Gateways de enrutamiento dinámico

En este tema, se describe cómo gestionar un gateway de enrutamiento dinámico (DRG). En este tema, se utilizan los términos de gateway de enrutamiento dinámico y DRG de manera indistinta. La consola utiliza el término gateway de enrutamiento dinámico, mientras que la API utiliza DRG para simplificar.

Un DRG es un enrutador virtual al que puede asociar los siguientes recursos:

Un DRG puede tener muchas asociaciones de red de cada uno de los siguientes tipos:

  • Asociaciones de VCN: puede asociar muchas DRG a una sola VCN. Cada VCN puede estar en el mismo arrendamiento que el DRG o en un arrendamiento diferente (siempre que se definan las políticas adecuadas). Una VCN puede asociarse a un único DRG.
  • Asociaciones de RPC: puede conectar un DRG a otros DRG mediante conexiones de intercambio de tráfico remotas. El otro DRG puede estar en otras regiones o arrendamientos, o en la misma región.
  • Asociaciones de IPSEC_TUNNEL: puede utilizar la VPN de sitio a sitio para asociar dos o más túneles de PSec a su DRG para conectarse a redes locales. Esto también se permite en los distintos arrendamientos.
  • Asociaciones de VIRTUAL_CIRCUIT: puede asociar uno o más circuitos virtuales FastConnect a su DRG para conectarse a redes locales.
  • Asociaciones LOOPBACK: puede utilizar la VPN de sitio a sitio para cifrar los circuitos virtuales FastConnect. Consulte Anexos de bucle de retorno para obtener más información.

La creación de tablas de rutas de DRG y distribuciones de rutas de DRG le permite definir políticas de enrutamiento que enruten el tráfico entre asociaciones. Las rutas se pueden importar y exportar de forma dinámica mediante estos anexos. Una tabla de rutas debe estar asociada a un anexo para que se aplique la configuración de esa tabla, pero puede existir una tabla de enrutamiento no asociada. Las distribuciones de rutas de DRG son de un tipo explícito (de importación o exportación) y no heredan una acción que depende de dónde estén asociadas.

Visión general de los gateways de enrutamiento dinámico

Un DRG actúa como enrutador virtual, proporcionando una ruta para el tráfico entre redes locales y redes virtuales en la nube, y también se puede utilizar para enrutar el tráfico entre redes virtuales en la nube. Mediante el uso de distintos tipos de asociaciones, se pueden crear topologías de red personalizadas mediante componentes de diferentes regiones y arrendamientos. Cada asociación de DRG tiene una tabla de rutas asociada que se utiliza para enrutar los paquetes que entran en el DRG a su siguiente salto. Además de las rutas estáticas, las rutas de las redes asociadas se importan dinámicamente en las tablas de rutas de DRG mediante distribuciones de rutas de importación opcionales.

Trabajar con los DRG y asociaciones de DRG

Nota

Un DRG creado antes de abril de 2021 no puede realizar el enrutamiento en tránsito entre redes locales y redes virtuales en la nube, ni proporcionar el intercambio de tráfico entre redes virtuales en la nube. Si necesita esa funcionalidad y se muestra el botón Actualizar DRG en la consola, haga clic en él. La actualización del DRG restablece todas las sesiones de BGP existentes e interrumpe temporalmente el tráfico desde la red local. Una vez iniciada la actualización, no es posible realizar un rollback de ella. Consulte Actualización de un DRG.

Al crear un DRG, debe especificar el compartimento en el que desea que resida el DRG. Colocar el DRG en un compartimento ayuda a limitar el control de acceso. Si no está seguro del compartimento que desea utilizar, coloque el DRG en el mismo compartimento que la VCN que utiliza con regularidad. Para obtener más información, consulte Control de acceso.

Opcionalmente, puede asignar un nombre fácil de recordar al DRG. No tiene que ser único y puede cambiarlo más adelante. Oracle asigna automáticamente al DRG un identificador único llamado ID de Oracle Cloud (OCID). Para obtener más información, consulte Identificadores de recursos.

