CPE-Konfiguration
Dieses Thema ist für Netzwerktechniker bestimmt. Hier wird erläutert, wie Sie das On-Premise-Gerät (das Customer-Premise-Equipment oder CPE) am On-Premise-Ende des Site-to-Site-VPN konfigurieren, damit der Traffic zwischen einem On-Premise-Netzwerk und einem virtuellen Cloud-Netzwerk (VCN) fließen kann. Weitere Informationen finden Sie in folgenden zugehörigen Themen:
- Networking: Allgemeine Informationen über die Bestandteile eines VCN
- Site-to-Site-VPN: Verschiedene Themen zu IPsec-VPNs
- Geprüfte CPE-Geräte: Eine Liste der CPE-Geräte, die von Oracle geprüft wurden
Die folgende Abbildung zeigt das grundlegende Layout der IPSec-Verbindung von Site-to-Site-VPN über das Internet. IPSec über FastConnect ist ähnlich, der Traffic durchläuft jedoch nur einen privaten Virtual Circuit.
Anforderungen und Voraussetzungen
Im Folgenden werden die Anforderungen und Voraussetzungen aufgeführt, die erfüllt sein müssen, bevor Fortgefahren werden kann.
Überlegungen zum Routing
Wichtige Details zum Routing für Site-to-Site-VPN finden Sie unter Routing für Site-to-Site-VPN.
Wenn Sie dynamisches BGP-Routing mit Site-to-Site-VPN verwenden, können Sie Das Routing so konfigurieren, dass einem der Tunnel von Oracle der andere bevorzugt wird.
Um IPSec über FastConnect zu verwenden, können Sie ein CPE-Objekt nicht aktualisieren, um diese Funktionalität hinzuzufügen. Stattdessen muss die Unterstützung beim anfänglichen Setup des CPE eingerichtet werden. Außerdem können die IPSec-Tunnel und Virtual Circuits für diese Verbindung nicht dieselben DRG-Routentabellen verwenden.
Beachten Sie, dass die policy-basierte Cisco ASA-Konfiguration einen einzelnen Tunnel verwendet.
Erstellung von Cloud-Netzwerkkomponenten
Sie oder jemand in Ihrer Organisation muss bereits die Oracle-Konsole verwendet haben, um ein VCN und eine IPSec-Verbindung zu erstellen, die aus zwei oder mehr IPSec-Tunneln besteht, um Redundanz zu gewährleisten. Erfassen Sie die folgenden Informationen über diese Komponenten:
- VCN-OCID: Die VCN-OCID ist eine eindeutige Oracle Cloud Infrastructure-ID mit einer UUID am Ende. Sie können diese UUID oder jede andere Zeichenfolge verwenden, die bei der Identifizierung des VCN in der Gerätekonfiguration behilflich ist und nicht im Konflikt mit anderen Objektgruppen- oder Zugriffslistennamen steht.
- VCN-CIDR
- VCN-CIDR-Subnetzmaske
-
Für jeden IPSec-Tunnel:
- Die IP-Adresse des Oracle-IPSec-Tunnelendpunkts (VPN-Headend)
- Das Shared Secret
Informationen zum On-Premise-CPE-Gerät
Sie benötigen außerdem einige grundlegende Informationen über die inneren und äußeren Schnittstellen des On-Premise-Geräts (CPE). Eine Liste der erforderlichen Informationen für ein bestimmtes CPE finden Ihnen über die Links in dieser Liste: Geprüfte CPE-Geräte.
Standardmäßig ist NAT-T für alle Site-to-Site-VPN-IPSec-Tunnel aktiviert. Wir empfehlen, NAT-T beim Konfigurieren von Site-to-Site-VPN für OCI zu aktivieren.
Wenn sich das CPE hinter einem NAT-Gerät befindet, können Sie Oracle die IKE-ID des CPE bereitstellen. Weitere Informationen finden Sie unter Überblick über Site-to-Site-VPN-Komponenten.
Eine öffentliche IP eines einzelnen CPE-Objekts kann bis zu 8 IPSec-Verbindungen aufweisen.
Routenbasiert im Vergleich zu Policy-basiertem IPSec
Die VPN-Headends von Oracle verwenden routenbasierte Tunnel, können jedoch mit policybasierten Tunneln arbeiten, wobei es einige Bedingungen zu beachten gilt. Vollständige Details finden Sie unter Verschlüsselungsdomains für policybasierte Tunnel.
Best Practices für Site-to-Site-VPN
- Alle Tunnel für jede IPSec-Verbindung konfigurieren: Oracle stellt mehrere IPSec-Headends für Verbindungen her, um High Availability für ihre geschäftskritischen Workloads bereitzustellen. Die Konfiguration aller verfügbaren Tunnel ist ein wichtiger Teil der "Design for Failure"-Philosophie. (Ausnahme: Policy-basierte Cisco ASA-Konfiguration, die einen einzelnen Tunnel verwendet.)
- Redundante CPEs an On-Premise-Standorten: Wir empfehlen, dass jede Site, die mit IPSec mit Oracle Cloud Infrastructure verbunden ist, über redundante CPE-Geräte verfügt. Sie fügen jedes CPE zur Oracle Cloud Infrastructure-Konsole hinzu und erstellen eine separate IPSec-Verbindung zwischen einem dynamischen Routinggateway (DRG) und jedem CPE. Für jede IPSec-Verbindung stellt Oracle durch Provisioning zwei Tunnel auf geografisch redundanten IPSec-Headends bereit. Oracle kann jeden Tunnel verwenden, der "hochgefahren" ist, um Traffic zurück an ein On-Premise-Netzwerk zu senden. Weitere Informationen finden Sie unter Routing für Site-to-Site-VPN.
-
Backup-Aggregatrouten berücksichtigen: Wenn mehrere Sites über Site-to-Site-VPN mit Oracle Cloud Infrastructure verbunden sind und diese Sites mit On-Premise-Backbone-Routern verbunden sind, sollten Sie die IPSec-Verbindungsrouten sowohl mit der Aggregatroute der lokalen Site als auch mit einer Standardroute konfigurieren.
Beachten Sie, dass die von den IPSec-Verbindungen erlernten DRG-Routen nur vom Traffic verwendet werden, den Sie von einem VCN zum DRG weiterleiten. Die Standardroute wird ausschließlich vom an das DRG gesendeten Traffic verwendet, dessen Ziel-IP-Adresse mit den spezifischeren Routen eines der Tunnel nicht übereinstimmt.
Status der Verbindung bestätigen
Nach der Konfiguration der IPSec-Verbindung können Sie die Verbindung testen, indem Sie die Compute-Instanz im VCN erstellen und sie dann aus einem On-Premise-Netzwerk pingen. Informationen zum Erstellen einer Compute-Instanz finden Sie unter Instanzen starten. Für das Pingen der Instanz müssen die Sicherheitsregeln des VCN den Ping-Traffic zulassen.
Sie können den Status der IPSec-Tunnel in der API oder der Konsole abrufen. Anweisungen finden Sie unter Details eines IPSec-Tunnels abrufen.
Gerätekonfigurationen
Links zu den spezifischen Konfigurationsinformationen für jedes geprüfte CPE-Gerät finden Sie unter Geprüfte CPE-Geräte.