Oracle Cloud Infrastructure - Dokumentation

Traffic über eine zentrale virtuelle Netzwerk-Appliance weiterleiten

Die drei primären Transitroutingszenarios sind:

  • Zugriff zwischen mehreren Netzwerken über ein einzelnes DRG mit einer Firewall zwischen Netzwerken: Das in diesem Thema behandelte Szenario. In diesem Szenario wird das DRG als Hub verwendet. Dabei ist das Routing so konfiguriert, dass Pakete über eine Firewallinstanz in einem dedizierten virtuellen Cloud-Netzwerk (VCN) gesendet werden, bevor sie an ein anderes Netzwerk gesendet werden können.
  • Zugriff auf mehrere VCNs in derselben Region: Dieses Szenario ermöglicht die Kommunikation zwischen einem On-Premise-Netzwerk und mehreren VCNs in derselben Region über einen einzelnen privaten FastConnect-Virtual Circuit oder über ein Site-to-Site-VPN. Dabei wird ein VCN als Hub verwendet. Siehe Transitrouting in einem Hub-VCN.
  • Privater Zugriff auf Oracle-Services: In diesem Szenario erhält Ihr On-Premise-Netzwerk privaten Zugriff auf Oracle-Services mit einem VCN als Hub, sodass Ihre On-Premise-Hosts ihre privaten IP-Adressen verwenden können und der Traffic nicht über das Internet geleitet wird. Weitere Informationen finden Sie unter Privater Zugriff auf Oracle-Services.

Highlights

  • Sie können eine FastConnect- oder Site-to-Site-VPN-Verbindung zwischen Ihrem On-Premise-Netzwerk in einer Hub-and-Spoke-Topologie und mehreren VCNs in derselben Region oder einer anderen Region verwenden.
  • Wenn das dynamische Routinggateway (DRG)  als Hub fungiert, können sich alle VCNs in verschiedenen Regionen oder Mandanten befinden. Für ein genaues Routing dürfen sich die CIDR-Blöcke der verschiedenen Subnetze, die für das On-Premise-Netzwerk und andere verbundene VCNs zugänglich sind, nicht überschneiden.
  • Ein dynamisches Routinggateway kann als Hub zur Kommunikation zwischen VCNs oder mit dem On-Premise-Netzwerk fungieren. Dieses DRG verfügt über Anhänge für Peering-Verbindungen zu VCNs (in diesem Thema als Spoke-VCNs bezeichnet).
  • Um den beabsichtigten Traffic von einem Spoke-VCN zu anderen angehängten Netzwerken über das DRG und ein Hub-VCN (mit einer Netzwerk-Virtual-Appliance) zu ermöglichen, erstellen Sie Routingregeln für die Subnetze des Spoke-VCN, den DRG-Anhang des Spoke-VCN, den DRG-Anhang des Hub-VCN und die Subnetze des Hub-VCN.
  • Sie können das Transitrouting über eine private IP im Hub-VCN einrichten. Beispiel: Sie möchten den Traffic zwischen dem On-Premise-Netzwerk und einem Spoke-VCN filtern oder prüfen. In diesem Fall leiten Sie den Traffic zu einer privaten IP auf einer Netzwerk-Virtual-Appliance im Hub-VCN zur Prüfung weiter, und der daraus resultierende Traffic wird zum Ziel weitergeleitet.
  • Durch die Konfiguration von Routentabellen können Sie steuern, ob ein bestimmtes Subnetz in einem Peer-Spoke-VCN im On-Premise-Netzwerk angeboten wird.
Tipp

Es gibt noch ein weiteres Szenario, mit dem Sie Ihr On-Premise-Netzwerk mit mehreren VCNs verbinden können. Anstatt ein einzelnes DRG und Hub-and-Spoke-Topologie zu verwenden, richten Sie ein separates DRG für jedes VCN und nur einen separaten privaten Virtual Circuit über FastConnect ein. Das Szenario kann jedoch nur mit FastConnect über einen externen Provider oder über Colocation mit Oracle verwendet werden. Die VCNs müssen sich in derselben Region und demselben Mandanten befinden. Weitere Informationen finden Sie unter FastConnect mit mehreren DRGs und VCNs.

Überblick über Transitrouting über eine private IP

Das Transitrouting leitet Traffic einfach über ein zentrales Hub-VCN an ein VCN oder ein On-Premise-Netzwerk weiter. Nachfolgend finden Sie ein grundlegendes Beispiel, für das Transitrouting empfohlen wird: Sie haben eine große Organisation mit unterschiedlichen Abteilungen, von denen jede ihr eigenes VCN hat. Jedes VCN benötigt Zugriff auf die anderen VCNs. Sie sollten jedoch die Sicherheit gewährleisten, indem Sie den gesamten Traffic über eine Netzwerk-Virtual-Appliance mit einer Firewall senden.

