Schnellstart für Site-to-Site-VPN
Mit dem Site-to-Site-VPN-Assistenten können Sie ein Site-to-Site-VPN zwischen Ihrem On-Premise-Netzwerk und Ihrem virtuellen Cloud-Netzwerk (VCN) am schnellsten einrichten. Der Assistent ist ein geführter Schritt-für-Schritt-Prozess in der Konsole, mit dem das VPN sowie zugehörige Komponenten des Networking-Service eingerichtet werden.
Weitere sichere VPN-Lösungen sind OpenVPN, eine Client-VPN-Lösung, auf die Sie in Oracle Marketplace zugreifen können. OpenVPN verbindet einzelne Geräte mit Ihrem VCN, allerdings keine ganzen Sites oder Netzwerke.
Zweck des Assistenten
Site-to-Site-VPN umfasst das Einrichten und Konfigurieren verschiedener Komponenten des Networking-Service. Der Assistent richtet diese Komponenten für Sie ein. Im Allgemeinen umfasst der Assistent Folgendes:
- Verwendung einer Vorlage mit Annahmen, die Ihnen die ersten Schritte erleichtern sollen.
- Sie werden zur Angabe einiger grundlegender Netzwerkinformationen aufgefordert.
- Die Komponenten des Networking-Service werden für Sie eingerichtet.
- Ermöglicht die Generierung von Konfigurationsinhalt, den ein Netzwerktechniker bei der Konfiguration Ihres Customer Premises Equipment-(CPE-)Geräts verwenden kann.
Der Assistent ist eine Aufgabe im gesamten Einrichtungsprozess für ein Site-to-Site-VPN, der im folgenden Diagramm dargestellt wird. Der Assistent ist das schattierte Feld.
Beachten Sie, dass der Gesamtprozess die Unterstützung eines Netzwerktechnikers in Ihrer Organisation umfasst. Dieser Techniker stellt Informationen bereit, die Sie wiederum im Assistenten angeben müssen. Der Assistent gibt Informationen zurück, die der Netzwerktechniker bei der Konfiguration Ihres CPE-Geräts benötigt. Mit dem CPE-Konfigurations-Helper können Sie die erforderlichen Informationen in einer übersichtlichen Vorlage für den Netzwerktechniker zusammenstellen.
In den folgenden kurzen Abschnitten wird jede Aufgabe zusammengefasst.
- Öffentliche IP-Adresse des CPE-Geräts. (Die Adresse muss eine IPv4-Adresse sein, IPv6-Traffic wird jedoch unterstützt.)
- CPE-Anbieter, -Modell und -Version.
- CPE-IKE-ID. Weitere Informationen finden Sie unter Überblick über Site-to-Site-VPN-Komponenten.
- On-Premise-Netzwerkrouten.
- Wenn Sie dynamisches BGP-Routing mit dem VPN verwenden:
- BGP-ASN Ihres Netzwerks
- Für jeden der beiden zu erstellenden IPSec-Tunnel: das BGP-IP-Adresspaar (mit Subnetzmaske), das Sie für die inneren Tunnelschnittstellen am Ende jedes Tunnels verwenden möchten. Beispiel:
- Tunnel 1: Innere Tunnelschnittstelle - CPE: 10.0.0.16/31
- Tunnel 1: Innere Tunnelschnittstelle - Oracle: 10.0.0.17/31
- Tunnel 2: Innere Tunnelschnittstelle - CPE: 10.0.0.8/31
- Tunnel 2: Innere Tunnelschnittstelle - Oracle: 10.0.0.9/31
Sie durchlaufen den Assistenten in der Konsole. Weitere Informationen finden Sie in den folgenden Abschnitten:
Mit dem CPE-Konfigurations-Helper können Sie Konfigurationsinhalt generieren, den der Netzwerktechniker zur Konfiguration des CPE verwenden kann.
Der Inhalt umfasst Folgendes:
- Die Oracle-VPN-IP-Adresse und das Shared Secret für jeden IPsec-Tunnel.
- Die unterstützten IPSec-Parameterwerte.
- Informationen zum VCN.
- CPE-spezifische Konfigurationsinformationen.
Der Netzwerktechniker konfiguriert Ihr CPE-Gerät anhand der von Ihnen bereitgestellten Informationen.
Gemeinsam mit dem Netzwerktechniker testen Sie die Verbindung und bestätigen, dass der Traffic fließt.
Alternative zum Assistenten
Sie können Site-to-Site-VPN auch manuell einrichten. Schritt-für-Schritt-Anweisungen finden Sie unter Site-to-Site-VPN einrichten.
