Documentación de Oracle Cloud Infrastructure

Creación de una conexión IPSec

El servicio de VPN de sitio a sitio permite crear una conexión IPSec que contenga túneles IPSec que conecten de forma segura Oracle Cloud Infrastructure a una red local.

Antes de crear una conexión IPSec para la VPN de sitio a sitio, consulte Configuración de la VPN de sitio a sitio y planifique la VPN de sitio a sitio. Además, consulte Trabajar con una VPN de sitio a sitio.

  • Introduzca la información de conexión IPSec

    En esta sección se trata la información básica para la conexión IPSec. Las siguientes secciones cubren detalles que dependen de cuál de los tres tipos de enrutamiento selecciona para ese túnel.

    Puede pensar en un "objeto de conexión IPSec" como algo que contiene sus propios metadatos y la información de configuración de los túneles IPSec que contiene.

    1. En la página de lista VPN de sitio a sitio, seleccione Crear conexión IPSec. Si necesita ayuda para buscar la página de lista, consulte Listado de conexiones IPSec.
    2. Introduzca un nombre descriptivo para la conexión de IPSec. No tiene que ser único y puede cambiarlo más adelante. Evite introducir información confidencial.
    3. Seleccione un compartimento para la conexión IPSec. El compartimento por defecto es el que se utiliza más recientemente y es probable que sea el mismo compartimento que la VCN que contiene los recursos que desea poner a disposición de la red local.
    4. Seleccione el compartimento que contiene el objeto CPE que desea asociar a la conexión IPSec y, a continuación, seleccione el objeto CPE.
      Si configura IPSec en FastConnect, el CPE que seleccione debe tener una etiqueta que confirme que IPSec en FastConnect está activado para ese CPE. Se prefiere el enrutamiento BGP para las conexiones que utilizan IPSec en lugar de FastConnect.
    5. Si el CPE está detrás de un dispositivo NAT, seleccione la casilla de control adecuada.

      Si la casilla de control está seleccionada, proporcione la siguiente información:

      • Tipo de identificador IKE de CPE: seleccione el tipo de identificador que utiliza la transferencia de claves en Internet (IKE) para identificar el dispositivo CPE. Un FQDN o una dirección IPv4 pueden ser un identificador.
      • Identificador IKE de CPE: introduzca la información que IKE utiliza para identificar el dispositivo CPE. Oracle utiliza de manera predeterminada el IP público del CPE. Si el CPE está detrás de un dispositivo NAT, es posible que deba introducir un valor diferente. Puede introducir el nuevo valor aquí o cambiarlo más adelante.
    6. Seleccione el compartimento que contiene el DRG que desea asociar a la conexión IPSec y, a continuación, seleccione el DRG. Este DRG ya debe estar asociado a la VCN que desea que esté disponible para una red local.
    7. (Opcional) Si desea utilizar el enrutamiento estático para cualquiera de los túneles, introduzca al menos una ruta en el campo Rutas a la red local. De lo contrario, omita esta opción.
      Puede introducir hasta 10 rutas estáticas y, posteriormente, puede cambiar estas rutas estáticas si lo desea. Las rutas se corresponden con los CIDR de VCN con los que desea que se conecte la red local.

    A continuación, configure los dos túneles IPSec. Si el dispositivo CPE real solo admite un único túnel IPSec por conexión, la configuración del túnel 2 es opcional. La configuración de los túneles depende del método de enrutamiento que haya planificado utilizar, por lo que debe seleccionar la sección coincidente.

    Configuración de un túnel para el enrutamiento BGP

    Configuración de un túnel para el enrutamiento BGP

    Introduzca la siguiente información en la sección adecuada para el túnel 1 y el túnel 2.