Hinweis

Ein Hub ist ein logisches Konzept in einer Hub-and-Spoke-Topologie. Wenn Spokes direkt miteinander kommunizieren sollen, kann der Hub einfach ein DRG sein. Wenn der gesamte Spoke-zu-Spoke-Traffic über eine Netzwerk-Virtual-Appliance geleitet werden soll, ist der Hub die Kombination aus DRG und einem Hub-VCN, das die Netzwerk-Virtual-Appliance enthält.

Bei diesem Netzwerkszenario kann Ihr On-Premise-Netzwerk optional per Oracle Cloud Infrastructure FastConnect oder mit einem Site-to-Site-VPN mit einem VCN verbunden werden. Die folgenden beiden grundlegenden Szenarios verdeutlichen diese Topologie: Szenario B: Privates Subnetz mit einem VPN und Szenario C: Öffentliche und private Subnetze mit einem VPN.

Dieses Szenario verwendet eine Hub-and-Spoke-Topologie, wie im folgenden Diagramm dargestellt. Der Begriff Hub bedeutet hier nur, dass ein VCN über eine Netzwerk-Virtual-Appliance verfügt, über die Traffic weitergeleitet werden muss, wenn ein Spoke mit einem anderen Spoke in diesem Hub-and-Spoke-Design kommuniziert. Einzelheiten zum Aktivieren der Nord-Süd-Kommunikation zwischen Ihrem On-Premise-Netzwerk und den Spoke-VCNs über eine Netzwerk-Virtual-Appliance finden Sie im letzten Abschnitt in den folgenden detaillierten Schritten.

DRG-Transitrouting mit einem Firewall-VCN

Verwenden Sie dieses Szenario, wenn Sie eine Hub-and-Spoke-Topologie erstellen und den gesamten Traffic zwischen Spokes über eine Netzwerk-Virtual-Appliance im Hub weiterleiten möchten. Alle VCNs befinden sich in derselben Region und sind mit einem DRG in dieser Region verbunden. Sie können sich jedoch in unterschiedlichen Regionen oder Mandanten befinden. Das angezeigte On-Premise-Netzwerk ist optional und könnte ein VCN in einer anderen Region oder einem anderen Mandanten sein. In diesem Szenario wird der Traffic von einem On-Premise-Netzwerk an das DRG, dann an die Netzwerk-Virtual-Appliance in VCN-Hub und dann zurück an das DRG gesendet, damit er an VCN-B weitergeleitet wird. Gleichermaßen wird der von VCN-A gesendete Traffic zuerst vom DRG an VCN-Hub und dann an VCN-C weitergeleitet.

Neue Konzepte für erfahrene Benutzer des Networking-Service - Übersicht

Wenn Sie bereits mit dem Networking-Service und dem lokalen Peering vertraut sind, machen Sie sich mit den folgenden wichtigsten neuen Konzepten vertraut:

  • Aktualisieren Sie für jedes Spoke-VCN-Subnetz, das mit einem anderen an das DRG angehängten Netzwerk kommunizieren muss, die Routentabelle des Subnetzes mit einer Regel, die das Ziel für den gesamten Traffic (den nächsten Hop) als DRG festlegt.
  • Fügen Sie eine neue DRG-Routentabelle für Spoke-VCN-Anhänge hinzu, und verknüpfen Sie diese Routentabelle mit jedem Spoke-VCN-Anhang (innerhalb des DRG). Erstellen Sie eine statische Standardroute mit dem Ziel (dem nächsten Hop) des Hub-VCN-Anhangs. Dadurch wird der gesamte Spoke-VCN-Traffic mit der Netzwerk-Virtual-Appliance an das Hub-VCN weitergeleitet.

  • Fügen Sie eine neue DRG-Routentabelle für den Hub-VCN-Anhang hinzu, und verknüpfen Sie sie mit dem Hub-VCN-Anhang (innerhalb des DRG). Verknüpfen Sie eine neue Importroutenverteilung mit dieser DRG-Routentabelle, und erstellen Sie Policys zum Importieren von Anhängen, die mit allen Zielen verknüpft sind, die für VCN-Hub erreichbar sein müssen.

  • Fügen Sie eine weitere VCN-Routentabelle zum Hub-VCN "VCN-Hub" hinzu, verknüpfen Sie sie mit dem Anhang des Hub-VCN für das DRG, und fügen Sie eine Routingregel mit einem Ziel hinzu, das von Ihrer Situation abhängig ist:

  • Aktualisieren Sie die Subnetzroutentabelle in Ihrem Hub-VCN mit Regeln, die das Ziel (den nächsten Hop) für alle Spoke-VCNs und On-Premise-Netzwerke als DRG festlegen.

