Hinweis:

• Dieses Tutorial erfordert Zugriff auf Oracle Cloud. Informationen zur Registrierung für einen kostenlosen Account finden Sie unter Erste Schritte mit Oracle Cloud Infrastructure Free Tier.
• Es verwendet Beispielwerte für Oracle Cloud Infrastructure-Zugangsdaten, -Mandanten und -Compartments. In der Übung ersetzen Sie diese Werte durch die Werte, die für Ihre Cloud-Umgebung spezifisch sind.

Maximieren Sie die IPSec-Bandbreite mit Oracle Interconnect for Microsoft Azure

Einführung

Verschlüsselung ist wichtig, und dieses Tutorial zeigt Ihnen, wie Sie die Verschlüsselung in unseren miteinander verbundenen Regionen, die wir mit Microsoft Azure auf der ganzen Welt haben, aktivieren können.

Dieses redundante Interconnect basiert auf privaten Virtual Circuits, bei denen es sich um eine geringe vorhersehbare Netzwerklatenz auf einer privaten Verbindung mit ExpressRoute von Microsoft Azure und FastConnect von Oracle Cloud Infrastructure-(OCI-)Seite handelt. Diese privaten Virtual Circuits sind standardmäßig nicht verschlüsselt.

In diesem Tutorial wird Oracle Interconnect for Microsoft Azure (Oracle Interconnect for Azure) verwendet, Verschlüsselung aus IPSec-Tunneln hinzugefügt und außerdem gezeigt, wie Sie die Bandbreite in den IPSec-Tunneln maximieren können, da dies ein begrenzender Faktor für einige Anwendungsfälle sein kann.

Hinweis: IPSec auf OCI FastConnect ist nicht auf dieses Oracle Interconnect for Azure beschränkt. Es kann auf jeder OCI FastConnect verwendet werden. Wir haben es gerade für dieses Tutorial verwendet.

Ziele

Erstellen Sie verschlüsselte Tunnel über das Microsoft Azure/OCI-Interconnect, um die mögliche Netzwerkbandbreite in kombinierten IPSec-Tunneln zu validieren. Informationen zum Suchen eines Speicherorts, in dem dies möglich ist, finden Sie unter Interconnect für Azure.

Diese Verbindungen basieren auf Microsoft Azure ExpressRoute und OCI FastConnect. Beim Erstellen dieser Interconnects verwenden sie einen privaten Virtual Circuit, der in den meisten Fällen für die meisten Kunden akzeptabel ist. Einige Kunden benötigen jedoch eine Verschlüsselung der Netzwerklinks, und dieses Tutorial ist für diese geeignet.

Wir erstellen 8 IPSec-Tunnel auf einem Virtual Circuit, um die gesamte Bandbreite der verschlüsselten Verbindung zu nutzen, da IPSec-Tunnel möglicherweise nicht die gleiche Bandbreite pro Tunnel wie der zugrunde liegende Virtual Circuit erreichen.

Diese Option mit verschlüsseltem Datenverkehr über einen dedizierten privaten Virtual Circuit kann auch auf unser Interconnect zu Google Cloud und FastConnect-Verbindungen zwischen On-Premise und OCI angewendet werden, das Setup variiert jedoch.

Logisches Netzwerkdesign

Es gibt Optionen, die nur verschlüsselten IPSec-Datenverkehr auf der Verbindung zulassen oder sowohl unverschlüsselten als auch verschlüsselten Datenverkehr auf demselben Virtual Circuit zulassen. In diesem Tutorial werden wir beide auf dem Interconnect zulassen, aber nur verschlüsselten Traffic erlauben, VCN1 und unverschlüsselten Traffic zu erreichen, um VCN2 in OCI zu erreichen, beide von der Quelle in Microsoft Azure.

In realen Implementierungen ist die Option, nur IPSec-Datenverkehr auf einem Virtual Circuit zuzulassen, möglicherweise am besten für Kunden geeignet, die strenge Anforderungen haben, nur verschlüsselten Datenverkehr zuzulassen.