Para utilizar un DRG, este debe estar asociado a otros recursos de red. En la API, el proceso de asociación crea un objeto DrgAttachment con su propio OCID. DrgAttachment tiene un campo de tipo que indica el tipo de objeto que se asocia al DRG. El campo de tipo se puede definir en uno de los siguientes valores:

Para asociar una VCN a un DRG, utilice la operación CreateDrgAttachment o la consola para crear explícitamente el objeto de asociación de DRG. Las conexiones de circuitos virtuales, los túneles IPSec y las conexiones con intercambio de tráfico remoto se crean (y suprimen) automáticamente al crear (o suprimir) el objeto de red.

Trabajar con tablas de rutas y distribuciones de rutas de DRG

Un paquete entra en un DRG a través de una asociación y se enruta mediante reglas de la tabla de rutas de DRG asignadas a esa asociación. Puede asignar la misma tabla de rutas a muchas asociaciones de DRG o crear una tabla de rutas dedicada para cada asociación en función de las políticas de enrutamiento que desee.

Cuando crea un DRG, se crean dos tablas de rutas por defecto: una para las asociaciones de VCN y otra para todas las demás asociaciones. Cuando se define una tabla de rutas como la tabla de rutas por defecto de un tipo de asociación, la tabla se asigna a las asociaciones recién creadas de ese tipo, a menos que se especifique explícitamente una tabla alternativa. Las tablas de rutas especificadas como valor por defecto para cualquier tipo no se pueden suprimir. Asegúrese de que no hay una tabla de rutas definida como tabla de rutas por defecto para un tipo de asociación antes de intentar suprimirla.

Una asociación de VCN tiene dos tablas de rutas: una tabla de enrutamiento de DRG para el tráfico que entra en el DRG y una tabla de enrutamiento de VCN para el tráfico que entra en la VCN. La tabla de rutas del DRG existe en el DRG y se utiliza para enrutar paquetes que entran en el DRG a través de la asociación. La tabla de rutas de la VCN se utiliza para enrutar paquetes que entran en la VCN a través de la asociación. Si no se define una tabla de enrutamiento de VCN, una tabla implícita oculta siempre proporciona conectividad a todas las subredes de la VCN.

Distribuciones de rutas de importación dinámicas

Una distribución es una lista de sentencias declarativas que contienen criterios de coincidencia (como un OCID o un tipo de asociación) y una acción. Puede utilizar las distribuciones de rutas para especificar cómo se importan o exportan las rutas a una asociación de DRG. Se crean dos distribuciones de rutas de importación generadas automáticamente para cada DRG: una solo para rutas de VCN y otra para todas las rutas. Puede crear otras distribuciones de rutas de importación.

Las tablas de rutas de DRG contienen rutas tanto estáticas como dinámicas. Las rutas estáticas se insertan en tablas mediante la API, mientras que las rutas dinámicas se importan de las asociaciones y se insertan mediante una distribución de rutas de importación. Cuando los criterios de una sentencia coinciden con una asociación, las rutas asociadas al objeto de red que se asocia al DRG se importan dinámicamente en la tabla de rutas de DRG asignada a la distribución que contiene. Si la sentencia se elimina de la distribución, las rutas se retiran de las tablas de rutas de DRG. Las sentencias de una distribución de rutas se evalúan en orden de prioridad: el número más bajo tiene la prioridad más alta. El orden en el que se evalúan las sentencias no afecta al juego de preferencias de las rutas que importan.

Al crear sentencias de distribución de rutas en la consola, puede crear una sentencia cuyo tipo de coincidencia sea "Match All". En la API, codifique una sentencia "match all" definiendo los criterios de coincidencia en la lista vacía.

¿Cómo llegan las rutas dinámicas a una asociación?

Las rutas a sus redes locales se anuncian desde el CPE hasta las asociaciones de túnel de IPSec y de circuito virtual mediante BGP. Las rutas se propagan dinámicamente desde una asociación de RPC de un DRG a una asociación RPC de otro DRG mediante las RPC conectadas. Las rutas dinámicas de una VCN incluyen todos los CIDR de subred o todos los CIDR de VCN y todos los CIDR de ruta estática configurados en la tabla de rutas de VCN asociada a la asociación de DRG. La propiedad vcnRouteType de la asociación de VCN determina si los CIDR de subred o los CIDR de VCN se propagan en la asociación de VCN. El comportamiento por defecto es importar los CIDR de subred, pero este comportamiento se puede cambiar al crear o actualizar la asociación de VCN. Consulte Route Aggregation para obtener más información.

