Documentación de Oracle Cloud Infrastructure

Check Point: basado en rutas

Este tema proporciona una configuración basada en rutas para Check Point CloudGuard. Se validaron las instrucciones con Check Point CloudGuard versión R80.20.

Importante

Oracle proporciona instrucciones de configuración para un conjunto probado de proveedores y dispositivos. Utilice la configuración correcta para su proveedor y versión de software.

Si el dispositivo o la versión de software que Oracle utiliza para verificar que la configuración no coincide exactamente con el dispositivo o el software, puede que aún pueda crear la configuración necesaria en el dispositivo. Consulte la documentación del proveedor y realice los ajustes necesarios.

Si el dispositivo es para un proveedor que no está en la lista de proveedores y dispositivos verificados o si ya está familiarizado con la configuración del dispositivo para IPSec, consulte la lista de parámetros admitidos de IPSec y consulte la documentación del proveedor para obtener ayuda.

Este tema cubre la configuración basada en rutas (basada en VTI). Si en su lugar desea la configuración basada en políticas, consulte Check Point: basado en políticas. El enrutamiento basado en políticas se menciona de pasada en este artículo, pero le aconsejamos que conozca ambos métodos.

Se requiere experiencia con Check Point. Este tema no incluye cómo agregar el gateway de seguridad de Check Point CloudGuard al gestor de seguridad de Check Point CloudGuard. Para obtener más información sobre el uso de Check Point, consulte la documentación de Check Point.

Importante

Oracle proporciona instrucciones de configuración para un conjunto probado de proveedores y dispositivos. Utilice la configuración correcta para su proveedor y versión de software.

Si el dispositivo o la versión de software que Oracle utiliza para verificar que la configuración no coincide exactamente con el dispositivo o el software, puede que aún pueda crear la configuración necesaria en el dispositivo. Consulte la documentación del proveedor y realice los ajustes necesarios.

Si el dispositivo es para un proveedor que no está en la lista de proveedores y dispositivos verificados o si ya está familiarizado con la configuración del dispositivo para IPSec, consulte la lista de parámetros admitidos de IPSec y consulte la documentación del proveedor para obtener ayuda.

Oracle Cloud Infrastructure ofrece una VPN de sitio a sitio, una conexión IPSec segura entre la red local y una red virtual en la nube (VCN).

El siguiente diagrama muestra una conexión básica de IPSec con Oracle Cloud Infrastructure con túneles redundantes. Las direcciones IP utilizadas en este diagrama solo tienen como finalidad mostrase como ejemplos.

En esta imagen se resume el diseño general de su red local, los túneles de IPSec de VPN Connect y la VCN.

Mejores prácticas

En esta sección se tratan las mejores prácticas y consideraciones generales para utilizar la VPN de sitio a sitio.

Configuración de todos los túneles para cada conexión de IPSec

Oracle despliega dos extremos de IPSec para cada una de las conexiones para proporcionar una alta disponibilidad para las cargas de trabajo críticas. En el lado de Oracle, estos dos extremos están en enrutadores diferentes para fines de redundancia. Oracle recomienda configurar todos los túneles disponibles para obtener la máxima redundancia. Esta es una parte clave de la filosofía "Diseño para fallo".

Disponibilidad de CPE redundantes en las ubicaciones de redes locales

Cada una de las direcciones que se conectan con IPSec a Oracle Cloud Infrastructure debe tener dispositivos de perímetro redundantes (también conocidos como "equipos locales de cliente" [CPE]). Agregue cada CPE a la consola de Oracle y cree una conexión de IPSec independiente entre el gateway de direccionamiento dinámico (DRG) y cada CPE. Para cada conexión de IPSec, Oracle aprovisiona dos túneles en las cabeceras de IPSec geográficamente redundantes. Para obtener más información, consulte la Guía de redundancia de conectividad (PDF).

Consideraciones del protocolo de enrutamiento

Al crear una conexión IPSec de VPN de sitio a sitio, esta tiene dos túneles de IPSec redundantes. Oracle le recomienda configurar su CPE para que utilice ambos túneles (si su CPE lo admite). En el pasado Oracle creaba conexiones IPSec con hasta cuatro túneles de IPSec.