Bevor Sie beginnen

Bevor Sie versuchen, dieses Szenario zu implementieren, stellen Sie Folgendes sicher:

  1. VCN-A, VCN-B und VCN-C (die "Spoke"-VCNs) sind bereits erstellt. Keines davon ist an ein DRG angehängt.
  2. VCN-Hub wurde bereits erstellt, und das Subnetz "Subnet-H" verfügt über eine Netzwerk-Virtual-Appliance mit einer privaten IPv4-Adresse. Dieses VCN ist noch nicht an ein DRG angehängt.
  3. Alle VCNs im Szenario haben sich nicht überschneidende CIDRs.
  4. Das On-Premise-Netzwerk ist mit FastConnect oder Site-to-Site-VPN mit dem DRG verbunden.
  5. Alle erforderlichen IAM-Policys sind bereits vorhanden. Weitere Informationen finden Sie unter IAM-Policys für das Routing zwischen VCNs.

Prozessübersicht

Die Konfiguration des Transitroutings umfasst folgende Schritte:

  1. Erstellen Sie ein DRG namens "DRG-Hub".
  2. Hängen Sie die Spoke-VCNs "VCN-A", "VCN-B" und "VCN-C" an DRG-Hub an.
  3. Hängen Sie VCN-Hub an DRG-Hub an.
  4. Erstellen Sie eine Routentabelle namens "RT-Spoke" in DRG-Hub mit einer einzelnen statischen Regel, die den gesamten Traffic an den Anhang von VCN-Hub sendet.
  5. Ändern Sie die von den Spoke-VCN-Anhängen verwendete DRG-Routentabelle in "RT-Spoke".
  6. Erstellen Sie eine DRG-Importroutenverteilung in DRG-Hub namens "Import-Hub" mit drei Anweisungen, die jeweils Routen von den VCN-Anhängen importieren, die von VCN-A, VCN-B und VCN-C verwendet werden. Weitere Informationen zu Importroutenverteilungen finden Sie unter Dynamische Routinggateways - Überblick.
  7. Erstellen Sie eine DRG-Routentabelle mit dem Namen "RT-Hub" in DRG-Hub, und geben Sie die Importroutenverteilung "Import-Hub" an.
  8. Aktualisieren Sie die DRG-Routentabelle des Anhangs von VCN-Hub, um die Routentabelle "RT-Hub" zu verwenden.
  9. Konfigurieren Sie die Standardroutentabelle von VCN-Hub, um den gesamten eingehenden Traffic an die Instanz der Netzwerk-Virtual-Appliance zu senden.
  10. Konfigurieren Sie Subnet-H so, dass der gesamte Traffic, der für Adressen in den VCN-CIDRs von VCN-A, VCN-B und VCN-C bestimmt ist, an den DRG-Anhang gesendet wird.

Beispiel: Transitrouting mit einem DRG-Hub und einer Netzwerk-Virtual-Appliance in einem angehängten VCN

Die Beispiele in diesem Abschnitt zeigen ein DRG, das als Hub fungiert, und ein angehängtes VCN mit einer Firewall. Sie können beliebig viele Spoke-VCNs konfigurieren, indem Sie Aufgabe 2: Spoke-VCNs anhängen wiederholen.

Diagramm, in dem das für Transitrouting aktivierte DRG und ein Hub-VCN dargestellt werden
Callout 1: DRG-Routentabelle "RT-Spoke" (betrifft den Traffic, der von allen Spoke-Anhängen in das DRG eintritt)
Ziel-CIDR Routenziel Typ
0.0.0.0/0 VCN-Hub Statisch
Callout 2: DRG-Routentabelle "RT-Hub" (betrifft den Traffic, der vom Hubanhang in das DRG eingeht)
Ziel-CIDR Routenziel Typ
172.16.0.0/16 Virtual Circuit Dynamisch
192.168.10.0/24 VCN-A Dynamisch
192.168.20.0/24 VCN-B Dynamisch
192.168.30.0/24 VCN-C Dynamisch
Callout 3: Routentabelle von Subnet-1 (betrifft den Traffic, der Subnet-1 verlässt)
Ziel-CIDR Routenziel
172.16.0.0/16 DRG
192.168.20.0/24 DRG
192.168.30.0/24 DRG
Callout 4: Routentabelle "VCN-Hub-Ingress" von VCN-Hub (betrifft den Traffic, der in VCN-Hub eingeht)
Ziel-CIDR Routenziel
172.16.0.0/16 10.0.0.10
192.168.10.0/24 10.0.0.10
192.168.20.0/24 10.0.0.10
192.168.30.0/24 10.0.0.10
Callout 5: Routentabelle von Subnet-H (betrifft den Traffic, der Subnet-H verlässt)
Ziel-CIDR Routenziel
172.16.0.0/16 DRG
192.168.10.0/24 DRG
192.168.20.0/24 DRG
192.168.30.0/24 DRG
Callout 6: Routentabelle von Subnet-2
Ziel-CIDR Routenziel
172.16.0.0/16 DRG
192.168.10.0/24 DRG
192.168.30.0/24 DRG
Callout 7: Routentabelle von Subnet-3
Ziel-CIDR Routenziel
172.16.0.0/16 DRG
192.168.10.0/24 DRG
192.168.20.0/24 DRG
Aufgabe 1: DRG erstellen

Erstellen Sie das DRG (namens DRG-Hub), das Traffic zwischen allen angehängten VCNs weiterleitet.

