ESP、トンネルモード • 暗号化: AES-256-cbc • 認証アルゴリズム: HMAC-SHA1-96 • IPSecセッション・キーの存続期間: 3600秒 • 前方秘匿性(PFS): enabled、group 5
IPSecポリシーのオプション(フェーズ2) • IPSecプロトコル: ESP、トンネルモード • 暗号化: AES-256-cbc • 認証アルゴリズム: HMAC-SHA1-96 • IPSecセッション・キーの存続期間: 3600秒 • 前方秘匿性(PFS): enabled、group 5
8 | IPSEC VPN BEST PRACTICES
• ほとんどのVPNデバイスでは、IPSecトンネルが起動されるのは、トンネルを通じて関心
のあるトラフィックが送信されてからです。関心のあるトラフィックとは、暗号化ドメイ
ンで許可されているトラフィックのことです。デフォルトでは、関心のあるトラフィック
は、お客様側から開始されます。オラクル側のインスタンスから接続を開始できるのは、
暗号化ドメインにany-to-anyを使用してトンネルを構成した場合のみです。
• SLAモニタリングを使用すると、関心のあるトラフィックが送信され、IPsecトンネルがア
クティブなままであることが保証されます。このモニタリングは、ping、またはなんらか
のプローブで実現できます。Ciscoのデバイスの場合、エッジ・デバイスのIPアドレスが暗
号化ドメインの一部であるかぎり、ポリシーベースのトンネルには、SLAモニタリングの
構成が必須です。
• オラクルはデフォルトで、トンネル当たり1つのキーを生成し、コンソールで渡しています。
それを使用することも、お客様ご自身で用意することも可能です。
• Oracle Cloud Infrastructureでは、IPSec NATトラバーサル(RFC 3947)をサポートしていま
せん。この影響を受けるのは、1:1 NATを使用していないお客様のみです。
推奨内容に基づいてIPSecトンネルを構成したら、次のステップは、トラフィックをIPSec VPNに
誘導することです。このステップでは、ルーティングとセキュリティが重要な役割を果たします。
IPSec VPNが正しく構成され、どちら側もアップ状態であっても、ルーティングまたはセキュリ
ティが正しく設定されていなければ、トラフィックはIPSec VPNに誘導されません。Oracle Cloudとオンプレミス・ネットワークの両方で、ルーティングとセキュリティ・リストが正しく構成され
ていることを保証するために、次の推奨事項を考慮してください。
• ルーティング
o VCNを宛先とするトラフィックが、必ず、VPNエッジと適切なVPNインタフェースを指
すようにエッジ・デバイスを構成します。
o 静的ルーティングでIPSec VPNを使用するときは、トンネルがダウンしている場合には、
ルート表からそのルートが削除されるようにします。そうしない場合、フェイルオー
バーが適切に行われません。
o 各IPSec VPN接続にはトンネルが2つあるため、トラフィックが確実に両方のトンネル
を介してルーティングされるようにし、ルートに適切な優先度を指定してください。
• セキュリティ
o オンプレミス・ネットワークでは、経路にあるどのファイアウォールでも、VCNとのい
かなる通信もブロックされていないことを確認してください。ファイアウォールが関心
のあるトラフィックだけでなく、トンネル有効化のトラフィックもブロックする可能性
があるため、これが接続成功の鍵になります。
o 各IPSec VPN接続にはトンネルが2つあるため、トラフィックがファイアウォール内で、
両方のトンネルを移動できるようにする必要があります。オラクルは、トラフィックの
送信にどちらのトンネルも使用する可能性があるため、トンネルをアクティブとスタン
バイとして使用しないでください。
o オンプレミス・ネットワークのファイアウォールまたはその他のセキュリティ・リスト
で、ICMPタイプ3コード4のメッセージを許可することにより、Path Maximum Transmission Unit Discovery (PMTUD)が、データ転送中に使用される最大PDUを特定で
きるようになります。
9 | IPSEC VPN BEST PRACTICES
設計の原則に従い、冗長性の高いソリューションを構築し、単一障害点を避けることもお薦めしま
す。冗長化することで、オラクル、ベンダーやキャリア、またはお客様の組織のネットワークでな
んらかのメンテナンスを行っても、接続が維持されます。
• ネットワーク上の単一障害点を特定し、ハードウェアや経路を冗長化または多様化してデプ
ロイすることで、見つかった単一障害点をなくします。