Los tres tipos siguientes de enrutamiento están disponibles y puede seleccionar el tipo de enrutamiento por separado para cada túnel de la VPN de sitio a sitio:

  • Enrutamiento dinámico de BGP: las rutas disponibles se aprenden de forma dinámica mediante BGP. DRG aprende de forma dinámica las rutas de su red local. En el lado de Oracle, DRG anuncia las subredes de la VCN.
  • Enrutamiento estático: al configurar la conexión de IPSec con DRG, debe especificar las rutas específicas a la red local de la que desea que se conozca la VCN. También debe configurar su dispositivo CPE con rutas estáticas a las subredes de la VCN. Estas rutas no se aprenden dinámicamente.
  • Enrutamiento basado en política: al configurar la conexión IPSec al DRG, debe especificar las rutas específicas a la red local que desea que conozca la VCN. También debe configurar su dispositivo CPE con rutas estáticas a las subredes de la VCN. Estas rutas no se aprenden dinámicamente.

Para obtener más información sobre el enrutamiento con la VPN de sitio a sitio, incluidas las recomendaciones de Oracle sobre cómo manipular el algoritmo de selección de la mejor ruta de acceso de BGP, consulte Enrutamiento de la VPN de sitio a sitio.

Otras configuraciones importantes de CPE

Asegúrese de que las listas de acceso de su CPE estén configuradas correctamente para no bloquear el tráfico necesario desde o hasta Oracle Cloud Infrastructure.

Si tiene varios túneles activos simultáneamente, puede que experimente un enrutamiento asimétrico. Para permitir el enrutamiento asimétrico, asegúrese de que su CPE esté configurado para gestionar el tráfico que procede de su VCN en cualquiera de los túneles. Por ejemplo, debe desactivar la inspección ICMP y configurar la omisión del estado TCP. Para obtener más información sobre la configuración adecuada, póngase en contacto con el soporte del proveedor de CPE. Para configurar el enrutamiento para que sea simétrico, consulte Enrutamiento de la VPN de sitio a sitio.

Advertencias y limitaciones

En esta sección se tratan las características y las limitaciones importantes generales de la VPN de sitio a sitio que deben tenerse en cuenta.

Consulte la sección Límites de servicio para obtener una lista de límites aplicables e instrucciones para solicitar un aumento del límite.

Enrutamiento asimétrico

Oracle utiliza el enrutamiento asimétrico en varios túneles que forman la conexión de IPSec. Configure los firewalls según corresponda. De lo contrario, las pruebas de ping o el tráfico de aplicaciones a través de la conexión no funcionan de forma fiable.

Cuando utilice varios túneles a Oracle Cloud Infrastructure, Oracle recomienda configurar el enrutamiento para direccionar de forma determinista el tráfico a través del túnel preferido. Si desea utilizar un túnel de IPSec como principal y otro como de copia de seguridad, configure más rutas específicas para el túnel principal (BGP) y rutas menos específicas (resumen o ruta predeterminada) para el túnel de copia de seguridad (BGP/estático). De lo contrario, si da a conocer la misma ruta (por ejemplo, una ruta por defecto) a través de todos los túneles, devolverá el tráfico de su VCN a sus rutas de red locales a cualquiera de los túneles disponibles. Esto se debe a que Oracle utiliza el enrutamiento asimétrico.

Para obtener recomendaciones específicas de enrutamiento de Oracle sobre cómo forzar un enrutamiento simétrico, consulte Enrutamiento de la VPN de sitio a sitio.

Conexión IPSec basada en rutas o en políticas

El protocolo IPSec utiliza asociaciones de seguridad (SA) para determinar cómo cifrar paquetes. Dentro de cada SA, se definen dominios de cifrado para asignar el tipo de protocolo y la dirección IP de origen y destino de un paquete a una entrada de la base de datos de SA para definir cómo cifrar o descifrar un paquete.

Nota

Otros proveedores o documentación del sector pueden utilizar el término ID de servidor proxy, índice de parámetros de seguridad (SPI) o selector de tráfico al hacer referencia a dominios de cifrado o SA.

Existen dos métodos generales para implantar túneles de IPSec:

  • Túneles basados en rutas: también denominados túneles basados en el próximo salto. Se realiza una consulta de tabla de rutas en la dirección IP de destino de un paquete. Si la interfaz de salida de esa ruta es un túnel de IPSec, el paquete se cifra y se envía al otro extremo del túnel.
  • Túneles basados en políticas: la dirección IP de origen y de destino del paquete coincide con una lista de sentencias de política. Si se encuentra una coincidencia, el paquete se cifra según las reglas de esa sentencia de política.