Bandbreite mit IPSec

IPSec-Tunnel verschlüsselt und entschlüsselt den Datenverkehr so schnell wie möglich, sind jedoch an Verschlüsselungsalgorithmenprotokolle gebunden, die von den beiden Endpunkten unterstützt werden, die die Tunnel aufbauen. Außerdem sind CPU-Zyklen zum Verschlüsseln/Entschlüsseln erforderlich, was wiederum die Menge an Datenverkehr begrenzt, der den Tunnel pro Sekunde passieren kann. Um dieses Limit pro Tunnel zu überwinden, können mehrere Tunnel erstellt und Equal Cost Multi-Pathing (ECMP) verwendet werden, das Pakete über mehrere Tunnel weiterleiten kann, wenn beide Enden ECMP unterstützen.

Hinweis: Ein einzelner Netzwerkstream verwendet nur einen Tunnel. Um ECMP nutzen zu können, müssen Sie die Last auf verschiedene Endpunkte/Ports verteilen, was normalerweise in der realen Welt der Fall ist. Mehrere Endpunkte auf der einen Seite verbinden sich mit mehreren Endpunkten auf der anderen Seite.

Detaillierte Netzwerkeinrichtung

Die folgende Abbildung zeigt das Netzwerksetup in Microsoft Azure und OCI. Die Microsoft Azure-Seite besteht aus einem normalen Hub/Spoke-Setup, bei dem sich die Netzwerkgateways im Hub vNet befinden und mit Spoke vNET (hier azure-vNET) abgeglichen werden, die bei diesen Tests als Quelle fungieren. Auf OCI-Seite erfordert das Setup mit IPSec über OCI FastConnect, dass separate Routentabellen für Virtual Circuit und IPSec-Anhang erstellt werden.

Verkehrsfluss

Um nur verschlüsselten Traffic zwischen Microsoft Azure vNET und VCN1 zuzulassen und unverschlüsselten Traffic zu VCN2 zuzulassen, haben wir separate Routentabellen für VCN1 und VCN2 in OCI und:

• Setzen Sie den VCN1-CIDR-Block nur in den IPSec-Anhang.
• Advertisement von VCN2-CIDR-Block nur an Virtual Circuit-Anhang.

Der Verkehrswert wird in der folgenden Abbildung dargestellt.

Voraussetzungen

• Zugriff auf den Microsoft Azure-Mandanten in einer der oben genannten Regionen.

• Zugriff auf OCI-Mandanten in derselben Region wie Microsoft Azure.

• Richtiges Zugriffsrecht zum Erstellen von Tunneln ExpressRoutes und IPSec in Microsoft Azure.

• Richtiges Zugriffsrecht zum Erstellen von FastConnect- und Site-to-Site-VPN-Verbindungen in OCI.

• Dieses Tutorial ist nicht für Anfänger gedacht, daher sind Erfahrung/Fähigkeiten beim Erstellen von VPN-Tunneln und Microsoft Azure ExpressRoute erforderlich.

• Als Ausgangspunkt nehmen wir an, dass die Netzwerkeinrichtung bereits erfolgt ist, wie in der folgenden Abbildung gezeigt.

  

Aufgabe 1: Vorbereitung

Hier sind einige Informationen, die gut zu wissen sind, wenn Vorbereitung Setup.

Microsoft Azure ExpressRoute-Gateway

Wir haben Ultra-Performance-SKU verwendet, da wir FastPath aktivieren wollten, um die Netzwerklatenz zwischen Microsoft Azure und OCI zu minimieren, und wir eine Bandbreite von mindestens 5Gbps benötigen. Informationen zu Unterschieden zwischen SKUs von ExpressRoute-Gateways finden Sie unter https://learn.microsoft.com/en-us/azure/expressroute/expressroute-about-virtual-network-gateways.

Microsoft Azure-VPN-Gateway

Wir haben eine VPN-Gateway-SKU ausgewählt, die den Traffic verarbeiten kann, den wir durchschieben möchten. VpnGw4 unterstützt den Durchsatz von 5Gbps, und der bereitgestellte Interconnect-Virtual Circuit ist ebenfalls 5Gbps. Weitere Informationen finden Sie unter VPN-Gateway-SKUs. Wenn es um VPN-Gateway geht, ist es wichtig, private IP zu aktivieren. Es war nicht möglich, private IP während der Bereitstellung aus dem Microsoft Azure-Portal zu aktivieren. Daher musste zuerst ein VPN-Gateway mit öffentlicher IP erstellt und dann nach der Bereitstellung private IPs aktiviert werden.

