Configuración de CPE
Este tema está pensado para ingenieros de redes. Se explica cómo configurar el dispositivo local (el equipo local de cliente o CPE) en el extremo local de la VPN de sitio a sitio para que el tráfico pueda fluir entre una red local y una red de nube virtual (VCN). Consulte estos temas relacionados:
- Networking: para obtener información general sobre las partes de una VCN
- VPN de sitio a sitio: para consultar varios temas sobre las VPN con IPSec
- Dispositivos CPE verificados: obtención de una lista de dispositivos CPE verificados por Oracle
En las siguientes figuras se muestra el diseño básico de las conexiones IPSec de VPN de sitio a sitio mediante Internet. IPSec sobre FastConnect es similar, pero el tráfico solo atraviesa un circuito virtual privado.
Requisitos
Estos son los requisitos y requisitos previos que deben tenerse en consideración antes de avanzar.
Consideraciones sobre el enrutamiento
Para obtener detalles importantes sobre el enrutamiento para la VPN de sitio a página, consulte Enrutamiento para la VPN de sitio a página.
Si utiliza el enrutamiento dinámico BGP con una VPN de sitio a sitio, puede configurar un enrutamiento para que Oracle prefiera un túnel sobre el otro.
Para utilizar IPSec sobre FastConnect, no puede actualizar un objeto CPE para agregar esa funcionalidad. En su lugar, el soporte debe establecerse en la configuración inicial del CPE. Tampoco puede hacer que los túneles IPSec y los circuitos virtuales para esta conexión utilicen las mismas tablas de rutas de DRG.
Tenga en cuenta que la configuración basada en políticas de Cisco ASA utiliza un único túnel.
Creación de componentes de la red en la nube
Usted o alguien de su organización ya deben haber utilizado la consola de Oracle para crear una VCN y una conexión IPSec, que consta de dos o más túneles IPSec para redundancia. Debe recopilar la siguiente información sobre dichos componentes:
- OCID de VCN: el OCID de VCN es un identificador único de Oracle Cloud Infrastructure que tiene un UUID en el extremo. Puede utilizar este UUID o cualquier otra cadena que le ayude a identificar esta VCN en la configuración del dispositivo y no entre en conflicto con otros nombres de grupos de objetos o listas de acceso.
- CIDR de VCN
- Máscara de subred CIDR de VCN
-
Para cada túnel de IPSec:
- La dirección IP del punto final del túnel IPSec de Oracle (la cabecera de VPN)
- Secreto compartido
Información sobre el dispositivo CPE local
También necesita información básica sobre las interfaces internas y externas del dispositivo local (CPE). Para obtener una lista de la información necesaria para un CPE concreto, consulte los enlaces de esta lista: Dispositivos CPE verificado.
Por defecto, NAT-T está activado en todos los túneles IPSec de VPN del sitio al sitio. Se recomienda dejar NAT-T activado al configurar la VPN de sitio a sitio en OCI.
Si el CPE está detrás de un dispositivo NAT, puede proporcionar a Oracle el identificador IKE del CPE. Para obtener más información, consulte Visión general de los componentes de la VPN de sitio a sitio.
Una única IP pública de objeto CPE puede tener hasta 8 conexiones IPSec.
Basado en rutas comparado con IPSec Basado en políticas
Los extremos de VPN de Oracle utilizan túneles basados en rutas, pero pueden funcionar con túneles basados en políticas con algunas advertencias. Consulte Dominios de cifrado para túneles basados en políticas para obtener todos los detalles.
Mejores prácticas de VPN de sitio a sitio
- Configurar todos los túneles para cada conexión de IPSec: Oracle despliega varias cabeceras de IPSec para que las conexiones proporcionen una alta disponibilidad para la carga de trabajo crítica. La configuración de todos los túneles disponibles es una parte clave de la filosofía "Diseño para fallos". (Excepción: Configuración basada en políticas de Cisco ASA, que utiliza un único túnel).
- Disponer de CPE redundantes en ubicaciones locales: recomendamos que cada sitio que se conecte con IPSec a Oracle Cloud Infrastructure tenga dispositivos CPE redundantes. Agregue cada CPE a la consola de Oracle Cloud Infrastructure y cree una conexión IPSec independiente entre un gateway de direccionamiento dinámico (DRG) y cada CPE. Para cada conexión de IPSec, Oracle aprovisiona dos túneles en las cabeceras de IPSec geográficamente redundantes. Oracle puede utilizar cualquier túnel que esté "activo" para enviar tráfico de vuelta a una red local. Para obtener más información, consulte Enrutamiento de la VPN de sitio a sitio.
-
Considere las rutas agregadas de copia de seguridad: si tiene varios sitios conectados mediante una VPN de sitio a sitio a Oracle Cloud Infrastructure y esos sitios están conectados a enrutadores de eje central locales, considere la posibilidad de configurar las rutas de conexión IPSec con la ruta agregada del sitio local y una ruta por defecto.
Observe que las rutas del DRG conocidas desde las conexiones de IPSec solo las utiliza el tráfico que enruta desde una VCN al DRG. La ruta predeterminada sólo la utiliza el tráfico enviado al DRG cuya dirección IP de destino No coincide con las rutas más específicas de ninguno de los túneles.
Confirmación del estado de la conexión
Después de configurar la conexión IPSec, puede probar la conexión creando una instancia informática en la VCN y, a continuación, haciendo ping con ella desde la red local. Para obtener información sobre la creación de una instancia informática, consulte Inicio de una instancia. Para hacer ping en la instancia, las reglas de seguridad de la VCN deben permitir el tráfico de ping.
Puede consultar el estado de los túneles IPSec en la API o la consola. Para obtener instrucciones, consulte Obtención de detalles de un túnel IPSec.
Configuraciones de dispositivo
Para ver enlaces a la información de configuración específica para cada dispositivo CPE verificado, consulte Dispositivos CPE verificados.