Routingdetails für Verbindungen zum On-Premise-Netzwerk

Das Private Peering mit FastConnect und das Site-to-Site-VPN bieten dem On-Premise-Netzwerk privaten Zugriff auf ein VCN. Beide Verbindungstypen enden an einem einzelnen DRG, das an das VCN angeschlossen ist. Denken Sie daran, dass Site-to-Site-VPN entweder Border Gateway Protocol (BGP), statisches Routing oder eine Kombination aus beiden verwenden kann. FastConnect verwendet immer BGP für Route Advertisements.

Bei Anhängen an Virtual Circuits und IPSec-Tunneln, die für die Verwendung des dynamischen Routings konfiguriert sind, veröffentlicht das DRG alle Routen, die in der zugewiesenen DRG-Routentabelle enthalten sind.

Wenn ein angehängtes VCN Ingress-Routing nutzt, um Zugriff auf Oracle-Services über das Servicegateway des VCN zu erteilen, können Sie die als einzelne mnemonische Route aufgelistete Route mit dem API-Vorgang ListDrgRouteRules beobachten. Wenn diese Route über eine RPC an ein anderes DRG propagiert oder über BGP dem On-Premise-Netzwerk angeboten wird, wird sie als Set von Literalregeln angezeigt. Eine Liste dieser Bereiche finden Sie unter Öffentliche IP-Adressen für VCNs und das Oracle Services Network.

In diesem Abschnitt wird ausführlicher beschrieben, wie die Routenauswahl mit dem BGP-Attribut AS_PATH im Kontext einer einzelnen DRG-Routentabelle beeinflusst werden kann.

Wenn die Routen für die verschiedenen Pfade identisch sind, verwendet Oracle den kürzesten AS-Pfad beim Senden von Traffic an das On-Premise-Netzwerk, unabhängig davon, welcher Pfad zum Starten der Verbindung zu Oracle verwendet wurde. Daher ist asymmetrisches Routing zulässig. Asymmetrisches Routing bedeutet hier, dass die Antwort von Oracle auf eine Anforderung einem anderen Pfad als die Anforderung folgen kann. Beispiel: Je nachdem, wie das Edge-Gerät (auch als Customer-Premise-Equipment oder CPE bezeichnet) konfiguriert ist, können Sie eine Anforderung über Site-to-Site-VPN senden. Die Oracle-Antwort könnte jedoch über FastConnect zurückkommen. Um zu erzwingen, dass das Routing symmetrisch ist, wird empfohlen, BGP- und AS-Pfadvorgaben mit Routen zu verwenden, um zu beeinflussen, welchen Pfad Oracle beim Antworten auf Verbindungen und Starten von Verbindungen verwendet.

Oracle implementiert das AS Path Prepending, um zu bestimmen, welcher Pfad bevorzugt verwendet werden soll, wenn das Edge-Gerät dieselbe Route und dieselben Routingattribute über mehrere verschiedene Verbindungstypen zwischen dem On-Premise-Netzwerk und dem VCN anbietet. Die Details werden in der folgenden Tabelle zusammengefasst. Sofern Sie das Routing nicht anderweitig beeinflussen, bevorzugt Oracle die Pfade in der folgenden Reihenfolge, wenn Sie dieselbe Route über mehrere Pfade zum DRG auf der Oracle-Seite der Verbindungen anbieten:

In der obigen Tabelle wird davon ausgegangen, dass Sie eine einzelne autonome Systemnummer im AS-Pfad senden. Oracle berücksichtigt den kompletten AS-Pfad, den Sie senden. Wenn Sie statisches Routing verwenden und auch einen AS-Pfad mit "On-Premise-ASN" plus zwei oder mehr anderen ASNs senden, kann dies zu unerwartetem Verhalten führen, weil sich die Routingvoreinstellung von Oracle ändern könnte.

Während das statische Routingverhalten des policy-basierten VPN früher dokumentiert wird, empfiehlt Oracle auch, dass Sie BGP im routenbasierten VPN IPSec verwenden, wenn Sie FastConnect-Verbindungen mit VPN-Backup verwenden. Diese Strategie gibt Ihnen die volle Kontrolle über das Failover-Verhalten.

Sie können ein Edge-Gerät so konfigurieren, dass es einen bestimmten Pfad bevorzugt, um Traffic vom On-Premise-Netzwerk zu Oracle zu senden. Im folgenden Abschnitt wird eine bestimmte Situation beschrieben, in der Sie damit sicherstellen müssen, dass ein konsistenter Trafficpfad gewährleistet wird, wenn die On-Premise-Hosts Oracle-Services verwenden.

Das On-Premise-Netzwerk kann über mehrere Pfade auf öffentliche Oracle Services Network-Services wie Object Storage zugreifen. Sie können öffentliche Pfade verwenden, wie das Internet oder das FastConnect-Public Peering. Bei diesen öffentlichen Pfaden kommunizieren die On-Premise-Hosts mit Oracle-Services über öffentliche IP-Adressen.