  1. Öffnen Sie das Navigationsmenü, und klicken Sie auf Networking. Klicken Sie unter Kundenkonnektivität auf Dynamisches Routinggateway.

  2. Wählen Sie unter Listengeltungsbereich ein Compartment aus, für das Sie eine Berechtigung zum Arbeiten haben. Die Seite wird aktualisiert, sodass nur die Ressourcen in diesem Compartment angezeigt werden. Wenn Sie nicht sicher sind, welches Compartment verwendet werden soll, wenden Sie sich an einen Administrator. Weitere Informationen finden Sie unter Zugriffskontrolle.
  3. Klicken Sie auf Dynamisches Routinggateway erstellen.

  4. Geben Sie die folgenden Elemente ein:

    • Name: DRG-Hub
    • Erstellen in Compartment: Das Compartment, in dem Sie das DRG erstellen möchten und das sich von dem Compartment unterscheiden könnte, in dem Sie derzeit arbeiten.
  5. Klicken Sie auf Dynamisches Routinggateway erstellen.

Das neue DRG wird erstellt und dann auf der Seite Dynamische Routinggateways des ausgewählten Compartments angezeigt. Das DRG weist kurzfristig den Status "Provisioning wird ausgeführt" auf. Erst nach Abschluss des Provisioning-Vorgangs können Sie sie mit anderen Teilen Ihres Netzwerks verbinden.

Beim Provisioning eines DRG werden zwei Standardroutentabellen erstellt: eine DRG-Routentabelle für VCN-Anhänge und eine DRG-Routentabelle für alle anderen Ressourcen, wie Virtual Circuits und IPsec-Tunnel. Diese Routentabellen werden verwendet, um Traffic an das DRG weiterzuleiten.

Aufgabe 2: Spoke-VCNs anhängen

Hängen Sie VCN-A, VCN-B und VCN-C an DRG-Hub an.

Hinweis

Die Routentabellen des VCN-Subnetzes, die Traffic an den DRG-Anhang senden, müssen die CIDRs der anderen beiden VCNs berücksichtigen. Das kann auch mit einer Zusammenfassungsadresse oder einer Standardroute erreicht werden.
Hinweis

Ein DRG kann an viele VCNs angehängt werden, ein VCN hingegen an nur jeweils ein DRG. Der Anhang wird automatisch in dem Compartment erstellt, das das VCN enthält. Ein VCN muss sich nicht in demselben Compartment wie das DRG befinden.

Sie können lokale Peering-Verbindungen aus dem gesamten Netzwerkdesign beseitigen, wenn Sie mehrere VCNs in derselben Region mit demselben DRG verbinden und die DRG-Routingtabellen entsprechend konfigurieren.

Mit den folgenden Anweisungen können Sie zu dem DRG navigieren und dann auswählen, welches VCN daran angehängt werden soll. Wiederholen Sie diese Aufgabe für alle drei VCNs (VCN-A, VCN-B und VCN-C), und erstellen Sie für jedes VCN einen anderen DRG-Anhang.

  1. Öffnen Sie das Navigationsmenü, und klicken Sie auf Networking. Klicken Sie unter Kundenkonnektivität auf Dynamisches Routinggateway.

  2. Klicken Sie auf das DRG, das Sie an VCN A anhängen möchten: DRG-Hub.
  3. Klicken Sie unter Ressourcen auf Virtuelle Cloud-Netzwerke - Anhänge.
  4. Klicken Sie auf Anhang für virtuelles Cloud-Netzwerk erstellen.
  5. Geben Sie Folgendes ein:
    • (Optional) Geben Sie "VCN-A" ein, oder geben Sie dem Anhangspunkt einen anderen aussagekräftigen Namen. Wenn Sie keinen Namen angeben, wird ein Name für Sie erstellt.
    • Wählen Sie VCN-A in der Liste der VCNs aus.
  6. Klicken Sie auf Anhang für virtuelles Cloud-Netzwerk erstellen.

Der Anhang weist kurzfristig den Status "Wird angehängt" auf. Jedes der Spoke-VCNs erhält einen eindeutigen Anhang.

Nachdem Sie diesen Vorgang für alle drei VCNs (VCN-A, VCN-B und VCN-C) ausgeführt haben, besteht direktes Routing zwischen diesen VCNs.

Aufgabe 3: Hub-VCN anhängen

Hängen Sie VCN-Fire an DRG-Transit an.

  1. Öffnen Sie das Navigationsmenü, und klicken Sie auf Networking. Klicken Sie unter Kundenkonnektivität auf Dynamisches Routinggateway.