• コンソールでVPN接続を構成すると、冗長性を実現するために、オラクルから、同じリー
ジョン内に2つの異なるVPNゲートウェイのパブリックIPアドレスが提供されます。
• 予測可能なフェイルオーバーとフェイルバックを実現するため、プライマリ・トンネルでは
より具体的なルートを、バックアップ・トンネルでは具体的すぎないルートを通知します。
Oracle Cloudに関する推奨事項 VPN接続を適切に構成するには、Oracle Cloud Infrastructureコンソールで、いくつかのコンポーネ
ントを作成して有効化する必要があります。この構成は、お客様のクラウド管理者またはネット
ワーク・チームが行います。順を追っての説明は、「ネットワーキングの概要」を参照してくださ
い。
正常にデプロイするために、次の点を考慮してください。
• 動的ルーティング・ゲートウェイ(DRG)の作成。
• VCNへのDRGのアタッチ。
• 顧客構内機器(CPE)オブジェクトの作成。
• IPSec接続の作成。
• ルーティングの構成:
o エッジ・デバイスのパブリックIPアドレスが含まれるCPEオブジェクトを作成します。
次にDRG内に、CPEオブジェクトを指し、オンプレミス・ネットワークのサブネットを
指定するIPSec接続を作成します。この構成により、オンプレミス・ネットワークへの
到達にどの接続を使用すればよいかがDRGに伝わります。
o Oracle Cloud内のVCNには、オンプレミス・ネットワークを宛先とする任意のルートに
対して、VCNにアタッチされているDRGを指すルート・ルールが必要です。ルート・
ルールは、デフォルトのルート表とサブネットのルート表のどちらにあってもかまいま
せん。
o VCNのどのサブネットにオンプレミス・ネットワークとの通信を許可するかを制御でき
ます。VCNの各サブネットのルート表で、オンプレミス・ネットワーク全体を通知する
かわりに、一部のサブネットを指定します。
o 各IPSec VPN接続には2つのトンネルがあり、オラクルは可用性に基づいて、どちらの
トンネルも使用します。Oracle Cloudとオンプレミス・ネットワークでは、トラフィッ
クが非対称の場合があります。オンプレミス・ネットワークの両方のトンネルで、トラ
フィックが許可されていることを確認してください。
10 | IPSEC VPN BEST PRACTICES
o オラクルは、各IPSec VPN接続に2つのVPNゲートウェイを提供します。1つ目のトン
ネルがルート表に入るようになっています。オラクル側に宛先が同一のルートがある
場合は、常に古い方が使用されます。現在のトンネルが停止した場合、トラフィック
はもう一方のトンネルにフェイルオーバーします。1つ目のトンネルがリストアされて
も、リストアされたトンネルのルートは現在のルートより新しいため、トラフィック
はフェイルバックしません。
• セキュリティの構成:
o デフォルトのセキュリティ・リスト、またはVCNのサブネットに関連付けられている
リストで、イングレス・ルールとエグレス・ルールを更新し、トラフィックがオンプ
レミス・ネットワークに戻るのを許可/拒否します。
o オンプレミス・ネットワークとVCNの間でどのトラフィックを許可するかをよりきめ
細かいレベルで制御するには、セキュリティ・リストを使用します。
o VCNのセキュリティ・リストとインスタンスのファイアウォールの両方で、ICMPタイ
プ3コード4のメッセージを許可することにより、Path Maximum Transmission Unit Discovery (PMTUD)が、データ転送中に使用される最大PDUを特定できるようになり
ます。
冗長性テスト 冗長性は、有効なIPSec VPNソリューションを実現するための設計原則の1つです。ルーティング
が正しく設定されていて、フェイルオーバーとフェイルバックが予期どおりに機能することを確認
するため、デプロイ中に設計をテストすることをお薦めします。テストは次のステップで行います。
このステップは、次の項で説明するすべてのユース・ケースに適用できます。
1. すべての経路(トンネルやFastConnect)が稼働していることを確認します。
2. オンプレミス・ネットワークからVCNに継続的なpingを開始します。このpingをテスト期
間中実行し続けます。
3. トレース・ルートを実行し、その結果と設計を比較して、トラフィックが第一経路を通っ
ていることを確認します。トレース・ルートが機能するのは、経路上のデバイスがそれに
応答することを許可されていて、ファイアウォールやセキュリティ・リストによってブ
ロックされない場合のみです。
4. トンネルまたはFastConnectのインタフェースを停止し、第一経路を無効化します。バッ