    1. Introduzca un nombre descriptivo para el túnel. No tiene que ser único y puede cambiarlo más adelante. Evite introducir información confidencial.
    2. (Opcional) Seleccione la casilla de control e introduzca un secreto compartido personalizado.
      Por defecto, Oracle proporciona el secreto compartido para el túnel. Para proporcionarlo usted mismo, seleccione esta casilla de control e introduzca el secreto compartido. Puede cambiar el secreto compartido más tarde.
    3. Seleccione la versión del Intercambio de clave de Internet (IKE) que se utilizará para el túnel. Seleccione únicamente IKEv2 si su CPE lo admite. A continuación, también debe configurar el CPE para que utilice únicamente IKEv2 para este túnel.
    4. Seleccione Enrutamiento dinámico de BGP como tipo de enrutamiento.
    5. Si el CPE seleccionado anteriormente soporta IPSec sobre FastConnect, se necesita la siguiente configuración:
      • IP de cabecera de túnel de Oracle: introduzca la dirección IP del punto final de túnel IPSec de Oracle (la cabecera de VPN). Oracle da a conocer la IP de VPN como una ruta de host /32 mediante la sesión BGP FastConnect. Si alguna dirección se solapa con una ruta de VCN, esto tiene prioridad debido a la coincidencia de prefijo más larga.
      • Circuito virtual asociado: seleccione un circuito virtual que estaba activado para IPSec en FastConnect cuando se creó. El túnel se asigna al circuito virtual seleccionado y solo se puede acceder a la IP de cabecera definida desde el entorno local a través del circuito virtual asociado.
      • Tabla de rutas del DRG: seleccione o cree una tabla del DRG. Para evitar problemas con el enrutamiento recursivo, la asociación de circuito virtual y la asociación de túnel IPSec que se utilizan para IPSec en FastConnect deben utilizar diferentes tablas de rutas de DRG.
    6. Introduzca el ASN de BGP de la red local.
    7. Introduzca la dirección IPv4 de BGP con el identificador de subred (/30 o /31) para el extremo CPE del túnel (el identificador IPv4 para el fin CPE del túnel). Por ejemplo: 10.0.0.16/31. La dirección IP debe formar parte del dominio del cifrado de la VPN de sitio a sitio.
    8. Introduzca la dirección IPv4 de BGP con el identificador de subred (/30 o /31) para el extremo de Oracle del túnel (el identificador IPv4 para el extremo de Oracle del túnel). Por ejemplo: 10.0.0.17/31. La dirección IP debe formar parte del dominio del cifrado de la VPN de sitio a sitio.
    9. (Opcional) Si tiene previsto utilizar IPv6 e IPv4, seleccione Activar IPv6 e introduzca los siguientes detalles:
      • IPv6 Interfaz de túnel interna - CPE: introduzca la dirección IPv6 de BGP con el extremo de CPE (/126) para el extremo de CPE del túnel. Por ejemplo: 2001:db2::6/126. La dirección IP debe formar parte del dominio del cifrado de la VPN de sitio a sitio.
      • IPv6 Interfaz de túnel interna - Oracle: introduzca la dirección IP de BGP con el extremo de Oracle del túnel (/126) para el extremo del túnel. Por ejemplo: 2001:db2::7/126. La dirección IP debe formar parte del dominio del cifrado de la VPN de sitio a sitio.
    10. (Opcional) Si selecciona Mostrar opciones avanzadas, puede cambiar la siguiente configuración del túnel:
      • Iniciación de Oracle IKE: este valor indica si el final de Oracle de la conexión IPSec puede iniciar el túnel IPSec. El valor por defecto es Iniciador o responsable de respuesta. También puede definir el extremo de Oracle como un responsable de respuesta únicamente, lo que requeriría que el dispositivo CPE inicie el túnel de IPSec. Se recomienda dejar esta opción en la configuración por defecto.
      • NAT-T activado: este valor indica si el dispositivo CPE está detrás de un dispositivo NAT. El valor por defecto es Automático. Las demás opciones son Desactivado y Activado. Se recomienda dejar esta opción en la configuración por defecto.
      • Activar timeout de detección de pares inoperativos: al hacer clic En esta opción, puede comprobar periódicamente la estabilidad de la conexión al CPE y detectar que el CPE ha dejado de funcionar. Si selecciona esta opción, también puede seleccionar el intervalo más largo entre los mensajes de estado del dispositivo CPE antes de que la conexión IPSec indique que ha perdido el contacto con el CPE. El valor por defecto es de 20 segundos. Se recomienda dejar esta opción en la configuración por defecto.
    11. (Opcional) Si amplía la sección Configuración de fase uno (ISAKMP) y hace clic en Definir opciones personalizadas, puede definir los siguientes valores opcionales (debe seleccionar uno de cada opción):
      • Algoritmos de cifrado personalizados: puede elegir una de las opciones proporcionadas en el menú desplegable.
      • Algoritmos de autenticación personalizados: puede seleccionar entre las opciones proporcionadas en el menú desplegable.
      • Grupos de Diffie-Hellman: puede seleccionar entre las opciones proporcionadas en el menú desplegable.