Los extremos de la VPN de sitio a sitio de Oracle utilizan túneles basados en rutas, pero pueden trabajar con túneles basados en políticas con algunas advertencias que se enumeran en las siguientes secciones.

Dominio de cifrado para túneles basados en rutas

Si su CPE admite túneles basados en rutas, utilice ese método para configurar el túnel. Es la configuración más simple con la mayor interoperabilidad con el encabezado de VPN de Oracle.

IPSec basado en rutas utiliza un dominio de cifrado con los siguientes valores:

  • Dirección IP de origen: cualquiera (0.0.0.0/0)
  • Dirección IP de destino: cualquiera (0.0.0.0/0)
  • Protocolo: IPv4

Si necesita ser más específico, puede utilizar una única ruta de resumen para los valores de dominio de cifrado en lugar de una ruta predeterminada.

Dominio de cifrado para túneles basados en políticas

Al utilizar túneles basados en políticas, cada entrada de política (un bloque de CIDR en un lado de la conexión IPSec) que defina genera una asociación de seguridad (SA) IPSec con cada entrada elegible en el otro extremo del túnel. Este par se conoce como dominio de cifrado.

En este diagrama, el extremo de Oracle DRG del túnel IPSec tiene entradas de política para tres bloques de CIDR IPv4 y un bloque de CIDR IPv6. El extremo de CPE local del túnel tiene entradas de política con dos bloques de CIDR IPv4 y dos bloques de CIDR IPv6. Cada entrada genera un dominio de cifrado con todas las entradas posibles en el otro extremo del túnel. Ambos lados de un par de SA deben usar la misma versión de IP. El resultado es un total de ocho dominios de cifrado.

Diagrama que muestra varios dominios de cifrado y cómo determinar su número.
Importante

Si su CPE solo soporta túneles basados en políticas, tenga en cuenta las siguientes restricciones.

  • La VPN de sitio a sitio soporta varios dominios de cifrado, pero tiene un límite superior de 50 dominios de cifrado.
  • Si tuviera una situación similar al ejemplo anterior y solo configurara tres de los seis posibles dominios de cifrado IPv4 en el lado del CPE, el enlace se mostraría en el estado "Activo parcial", ya que todos los posibles dominios de cifrado siempre se crean en el lado del DRG.
  • El enrutamiento basado en políticas depende de la VPN de sitio a sitio v2. Consulte la sección sobre el servicio VPN de sitio a sitio actualizado para obtener más información sobre la VPN de sitio a sitio v2.
  • En función de cuándo se haya creado el túnel, es posible que no pueda editar un túnel existente para utilizar el enrutamiento basado en políticas y que necesite sustituir el túnel por un nuevo túnel IPSec.
  • Los bloques de CIDR que se utilizan en el extremo de Oracle DRG del túnel no pueden solapar los bloques de CIDR que se utilizan en el extremo del CPE local del túnel.
  • Debe haber siempre un dominio de cifrado entre dos bloques de CIDR de la misma versión IP.

Si su CPE está detrás de un dispositivo NAT

En general, el identificador IKE de CPE configurado al final de la conexión debe coincidir con el identificador IKE de CPE que utiliza Oracle. De forma predeterminada, Oracle utiliza la dirección IP pública de CPE, que se proporciona al crear el objeto CPE en la consola de Oracle. Sin embargo, si su CPE está detrás de un dispositivo NAT, el identificador IKE de CPE configurado en su extremo puede ser la dirección IP privada del CPE, como se muestra en el diagrama siguiente.

En esta imagen se muestra el CPE que se encuentra detrás de un dispositivo NAT, las direcciones IP públicas y privadas y el identificador IKE de CPE.
Nota

Algunas plataformas de CPE no permiten cambiar el identificador de IKE local. Si no puede, debe cambiar el ID de IKE remoto en la consola de Oracle para que coincida con el ID de IKE local de su CPE. Puede proporcionar el valor al configurar la conexión de IPSec o más tarde, editando la conexión de IPSec. Oracle espera que el valor sea una dirección IP o un nombre de dominio completo (FQDN), como cpe.example.com. Para obtener instrucciones, consulte Cambio del identificador IKE de CPE que Oracle utiliza.

Parámetros de IPSec admitidos

Para obtener una lista neutra de proveedores de los parámetros de IPSec admitidos para todas las regiones, consulte Parámetros de IPSec admitidos.