In OCI müssen die Anhänge VCN1 und VCN2 unterschiedliche Routentabellen verwenden.

Das Setup sollte in dieser Phase wie folgt aussehen.

Aufgabe 2: Routentabellen erstellen und Routenverteilungen importieren

Erstellen Sie diese Routentabellen, und importieren Sie Routenverteilungen. Halten Sie sie alle leer.

1. Navigieren Sie zur OCI-Konsole, navigieren Sie zu Networking, Kundenkonnektivität, dynamisches Routinggateway, DRG, und klicken Sie auf Ihr DRG.

2. Erstellen Sie die folgenden Routentabellen, und importieren Sie Routenverteilungen.

   • VCN1-Routentabelle.
   • VCN2-Routentabelle.
   • Routentabelle für Virtual Circuit.
   • Routentabelle IPSec.
   • VCN1 Importrouten.
   • VCN2 Importrouten.
   • Importrouten für Virtual Circuit.
   • IPSec Importrouten.

   Lassen Sie alle Routentabellen leer, und importieren Sie Routenverteilungen.

Aufgabe 3: Importroutenverteilung jeder Routentabelle korrigieren

Klicken Sie auf die Namen der Routentabelle, Bearbeiten, wählen Sie Importroutenverteilung aktivieren aus, und klicken Sie auf das Dropdown-Menü, um die korrekte Importroutenverteilung auszuwählen. Für VCN1 aktivieren wir auch ECMP.

Nach der Bearbeitung sollte die Zuweisung wie folgt aussehen:

Aufgabe 4: Oracle Interconnect for Azure erstellen

Befolgen Sie diese Dokumentation: Verbindung einrichten.

Eine Ausnahme ist, dass in der Dokumentation nicht die neuen Funktionen erläutert werden, mit denen nur IPSec-Traffic zugelassen oder der gesamte Traffic zugelassen wird.

Da wir in diesem Tutorial sowohl verschlüsselten als auch unverschlüsselten Datenverkehr auf dem Virtual Circuit zulassen möchten, müssen wir Gesamter Datenverkehr auswählen, der Rest ist gleich.

Aufgabe 5: Routentabellen für OCI FastConnect und VCNs angeben

Da standardmäßig die automatisch generierten Routentabellen für jeden Anhang verwendet werden, müssen Sie diese in die von uns erstellten Routentabellen ändern.

Anhangsname	DRG-Routentabelle
FastConnect VC-Anhang	Virtual-Circuit-Routentabelle
VCN1-Anhang	VCN1-Routentabelle
VCN2-Anhang	VCN2-Routentabelle

Dazu müssen die Anhänge bearbeitet werden. Klicken Sie auf jeden Anhang, Bearbeiten und Erweiterte Optionen anzeigen, und wählen Sie dann die DRG-Routentabelle für jeden Anhang aus.

Das VCN sollte wie folgt aussehen:

Der Virtual Circuit sollte wie folgt aussehen:

Aufgabe 6: IPSec-VPN-Tunnel erstellen

OCI Site-to-Site-VPN-Verbindung verwendet eine IP-Adresse am Remote-End (Customer-Premises Equipment (CPE) aus OCI-Perspektive) und verwendet eine IP-Adresse pro Tunnel am OCI-Head-End. Für die Border Gateway Protocol (BGP)-Session müssen wir das Setup ein wenig optimieren, um beide Tunnel für jede der vier VPN-Verbindungen zu verwenden, die wir einrichten werden.

1. Rufen Sie die private IP-Adresse des Microsoft Azure Virtual Network Gateway (VNG) VPN ab.

   Um die private IP für das VPN-Gateway auf Microsoft Azure-Seite anzuzeigen, müssen Sie auf Weitere Informationen klicken. Dies wird verwendet, um das VPN auf Microsoft Azure-Seite zu beenden.

   

   Daraufhin wird eine private IP-Adresse angezeigt.

   

2. Erstellen Sie eine BGP-IP in Microsoft Azure VNG.

   Erstellen Sie eine benutzerdefinierte APIPA-BGP-IP 4x am Microsoft Azure-VPN-Gateway, eine für jede VPN-Verbindung von OCI-Seite.