Sie können das On-Premise-Netzwerk auch mit privatem Zugriff auf Oracle-Services über das Servicegateway des VCN einrichten. Mit einem Servicegateway können Hosts im On-Premise-Netzwerk einen der unter Servicegateway: Unterstützte Cloud-Services in Oracle Services Network aufgeführten Services verwenden und mit diesen Oracle-Services über private IP-Adressen kommunizieren.

Wenn Sie das On-Premise-Netzwerk mit mehreren Verbindungspfaden zu Oracle-Services konfiguriert haben, erhält das Edge-Gerät möglicherweise Routen-Advertisement der öffentlichen IP-Adressrouten der Oracle-Services über mehrere Pfade. Sie können die folgenden Pfade mit dem On-Premise-Netzwerk verwenden:

• Öffentliche Zugriffspfade:
  • Internet Service Provider (ISP)
  • FastConnect Public Peering
• Private Zugriffspfade über das DRG und Servicegateway des VCN:
  • FastConnect Private Peering
  • Site-to-Site-VPN

Das Edge-Gerät empfängt Route Advertisement-Nachrichten vom DRG und möglicherweise von Routern über öffentliche Pfade. Die meisten Routen für Oracle-Services, die vom DRG angeboten werden, haben ein längeres Präfix (sie sind genauer) als die Routen für Oracle-Services, die über die öffentlichen Zugriffspfade angeboten werden. Wenn Sie also das Netzwerk sowohl mit öffentlichem Zugriff als auch mit privatem Zugriff auf Oracle-Services einrichten, müssen Sie das Edge-Gerät konfigurieren, um den privaten Zugriffspfad zum DRG für Traffic vom On-Premise-Netzwerk zu Oracle-Services zu bevorzugen. Wenn Sie sowohl öffentlichen als auch privaten Zugriff einrichten, wird ein konsistenter Pfad für den Zugriff auf Oracle-Services sichergestellt.

Eine Liste der öffentlichen IP-Bereichen, die über FastConnect-Public Peering angeboten werden, finden Sie unter FastConnect Public Peering Angebotene Routen.

Eine Liste der regionalen öffentlichen IP-Bereiche, die über die privaten Pfade (für ein VCN mit einem Servicegateway) angeboten werden, finden Sie unter Öffentliche IP-Adressen für VCNs und das Oracle Services Network.

Mit der Routenfilterung können Sie entscheiden, welche Routen in BGP-Advertisement-Nachrichten an das On-Premise-Netzwerk enthalten sind. RFC 5291 bietet allgemeinere Informationen zu Routenfilterung und BGP-Advertisement von Routen.

Private Virtual Circuits und Site-to-Site-VPN unterstützen keine Routenfilterung. Öffentliche Virtual Circuit über FastConnect bieten Routen gemäß den ausgewählten Route-Filtereinstellungen an, die den Umfang der gemeinsamen Routen definieren. Verfügbare Optionen:

• Regional - Gibt nur verfügbare öffentliche Routen an, die von flüchtigen IP-Adressbereichen, reservierten IP-Adressbereichen und Oracle Services Network für die Region dieses Virtual Circuits im On-Premise-Netzwerk verwendet werden.
• Markt - Stellt verfügbare öffentliche Routen bereit, die von flüchtigen IP-Adressbereichen, reservierten IP-Adressbereichen und OSN für die Region dieses Virtual Circuits verwendet werden, sowie Routen für andere Regionen in demselben Teil der Welt zum On-Premise-Netzwerk. Dies ist die Standardeinstellung. Die in den vier Märkten verfügbaren Regionen werden in Tabellen und auf einer Karte im Artikel FastConnect-Public Peering - Angebotene Routen angezeigt.
• Global - Zeigt verfügbare öffentliche Routen an, die von flüchtigen IP-Adressbereichen, reservierten IP-Adressbereichen und OSN für alle Regionen in allen Märkten der Oracle Cloud für das On-Premise-Netzwerk verwendet werden.
• Oracle Services Network: Gibt nur öffentliche Routen an, die von OSN-Ressourcen in der lokalen Region für das On-Premise-Netzwerk verwendet werden.

Sie können Routenfilterungsoptionen auswählen, wenn Sie einen FastConnect-Virtual Circuit einrichten. Die Details variieren abhängig davon, ob Sie einen FastConnect-Partner, einen externen Provider oder eine Colocation verwenden.

Weitere Informationen finden Sie in den folgenden zugehörigen Ressourcen:

• Connectivity Redundancy Guide (PDF)
• Best Practices für Site-to-Site-VPN (IPSec) (PDF)
• FastConnect-Redundanz - Best Practices