El ASN de BGP de Oracle para el dominio de nube comercial es 31898. Si configura la VPN de sitio a sitio para la nube del Gobierno de EE. UU., consulte Parámetros de VPN de sitio a sitio necesarios para Government Cloud y también ASN de BGP de Oracle. En el caso de la nube del Gobierno del Reino Unido, consulte ASN de BGP de Oracle.

Configuración de CPE (basada en rutas)

Importante

Oracle Cloud Infrastructure proporciona las instrucciones de configuración de esta sección para su CPE. Si necesita asistencia técnica o adicional, póngase en contacto con el soporte del proveedor de CPE directamente.

En la siguiente figura se muestra el diseño básico de la conexión de IPSec.

En esta imagen se resume el diseño general de la conexión y los túneles de IPSec.

Acerca del uso de IKEv2

Oracle admite la versión 1 (IKEv1) y la versión 2 (IKEv2) de Internet Key Exchange. Si configura la conexión IPSec en la consola para utilizar IKEv2, debe configurar el CPE para que utilice solo IKEv2 y los parámetros de cifrado de IKEv2 relacionados que admite el CPE. Para obtener una lista de los parámetros admitidos por Oracle para IKEv1 o IKEv2, consulte Parámetros de IPSec admitidos.

Si desea utilizar IKEv2, existe una variación de una de las tareas presentadas en la siguiente sección. En concreto, en la tarea 4, al configurar el cifrado, seleccione IKEv2 solo como método de cifrado.

Redundancia con BGP a través de IPSec

Para la redundancia, Oracle recomienda utilizar BGP en IPSec. De forma predeterminada, si tiene dos conexiones del mismo tipo (por ejemplo, dos VPN con IPSec que utilizan BGP) y anuncia las mismas rutas en ambas conexiones, Oracle prefiere la ruta más antigua establecida al responder a solicitudes o iniciar conexiones. Si desea forzar que el enrutamiento sea simétrico, Oracle recomienda utilizar la ruta de acceso BGP y AS precedida por sus rutas para influir en qué ruta de acceso utiliza Oracle al responder e iniciar conexiones. Para obtener más información, consulte Detalles de enrutamiento para conexiones a la red local.

Oracle DRG utiliza /30 o /31 como subredes para configurar direcciones IP en los túneles de interfaz. Recuerde que la dirección IP debe formar parte del dominio de cifrado de la VPN de sitio a sitio y debe estar permitida en la política del firewall para alcanzar la VPN del peer a través del túnel de la interfaz. Es posible que necesite implantar una ruta estática a través de la interfaz de túnel para la dirección IP del peer.

El ASN de BGP de Oracle para la nube comercial es 31898, excepto la región Serbia Central (Jovanovac), que es 14544. Si configura la VPN de sitio a sitio para Government Cloud, consulte Parámetros de VPN de sitio a sitio necesarios para Government Cloud y también ASN de BGP de Oracle.

Para su lado, puede usar un ASN privado. Los ASN privados están en el rango de 64512 a 65534.

Tarea 1: instalar VPN de sitio a sitio en el gateway de seguridad Check Point CloudGuard
Previo necesario: antes de iniciar, agregue el gateway de seguridad de Check Point CloudGuard al gestor de seguridad de Check Point CloudGuard. Además, establezca la comunicación interna segura (SIC) de modo que pueda configurar el túnel de IPSec mediante la consola inteligente de Check Point. Para obtener instrucciones sobre cómo agregar el gateway de seguridad a CloudGuard o para establecer la SIC, consulte la documentación sobre Check Point.
Esta imagen ilustra el previo necesario.

  1. Instale el módulo de VPN con IPSec. Oracle recomienda que también instale el módulo Monitoring para el análisis de tráfico.

    En esta imagen se muestra dónde activar el módulo de VPN con IPSec.

  2. Haga clic en Aceptar para guardar los cambios.
Tarea 2: crear la interfaz de VTI desde GAIA

En esta tarea, se configura una interfaz de VTI que transfiere tráfico mediante reglas de enrutamiento desde la interfaz de VTI hasta el túnel de IPSec recién creado.

  1. Conéctese al portal GAIA mediante la dirección IP pública o privada del gateway de Check Point CloudGuard.
  2. En el portal GAIA, seleccione la vista Avanzada.
  3. En Gestión de red, vaya a Interfaces de red.