      Si la casilla de control Definir configuraciones personalizadas no está seleccionada, se proponen los valores por defecto. Puede seleccionar IKE Session Key Lifetime in Seconds (Duración de clave de sesión IKE en segundos). El valor predeterminado es 28800, que es igual a 8 horas.

      Para comprender estas opciones con más detalle, incluidas las propuestas por defecto, consulte Parámetros IPSec soportados.

    12. Si amplía las opciones de Configuración de fase dos (IPSec) y hace clic en Definir opciones personalizadas, puede definir los siguientes valores opcionales para el túnel (debe seleccionar un algoritmo de cifrado):
      • Algoritmos de cifrado personalizados: puede elegir una de las opciones proporcionadas en el menú desplegable. Si selecciona un algoritmo de cifrado AES-CBC, también debe seleccionar un algoritmo de autenticación.
      • Algoritmos de autenticación personalizados: puede seleccionar entre las opciones proporcionadas en el menú desplegable. El algoritmo de cifrado que haya seleccionado podría tener autenticación incorporada, en cuyo caso no existe ninguna opción seleccionable.

      Si la casilla de control Definir configuraciones personalizadas no está seleccionada, se proponen los valores por defecto. Aún puede cambiar la siguiente configuración:

      • IPSec Duración de clave de sesión en segundos: el valor por defecto es 3600, que equivala a 1 hora.
      • Activar confidencialidad directa perfecta: por defecto, esta opción está activada. Permite seleccionar el grupo Diffie-Hellman de confidencialidad directa perfecta. Puede seleccionar entre las opciones proporcionadas en el menú desplegable. Si no realiza una selección, se propone GROUP5.

      Para todas las opciones de la segunda fase, si se selecciona una única opción, se sustituye el juego por defecto y es la única opción propuesta para el dispositivo CPE.

    13. En Túnel 2 puede utilizar las mismas opciones descritas para un túnel 1. También puede seleccionar diferentes opciones o decidir dejar el túnel sin configurar porque el dispositivo CPE solo admite un único túnel.
    14. Cuando haya terminado, seleccione Crear conexión IPSec.
    15. Copie la dirección IP de Oracle VPN y el secreto compartido para cada una de los túneles a un correo electrónico u otra ubicación, de modo que pueda entregarla al ingeniero que configura el dispositivo CPE.

      Puede ver la información de este túnel aquí en la consola en cualquier momento.

    La conexión de IPSec se crea y se muestra en la página. Tendrá el estado de aprovisionamiento durante un período corto.

    La información del túnel que se muestra incluye lo siguiente:

    • La dirección IPv4 o IPv6 de la VPN de Oracle (para el extremo de VPN de Oracle).
    • El estado de IPSec del túnel (los valores posibles son Activo, Inactivo e Inactivo por motivos de mantenimiento). En este punto, el estado es Inactivo. El ingeniero de redes debe configurar un dispositivo CPE antes de que se pueda establecer el túnel o los túneles.
    • Estado BGP del túnel. En este punto, el estado es Inactivo. El ingeniero de redes debe configurar el dispositivo CPE.

    Para ver el secreto compartido del túnel, seleccione el túnel para ver sus detalles y, a continuación, seleccione Mostrar junto a Secreto Compartido.

    También puede seleccionar el separador Detalles de fase para ver los detalles del primer fase (ISAKMP) y de la segunda fase (IPSec) del túnel.