  2. Klicken Sie auf das DRG, das Sie an ein VCN anhängen möchten, in diesem Fall "DRG-Hub".
  3. Klicken Sie unter Ressourcen auf Virtuelle Cloud-Netzwerke - Anhänge.
  4. Klicken Sie auf Anhang für virtuelles Cloud-Netzwerk erstellen.
  5. Geben Sie Folgendes ein:
    • (Optional) Geben Sie "VCN-Hub" ein, oder geben Sie dem Anhangspunkt einen anderen aussagekräftigen Namen. Wenn Sie keinen Namen angeben, wird ein Name für Sie erstellt.
    • Wählen Sie VCN-Hub in der Liste der VCNs aus.
  6. Klicken Sie auf VCN-Anhang erstellen.

Der Anhang weist kurzfristig den Status "Wird angehängt" auf. Der VCN-Anhang verwendet die DRG-Standardroutentabelle für VCNs. Warten Sie, bis der Anhang abgeschlossen ist, bevor Sie fortfahren.

Aufgabe 4: DRG-Routentabelle erstellen, die Ingress-Traffic an die Netzwerk-Virtual-Appliance sendet

Erstellen Sie eine DRG-Routentabelle namens "RT-Spoke" in DRG-Transit mit einer einzelnen statischen Regel, die den gesamten Traffic an den Anhang von VCN-Hub sendet.

  1. Öffnen Sie das Navigationsmenü, und klicken Sie auf Networking. Klicken Sie unter Kundenkonnektivität auf Dynamisches Routinggateway.

  2. Klicken Sie auf das gewünschte DRG: DRG-Hub.
  3. Klicken Sie unter Ressourcen auf DRG-Routentabellen.
  4. Klicken Sie auf DRG-Routentabelle erstellen.

  5. Geben Sie Folgendes ein:

    • Name: Geben Sie "RT-Spoke" ein, oder wählen Sie einen anderen aussagekräftigen Namen aus.
    • Ziel-CIDR: Geben Sie das CIDR für VCN-Fire ein. In diesem Beispiel wird 0.0.0.0/0 verwendet. Hierbei handelt es sich um eine statische Route, die den gesamten Traffic von VCN-A, VCN-B und VCN-C an das Hub-VCN sendet.
    • Anhangstyp des nächsten Hops: Wählen Sie Virtuelles Cloud-Netzwerk aus.
    • Anhang des nächsten Hops: Wählen Sie VCN-Hub in der Liste aus.

  6. Klicken Sie auf Routentabelle erstellen.

Aufgabe 5: Routentabelle der Spoke-VCN-Anhänge aktualisieren

Ändern Sie die von den Spoke-VCN-Anhängen (VCN-A, VCN-B und VCN-C) verwendeten DRG-Routentabellen so, dass die in der vorherigen Aufgabe erstellte Routentabelle (RT-Spoke) verwendet wird, die den gesamten eingehenden Traffic an VCN-Hub sendet.

  1. Öffnen Sie das Navigationsmenü, und klicken Sie auf Networking. Klicken Sie unter Kundenkonnektivität auf Dynamisches Routinggateway.

  2. Klicken Sie auf das gewünschte DRG: DRG-Hub.
  3. Klicken Sie unter Ressourcen auf Virtuelle Cloud-Netzwerke - Anhänge.
  4. Klicken Sie auf den Namen des DRG-Anhangs, der von einem der VCNs verwendet wird.
  5. Klicken Sie auf Bearbeiten.
  6. Klicken Sie auf Erweiterte Optionen anzeigen.
  7. Wählen Sie auf der Registerkarte der DRG-Routentabelle "RT-Spoke" in der Liste der verfügbaren Routentabellen aus.
  8. Klicken Sie auf Änderungen speichern.

Wiederholen Sie diese Aufgabe für alle drei Spoke-VCN-Anhänge (VCN-A, VCN-B und VCN-C), bevor Sie mit der nächsten Aufgabe fortfahren.

Aufgabe 6: Importroutenverteilung erstellen

In dieser Aufgabe erstellen Sie eine Importroutenverteilung in DRG-Hub mit drei Anweisungen, die jeweils Routen aus den VCN-Anhängen importieren, die von VCN-A, VCN-B und VCN-C verwendet werden.

  1. Öffnen Sie das Navigationsmenü, und klicken Sie auf Networking. Klicken Sie unter Kundenkonnektivität auf Dynamisches Routinggateway.

  2. Klicken Sie auf das gewünschte DRG: DRG-Hub.
  3. Klicken Sie unter Ressourcen auf Importroutenverteilungen.
  4. Klicken Sie auf Importroutenverteilung erstellen.
  5. Geben Sie auf dem daraufhin angezeigten Bildschirm einen leicht erkennbaren Namen wie "Import-Hub" für die Importroutenverteilung ein. Klicken Sie anschließend zweimal auf + Weitere Anweisung. Fügen Sie für jede der drei Anweisungen die folgenden Details hinzu:
    • Priorität: Wählen Sie für jede Anweisung unterschiedliche Prioritätsnummern aus. Beispiel: 10, 20 und 30.
    • Übereinstimmungstyp: Wählen Sie "Anhang" aus.
    • Anhangstypfilter: Wählen Sie "Virtuelles Cloud-Netzwerk" aus.
    • DRG-Anhang: Wählen Sie einen zuvor für VCN-A, VCN-B oder VCN-C erstellten VCN-Anhang aus.
  6. Klicken Sie abschließend auf Importroutenverteilung erstellen.
Aufgabe 7: DRG-Routentabelle für Ingress aus VCN-Hub erstellen

Erstellen Sie eine Routentabelle mit dem Namen "RT-Hub" in DRG-Hub, und setzen Sie die Importroutenverteilung auf die zuvor erstellte Verteilung.