   

3. CPE-Gerät in OCI erstellen. Jetzt kennen wir die private CPE-IP auf der Microsoft Azure-Site, die für alle VPN-Tunnel verwendet wird. Wir erstellen eine virtuelle Darstellung des CPE-Geräts in Microsoft Azure in OCI mit der privaten IP und müssen IPSec über FastConnect zulassen aktivieren. Um dies zu aktivieren, gehen Sie zu Networking, Kundenkonnektivität, und klicken Sie auf Customer-Premise-Equipment.

   

4. Erstellen Sie ein Site-to-Site-VPN in OCI.

   Gehen Sie zu Networking, Kundenkonnektivität, Site-to-Site-VPN, und klicken Sie auf IPSec-Verbindung erstellen.

   Da wir IPSec über OCI FastConnect im CPE aktiviert haben, werden neue Optionen angezeigt, die wir angeben müssen.

   • Oracle-Head-End-IP (separate IP für jeden Tunnel, siehe folgende Tabelle für dieses Setup).
   • Verknüpfter Virtual Circuit (dieselbe für alle Tunnel).
   • Routentabelle für IPSec-Tunnel (dieselbe Tabelle für alle Tunnel in diesem Beispiel).

   

   Wir verwenden diese privaten Head-End-IPs auf OCI-Seite beim Erstellen von IPSec-Tunneln.

   Azure-CPE-IP	VPN-Verbindungsname	OCI-Tunnelname	Private IP für OCI-Headend
   	VPN1	Tunnel1	192.168.1.1
   	VPN1	Tunnel2	192.168.1.2
   	VPN2	Tunnel3	192.168.1.3
   10.30.0.6	VPN2	Tunnel4	192.168.1.4
   	VPN3	Tunnel5	192.168.1.5
   	VPN3	Tunnel6	192.168.1.6
   	VPN4	Tunnel7	192.168.1.7
   	VPN4	Tunnel8	192.168.1.8

   Auf OCI-Seite wird die Konfiguration für das BGP-Setup verwendet:

   VPN-Verbindungsname	Tunnelname	Azure APIPA BGP IP	OCI APIPA BGP IP
   VPN1	Tunnel1	169.254.21.5/31	169.254.21.4/31
   VPN1	Tunnel2	169.254.21.5/30	169.254.21.6/30
   VPN2	Tunnel3	169.254.21.9/31	169.254.21.8/31
   VPN2	Tunnel4	169.254.21.9/30	169.254.21.10/30
   VPN3	Tunnel5	169.254.21.13/31	169.254.21.12/31
   VPN3	Tunnel6	169.254.21.13/30	169.254.21.14/30
   VPN4	Tunnel7	169.254.21.17/31	169.254.21.16/31
   VPN4	Tunnel8	169.254.21.17/30	169.254.21.18/30

   Um eine VPN-Verbindung zu Microsoft Azure herzustellen, verwenden Sie die Standarddokumentation, beginnend mit IPSec-Verbindung erstellen, und merken Sie sich das oben genannte spezielle Setup für IPSec über OCI FastConnect. Weitere Informationen finden Sie unter VPN-Verbindung zu Azure.

   Sie müssen dies für alle 4 VPN-Verbindungen (8 Tunnel) tun.

Aufgabe 7: Lokales Netzwerkgateway (LNG) in Microsoft Azure erstellen

LNG ist die virtuelle Darstellung des VPN-Endpunkts in OCI. Erstellen Sie 8 LNG mit den Parametern, wie in der folgenden Tabelle dargestellt.

Die Parameter für alle LNG werden in der Tabelle angezeigt. Beim Erstellen von LNG wurden diese Parameter verwendet (BGP-Einstellungen aktivieren).

Name	IP-Adresse des Endpunkts	AS-Nummer	BGP-Peer-IP-Adresse
OCI1	192.168.1.1	31.898	169.254.21.4
OCI2	192.168.1.2	31.898	169.254.21.6
OCI3	192.168.1.3	31.898	169.254.21.8
OCI4	192.168.1.4	31.898	169.254.21.10
OCI5	192.168.1.5	31.898	169.254.21.12
OCI6	192.168.1.6	31.898	169.254.21.14
OCI7	192.168.1.7	31.898	169.254.21.16
OCI8	192.168.1.8	31.898	169.254.21.18

Die folgende Abbildung zeigt eine visuelle Darstellung jeder VPN-Verbindung.