  4. Haga clic en Agregar y, a continuación, en Túnel de VPN.

    Esta imagen muestra dónde se agrega un túnel de VPN en el portal GAIA.

  5. Especifique los siguientes elementos:

    • ID de túnel de VPN: número que se agregará a la interfaz de VTI denominada vpnt*, donde el asterisco es el número de ID de túnel de VPN especificado. Para el identificador de túnel de VPN = 1, la interfaz tiene la etiqueta vpnt1.

    • Peer: nombre del dispositivo interoperable creado anteriormente para el túnel de IPSec. En este caso, el nombre es OCI-VPN_BGP1.

      Importante

      Si el nombre que especifique aquí no coincide con el nombre del dispositivo interoperable, el tráfico no fluirá a través del túnel de IPSec.
    • Numerada: seleccione Numerada para crear una interfaz numerada.
    • Dirección local: dirección IP local especificada en la consola de Oracle como Interfaz de túnel interna - CPE.
    • Dirección remota: dirección IP remota especificada en la consola de Oracle como Interfaz de túnel interna - Oracle.
    Esta imagen muestra los parámetros de túnel de VPN que se deben configurar en el portal GAIA.

  6. Haga clic en OK.

  7. En Gestión de red, vaya a Rutas estáticas de IPv4.

  8. Especifique los siguientes elementos:

    • Ruta estática para la dirección IP de Oracle: agregue una dirección IP con la máscara/32 para la dirección IP remota especificada en la consola de Oracle como Interfaz de túnel interna - Oracle.
    • Rutas estáticas a las subredes de VCN: si está utilizando un enrutamiento estático para esta conexión de IPSec con Oracle, agregue al menos una subred para que se llegue a la VCN de Oracle a través del túnel de IPSec. En la siguiente captura de pantalla se muestra una ruta estática a 172.31.2.0/26. Si está utilizando BGP para esta conexión de IPSec con Oracle, omita este elemento porque las rutas se conocen a través de BGP (consulte la siguiente sección).
    Esta imagen muestra las rutas estáticas que se deben configurar en el portal GAIA.

    Ahora todo el tráfico con un destino específico conocido a partir de una ruta estática pasará por el túnel de IPSec recién creado.

  9. Obtenga las interfaces y verifique que el túnel de VPN está en la lista:

    1. En Smart Console, vaya a Gateways y servidores.
    2. Seleccione los Gateways de seguridad de Check Point y haga doble clic.

    3. En Propiedades generales, en la página Gestión de red, seleccione Obtener interfaces.

      La interfaz del túnel de VPN debe aparecer en la lista.

  10. Para forzar que una VPN basada en rutas tenga prioridad, cree un grupo vacío y asígnelo al dominio de la VPN:
    1. En la página Dominio de VPN, seleccione Definido manualmente y, a continuación, seleccione Crear grupo vacío.
    2. Haga clic en Nuevo, seleccione Grupo y, a continuación, Grupo simple.

    3. Introduzca un Nombre de objeto y, después, haga clic en Aceptar. No asigne ningún objeto a este grupo vacío.

      En esta imagen se muestra el grupo vacío para el dominio de VPN.
Tarea 3: crear un dispositivo interoperable

Más adelante, creará una comunidad de VPN. Antes de ello, debe crear un dispositivo interoperable que se utilizará en el gateway de seguridad de Check Point CloudGuard para definir el DRG de Oracle.

  1. Cree el nuevo dispositivo interoperable.

    En esta imagen, se muestra dónde crear un nuevo dispositivo interoperable.

  2. En la página Propiedades generales del nuevo dispositivo interoperable, agregue un nombre para identificar el túnel de IPSec. Introduzca la dirección IP que Oracle haya asignado al extremo del túnel de Oracle al crear la conexión de IPSec.

    En esta imagen, se muestra dónde configurar el dispositivo interoperable.

  3. Para forzar que la VPN basada en rutas tenga prioridad, debe crear un grupo vacío y asignarlo al dominio de la VPN. Para ello, en la página Topología, en la sección Dominio de VPN, seleccione Definido manualmente y, a continuación, seleccione el grupo vacío.

  4. En la página VPN con IPSec, puede agregar opcionalmente el nuevo dispositivo interoperable a una comunidad de VPN existente. Puede omitir este paso si aún no ha creado ninguna comunidad de VPN.