クアップ経路へのフェイルオーバーが完了するまでpingが失敗します。将来参照できるよ
う、フェイルオーバーにかかった時間を記録しておきます。
5. 別のトレース・ルートを実行し、その結果とステップ3の結果を比較します。結果には違い
があり、設計と一致する必要があります。
11 | IPSEC VPN BEST PRACTICES
6. トンネルまたはFastConnectのインタフェースを起動して、第一経路を有効化します。ト
ラフィックが第一経路にフェイルバックする際、少数のパケット・ドロップが発生する場
合があります。VPN接続では、第一経路で通知されているサブネットがより具体的で、第
二経路で通知されているサブネットが限定的すぎない場合に、トラフィックが第一経路に
フェイルバックします。両方の経路で同じルートが通知されていると、トラフィックは
フェイルバックしません。
7. 別のトレース・ルートを実行し、トラフィックが第一経路を通っていることを確認します。
結果はステップ3の結果と同じになる必要があります。
8. ここまでのステップでは、フェイルオーバーとフェイルバックを確認しています。追加の
ステップとして、バックアップ経路を無効化し、ソリューションにその影響がないことを
確認します。これを実行する際、継続的なpingでパケット・ドロップは発生しません。両
方の経路に同じサブネットを通知した場合、このステップでは、トラフィックが強制的に
第一経路にフェイルバックされます。
9. このテスト中に、経路を使用できないときには、その経路が削除されることをルート表で
確認してください。
ユース・ケース この項では、インターネット上でVPN接続を使用して、オンプレミス・ネットワークからOracle Cloud Infrastructureに接続する、次のような一般的なユース・ケースについて説明します。ユー
ス・ケースごとに、ルーティング要件を指定してあります。
注意: コンソールにおいて、DRGでVPN接続を構成する場合、オラクルは、リージョン内にトンネルの境
界となるVPNゲートウェイを2つ提供します。ただし、VPNゲートウェイは、お客様がコンソールで構成で
きるオブジェクトではありません。この項に示されている図において、VPNゲートウェイは独立したコン
ポーネントとして表されていますが、これは概念とトンネルの終端を説明するためで、接続は主として
DRGに向かいます。
• リージョンもお客様のエッジ・デバイスも1つずつの場合(標準的な可用性、コストは低め)
• リージョンは1つで、お客様のエッジ・デバイスが冗長な場合(高可用性、コストは中程度)
• FastConnectに加えて、リージョンとお客様のエッジ・デバイスVPNが1つずつの場合(高可用性、コストは高め)
• リージョンは1つで、VCNは複数、お客様のエッジ・デバイスが1つまたは2つの場合(高可
用性、コストは中程度)
• リージョンは2つで、お客様のエッジ・デバイスが1つまたは2つの場合(高可用性、コスト
は中程度)
12 | IPSEC VPN BEST PRACTICES
ORACLE CLOUD INFRASTRUCTURE (REGION 1)
Customer Premises 10.0.0.0/16
VPN Gateway
1 VCN
10.40.0.0/16
Internet Host
Private Edge
Dynamic Routing
DRG Gateway
Private Subnet 10.40.1.0/24
Tunnel 1 Tunnel 2
VPN Gateway
2
Private Subnet 10.40.0.0/24
Public Subnet 10.40.10.0/24 x.x.x.x/y
リージョンもお客様のエッジ・デバイスも1つずつの場合 このユース・ケースは、インターネット上でVPN接続を使用してOracle Cloud Infrastructureに接続
する上で、最もシンプルな設計です。オンプレミス・ネットワークのエッジ・デバイス1つと、単
一のOracle CloudリージョンのVPNゲートウェイ2つで構成されています。エッジ・デバイスは、
本社、データ・センター、コロケーション施設、別のクラウドのいずれにあってもかまいません。
エッジ・デバイスの位置は、オンプレミス・ネットワークで、Oracle Cloudと通信する必要がある
ものと内容によって変わります。
図2.リージョンとお客様のエッジ・デバイスが1つずつのVPN接続 ソリューションが正常に機能するにはルーティングが必要です。図3に、様々なコンポーネントの
ルーティングの詳細を示します。エッジ・デバイスには、2つのトンネル・インタフェースを介し
て、VCNサブネットが通知されます。いずれかのトンネルの優先度を高くすることをお薦めします。