    Ya ha creado todos los componentes necesarios para la VPN de sitio a sitio. A continuación, el ingeniero de redes local debe configurar el dispositivo CPE antes de que el tráfico de red pueda fluir entre la red local y una VCN.

    Para obtener más información, consulte Configuración de CPE.

    Configuración de un túnel para el enrutamiento estático

    Configuración de un túnel para el enrutamiento estático

    Nota

    Recomendamos utilizar conexiones IPSec basadas en rutas BGP para IPSec a través de FastConnect.

    Introduzca la siguiente información en la sección adecuada para el túnel 1 y el túnel 2.

    1. Introduzca un nombre descriptivo para el túnel. No tiene que ser único y puede cambiarlo más adelante. Evite introducir información confidencial.
    2. (Opcional) Seleccione la casilla de control e introduzca un secreto compartido personalizado.
      Por defecto, Oracle proporciona el secreto compartido para el túnel. Para proporcionarlo usted mismo, seleccione esta casilla de control e introduzca el secreto compartido. Puede cambiar el secreto compartido más tarde.
    3. Seleccione la versión del intercambio de clave de Internet (IKE) que se utilizará para el túnel. Seleccione únicamente IKEv2 si su CPE lo admite. A continuación, también debe configurar el CPE para que utilice únicamente IKEv2 para este túnel.
    4. Seleccione Enrutamiento estático como tipo de enrutamiento.
    5. Introduzca la dirección IPv4 de BGP con el identificador de subred (/30 o /31) para el extremo CPE del túnel (el identificador IPv4 para el fin CPE del túnel). Por ejemplo: 10.0.0.16/31. La dirección IP debe formar parte del dominio del cifrado de la VPN de sitio a sitio.
    6. Introduzca la dirección IPv4 de BGP con el identificador de subred (/30 o /31) para el extremo de Oracle del túnel (el identificador IPv4 para el extremo de Oracle del túnel). Por ejemplo: 10.0.0.17/31. La dirección IP debe formar parte del dominio del cifrado de la VPN de sitio a sitio.
    7. (Opcional) Si tiene previsto utilizar IPv6 e IPv4, seleccione Activar IPv6 e introduzca los siguientes detalles:
      • IPv6 Interfaz de túnel interna - CPE: introduzca la dirección IPv6 de BGP con el extremo de CPE (/126) para el extremo de CPE del túnel. Por ejemplo: 2001:db2::6/126. La dirección IP debe formar parte del dominio del cifrado de la VPN de sitio a sitio.
      • IPv6 Interfaz de túnel interna - Oracle: introduzca la dirección IP de BGP con el extremo de Oracle del túnel (/126) para el extremo del túnel. Por ejemplo: 2001:db2::7/126. La dirección IP debe formar parte del dominio del cifrado de la VPN de sitio a sitio.
    8. (Opcional) Si selecciona Mostrar opciones avanzadas, puede cambiar la siguiente configuración del túnel:
      • Iniciación de Oracle IKE: este valor indica si el final de Oracle de la conexión IPSec puede iniciar el túnel IPSec. El valor por defecto es Iniciador o responsable de respuesta. También puede definir el extremo de Oracle como un responsable de respuesta únicamente, lo que requeriría que el dispositivo CPE inicie el túnel de IPSec. Se recomienda dejar esta opción en la configuración por defecto.
      • NAT-T activado: este valor indica si el dispositivo CPE está detrás de un dispositivo NAT. El valor por defecto es Automático. Las demás opciones son Desactivado y Activado. Se recomienda dejar esta opción en la configuración por defecto.
      • Activar timeout de detección de pares inoperativos: al hacer clic En esta opción, puede comprobar periódicamente la estabilidad de la conexión al CPE y detectar que el CPE ha dejado de funcionar. Si selecciona esta opción, también puede seleccionar el intervalo más largo entre los mensajes de estado del dispositivo CPE antes de que la conexión IPSec indique que ha perdido el contacto con el CPE. El valor por defecto es de 20 segundos. Se recomienda dejar esta opción en la configuración por defecto.
    9. (Opcional) Si amplía la sección Configuración de fase uno (ISAKMP) y hace clic en Definir opciones personalizadas, puede definir los siguientes valores opcionales (debe seleccionar uno de cada opción):
      • Algoritmos de cifrado personalizados: puede elegir una de las opciones proporcionadas en el menú desplegable.
      • Algoritmos de autenticación personalizados: puede seleccionar entre las opciones proporcionadas en el menú desplegable.
      • Grupos de Diffie-Hellman: puede seleccionar entre las opciones proporcionadas en el menú desplegable.

