Assistent für Site-to-Site-VPN
Der Site-to-Site-VPN-Assistent ist die schnellste Möglichkeit, ein Site-to-Site-VPN zwischen einem On-Premise-Netzwerk und einem virtuellen Cloud-Netzwerk (VCN) einzurichten. Der Assistent ist ein geführter Schritt-für-Schritt-Prozess in der Konsole, mit der das VPN sowie zugehörige Komponenten des Networking-Service eingerichtet werden.
Weitere sichere VPN-Lösungen sind OpenVPN, eine Client-VPN-Lösung, auf die Sie in Oracle Marketplace zugreifen können. OpenVPN verbindet einzelne Geräte mit einem VCN, allerdings keine ganzen Sites oder Netzwerke.
Zweck des Assistenten
Site-to-Site-VPN umfasst das Einrichten und Konfigurieren verschiedener Komponenten des Networking-Service. Der Assistent richtet diese Komponenten für Sie ein. Im Allgemeinen umfasst der Assistent Folgendes:
- Verwendung einer Vorlage mit Annahmen, die den Einstieg erleichtern sollen.
- Sie werden zur Angabe einiger grundlegender Netzwerkinformationen aufgefordert.
- Die Komponenten des Networking-Service werden für Sie eingerichtet.
- Damit können Sie Konfigurationsinhalt generieren, den ein Netzwerktechniker bei der Konfiguration eines Customer-Premise-Equipment-(CPE-)Geräts verwenden kann.
Der Assistent ist eine Aufgabe im gesamten Einrichtungsprozess für ein Site-to-Site-VPN, der im folgenden Diagramm dargestellt wird. Der Assistent ist das schattierte Feld.
Beachten Sie, dass der Gesamtprozess die Arbeit eines On-Premise-Netzwerktechnikers umfasst. Dieser Techniker stellt Informationen bereit, die Sie wiederum im Assistenten angeben müssen. Der Assistent gibt Informationen zurück, die der Netzwerktechniker bei die Konfiguration des CPE-Geräts benötigt. Mit dem CPE-Konfigurations-Helper können Sie die erforderlichen Informationen für den Netzwerktechniker bereitstellen.
In den folgenden kurzen Abschnitten wird jede Aufgabe zusammengefasst.
- Öffentliche IP-Adresse des CPE-Geräts. (Die Adresse muss eine IPv4-Adresse sein, IPv6-Traffic wird jedoch unterstützt.)
- CPE-Anbieter, -Modell und -Version.
- CPE-IKE-ID. Weitere Informationen finden Sie unter Überblick über Site-to-Site-VPN-Komponenten.
- On-Premise-Netzwerkrouten.
- Wenn Sie dynamisches BGP-Routing mit dem VPN verwenden:
- Die BGP-ASN des On-Premise-Netzwerks
- Für jeden der beiden IPSec-Tunnel, die erstellt werden, das BGP-IP-Adresspaare (mit Subnetzmaske), das Sie für die inneren Tunnelschnittstellen an den Enden jedes Tunns verwenden möchten. Beispiel:
- Tunnel 1: Innere Tunnelschnittstelle - CPE: 10.0.0.16/31
- Tunnel 1: Innere Tunnelschnittstelle - Oracle: 10.0.0.17/31
- Tunnel 2: Innere Tunnelschnittstelle - CPE: 10.0.0.8/31
- Tunnel 2: Innere Tunnelschnittstelle - Oracle: 10.0.0.9/31
Sie durchlaufen den Assistenten in der Konsole. Weitere Informationen finden Sie in den folgenden Abschnitten:
Mit CPE-Konfigurations-Helper können Sie Konfigurationsinhalt generieren, die der Netzwerktechniker zur CPE-Konfiguration verwenden kann.
Der Inhalt umfasst Folgendes:
- Die Oracle-VPN-IP-Adresse und das Shared Secret für jeden IPsec-Tunnel.
- Die unterstützten IPSec-Parameterwerte.
- Informationen zum VCN.
- CPE-spezifische Konfigurationsinformationen.
Der Netzwerktechniker übernimmt die von Ihnen bereitgestellten Informationen und konfiguriert das CPE-Gerät.
Gemeinsam mit dem Netzwerktechniker testen Sie die Verbindung und bestätigen, dass der Traffic fließt.
Alternative zum Assistenten
Sie können Site-to-Site-VPN auch manuell einrichten. Schritt-für-Schritt-Anweisungen finden Sie unter Site-to-Site-VPN einrichten.