オラクルは、IPSec VPN接続を確立する2つのトンネル間で非対称ルーティングを行います。トン
ネルの一方をプライマリ、もう一方をバックアップとして構成しても、VCNからオンプレミス・
ネットワークへのトラフィックには、デバイスで稼働している方のトンネルが使用されます。その
ため、オンプレミス・ネットワークからOracle Cloudへのトラフィックは一方のトンネル経由で送
信され、オラクルからオンプレミス・ネットワークへのトラフィックは、別のトンネル経由で送信
される場合もあります。
13 | IPSEC VPN BEST PRACTICES
図3.リージョンとお客様のエッジ・デバイスが1つずつのIPSec VPNのルーティング IPSec接続を作成する際は、オンプレミス・ネットワーク上のサブネットをすべて含めます。また
は、それらの変更を避けるため、静的ルーティングを使用している場合は、オンプレミス・ネット
ワーク全体が対象となるスーパーネットを含めることや、BGPを使用してそれらを動的に通知する
こともできます。オンプレミス・ネットワークのサブネットは、DRGに割り当てられているルー
ト表に入っていないことに注意してください。サブネットがルート表に入るのは、IPSec接続の作
成時です。 セキュリティ・リストも適切に更新する必要があります。ただし、セキュリティは、この接続の使
用を許可される様々なタイプのアプリケーションやトラフィックによって変わるため、このドキュ
メントでは、ネットワークにより焦点を置いています。セキュリティ・リストは、ルーティングと
同じネットワークの場所で変更する必要があります。図3でも、推奨どおり、同じ1つの暗号化ドメ
インを両方のトンネルで使用していることを示しています。 リージョンは1つで、お客様のエッジ・デバイスが冗長な場合 このドキュメントで強調される設計の重要な点の1つは冗長性です。前のソリューションでは、
エッジ・デバイスが設計の単一障害点となります。この問題をなくすために、エッジ・デバイスを
もう1つデプロイして冗長化します。このデバイスは、プライマリ・デバイスと同じ場所、異なる
データ・センター、あるいは別のクラウドのどこにあってもかまいません。 2つ目のエッジ・デバイスがプライマリ・デバイスと同じ施設にある場合は、両方のデバイスが同
じインターネット・プロバイダ、同じLANスイッチ、または同じ電力装置に接続されていないこと
を確認してください。つまり、エッジ・デバイスが、共通の障害点を共有していないことを確認し
ます。2つ目のデバイスが別のサイトにデプロイされている場合は、2つのサイトがバックボーンで
接続されていて、トラフィックがサイト間を移動できることを確認してください。わかりやすくす
るため、図4では、2つのキャリアでインターネットに接続していて、同じ場所にある2つのエッ
ジ・デバイスを示しています。
14 | IPSEC VPN BEST PRACTICES
デフォルトで、オラクルは、2つのVPNゲートウェイを提供し、各エッジ・デバイスからトンネルを
2つ作成できるようにしています。その結果、図4の赤い線と青い線で表されているように、エッ
ジ・デバイスごとにトンネルが2つで、トンネルは4つになります。また、図4には、両方のエッジ・
デバイスへのIPSec VPN接続ごとに、オラクルから別々のVPNゲートウェイが提供されていること
も示されています。
図4.リージョンは1つで、お客様のエッジ・デバイスが冗長なVPN接続 冗長性が維持されているかぎり、各エッジ・デバイスから2つ目のトンネルを作成しないことを選択
できます。この構成は図5に表されていますが、この図では、エッジ・デバイス1からはトンネル
2(青の破線)が、エッジ・デバイス2からはバックアップ・トンネル1(赤の実線)がなくなっています。
オラクルからは複数のVPNゲートウェイが提供されており、お客様が構成すれば、接続は受け入れ
られます。各エッジ・デバイスから、オラクルの別々のVPNゲートウェイにトンネルが構築されて
いるため、この設計には冗長性があります。オラクルのVPNゲートウェイのIPアドレスで3つ目のオ
クテットを確認することにより、それぞれのゲートウェイが別のものであることを確認できます。
図5.リージョンは1つで、お客様のエッジ・デバイスが冗長なVPN接続のルーティングと暗号化ドメイン
15 | IPSEC VPN BEST PRACTICES
ソリューションには、完全に異なるトンネルが少なくとも2つはあるので、接続の両端でルーティン
グが正しく設定されていることを確実にします。まず、プライマリとバックアップのトンネルを定
義します。図5に示されているように、トンネル1が第一経路で、バックアップ・トンネル2がバック