      Si la casilla de control Definir configuraciones personalizadas no está seleccionada, se proponen los valores por defecto. Puede seleccionar IKE Session Key Lifetime in Seconds (Duración de clave de sesión IKE en segundos). El valor predeterminado es 28800, que es igual a 8 horas.

      Para comprender estas opciones con más detalle, incluidas las propuestas por defecto, consulte Parámetros IPSec soportados.

    10. Si amplía las opciones de Configuración de fase dos (IPSec) y hace clic en Definir opciones personalizadas, puede definir los siguientes valores opcionales para el túnel (debe seleccionar un algoritmo de cifrado):
      • Algoritmos de cifrado personalizados: puede elegir una de las opciones proporcionadas en el menú desplegable. Si selecciona un algoritmo de cifrado AES-CBC, también debe seleccionar un algoritmo de autenticación.
      • Algoritmos de autenticación personalizados: puede seleccionar entre las opciones proporcionadas en el menú desplegable. El algoritmo de cifrado que haya seleccionado podría tener autenticación incorporada, en cuyo caso no existe ninguna opción seleccionable.

      Si la casilla de control Definir configuraciones personalizadas no está seleccionada, se proponen los valores por defecto. Aún puede cambiar la siguiente configuración:

      • IPSec Duración de clave de sesión en segundos: el valor por defecto es 3600, que equivala a 1 hora.
      • Activar confidencialidad directa perfecta: por defecto, esta opción está activada. Permite seleccionar el grupo Diffie-Hellman de confidencialidad directa perfecta. Puede seleccionar entre las opciones proporcionadas en el menú desplegable. Si no realiza una selección, se propone GROUP5.

      Para todas las opciones de la segunda fase, si se selecciona una única opción, se sustituye el juego por defecto y es la única opción propuesta para el dispositivo CPE.

    11. En Túnel 2 puede utilizar las mismas opciones descritas para un túnel 1. También puede seleccionar diferentes opciones o decidir dejar el túnel sin configurar porque el dispositivo CPE solo admite un único túnel.
    12. Cuando haya terminado, seleccione Crear conexión IPSec.
    13. Copie la dirección IP de Oracle VPN y el secreto compartido para cada una de los túneles a un correo electrónico u otra ubicación, de modo que pueda entregarla al ingeniero que configura el dispositivo CPE.

      Puede ver la información de este túnel aquí en la consola en cualquier momento.

    La conexión de IPSec se crea y se muestra en la página. Tendrá el estado de aprovisionamiento durante un período corto.

    La información del túnel que se muestra incluye lo siguiente:

    • La dirección IP de la VPN de Oracle (para el encabezado de la VPN de Oracle).
    • El estado de IPSec del túnel (los valores posibles son Activo, Inactivo e Inactivo por motivos de mantenimiento). En este punto, el estado es Inactivo. Un ingeniero de redes aún debe configurar el dispositivo CPE.

    Para ver el secreto compartido del túnel, seleccione el túnel para ver sus detalles y, a continuación, seleccione Mostrar junto a Secreto Compartido.

    Ya ha creado todos los componentes necesarios para la VPN de sitio a sitio. A continuación, el ingeniero de redes local debe configurar el dispositivo CPE antes de que el tráfico de red pueda fluir entre la red local y una VCN.

    Para obtener más información, consulte Configuración de CPE.

    Configuración de un túnel para el enrutamiento basado en políticas

    Configuración de un túnel para el enrutamiento basado en políticas

    Nota

    Recomendamos utilizar conexiones IPSec basadas en rutas BGP para IPSec a través de FastConnect.
    Nota

    La opción del enrutamiento basado En Políticas no está disponible en todos los AD y puede necesitar que se cree un nuevo túnel de IPSec.