Distribuciones de rutas de exportación dinámicas

Cuando se asigna una asociación a una tabla de rutas de DRG, el contenido de esa tabla se puede exportar dinámicamente a la asociación. Si la distribución de rutas de exportación por defecto se asigna a una asociación, todo el contenido de la tabla de rutas de DRG asignada de la asociación se exporta dinámicamente a la asociación. Para desactivar las exportaciones de rutas dinámicas a una asociación, utilice la operación de API removeExportDrgRouteDistribution para definir el campo exportDrgRouteDistributionId de la asociación en NULL. La exportación de rutas dinámicas a asociaciones de VCN no está soportada.

Se crea una distribución de ruta de exportación generada automáticamente para cada DRG. Puede crear y asociar otras distribuciones de rutas de exportación mediante la CLI y la API.

Restricciones de propagación de rutas

Las rutas importadas desde un túnel de IPSec o un circuito virtual nunca se exportan a otras asociaciones de túnel IPSec o de circuito virtual, independientemente de cómo esté configurada la distribución de rutas de exportación. De manera similar, los paquetes que entran en un DRG a través de una asociación de túnel de IPSec o de circuito virtual nunca pueden salir a través de una asociación de túnel de IPSec o de circuito virtual. Los paquetes se borran si el enrutamiento está configurado de modo que los paquetes que se originan desde asociaciones de túnel de IPSec o circuito virtual se envían a las asociaciones de túnel de IPSec o circuito virtual.

ECMP

El enrutamiento de varias rutas de igual costo (ECMP) permite el equilibrio de carga basado en flujo del tráfico de red en FastConnect circuitos virtuales o IPSec túneles (pero no una combinación de tipos de circuitos) mediante BGP. ECMP permite el equilibrio de carga activo-activo y el failover del tráfico de red entre un máximo de ocho circuitos.

Oracle utiliza el protocolo, la IP de destino, la IP de origen, el puerto de destino y el puerto de origen para distinguir flujos para fines de equilibrio de carga mediante un algoritmo consistente y determinista. Por lo tanto, son necesarios varios flujos para utilizar todo el ancho de banda disponible.

ECMP está desactivado por defecto y se puede activar por tabla de rutas. Oracle solo considera las rutas con la misma preferencia de ruta como elegibles para el reenvío de ECMP. Consulte Conflictos de rutas para obtener más información.

Origen de ruta

Las rutas de DRG se originan como rutas estáticas o como rutas dinámicas desde la VCN, el túnel de IPSec, el circuito virtual de FastConnect o asociaciones de RPC. Este origen define su origen, que es una característica inmutable de la ruta. En la API, el origen se denomina routeProvenance de DrgRouteRule.

Las rutas se propagan entre los DRG mediante anexos de RPC.

Las rutas con un origen IPSEC_TUNNEL o VIRTUAL_CIRCUIT no se exportan a las asociaciones de túnel o circuito virtual IPSec, independientemente de la distribución de exportación de la asociación.

Enrutamiento del tráfico de una subred a un DRG

El escenario de enrutamiento básico envía tráfico desde una subred de la VCN al DRG. Por ejemplo, si está enviando tráfico desde la subred a una red local, puede configurar una regla en la tabla de rutas de la subred. El CIDR de destino de la regla es el CIDR de la red local (o una subred dentro), y el destino de la regla es el DRG. Para obtener más información, consulte Tablas de rutas de VCN.

Política de IAM necesaria

El intercambio de tráfico de varias VCN mediante un DRG requiere permisos de IAM específicos. Consulte Políticas de IAM para el enrutamiento entre redes virtuales en la nube para obtener más información sobre los permisos necesarios.