アップです。ルーティングに効果があるよう、プライマリ・トンネルには具体的なサブネットを通
知し、バックアップ・トンネルには具体的すぎないルートまたは要約されたルートを通知すること
をお薦めします。この方式では、トラフィックは対称的になります。第一経路で障害が発生しても、
バックアップ経路を通って具体的でないルートを使用できます。第一経路がリストアされたら、ト
ラフィックは、第一経路に通知されているより具体的なルートを使用して送信されます。 トンネルを使用できない場合には、ルート表からそのルートを削除するよう、ルーティングを設
定してください。そうしない場合、トラフィックは、バックアップ・トンネルにフェイルオー
バーしません。 図5には、各コンパートメントのルーティングが示されています(ルートに割り当てられた色で、ど
の経路に属するかが強調されています)。オンプレミス・ネットワークでは、どちらのエッジ・デバ
イスでも同じVCNサブネットが通知されるため、内部のルーティング・プロトコルに基づいて、ト
ラフィックが第一経路(青)を通るよう制御してください。オラクル側では、第一経路にオンプレミ
ス・ネットワークを通知し、バックアップ(赤)経路ではデフォルトのルートを通知します。図5には、
より具体的なサブネットの通知が示されています。第一経路を優先するようBGPのメトリックを操
作することで、同じシナリオを実現できます。 ルーティングは、トンネルの暗号化ドメインの構成とは関係がありません。ルーティングでは、ど
のトラフィックをトンネル・インタフェースに送信するかを決定でき、暗号化ドメインでは暗号化
してトンネルに入れるトラフィックを定義します。図5では、どちら側のどちらのトンネルでも暗号
化ドメイン(図の中央)が同一で、あらゆるトラフィックが許可されている一方、冗長性を維持できる
よう、プライマリ・トンネルとバックアップ・トンネルを作成するために、ルーティングは、接続
のそれぞれの側で処理されていることに注意してください。このソリューションでは、ルーティン
グで複数のより具体的なサブネットが使用されていますが、推奨内容に従い、単一の暗号化ドメイ
ンが維持されています。
FastConnectに加えて、リージョンとお客様のエッジ・デバイスVPNが1つずつの場合 クラウドへの接続のパフォーマンス向上が望まれる場合は、Oracle CloudにFastConnectソリュー
ションをデプロイすることで、接続のアップグレードが必要になることがあります。現在のエッ
ジ・デバイスで必要な新しい帯域幅をサポートできない場合や、より信頼性の高い接続が必要な場
合がこれに当たります。VPN接続の使用は続けられますが、図6に示すように、プライマリ接続では
なく、バックアップとして使用します。 FastConnectはインターネットを使用しません。お客様のデータ・センターがOracle FastConnectデータ・センターでコロケートしている場合は、かわりに、Oracleパートナ、サードパーティー・
プロバイダまたはクロスコネクト経由でプライベート回線を使用します。単一障害点を避けるため、
FastConnectとVPN接続は、ネットワークの異なるエッジ・デバイスからデプロイします。
FastConnectを使用する場合は、図6の一番上(緑)の線で表されているように、オンプレミス・ネッ
トワークとOracle Cloudの間に仮想回線(VC)を作成する必要があります。
16 | IPSEC VPN BEST PRACTICES
図6.FastConnectに加えて、リージョンとお客様のエッジ・デバイスVPNが1つずつの場合 ルーティングについては、第一経路(ここではVC)にはより具体的なルートを通知し、バックアッ
プ・トンネル(VPN接続)には具体的すぎないルートを通知するという、前のソリューションと同じ方
式に従います。DRGは、BGP経由でオンプレミスのサブネットを把握し、VCNサブネットをエッ
ジ・デバイスに通知します。DRGには、IPSec接続に関連付けられているCPEオブジェクトを指す
デフォルト・ルートの静的ルートもありますし、BGPを使用して、IPSec接続経由でオンプレミス
のルートについて動的に把握することもできます。接続のお客様側では、FastConnect上のBGP経由で把握したVCNのサブネットをネットワークに通知する一方で、IPSec VPN接続を通じて具体的
すぎないルートを通知します。IPSec VPN経由でデフォルト・ルートを通知できない場合は、ネッ
トワークで使用するルーティング・プロトコルに基づいて、ルートを適切に操作できます。たとえ
ば、ASプリペンドやローカル・プリファレンスを使用します。図7に、このユース・ケースのルー
ティングを示します。