    Introduzca la siguiente información en la sección adecuada para el túnel 1 y el túnel 2.

    1. Introduzca un nombre descriptivo para el túnel. No tiene que ser único y puede cambiarlo más adelante. Evite introducir información confidencial.
    2. (Opcional) Seleccione la casilla de control e introduzca un secreto compartido personalizado.
      Por defecto, Oracle proporciona el secreto compartido para el túnel. Para proporcionarlo usted mismo, seleccione esta casilla de control e introduzca el secreto compartido. Puede cambiar el secreto compartido más tarde.
    3. Seleccione la versión del Intercambio de clave de Internet (IKE) que se utilizará para el túnel. Seleccione únicamente IKEv2 si su CPE lo admite. A continuación, también debe configurar el CPE para que utilice únicamente IKEv2 para este túnel.
    4. Seleccione Enrutamiento basado en políticas como tipo de enrutamiento.
    5. En la sección Asociaciones, introduzca información en los campos adecuados:
      • Bloques CIDR locales: puede proporcionar varios bloques de prefijos IPv4 CIDR o IPv6 utilizados por los recursos de la red local, con enrutamiento decidido por las políticas de dispositivos CPE.
        Nota

        Consulte Dominios de cifrado para túneles basados en políticas para conocer las limitaciones sobre cuántos bloques de prefijos IPv6 o de CIDR IPv4 se pueden utilizar.
      • Bloques CIDR de Oracle Cloud: puede proporcionar varios bloques de prefijos IPv4 CIDR o IPv6 que utilizan los recursos de una VCN.
        Nota

        Consulte Dominios de cifrado para túneles basados en políticas para conocer las limitaciones sobre cuántos bloques de prefijos IPv6 o de CIDR IPv4 se pueden utilizar.
    6. (Opcional) Si desea solucionar problemas o supervisar, introduzca información en los siguientes campos:
      • IPv4 interfaz de túnel interna - CPE: puede proporcionar una dirección IP con máscara de subred (/30 o /31) para el final de CPE del túnel. Por ejemplo: 10.0.0.16/31.
      • Interfaz de túnel interna - Oracle (opcional): puede proporcionar una dirección IP con máscara del túnel (/30 o /31) a efectos de la solución de problemas o la supervisión del túnel por parte de Oracle. Por ejemplo: 10.0.0.17/31.

      Estas direcciones IP deben formar parte de uno de los dominios del cifrado de la VPN de sitio a sitio.

    7. (Opcional) Si selecciona Mostrar opciones avanzadas, puede cambiar la siguiente configuración del túnel:
      • Iniciación de Oracle IKE: este valor indica si el final de Oracle de la conexión IPSec puede iniciar el túnel IPSec. El valor por defecto es Iniciador o responsable de respuesta. También puede definir el extremo de Oracle como un responsable de respuesta únicamente, lo que requeriría que el dispositivo CPE inicie el túnel de IPSec. Se recomienda dejar esta opción en la configuración por defecto.
      • NAT-T activado: este valor indica si el dispositivo CPE está detrás de un dispositivo NAT. El valor por defecto es Automático. Las demás opciones son Desactivado y Activado. Se recomienda dejar esta opción en la configuración por defecto.
      • Activar timeout de detección de pares inoperativos: al hacer clic En esta opción, puede comprobar periódicamente la estabilidad de la conexión al CPE y detectar que el CPE ha dejado de funcionar. Si selecciona esta opción, también puede seleccionar el intervalo más largo entre los mensajes de estado del dispositivo CPE antes de que la conexión IPSec indique que ha perdido el contacto con el CPE. El valor por defecto es de 20 segundos. Se recomienda dejar esta opción en la configuración por defecto.
    8. (Opcional) Si amplía la sección Configuración de fase uno (ISAKMP) y hace clic en Definir opciones personalizadas, puede definir los siguientes valores opcionales (debe seleccionar uno de cada opción):
      • Algoritmos de cifrado personalizados: puede elegir una de las opciones proporcionadas en el menú desplegable.
      • Algoritmos de autenticación personalizados: puede seleccionar entre las opciones proporcionadas en el menú desplegable.
      • Grupos de Diffie-Hellman: puede seleccionar entre las opciones proporcionadas en el menú desplegable.

