Site-to-Site-VPN einrichten

Beispieldiagramm für Aufgabe 1 mit dynamischem BGP-Routing:

Beispieldiagramm für Aufgabe 1 mit statischem Routing:

Callout 1: Routentabelle für Standardsubnetz

Ziel-CIDR	Routenziel
10.0.0.0/16	DRG

Callout 2: Sicherheitsliste

Ziel-CIDR	Berechtigung
10.0.0.0/16	Zulässig

Callouts 3 bis 6

Callout	Funktion	IP
3	Öffentliche IP-Adresse des CPE	142.34.145.37
4	Statische Route für IPsec-Verbindung	10.0.0.0/16
5	Tunnel 1 - Oracle-VPN-IP-Adresse:	129.213.240.50
6	Tunnel 2 - Oracle-VPN-IP-Adresse:	129.213.240.53

Wenn Sie bereits über ein VCN verfügen, gehen Sie zur nächsten Aufgabe.

Ausführliche Schritte zum Erstellen eines VCN in der Konsole finden Sie unter VCN erstellen.

Stellen Sie sicher, dass das VCN das Provisioning abgeschlossen hat, bevor Sie fortfahren. In diesem Beispiel verwenden wir 172.16.0.0/16 als CIDR für das VCN, aber Ihre Auswahl spielt keine Rolle, solange sie konsistent ist.

Ausführliche Schritte zum Erstellen eines DRG finden Sie unter DRG erstellen.

Das DRG wird erstellt und auf der Seite angezeigt. Stellen Sie sicher, dass das Provisioning abgeschlossen ist, bevor Sie fortfahren.

Ausführliche Schritte zum Anhängen eines DRG an ein VCN finden Sie unter DRG an ein VCN anschließen.

Der Anhang weist kurzfristig den Status "Wird angehängt" auf.

Auch wenn das VCN eine Standardroutentabelle (ohne Regeln) enthält, erstellen Sie in dieser Aufgabe eine benutzerdefinierte VCN-Routentabelle mit einer Routingregel für das DRG als Ziel. In diesem Beispiel lautet das On-Premise-Netzwerk 10.0.0.0/16. Sie erstellen eine Routingregel, die jeglichen Traffic, der für 10.0.0.0/16 bestimmt ist, an das DRG weiterleitet. Beim Erstellen eines Subnetzes in Aufgabe 2f verknüpfen Sie diese benutzerdefinierte Routentabelle mit dem Subnetz.

Ausführliche Schritte zum Erstellen von VCN-Routentabellen in der Konsole finden Sie unter VCN-Routentabelle erstellen. Verwenden Sie die folgenden Einstellungen für die Routingregel:

• Zieltyp: Dynamisches Routinggateway. Das angehängte DRG des VCN wird automatisch als Ziel ausgewählt, sodass Sie es nicht selbst angeben müssen.
• Ziel-CIDR-Block: Das CIDR für das On-Premise-Netzwerk (in diesem Beispiel 10.0.0.0/16).

Die Routentabelle wird erstellt und auf der Seite angezeigt. Die Routentabelle erfüllt ihre Aufgabe jedoch nur, wenn Sie sie beim Erstellen des Subnetzes mit einem Subnetz verknüpfen (siehe Aufgabe 2f).

Standardmäßig ist der in den Instanzen eingehende Traffic in einem VCN auf allen Ports und Protokolle auf DENY gesetzt. In dieser Aufgabe richten Sie zwei Ingress-Regeln und eine Egress-Regel ein, um den allgemeinen, erforderlichen Netzwerktraffic zuzulassen. Ein VCN enthält eine Standardsicherheitsliste mit einem Set von Standardregeln. In dieser Aufgabe erstellen Sie jedoch eine separate Sicherheitsliste mit einschränkenden Regeln für den Traffic mit einem On-Premise-Netzwerk. Beim Erstellen eines Subnetzes in Aufgabe 2f verknüpfen Sie diese Sicherheitsliste mit dem Subnetz.

Ausführliche Informationen zum Erstellen einer Sicherheitsliste in einem VCN mit der Konsole finden Sie unter Sicherheitsliste erstellen.

1. Fügen Sie eine Ingress-Regel mit den folgenden Werten hinzu, die eingehende SSH-Daten auf TCP-Port 22 aus einem On-Premise-Netzwerk zulässt:

   • Quelltyp: CIDR
   • Quell-CIDR: Das CIDR für ein On-Premise-Netzwerk (in diesem Beispiel 10.0.0.0/16)
   • IP-Protokoll: TCP.
   • Quellportbereich: Übernehmen Sie die Vorgabe ("Alle").
   • Zielportbereich: 22 (für SSH-Traffic).
   • Beschreibung: Eine optionale Beschreibung der Regel.

2. Fügen Sie eine Egress-Regel mit den folgenden Werten hinzu, die abgehenden TCP-Traffic auf allen Ports zu einem On-Premise-Netzwerk zulässt:

   • Zieltyp: CIDR
   • Ziel-CIDR: Das CIDR für ein On-Premise-Netzwerk (in diesem Beispiel 10.0.0.0/16).
   • IP-Protokoll: TCP.
   • Quellportbereich: Übernehmen Sie die Vorgabe ("Alle").
   • Zielportbereich: Übernehmen Sie die Vorgabe ("Alle").
   • Beschreibung: Eine optionale Beschreibung der Regel.