図7.FastConnectに加えて、リージョンとお客様のエッジ・デバイスVPNが1つずつの場合のルーティング
CustomerPremises10.0.0.0/16
Internet
VCN10.40.0.0/16
ORACLE CLOUD INFRASTRUCTURE (REGION 1)
DynamicRoutingGatewayVPN
Gateway1
VPNGateway
2
PrivateDRG
DestinationSubnet
Route Target Destination Subnet Route Target
Destination Subnet Route Target Destination Subnet Route Target
Encryption Domain
Source: 0.0.0.0/0Destination: 0.0.0.0/0Protocol: IPv4
17 | IPSEC VPN BEST PRACTICES
リージョンは1つで、VCNは複数、お客様のエッジ・デバイスが1つま
たは2つの場合 クラウド・デプロイメントは、お客様の組織内の異なるグループやビジネス・ユニットによって開
始される場合があります。同じリージョン内の複数のVCNにリソースが存在することもあります。
このユース・ケースでは、IPSec VPNを使用して、複数のVCNをホスティングするOracle Cloudの単一のリージョンに接続できます。接続したら、ローカル・ピアリング・ゲートウェイ(LPG)を構
成して、VCNを相互に接続します。 このソリューションでは、ハブおよびスポーク方式が使用されていますが、ハブはIPSec接続に
DRGがアタッチされているVCNで、スポークはLPG経由でそのハブに接続しています。詳細は、
「ローカルVCNピアリング(リージョン内)」を参照してください。トラフィックがVCN間を移動す
る必要がない場合で、オラクルのVPNゲートウェイがVCNごとに異なるときは、各VCNに別々の
IPSec VPN接続を作成できます。図8に、VPN接続経由で複数のVCNを接続する大まかな設計を示
します。
図8.同一リージョンに複数のVCNがある場合のVPN接続(大まかな設計) この例で使用されているVCNは2つのみで(図9を参照)、1つのエッジ・デバイスでオンプレミス・
ネットワークに接続しています。これまでのユース・ケースのいずれかを使用して、このソリュー
ションに冗長性を構築できます。
18 | IPSEC VPN BEST PRACTICES
図9.お客様のエッジ・デバイスが1つで、同一リージョンに複数のVCNがある場合のVPN接続 このユース・ケースでは、これまでのユース・ケースよりルーティングの変更点が多いです。接続
のお客様側で、トンネル・インタフェースを指す両方のVCNのサブネットを通知します。すべての
トラフィック(0.0.0.0/0)が許可される暗号化ドメインは1つのままです。LPGを作成すると、LPGに
はデフォルトで、ピアリングされたVCNへのルートがあります。各VCNにLPGを作成して関係を
確立したら、Oracleコンソールで、様々なコンポーネントへのルートをさらに追加する必要があり
ます。これらのルートにより、トラフィックが双方向にエンドツーエンドで移動できるようになり
ます。次のリストには追加が必要なものが示してあり、図10がそれを表しています。
• VCNにDRGをアタッチしたら、そのDRGにルート表を関連付けられます。LPG 1を指す2つ目のVCNへのルートが必要です。
• VCN 1のサブネットには、DRGを指すオンプレミス・ネットワーク用のルートと、LPG 1を指すVCN 2へのルートが必要です。
• VCN 2には、オンプレミス・ネットワークと、LPG 2を指すVCN 1用のルートが必要です。
具体的なルートを追加することも、図10に示されているデフォルト・ルートを使用するこ
とも可能です。
• LGP 1には、DRGを指すVCN 2からのトラフィック用に、オンプレミス・ネットワークに
到達するためのルートが必要です。
Internet
VCN 1 - HUB10.40.0.0/16
CustomerPremises10.0.0.0/16
ORACLE CLOUD INFRASTRUCTURE (REGION 1)
DynamicRoutingGateway
VPNGateway
1
DRG
VCN 210.55.0.0/16
VPNGateway
2 LPG 1
LPG 2
19 | IPSEC VPN BEST PRACTICES
図10.お客様のエッジ・デバイスが1つで、同一リージョンに複数のVCNがある場合のVPN接続のルーティング
リージョンは2つで、お客様のエッジ・デバイスが1つまたは2つの
