CPE-Konfiguration
Dieses Thema ist für Netzwerktechniker bestimmt. Hier wird erläutert, wie Sie das On-Premise-Gerät (das Customer Premises Equipment oder CPE) an Ihrem Ende des Site-to-Site-VPN so konfigurieren, dass der Traffic zwischen Ihrem On-Premise-Netzwerk und dem virtuellen Cloud-Netzwerk (VCN) fließen kann. Weitere Informationen finden Sie in folgenden zugehörigen Themen:
- Networking: Allgemeine Informationen über die Bestandteile eines VCN
- Site-to-Site-VPN: Verschiedene Themen zu IPsec-VPNs
- Geprüfte CPE-Geräte: Eine Liste der CPE-Geräte, die von Oracle geprüft wurden
Die folgende Abbildung zeigt das grundlegende Layout der IPSec-Verbindung von Site-to-Site-VPN über das Internet. IPSec über FastConnect ist ähnlich, aber der Traffic durchläuft nur einen privaten Virtual Circuit.
Anforderungen und Voraussetzungen
Mehrere Anforderungen und Voraussetzungen müssen erfüllt sein, bevor fortgefahren werden kann.
Überlegungen zum Routing
Wichtige Informationen zum Routing für Ihr Site-to-Site-VPN finden Sie unter Routing für Site-to-Site-VPN.
Wenn Sie dynamisches BGP-Routing mit Ihrem Site-to-Site -VPN verwenden, können Sie das Routing so konfigurieren, dass einer der Tunnel von Oracle bevorzugt wird.
Wenn Sie IPSec über FastConnect verwenden möchten, können Sie ein CPE-Objekt nicht aktualisieren, um diese Funktionalität hinzuzufügen. Die Unterstützung muss beim anfänglichen Setup des CPE eingerichtet werden. Außerdem können die IPsec-Tunnel und Virtual Circuits für diese Verbindung nicht dieselben DRG-Routentabellen verwenden.
Beachten Sie, dass die policy-basierte Cisco ASA-Konfiguration einen einzelnen Tunnel verwendet.
Erstellung von Cloud-Netzwerkkomponenten
Sie oder jemand in Ihrer Organisation muss bereits die Oracle-Konsole im Einsatz gehabt haben, um ein VCN und eine IPSec-Verbindung zu erstellen, die zwecks Redundanz aus mehreren IPSec-Tunneln besteht. Erfassen Sie die folgenden Informationen über diese Komponenten:
- VCN-OCID: Die VCN-OCID ist eine eindeutige Oracle Cloud Infrastructure-ID mit einer UUID am Ende. Sie können diese UUID oder jede andere Zeichenfolge verwenden, die bei der Identifizierung des VCN in der Gerätekonfiguration behilflich ist und nicht im Konflikt mit anderen Objektgruppen- oder Zugriffslistennamen steht.
- VCN-CIDR
- VCN-CIDR-Subnetzmaske
-
Für jeden IPSec-Tunnel:
- Die IP-Adresse des Oracle-IPSec-Tunnelendpunkts (VPN-Headend)
- Das Shared Secret
Informationen zu Ihrem CPE-Gerät
Sie benötigen außerdem einige grundlegende Informationen über die inneren und äußeren Schnittstellen Ihres On-Premise-Geräts (Ihr CPE). Eine Liste der erforderlichen Informationen für Ihr bestimmtes CPE finden Sie über die Links in dieser Liste: Geprüfte CPE-Geräte.
Standardmäßig ist NAT-T für alle IPsec-Tunnel für Site-to-Site-VPN aktiviert. Oracle empfiehlt, NAT-T beim Konfigurieren von Site-to-Site-VPN für OCI aktiviert zu lassen.
Wenn sich Ihr CPE hinter einem NAT-Gerät befindet, können Sie Oracle die IKE-ID Ihres CPE bereitstellen. Weitere Informationen finden Sie unter Überblick über Site-to-Site-VPN-Komponenten.
Eine öffentliche IP eines einzelnen CPE-Objekts kann bis zu 8 IPSec-Verbindungen enthalten.
Routenbasiertes und policy-basiertes IPSec im Vergleich
Die VPN-Headends von Oracle verwenden routenbasierte Tunnel, können jedoch mit policybasierten Tunneln arbeiten, wobei es einige Bedingungen zu beachten gilt. Vollständige Details finden Sie unter Verschlüsselungsdomains für policybasierte Tunnel.
Best Practices für Site-to-Site-VPN
- Alle Tunnel für jede IPSec-Verbindung konfigurieren: Oracle stellt mehrere IPSec-Headends für alle Verbindungen bereit, um High Availability für Ihre geschäftskritischen Workloads bereitzustellen. Die Konfiguration aller verfügbaren Tunnel ist ein wichtiger Teil der "Design for Failure"-Philosophie. (Ausnahme: Policy-basierte Cisco ASA-Konfiguration, die einen einzelnen Tunnel verwendet.)
- Redundante CPEs müssen an Ihren On-Premise-Standorten vorhanden sein: Jede Ihrer Sites, die über IPSec mit Oracle Cloud Infrastructure verbunden ist, sollte über redundante CPE-Geräte verfügen. Sie fügen jedes CPE zur Oracle Cloud Infrastructure-Konsole hinzu und erstellen eine separate IPSec-Verbindung zwischen dem dynamischen Routinggateway (DRG) und jedem CPE. Für jede IPSec-Verbindung stellt Oracle durch Provisioning zwei Tunnel auf geografisch redundanten IPSec-Headends bereit. Oracle kann jeden hochgefahrenen Tunnel verwenden, um Traffic zurück an Ihr On-Premise-Netzwerk zu senden. Weitere Informationen finden Sie unter Routing für Site-to-Site-VPN.
-
Backupaggregatrouten berücksichtigen: Wenn mehrere Sites über IPSec-VPNs mit Oracle Cloud Infrastructure sowie mit Ihren On-Premise-Backbone-Routern verbunden sind, sollten Sie die IPSec-Verbindungsrouten sowohl mit der aggregierten Route der lokalen Site als auch mit einer Standardroute konfigurieren.
Beachten Sie, dass die von den IPSec-Verbindungen erlernten DRG-Routen nur vom Traffic verwendet werden, den Sie von Ihrem VCN zum DRG weiterleiten. Die Standardroute wird nur vom an Ihr DRG gesendeten Traffic verwendet, dessen Ziel-IP-Adresse nicht mit den spezifischeren Routen Ihrer Tunnel übereinstimmt.
Status der Verbindung bestätigen
Nach der Konfiguration der IPSec-Verbindung können Sie sie testen, indem Sie eine Instanz im VCN starten und sie aus Ihrem On-Premise-Netzwerk pingen. Informationen zum Starten einer Instanz finden Sie unter Instanz starten. Für das Pingen der Instanz müssen die Sicherheitsregeln des VCN den Ping-Traffic zulassen.
Sie können den Status der IPSec-Tunnel in der API oder in der Konsole abrufen.Anweisungen dazu finden Sie unter So zeigen Sie den Status und die Konfigurationsinformationen für die IPSec-Tunnel an.
Gerätekonfigurationen
Links zu den spezifischen Konfigurationsinformationen für jedes geprüfte CPE-Gerät finden Sie unter Geprüfte CPE-Geräte.