Vom Assistenten erstellte Komponenten
Die meisten Oracle-Kunden, die Site-to-Site-VPN einrichten, verfügen bereits über ein VCN zur Verbindung mit dem On-Premise-Netzwerk. In diesem Fall erstellt der Assistent die nummerierten Komponenten im folgenden Diagramm. In der Tabelle werden die einzelnen Komponenten beschrieben.
| Nummer | Komponente | Beschreibung | Kann vorhandene Komponente verwenden oder neue erstellen? | ||||
|---|---|---|---|---|---|---|---|
| 1 | CPE | Ein CPE ist eine virtuelle Darstellung des eigentlichen CPE-Geräts. Diese virtuelle Darstellung enthält grundlegende Informationen, wie die öffentliche IP-Adresse des CPE-Geräts. | Ja, Sie können entweder ein vorhandenes CPE verwenden, oder der Assistent erstellt ein neues. | ||||
| 2 | IPsec-Tunnel |
Der Assistent erstellt zwei IPSec-Tunnel, von denen jede bestimmte Konfigurationsinformationen enthält, die Sie einem Netzwerktechniker bereitstellen müssen. Hinweis: Der Assistent verwendet IKEv1 oder IKEv2 für die Tunnel. Weitere Informationen zu IKEv2 finden Sie unter IKEv2 verwenden. |
Nein. Der Assistent erstellt die Tunnel automatisch. | ||||
| 3 | Dynamisches Routinggateway (DRG) | Ein DRG ist eine virtuelle Darstellung des tatsächlichen Routers am Oracle-Ende des Site-to-Site-VPN. | Ja. | ||||
| 4 | Internetgateway |
Wenn das ausgewählte VCN noch nicht über ein Internetgateway verfügt, können Sie vom Assistenten eines erstellen lassen, um direkte Konnektivität zum Internet zu ermöglichen. |
Ja, Sie können entweder ein vorhandenes Internetgateway verwenden oder den Assistenten ein neues erstellen lassen. | ||||
| 5 | Routentabelle von Subnetz |
|
Um eine neue Ressource zu erstellen, darf das Servicelimit für diese Ressource noch nicht erreicht worden sein. Nachdem das Servicelimit für einen Ressourcentyp erreicht wurde, können Sie entweder nicht verwendete Ressourcen dieses Typs entfernen oder eine Erweiterung eines Servicelimets beantragen.
Außerdem geben Sie während des Assistenten an, welche Subnetze im VCN mit Zugriff auf das On-Premise-Netzwerk konfiguriert werden sollen. Der Assistent aktualisiert die Routentabelle und Sicherheitsregeln jedes Subnetzes wie folgt:
- Routingregeln: Der Assistent fügt eine oder mehrere Regeln ein, um VCN-Traffic zu einem On-Premise-Netzwerk über das DRG weiterzuleiten. Sie müssen eine Regel pro On-Premise-Netzwerkroute im Assistenten angeben. Wenn das VCN über ein Internetgateway verfügt (oder eines erstellt) und ein öffentliches Subnetz ausgewählt ist, fügt der Assistent auch eine Regel hinzu. Damit wird der verbleibende Traffic (nicht für das On-Premise-Netzwerk bestimmt) an das Internetgateway zu senden.
- Sicherheitslistenregeln: Der Assistent fügt außerdem eine oder mehrere Regeln ein, um alle Arten von Traffic von einem On-Premise-Netzwerk aus zuzulassen. Sie müssen eine Regel pro On-Premise-Netzwerkroute im Assistenten angeben. Wenn das VCN über ein Internetgateway verfügt (oder Sie eines erstellen) und ein öffentliches Subnetz ausgewählt ist, fügt der Assistent auch eine Regel hinzu, mit der SSH über Port 22 aus dem Internet zulässt.
Bei Bedarf können Sie die Regeln bearbeiten und weitere hinzufügen.
Nach Abschluss des Assistenten können Sie mit dem CPE-Konfigurations-Helper Konfigurationsinhalt generieren, den die Netzwerktechniker für die Konfiguration des CPE verwenden können.
Optionen zum Zugriff auf den Assistenten in der Konsole
So greifen Sie über die Seite Networking - Überblick auf diesen Assistenten zu:
- Öffnen Sie das Navigationsmenü, und wählen Sie Networking aus. Wählen Sie dann Überblick.
- Wählen Sie im Abschnitt Internetverbindung und Site-to-Site-VPN zu einem VCN hinzufügen die Option VCN-Assistenten starten aus.
So greifen Sie über die Listenseite Virtuelle Cloud-Netzwerke auf diesen Assistenten zu:
- Öffnen Sie das Navigationsmenü , und wählen Sie Networking aus. Wählen Sie dann Virtuelle Cloud-Netzwerke aus.
- Führen Sie auf der Listenseite Virtuelle Cloud-Netzwerke je nach der angezeigten Option eine der folgenden Aktionen aus:
- Wählen Sie die Schaltfläche Aktionen und dann VCN-Assistenten starten aus.
- Wählen Sie VCN-Assistenten starten aus.
- Wählen Sie Site-to-Site-VPN und Internetverbindung zu einem VCN hinzufügen aus, und wählen Sie VCN-Assistenten starten aus.
So greifen Sie über die Listenseite Site-to-Site-VPN auf diesen Assistenten zu:
- Öffnen Sie das Navigationsmenü , und wählen Sie Networking aus. Wählen Sie unter Kundenkonnektivität die Option Site-to-Site-VPN aus.
- Wählen Sie VPN-Assistenten starten aus.