    Tenga en cuenta que omite la configuración del modo tradicional, ya que definirá todos los parámetros de fase 1 y fase 2 en la comunidad de VPN en un paso posterior. La comunidad de VPN aplica esos parámetros a todos los dispositivos interoperables que pertenecen a la comunidad de VPN.

    En esta imagen, se muestra dónde agregar el dispositivo interoperable a una comunidad de VPN.

  5. En la página Selección de enlaces, en Usar siempre esta dirección IP, seleccione Dirección principal, que es la dirección que ha especificado al crear el dispositivo interoperable. Si es necesario, puede utilizar una dirección IP específica que se utilizará como ID de IKE.

    En esta imagen, se muestra dónde especificar la dirección que se debe usar para el dispositivo interoperable.

  6. En la página VPN avanzada, seleccione Utilizar la configuración de comunidad, que aplica todas las opciones y los valores de la comunidad de VPN, incluidos los parámetros de fase 1 y fase 2.

    En esta imagen se muestra dónde especificar la configuración avanzada de VPN.
  7. Haga clic en Aceptar para guardar los cambios.
Tarea 4: crear una comunidad de VPN
  1. Vaya a Políticas de seguridad y, a continuación, en Herramientas de acceso, seleccione Comunidades de VPN.

  2. Cree una comunidad de estrella.

    En esta imagen se muestra dónde crear una comunidad de VPN.

  3. Para la comunidad de estrella, agregue un nombre.

  4. En la página Gateways, seleccione los valores de Gateways centrales y Gateways satélites. Esta comunidad de estrella actúa como plantilla de valores para los dispositivos interoperables que especifique en Gateways centrales y Gateways satélites.

    • Gateways centrales: para el gateway de seguridad de Check Point CloudGuard.
    • Gateways satélites: para el CPE que se conecta al DRG de Oracle para cada túnel de IPSec.
    En esta imagen se muestra dónde configurar los gateways para la comunidad de VPN.

  5. Para permitir el tráfico, vaya a Propiedades globales, VPN y, por último, Avanzadas.

    En esta imagen se muestra dónde encontrar las propiedades globales.
    En esta imagen se muestra dónde encontrar las propiedades avanzadas de VPN para permitir el tráfico.

  6. Seleccione Activar coincidencia direccional de VPN en columna de VPN. Posteriormente, creará una política de seguridad que utilice una condición de coincidencia direccional para permitir que el tráfico se transfiera según las reglas de enrutamiento.

  7. Haga clic en OK.

  8. En la página Cifrado, configure los parámetros de fase 1 y fase 2 que admite Oracle. Para obtener una lista de estos valores, consulte Parámetros de IPSec admitidos.

    Si está configurando la VPN de sitio a sitio para Government Cloud, consulte Parámetros de VPN de sitio a sitio necesarios para Government Cloud.

    Tenga en cuenta que, si desea utilizar IKEv2, para el Método de cifrado, debe seleccionar Solo IKEv2.

    En esta imagen se muestra dónde puede configurar los parámetros de la fase 1 y la fase 2.

  9. En la página Gestión de túneles, seleccione Definir túneles permanentes. Oracle recomienda que:

    • Seleccione En todos los túneles de la comunidad para mantener todos los túneles de IPSec de Oracle todo el tiempo.
    • En la sección Uso compartido de túneles VPN, seleccione Un túnel de VPN por par de gateway.

    La última opción genera solo un par de asociaciones de seguridad (SA) de IPSec y cada SA con un solo índice de parámetros de seguridad (SPI) (unidireccional).

    Al utilizar túneles basados en políticas, cada entrada de política genera un par de SA de IPSec (también denominado dominio de cifrado).

    Importante

    El extremo de VPN de Oracle puede soportar varios dominios de cifrado, pero existen limitaciones. Consulte Dominios de cifrado para túneles basados en políticas para obtener todos los detalles.

    Oracle crea una conexión IPSec basada en ruta, lo que significa que todo se enruta a través de un dominio de cifrado que tiene 0.0.0.0/0 (cualquiera) para el tráfico local y 0.0.0.0/0 (cualquiera) para el tráfico remoto. Para obtener más información, consulte Identificador de servidor proxy o dominio de cifrado admitidos.

    En esta imagen, se muestra dónde puede configurar las opciones de gestión de túneles.

  10. En la página Secreto compartido, seleccione Usar solo secreto compartido para todos los miembros externos y agregue el secreto compartido que ha generado Oracle para el túnel al crear la conexión de IPSec.