場合 地理的な位置に基づき、Oracle Cloudの複数のリージョンにあるVCNを使用できます。オンプレミ
ス・ネットワークにあるリソースがそれらのリージョンのリソースと通信できるようにするには、
各リージョンへの独立した接続を作成する必要があります。冗長化するには、IPSec VPN接続が2つある2番目のユース・ケースか、各リージョンにFastConnectをデプロイする3番目のユース・
ケースを使用できます。 オンプレミス・ネットワークから、リージョンを転送ネットワークとして使用し、あるリージョン
に接続後、その他のリージョンにジャンプすることは許可されていません。あるリージョンで終了
しているトンネルを別のトンネルでバックアップしたり、FastConnectを別のリージョンで終了さ
せたりすることはできません。様々なリージョンのVCNにあるリソースが相互に通信できるのは、
リージョン間ピアリング接続(RPC)を使用している場合のみです。図11に示すように、Oracleコン
ソールから、DRGにRPCを設定できます。RPCを使用できるのは、VCNのリソースのみです。
RPCの詳細は、「リモートVCNピアリング(リージョン間)」を参照してください。 これらの概念は、ネットワーク内のお客様のエッジ・デバイスが1つの場合と2つの場合のどちらに
も当てはまります。わかりやすくするため、図11に示されているお客様のエッジ・デバイスは1つです。
20 | IPSEC VPN BEST PRACTICES
図11.リージョンは2つで、お客様のエッジ・デバイスが1つのVPN接続 このユース・ケースのルーティングは、VPN接続の1つ目のユース・ケースと同じです。2セットの
トンネル(図12の青と緑のトンネル)は、それぞれ独立しています。図12に示すように、VCNとその
VCNのサブネットには、リモートのVCNに向かうトラフィック用に、それぞれのDRGを指すルー
トが必要です。
図12.リージョンは2つで、お客様のエッジ・デバイス・ルーティングが1つのVPN接続
21 | IPSEC VPN BEST PRACTICES
参考資料 • Oracle Cloud InfrastructureにおけるVPN接続の詳細は、「VPN接続」を参照してください。
• Oracle Cloud Infrastructure Networkingサービスの詳細は、「ネットワーキングの概要」を
参照してください。
• サブネットおよびマスク・チェックのサポートは、「Visual Subnet Calculator」を参照し
てください。
Oracle Corporation, World Headquarters Worldwide Inquiries 500 Oracle Parkway Phone: +1.650.506.7000 Redwood Shores, CA 94065, USA Fax: +1.650.506.7200
CONNECT WITH US
blogs.oracle.com/oracle
facebook.com/oracle
twitter.com/oracle
oracle.com
Copyright © 2019, Oracle and/or its affiliates.All rights reserved.本文書は情報提供のみを目的として提供されており、ここに記
載されている内容は予告なく変更されることがあります。本文書は一切間違いがないことを保証するものではなく、さらに、
口述による明示または法律による黙示を問わず、特定の目的に対する商品性もしくは適合性についての黙示的な保証を含み、
いかなる他の保証や条件も提供するものではありません。オラクル社は本文書に関するいかなる法的責任も明確に否認し、本
文書によって直接的または間接的に確立される契約義務はないものとします。本文書はオラクル社の書面による許可を前もっ
て得ることなく、いかなる目的のためにも、電子または印刷を含むいかなる形式や手段によっても再作成または送信すること
はできません。
OracleおよびJavaはオラクルおよびその関連会社の登録商標です。その他の社名、商品名等は各社の商標または登録商標であ
る場合があります。
Intel、Intel Xeonは、Intel Corporationの商標または登録商標です。すべてのSPARCの商標はライセンスをもとに使用し、
SPARC International, Inc.の商標または登録商標です。AMD、Opteron、AMDロゴ、AMD Opteronロゴは、Advanced Micro Devices, Inc.の商標または登録商標です。UNIXは、The Open Groupの登録商標です。0519
IPSec VPNのベスト・プラクティス 2019年5月 著者: Oracle Corporation