Aufgabe 8: Verbindung zwischen vng-VPN und jedem LNG in Microsoft Azure erstellen

1. Gehen Sie zur Seite Site-to-Site-VPN, und klicken Sie auf Anzeigen und Kopieren, um das Shared Secret (PSK) für jeden Tunnel von der OCI-Konsole zu kopieren.

   

2. Gehen Sie in Microsoft Azure zu vng-VPN, und erstellen Sie eine Verbindung zu jedem LNG.

   

3. Fügen Sie das Shared Secret für jede Verbindung in die Microsoft Azure-Konsole ein, und klicken Sie auf das Dropdown-Menü, um die richtige BGP-Adresse, VNG und das lokale Netzwerkgateway auszuwählen. Die in Aufgabe 6 verwendeten BGP-IPs.

   

   Danach sollten alle Tunnel innerhalb weniger Minuten hochgehen. In Microsoft Azure prüfen:

   

   In OCI prüfen:

   

Aufgabe 9: Verbindung testen

Jetzt ist es an der Zeit zu sehen, wie das funktioniert. Wir testen die Bandbreite von einer Microsoft Azure-VM zu VMs in OCI, 4x-VMs werden in einem VCN platziert, das nur IPSec-Traffic und eine VM in einem anderen VCN zulässt, die unverschlüsselten Traffic über Microsoft Azure ExpressRoute/OCI FastConnect zulassen.

VMs auf beiden Seiten verfügen über genügend Cores, um diese Netzwerkbandbreite zu verarbeiten. Wir werden das TCP-Protokoll als Testszenario verwenden, da die meisten Anwendungen dieses Protokoll verwenden.

We understand that network latency will impact bandwidth but since we wanted to capture the difference between with and without IPSec, it will not be noticeable. Ziel ist es hier nicht, die maximale Bandbreite zu zeigen, sondern zu verstehen, wie sich die IPSec-Verschlüsselung auf einem Interconnect im Vergleich zur Verwendung des Interconnects ohne Verschlüsselung auswirkt.

Der Grund für 4 VMs auf OCI-Seite für IPSec-Traffic ist, dass ein VPN-Tunnel den 5Gbps-Virtual Circuit, den wir für Interconnect haben, nicht durchlaufen kann. Daher verwenden wir ECMP, um den Traffic über verschiedene VPN-Tunnel zu verteilen. Dabei handelt es sich um Endpunkte, die jeweils unterschiedliche IPs und Ports haben, auf die er reagiert. Dies ist normalerweise auch in der realen Welt der Fall, viele Quellendpunkte sprechen mit vielen Zielendpunkten.

Für Bandbreitentests verwenden wir iperf3: https://iperf.fr/

Server auf OCI-Seite (Listening-Seite):

OCI VM1_a = $ iperf3 -s -p 5201
OCI VM1_b = $ iperf3 -s -p 5202
OCI VM1_c = $ iperf3 -s -p 5203
OCI VM1_d = $ iperf3 -s -p 5204
OCI VM2   = $ iperf3 -s -p 5201

Aufgabe 9.1: Bandbreite auf Virtual Circuit testen

Führen Sie den folgenden Befehl aus, um die maximale Bandbreite auf dem Virtual Circuit zu testen, von Microsoft Azure VM bis zu OCI VM2.

$ iperf3 -c <OCIVM2 IP> -p 5201
Summary output:
[ ID]   Interval         Transfer     Bitrate         Retr
[  6]   0.00-10.00  sec  6.13 GBytes  5.27 Gbits/sec  336296  sender
[  6]   0.00-10.04  sec  6.12 GBytes  5.24 Gbits/sec          receiver

Wir können sehen, dass wir die 5Gbps-Bandbreite für den Virtual Circuit verwendet haben und 5.24Gbps erreicht haben.