  1. Öffnen Sie das Navigationsmenü, und klicken Sie auf Networking. Klicken Sie unter Kundenkonnektivität auf Dynamisches Routinggateway.

  2. Klicken Sie auf das gewünschte DRG: DRG-Hub.
  3. Klicken Sie unter Ressourcen auf DRG-Routentabellen.
  4. Klicken Sie auf DRG-Routentabelle erstellen.
  5. Weisen Sie der DRG-Routentabelle einen Namen zu, z.B. "RT-Hub".
  6. Klicken Sie auf Erweiterte Optionen anzeigen.
  7. Klicken Sie auf Importroutenverteilung aktivieren.
  8. Wählen Sie "Import-Hub" aus, die Importroutenverteilung, die Sie in Aufgabe 6 erstellt haben.

  9. Klicken Sie auf Routentabelle erstellen.

    Die Routentabelle wird erstellt und dann auf der Seite Routentabellen in dem von Ihnen ausgewählten Compartment angezeigt.

Aufgabe 8: Anhang von VCN-Hub aktualisieren

Aktualisieren Sie die DRG-Routentabelle des Anhangs von VCN-Hub, um die DRG-Routentabelle "RT-Hub" zu verwenden.

  1. Öffnen Sie das Navigationsmenü, und klicken Sie auf Networking. Klicken Sie unter Kundenkonnektivität auf Dynamisches Routinggateway.

  2. Klicken Sie auf das gewünschte DRG: DRG-Hub.
  3. Klicken Sie unter Ressourcen auf Virtuelle Cloud-Netzwerke - Anhänge.
  4. Klicken Sie auf den Namen des DRG-Anhangs, der von VCN-Hub verwendet wird.
  5. Klicken Sie auf Bearbeiten.
  6. Klicken Sie auf Erweiterte Optionen anzeigen.
  7. Wählen Sie auf der Registerkarte der DRG-Routentabelle "RT-Hub" in der Liste der verfügbaren Routentabellen aus.
  8. Klicken Sie auf Änderungen speichern.
Aufgabe 9: Routing in Routentabellen von VCN-Hub konfigurieren

Konfigurieren Sie das Ingress-Routing in VCN-Hub, um den gesamten eingehenden Traffic an die Firewallinstanz zu senden.

  1. Öffnen Sie das Navigationsmenü, und klicken Sie auf Networking, Virtuelle Cloud-Netzwerke.
  2. Klicken Sie auf das gewünschte VCN: VCN-Hub.
  3. Klicken Sie unter Ressourcen auf Routentabellen.
  4. Klicken Sie auf Routentabelle erstellen.

  5. Benennen Sie die VCN-Routentabelle mit "VCN-Hub-Ingress", und geben Sie die folgenden Routingregeln ein:

    • Zieltyp Wählen Sie Private IP aus.
    • Zieltyp Wählen Sie CIDR-Block aus.
    • Ziel-CIDR-Block Geben Sie den CIDR-Block für VCN-A ein.
    • Zielauswahl Geben Sie 10.0.0.10 ein, die private IPv4-Adresse für die Firewallinstanz-VNIC.
  6. Klicken Sie auf + Weitere Routingregel, und wiederholen Sie den Vorgang, bis Sie eine Regel für jedes der drei Spoke-VCNs (VCN-A, VCN-B und VCN-C) eingerichtet haben.

  7. Klicken Sie auf Erstellen.

    Die VCN-Routentabelle wird erstellt und dann auf der Seite Routentabellen für das VCN angezeigt.

  8. Klicken Sie unter Ressourcen auf DRG-Anhänge.
  9. Klicken Sie auf den Namen des DRG-Anhangs, der von VCN-Hub verwendet wird.
  10. Klicken Sie auf Bearbeiten.
  11. Klicken Sie auf Erweiterte Optionen anzeigen.
  12. Klicken Sie auf der Registerkarte der VCN-Routentabelle auf Vorhandene auswählen, und wählen Sie "VCN-Hub-Ingress" in der Liste der verfügbaren Routentabellen aus.
  13. Klicken Sie auf Änderungen speichern.
Aufgabe 10: VCN-Egress-Routing konfigurieren

Konfigurieren Sie das VCN-Egress-Routing im Subnetz "Subnet-H" von VCN-Hub, um den gesamten Traffic, der für Adressen in den VCN-CIDRs von VCN-A, VCN-B und VCN-C bestimmt ist, an den DRG-Anhang zu senden.