    Actualmente, Oracle solo admite claves secretas compartidas. Tenga en cuenta que puede cambiar el secreto compartido en la consola de Oracle.

    Esta imagen muestra dónde puede especificar el secreto compartido del túnel.
  11. Haga clic en Aceptar para guardar los cambios.
Tarea 5: crear una política de seguridad

  1. Vaya a Control de acceso y, a continuación, al separador Política. Cree políticas de seguridad específicas mediante la Condición de coincidencia direccional, que permite que el tráfico se transfiera según las tablas de rutas. Configure la condición con estos valores:

    • Internal_Clear > Comunidad de VPN creada
    • Comunidad de VPN creada > Comunidad de VPN creada
    • Comunidad de VPN creada > Internal_Clear

    En este caso, la Comunidad de VPN es OCI-DRG-BGP e Internal_Clear está predefinida por Check Point.

    Esta imagen muestra cómo configurar la condición de coincidencia direccional de la política de seguridad.
  2. Haga clic en Aceptar para guardar los cambios.

  3. Haga clic en Instalar política para aplicar la configuración.

    Esta imagen muestra dónde se debe hacer clic en Instalar política.
Tarea 6: activar BGP

Lleve a cabo los pasos siguientes para cada túnel.

  1. Vaya a Enrutamiento avanzado y, a continuación, a BGP.

  2. En Configuración global de BGP, haga clic en Cambiar configuración global y, a continuación, agregue un identificador de enrutador y un ASN local.

    Esta imagen muestra dónde cambiar la configuración global de BGP.
  3. Haga clic en Guardar.
Tarea 7: redistribuir rutas en BGP
  1. Vaya a Enrutamiento avanzado y, a continuación, a Distribución de ruta.

  2. Haga clic en Agregar redistribución de y, a continuación, seleccione Interfaz, que se utiliza para agregar todas las subredes conectadas.

    Esta imagen muestra dónde configurar la distribución de ruta.

  3. En el cuadro de diálogo Agregar redistribución desde interfaz, configure los siguientes elementos:

    • A protocolo: seleccione BGP AS 31898. El ASN de BGP de Oracle para la nube comercial es 31898, excepto la región Serbia Central (Jovanovac), que es 14544. Si configura la VPN de sitio a sitio para Government Cloud, consulte ASN de BGP de Oracle.
    • Interfaz: seleccione todas para anunciar todas las subredes conectadas.
    En esta imagen se muestra el cuadro de diálogo Agregar redistribución desde interfaz.
  4. Haga clic en Guardar.

Ahora la sesión BGP debe estar activa y anunciando subredes.

Verificación

El siguiente comando de CLI verifica los peers y el enrutamiento de BGP.

show bgp peers

El siguiente comando verifica que recibe rutas BGP.

show route bgp

El siguiente comando verifica las rutas que se anuncian. En este ejemplo, sustituya <remote_IP_address> por la dirección IP remota especificada en la consola de Oracle como Interfaz de túnel interna - Oracle.

show bgp peer <remote_IP_address> advertise

El siguiente comando verifica las rutas que se van a recibir.

show bgp peer <remote_IP_address> received

Utilice las opciones 2 y 4 del siguiente comando para verificar las asociaciones de seguridad (SA).


vpn tunnelutil


**********     Select Option     **********


(1)                List all IKE SAs
(2)              * List all IPsec SAs
(3)                List all IKE SAs for a given peer (GW) or user (Client)
(4)              * List all IPsec SAs for a given peer (GW) or user (Client)
(5)                Delete all IPsec SAs for a given peer (GW)
(6)                Delete all IPsec SAs for a given User (Client)
(7)                Delete all IPsec+IKE SAs for a given peer (GW)
(8)                Delete all IPsec+IKE SAs for a given User (Client)
(9)                Delete all IPsec SAs for ALL peers and users
(0)                Delete all IPsec+IKE SAs for ALL peers and users


* To list data for a specific CoreXL instance, append "-i <instance number>" to your selection.


(Q)               Quit


*******************************************

Un servicio de supervisión también está disponible en Oracle Cloud Infrastructure para supervisar de forma activa y pasiva los recursos en la nube. Para obtener información sobre cómo supervisar la VPN de sitio a sitio, consulte Métricas de VPN de sitio a sitio.

Si tiene alguna incidencia, consulte Solución de problemas de VPN de sitio a sitio.