Test 9.2: Testen der kombinierten IPSec-Bandbreite mit ECMP

Führen Sie den folgenden Befehl aus, um die maximale Bandbreite auf IPSec-Tunneln zu testen, und zwar von Microsoft Azure VM bis zu 4x VMs auf OCI gleichzeitig.

$ iperf3 -c <OCIVM1_a IP> -p 5201 & iperf3 -c <OCIVM1_b IP> -p 5202 &
iperf3 -c <OCIVM1_c IP> -p 5203 & iperf3 -c <OCIVM1_d IP> -p 5204 &

Dies ist einer der Testläufe, die wir gemacht haben.

[ ID] Interval           Transfer     Bitrate         Retr
[  5]   0.00-10.00  sec  1.81 GBytes  1.56 Gbits/sec  4018   sender
[  5]   0.00-10.04  sec  1.81 GBytes  1.55 Gbits/sec         receiver

- - - - - - - - - - - - - - - - - - - - - - - - -
[ ID] Interval           Transfer     Bitrate         Retr
[  5]   0.00-10.00  sec  1.24 GBytes  1.07 Gbits/sec  32114  sender
[  5]   0.00-10.04  sec  1.24 GBytes  1.06 Gbits/sec         receiver

- - - - - - - - - - - - - - - - - - - - - - - - -
[ ID] Interval           Transfer     Bitrate         Retr
[  5]   0.00-10.00  sec  1.08 GBytes   931 Mbits/sec  1016   sender
[  5]   0.00-10.04  sec  1.08 GBytes   921 Mbits/sec         receiver

- - - - - - - - - - - - - - - - - - - - - - - - -
[ ID] Interval           Transfer     Bitrate         Retr
[  5]   0.00-10.00  sec  1.78 GBytes  1.53 Gbits/sec  63713  sender
[  5]   0.00-10.04  sec  1.78 GBytes  1.52 Gbits/sec         receiver

Zusammenfassung für diese Testläufe ist 5.05Gbps (1,55 + 1,06 + 0,92 + 1,52). Wenn wir einen Durchschnitt über die Testläufe nehmen, erhalten wir 4.51Gbps.

So können wir fast die gesamte Netzwerkbandbreite mit IPsec-Verschlüsselung über einen OCI-Virtual Circuit vom Typ FastConnect nutzen.

Aufgabe 9.3: Bandbreite mit einem IPSec-Tunnel testen

Es gibt Fälle, in denen ECMP nicht verwendet werden kann (nicht am anderen Ende unterstützt), sodass wir gemessen haben, welche Bandbreite wir aus nur einem IPSec-Tunnel herausholen können. Eine VM auf Microsoft Azure zu einer VM auf OCI.

In der Zusammenfassungstabelle wird eine ziemlich gute Netzwerkbandbreite für einen verschlüsselten IPSec-Tunnel angezeigt.

Wir haben nun gezeigt, dass Kunden, die den Netzwerkverkehr auf einem OCI-FastConnect-Link mit der IPSec-Verschlüsselung verschlüsseln möchten, mehrere VPN-Tunnel nutzen und die Gesamtbandbreite für den IPSec-Datenverkehr über nur einen VPN-Tunnel hinaus erhöhen können, wobei fast die gleiche Gesamtbandbreite wie der zugrunde liegende Virtual Circuit erhalten wird.

Verwandte Links

• Site-to-Site-VPN - Überblick

• Oracle Interconnect for Azure

• FastConnect - Sicherheit

Bestätigungen

• Autoren – Luis Catalán Hernández (OCI Cloud Network Specialist and Multi Cloud), Par Kansala (OCI Cloud Network Specialist and Multi Cloud), Sachin Sharma (OCI Cloud Network Specialist)

Weitere Lernressourcen

Sehen Sie sich weitere Übungen zu docs.oracle.com/learn an, oder greifen Sie auf weitere kostenlose Lerninhalte im Oracle Learning YouTube-Kanal zu. Besuchen Sie außerdem education.oracle.com/learning-explorer, um ein Oracle Learning Explorer zu werden.

Die Produktdokumentation finden Sie im Oracle Help Center.

---

Titel und Copyright-Informationen

Maximize IPSec Bandwidth using Oracle Interconnect for Microsoft Azure

G34139-01

Copyright ©2025, Oracle and/or its affiliates.