  1. Öffnen Sie das Navigationsmenü, und klicken Sie auf Networking, Virtuelle Cloud-Netzwerke.
  2. Klicken Sie auf das gewünschte VCN: VCN-Hub.
  3. Klicken Sie unter Ressourcen auf Routentabellen.
  4. Klicken Sie auf den Namen der Routentabelle, die von Subnet-H verwendet wird.
  5. Klicken Sie auf Routingregeln hinzufügen.

  6. Geben Sie Folgendes ein:

    • Zieltyp Wählen Sie Dynamisches Routinggateway aus.
    • Ziel-CIDR-Block: Geben Sie den CIDR-Block für VCN-A ein.
  7. Klicken Sie auf + Weitere Routingregel, und wiederholen Sie den Vorgang, bis Sie eine Regel für jedes der drei Spoke-VCNs (VCN-A, VCN-B und VCN-C) eingerichtet haben.
  8. Klicken Sie auf Routingregeln hinzufügen.

Damit ist die Konfiguration des Transitroutings abgeschlossen. Zu diesem Zeitpunkt werden alle von einem Spoke-VCN an ein anderes gesendeten Pakete an das gegenseitig angehängte DRG gesendet und zu einer Firewall in einem Hub-VCN umgeleitet. Von der Firewall zulässige Pakete werden dann an das DRG zurückgesendet, damit sie an das Ziel-VCN weitergeleitet werden können.

Nord-Süd-Traffic über eine Netzwerk-Virtual-Appliance ermöglichen

Sie können eine Konfiguration einrichten, bei der alle Pakete, die von einem Spoke-VCN an Ihr On-Premise-Netzwerk gesendet werden, an das gegenseitig angehängte DRG gesendet und an eine Netzwerk-Virtual-Appliance in einem Hub-VCN umgeleitet werden. Pakete, die von der Netzwerk-Virtual-Appliance zugelassen sind, werden dann an das DRG zurückgesendet, damit sie an das On-Premise-Ziel weitergeleitet werden können.

Aufgabe 1: DRG-Routentabelle erstellen, die Ingress-On-Premise-Traffic an die Netzwerk-Virtual-Appliance sendet

Erstellen Sie eine DRG-Routentabelle namens "RT-OnPrem" in DRG-Hub mit mehreren statischen Regeln, die den gesamten Traffic an den Anhang von VCN-Hub weiterleiten.

  1. Öffnen Sie das Navigationsmenü, und klicken Sie auf Networking. Klicken Sie unter Kundenkonnektivität auf Dynamisches Routinggateway.

  2. Klicken Sie auf das gewünschte DRG: DRG-Hub.
  3. Klicken Sie unter Ressourcen auf DRG-Routentabellen.
  4. Klicken Sie auf DRG-Routentabelle erstellen.
  5. Geben Sie Folgendes ein:
    • Name: Geben Sie "RT-OnPrem" ein, oder wählen Sie einen anderen aussagekräftigen Namen aus.
    • Ziel-CIDR: Geben Sie den CIDR-Block für VCN-A ein.
    • Anhangstyp des nächsten Hops: Wählen Sie Virtuelles Cloud-Netzwerk aus.
    • Anhang des nächsten Hops: Wählen Sie "VCN-Hub" in der Liste aus.
  6. Klicken Sie auf + Weitere Routingregel, und wiederholen Sie den Prozess mehrfach, um statische Routen hinzuzufügen, die CIDR-Blöcke für VCN-B, VCN-C und VCN-Hub darstellen.
  7. Klicken Sie auf Routentabelle erstellen.
Hinweis

Alle statischen Routeneinträge in dieser DRG-Routentabelle werden Ihrem On-Premise-Netzwerk über BGP auf jedem Anhang angeboten, in dem diese DRG-Routentabelle angewendet wird.

Aufgabe 2: Routentabelle von On-Premise-Anhängen aktualisieren

Ändern Sie die DRG-Routentabelle, die von Ihren On-Premise-Anhängen verwendet wird, in "RT-OnPrem". In diesem Beispiel wird FastConnect verwendet. Sie können jedoch denselben Prozess für Site-to-Site-VPN-IPsec-Tunnel anwenden.

Ändern Sie die DRG-Routentabellen, die von Ihren On-Premise-Anhängen (FastConnect-Virtual Circuit oder Site-to-Site-VPN-IPsec-Tunnel) verwendet werden, um die in der vorherigen Aufgabe erstellte Routentabelle zu verwenden, die den gesamten eingehenden Traffic an VCN-Hub sendet.

  1. Öffnen Sie das Navigationsmenü, und klicken Sie auf Networking. Klicken Sie unter Kundenkonnektivität auf Dynamisches Routinggateway.