      Si la casilla de control Definir configuraciones personalizadas no está seleccionada, se proponen los valores por defecto. Puede seleccionar IKE Session Key Lifetime in Seconds (Duración de clave de sesión IKE en segundos). El valor predeterminado es 28800, que es igual a 8 horas.

      Para comprender estas opciones con más detalle, incluidas las propuestas por defecto, consulte Parámetros IPSec soportados.

    9. Si amplía las opciones de Configuración de fase dos (IPSec) y hace clic en Definir opciones personalizadas, puede definir los siguientes valores opcionales para el túnel (debe seleccionar un algoritmo de cifrado):
      • Algoritmos de cifrado personalizados: puede elegir una de las opciones proporcionadas en el menú desplegable. Si selecciona un algoritmo de cifrado AES-CBC, también debe seleccionar un algoritmo de autenticación.
      • Algoritmos de autenticación personalizados: puede seleccionar entre las opciones proporcionadas en el menú desplegable. El algoritmo de cifrado que haya seleccionado podría tener autenticación incorporada, en cuyo caso no existe ninguna opción seleccionable.

      Si la casilla de control Definir configuraciones personalizadas no está seleccionada, se proponen los valores por defecto. Aún puede cambiar la siguiente configuración:

      • IPSec Duración de clave de sesión en segundos: el valor por defecto es 3600, que equivala a 1 hora.
      • Activar confidencialidad directa perfecta: por defecto, esta opción está activada. Permite seleccionar el grupo Diffie-Hellman de confidencialidad directa perfecta. Puede seleccionar entre las opciones proporcionadas en el menú desplegable. Si no realiza una selección, se propone GROUP5.

      Para todas las opciones de la segunda fase, si se selecciona una única opción, se sustituye el juego por defecto y es la única opción propuesta para el dispositivo CPE.

    10. En Túnel 2 puede utilizar las mismas opciones descritas para un túnel 1. También puede seleccionar diferentes opciones o decidir dejar el túnel sin configurar porque el dispositivo CPE solo admite un único túnel.
    11. Cuando haya terminado, seleccione Crear conexión IPSec.
    12. Copie la dirección IP de Oracle VPN y el secreto compartido para cada Uno de los túneles a un correo electrónico u otra ubicación, para poder entregarlo al ingeniero que configura el dispositivo CPE.

      Puede ver la información de este túnel aquí en la consola en cualquier momento.

    La conexión de IPSec se crea y se muestra en la página. Tendrá el estado de aprovisionamiento durante un período corto.

    La información del túnel que se muestra incluye lo siguiente:

    • La dirección IP de la VPN de Oracle (para el encabezado de la VPN de Oracle).
    • El estado de IPSec del túnel (los valores posibles son Activo, Inactivo e Inactivo por motivos de mantenimiento). En este punto, el estado es Inactivo. El ingeniero de redes debe configurar el dispositivo CPE antes de que el estado pueda cambiar.

    Para ver el secreto compartido del túnel, seleccione el túnel para ver sus detalles y, a continuación, seleccione Mostrar junto a Secreto Compartido.

    Ya ha creado todos los componentes necesarios para la VPN de sitio a sitio. A continuación, el ingeniero de redes local debe configurar el dispositivo CPE antes de que el tráfico de red pueda fluir entre la red local y una VCN.

    Para obtener más información, consulte Configuración de CPE.

  • Utilice el comando network ip-sec-connection create y los parámetros necesarios para crear una conexión IPSec:

    oci network ip-sec-connection create --compartment-id compartment-ocid --cpe-id cpe-ocid --drg-id drg-ocid  --static-routes complex type ... [OPTIONS]

    La opción --static-routes solo es necesaria cuando se utiliza el enrutamiento estático.

    Para obtener una lista completa de parámetros y valores para los comandos de la CLI, consulte la Referencia de comandos de la CLI.

  • Ejecute la operación CreateIPSecConnection para crear una conexión IPSec.