Wenn die Sicherheitsliste erstellt wird, wird sie auf der Seite angezeigt. Die Sicherheitsliste erfüllt ihre Aufgabe jedoch nur, wenn Sie sie beim Erstellen des Subnetzes mit einem Subnetz verknüpfen (siehe Aufgabe 2f).

In dieser Aufgabe erstellen Sie ein Subnetz im VCN. In der Regel weist ein Subnetz einen CIDR-Block auf, der kleiner ist als das CIDR des VCN. Alle in diesem Subnetz erstellten Instanzen haben Zugriff auf ein On-Premise-Netzwerk. Es wird empfohlen, regionale Subnetze zu verwenden. Hier erstellen Sie ein regionales privates Subnetz.

Ausführliche Informationen zum Erstellen eines Subnetzes und eines VCN mit der Konsole finden Sie unter Subnetz erstellen. Verwenden Sie die folgenden Werte:

• Regionales oder AD-spezifisches Subnetz: Aktivieren Sie das Optionsfeld Regional. Wir empfehlen die Verwendung regionaler Subnetze.
• CIDR-Block: Ein einzelner, zusammenhängender CIDR-Block für das Subnetz (z.B. 172.16.0.0/24). Er muss sich im CIDR-Block des Cloud-Netzwerks befinden und darf sich nicht mit anderen Subnetzen überschneiden. Sie kann diesen Wert später nicht ändern. Siehe Zulässige VCN-Größe und Adressbereiche. Zu Referenzzwecken finden Sie hier einen CIDR-Rechner.
• Routentabelle: Die Routentabelle, die Sie in Aufgabe 2d erstellt haben.
• Privates Subnetz: Wählen Sie diese Option aus. Weitere Informationen finden Sie unter Zugriff auf das Internet.
• DNS-Hostnamen in diesem Subnetz verwenden: Übernehmen Sie die Vorgabe (ausgewählt).
• DHCP-Optionen: Das Set von DHCP-Optionen, das mit dem Subnetz verknüpft werden soll. Wählen Sie das Standardset von DHCP-Optionen für das VCN aus.
• Sicherheitslisten: Die zuvor erstellte Sicherheitsliste.

Das Subnetz wird erstellt und auf der Seite angezeigt. Das grundlegende VCN in diesem Beispiel ist jetzt eingerichtet, und Sie können die restlichen Komponenten für das Site-to-Site-VPN erstellen.

In dieser Aufgabe erstellen Sie das CPE-Objekt, das eine virtuelle Darstellung eines tatsächlichen CPE-Geräts darstellt. Das CPE-Objekt ist in einem Compartment in einem Mandanten vorhanden. Wenn Sie Site-to-Site-VPN konfigurieren, müssen sie die Konfiguration des eigentlichen Edge-Geräten für das On-Premise-Netzwerk so ändern, dass sie mit der Konfiguration des CPE-Objektes übereinstimmt.

Ausführliche Schritte zum Erstellen eines CPE-Objekts finden Sie unter CPE erstellen. In diesem Beispiel muss die wichtigste IP-Adresse 142.34.145.37, die öffentliche oder private IP-Adresse des physischen CPE-Geräts, angegeben werden.

In dieser Aufgabe erstellen Sie die IPSec-Tunnel und konfigurieren den entsprechenden Routingtyp (dynamisches BGP-Routing, statisches Routing oder Policy-basiertes Routing). Ausführliche Schritte finden Sie unter IPSec-Verbindung erstellen.

Verwenden Sie den CPE-Konfigurationshelper, um Konfigurationsinhalt zu generieren, den der Netzwerktechniker zur Konfiguration des CPE verwenden kann.

Der Inhalt umfasst Folgendes:

• Für jeden IPSec-Tunnel: die Oracle-VPN-IP-Adresse und das Shared Secret.
• Die unterstützten IPSec-Parameterwerte.
• Informationen zum VCN.
• CPE-spezifische Konfigurationsinformationen.

Weitere Informationen finden Sie unter CPE-Konfigurations-Helper verwenden.

Stellen Sie dem Netzwerktechniker die folgenden Elemente zur Verfügung:

• Den vom CPE-Konfigurations-Helper generierten Inhalt.
• Die allgemeinen IPSec-Parameter, die Oracle unterstützt.

Nach der Konfiguration des CPE-Geräts durch den Netztechniker können Sie prüfen, ob der IPSec-Status des Tunnels "Hochgefahren" lautet und grün dargestellt wird. Als nächstes können Sie eine Linux-Instanz in dem Subnetz in einem VCN erstellen. Stellen Sie dann über SSH eine Verbindung von einem Host im On-Premise-Netzwerk zur privaten IP-Adresse der Instanz her. Weitere Informationen finden Sie unter Instanzen erstellen.