  2. Klicken Sie auf das gewünschte DRG: DRG-Hub.
  3. Klicken Sie unter Ressourcen auf Virtual Circuits - Anhänge.
  4. Klicken Sie auf den Namen des DRG-Anhangs, der von einem der Virtual Circuits verwendet wird.
  5. Klicken Sie auf Bearbeiten.
    • DRG-Routentabelle auswählen: Wählen Sie "RT-OnPrem" in der Dropdown-Liste der verfügbaren Routentabellen aus.
  6. Klicken Sie auf Änderungen speichern.

Wiederholen Sie diese Aufgabe für alle On-Premise-Anhänge (VCN-A, VCN-B und VCN-C), bevor Sie mit der nächsten Aufgabe fortfahren.

Aufgabe 3: Importroutenverteilung "Import-Hub" aktualisieren

In dieser Aufgabe aktualisieren Sie die Importroutenverteilung, die vom Anhang von VCN-Hub verwendet wird, um Routen aus Ihren On-Premise-Verbindungen zu importieren.

  1. Öffnen Sie das Navigationsmenü, und klicken Sie auf Networking. Klicken Sie unter Kundenkonnektivität auf Dynamisches Routinggateway.

  2. Klicken Sie auf das gewünschte DRG: DRG-Hub.
  3. Klicken Sie unter Ressourcen auf Importroutenverteilungen.
  4. Klicken Sie auf die gewünschte Importroutenverteilung: Import-Hub.
  5. Klicken Sie auf Anweisungen verwalten.
  6. Klicken Sie auf + Weitere Anweisung.
  7. Geben Sie für jede neue Anweisung die folgenden Details ein:
    • Priorität: Wählen Sie für jede Anweisung unterschiedliche Prioritätsnummern aus. Beispiel: 40.
    • Übereinstimmungstyp: Wählen Sie "Anhangstyp" aus.
    • Anhangstyp: Wählen Sie "Virtual Circuit" aus.
  8. Klicken Sie abschließend auf Importroutenverteilung erstellen.

Wiederholen Sie diesen Schritt für alle On-Premise-Anhänge (FastConnect-Virtual Circuit oder Site-to-Site-IPsec-VPN), die über das Hub-VCN erreichbar sein müssen.

Aufgabe 4: Routing in Routentabellen von VCN-Hub aktualisieren

Aktualisieren Sie das Ingress-Routing in VCN-Hub, um den gesamten eingehenden Traffic an die Firewallinstanz zu senden.

  1. Öffnen Sie das Navigationsmenü, und klicken Sie auf Networking, Virtuelle Cloud-Netzwerke.
  2. Klicken Sie auf das gewünschte VCN: VCN-Hub.
  3. Klicken Sie unter Ressourcen auf Routentabellen.
  4. Wählen Sie die Routentabelle "VCN-Hub-Ingress" aus.
  5. Klicken Sie auf Routingregeln hinzufügen, und geben Sie die folgenden Routingregeln ein:
    • Zieltyp: Wählen Sie Private IP aus.
    • Ziel: Wählen Sie CIDR-Block aus.
    • Ziel-CIDR-Block: Geben Sie den CIDR-Block für das On-Premise-Netzwerk ein.
    • Zielauswahl: Geben Sie die private IPv4-Adresse für die Firewallinstanz-VNIC ein.
  6. Klicken Sie auf Routingregeln hinzufügen.

Die Routentabelle "VCN-Hub-Ingress" wird mit einer Route für Ihr On-Premise-Netzwerk aktualisiert.

Aufgabe 5: Routingregeln hinzufügen

  1. Öffnen Sie das Navigationsmenü, und klicken Sie auf Networking, Virtuelle Cloud-Netzwerke.
  2. Klicken Sie auf das gewünschte VCN: VCN-Hub.
  3. Klicken Sie unter Ressourcen auf Routentabellen.
  4. Klicken Sie auf den Namen der Routentabelle, die von Subnet-H verwendet wird.
  5. Klicken Sie auf Routingregeln hinzufügen.
  6. Geben Sie Folgendes ein:
    • Zieltyp Wählen Sie Dynamisches Routinggateway aus.
    • Ziel-CIDR-Block: Geben Sie den CIDR-Block für das On-Premise-Netzwerk ein.
  7. Klicken Sie auf Routingregeln hinzufügen.

Wiederholen Sie diese Schritte für die Routentabelle jedes Spoke-VCN (VCN-A, VCN-B und VCN-C), um den gesamten Traffic, der für On Premise bestimmt ist, an das angehängte DRG "DRG-Hub" weiterzuleiten.

Damit ist die Konfiguration des Nord-Süd-Transitroutings abgeschlossen. Zu diesem Zeitpunkt werden alle Pakete, die von einem Spoke-VCN an Ihr On-Premise-Netzwerk gesendet werden, an das gegenseitig angehängte DRG gesendet und an eine Netzwerk-Virtual-Appliance in einem Hub-VCN umgeleitet. Pakete, die von der Netzwerk-Virtual-Appliance zugelassen sind, werden dann an das DRG zurückgesendet, damit sie an das On-Premise-Ziel weitergeleitet werden können.