Vom Assistenten erstellte Komponenten
Die meisten Oracle-Kunden, die Site-to-Site-VPN einrichten, verfügen bereits über ein VCN zum Verbinden mit dem On-Premise-Netzwerk. In diesem Fall erstellt der Assistent die nummerierten Komponenten im folgenden Diagramm. In der Tabelle werden die einzelnen Komponenten beschrieben.
Nummer | Komponente | Beschreibung | Kann vorhandene Komponente verwenden oder neue erstellen? | ||||
---|---|---|---|---|---|---|---|
1 | CPE | Ein CPE ist eine virtuelle Darstellung des eigentlichen CPE-Geräts. Diese virtuelle Darstellung enthält grundlegende Informationen, wie die öffentliche IP-Adresse des CPE-Geräts. | Ja, Sie können entweder ein vorhandenes CPE verwenden, oder der Assistent erstellt ein neues. | ||||
2 | IPsec-Tunnel |
Der Assistent erstellt zwei IPsec-Tunnel, die jeweils bestimmte Konfigurationsinformationen enthalten, die Sie dem Netzwerktechniker bereitstellen müssen. Hinweis: Der Assistent verwendet IKEv1 oder IKEv2 für die Tunnel. Weitere Informationen zu IKEv2 finden Sie unter IKEv2 verwenden. |
Nein. Der Assistent erstellt die Tunnel automatisch. | ||||
3 | Dynamisches Routinggateway (DRG) | Ein DRG ist eine virtuelle Darstellung des physischen Routers am Oracle-Ende Ihres Site-to-Site-VPN. | Ja. | ||||
4 | Internetgateway |
Wenn das ausgewählte VCN noch kein Internetgateway enthält, können Sie festlegen, dass der Assistent eines erstellt, um direkte Konnektivität zum Internet zu ermöglichen. |
Ja, Sie können entweder ein vorhandenes Internetgateway verwenden oder den Assistenten ein neues erstellen lassen. | ||||
5 | Routentabelle von Subnetz |
|
Um eine neue Ressource zu erstellen, darf das Servicelimit für diese Ressource noch nicht erreicht worden sein. Nachdem das Servicelimit für einen Ressourcentyp erreicht wurde, können Sie entweder nicht verwendete Ressourcen dieses Typs entfernen oder eine Erhöhung des Servicelimits beantragen.
Außerdem geben Sie im Assistenten an, für welche Subnetze in Ihrem VCN Zugriff auf das On-Premise-Netzwerk konfiguriert werden soll. Der Assistent aktualisiert die Routentabelle und Sicherheitsregeln jedes Subnetzes wie folgt:
- Routingregeln: Der Assistent fügt eine oder mehrere Regeln hinzu, um VCN-Traffic zu Ihrem On-Premise-Netzwerk über das DRG weiterzuleiten. Pro On-Premise-Netzwerkroute geben Sie eine Regel im Assistenten an. Wenn das VCN über ein Internetgateway verfügt (oder Sie eines erstellen) und ein öffentliches Subnetz ausgewählt ist, fügt der Assistent auch eine Regel hinzu, um den verbleibenden Traffic (nicht für das On-Premise-Netzwerk bestimmt) an das Internetgateway zu senden.
- Sicherheitslistenregeln: Der Assistent fügt außerdem eine oder mehrere Regeln hinzu, um alle Arten von Traffic von Ihrem On-Premise-Netzwerk aus zuzulassen. Pro On-Premise-Netzwerkroute geben Sie eine Regel im Assistenten an. Wenn das VCN über ein Internetgateway verfügt (oder Sie eines erstellen) und ein öffentliches Subnetz ausgewählt ist, fügt der Assistent auch eine Regel hinzu, die SSH über Port 22 aus dem Internet zulässt.
Bei Bedarf können Sie die Regeln bearbeiten und weitere hinzufügen.
Nach Abschluss des Assistenten können Sie mit dem CPE-Konfigurations-Helper Konfigurationsinhalt generieren, den der Netzwerktechniker zur Konfiguration des CPE verwenden kann.
Optionen zum Zugriff auf den Assistenten in der Konsole
Option 1:
- Öffnen Sie das Navigationsmenü, klicken Sie auf Netzwerk, und klicken Sie dann auf Überblick.
- Klicken Sie auf die Schaltfläche VPN-Assistenten starten.
Option 2:
- Öffnen Sie das Navigationsmenü, und klicken Sie auf Networking, Virtuelle Cloud-Netzwerke.
- Klicken Sie auf VCN-Assistenten starten.
- Wählen Sie Site-to-Site-VPN und Internetverbindung zu einem VCN hinzufügen aus, und klicken Sie dann auf VCN-Assistenten starten.
Option 3:
-
- Klicken Sie auf VPN-Assistent starten.