Versiones de DRG

Los DRG creados antes del 17 de mayo de 2021 utilizan el software heredado y se pueden actualizar a la versión más reciente. Los DRG creados después de esa fecha tienen las funciones actualizadas por defecto.

A continuación se resume la diferencia entre un DRG actualizado y uno heredado:

Un DRG heredado:

  • No tiene ninguna tabla de rutas programable. Tiene un comportamiento de enrutamiento por defecto por el cual todo el tráfico se reenvía de la ubicación local a una VCN asociada y de la VCN a la ubicación local.
  • Se puede asociar a una única VCN. El DRG se puede conectar a otro DRG para el intercambio de tráfico de VCN remotas mediante una RPC.
  • Puede asociar FastConnect o la VPN de sitio a sitio, o ambos. Solo puede acceder a los recursos de la región local mediante estas conexiones.
  • Puede soportar una conexión RPC con un par DRG-VCN remoto en el mismo arrendamiento. Consulte Intercambio de tráfico de VCN remoto mediante un DRG heredado para obtener más información sobre el intercambio remoto mediante un DRG heredado.

Un DRG actualizado:

  • Tiene dos tablas de rutas por defecto y se pueden agregar más posteriormente.
  • Puede tener muchas VCN asociadas en la misma región. El tráfico local de VCN a VCN puede pasar a través de un DRG conectado mutuamente en lugar de un LPG. Consulte Intercambio de tráfico de VCN local a través de un DRG actualizado para obtener más información.
  • Se puede asociar a la ubicación local mediante la VPN de FastConnect orSite a la ubicación, o ambas. Puede acceder a los recursos tanto en regiones locales como remotas mediante estas conexiones.
  • Admite una conexión RPC con un par DRG/VCN en el mismo arrendamiento o en otro arrendamiento. Consulte Intercambio de tráfico de VCN remoto a través de un DRG actualizado para obtener más información sobre el intercambio remoto mediante un DRG actualizado.

El resto de este artículo se ha actualizado recientemente para reflejar las capacidades de un DRG actualizado, como lo han hecho los escenarios de redes comunes. El intercambio de tráfico de VCN remoto mediante un DRG heredado es el único escenario de enrutamiento o intercambio de tráfico específico de un DRG heredado.

Antes de actualizar un DRG

Nota

Recomendamos actualizar un DRG durante una ventana de mantenimiento.

Para aprovechar las funciones de DRG mejoradas, actualice el DRG. El proceso de actualización de DRG está automatizado, pero debe tener los permisos necesarios para iniciar una actualización. La actualización de un DRG es un proceso unidireccional sin opción de realizar un rollback a un DRG heredado una vez iniciado el proceso de actualización.

Espere que cada una de las asociaciones de DRG se actualice a su vez, forzando cada asociación de actualización a un estado de aprovisionamiento. Las asociaciones de circuito virtual y túnel VPN ya no pueden reenviar tráfico cuando están en estado de aprovisionamiento. Si solo tiene un circuito virtual, este podría desactivarse durante unos 20 minutos. Las sesiones de BGP existentes para conexiones locales también se restablecen mientras que la asociación y las conexiones también se ponen fuera de línea.

Si tiene conexiones redundantes, espere que el tráfico realice un failover a otros circuitos mientras se realiza la actualización en una conexión. Mediante una configuración redundante, la conexión general entre el entorno local y OCI se mantiene durante el cambio de versión de DRG. Por ejemplo, si un DRG tiene dos asociaciones de circuito virtual FastConnect a una red local con una configurada como principal, mientras que el circuito virtual principal se actualiza, se pierde la conectividad, pero el tráfico puede seguir pasando por el circuito virtual secundario. Una vez finalizada la primera actualización y restaurado el tráfico a través del circuito virtual principal, el proceso actualiza la asociación del circuito virtual secundario y, finalmente, ambos circuitos virtuales vuelven a estar en línea. Se espera que el proceso de actualización dure hasta 30 minutos por cada asociación local. Del mismo modo, si el proceso de actualización actualiza primero la conexión del circuito virtual secundario, el tráfico se detiene en ese circuito, pero aún puede pasar por el circuito virtual principal hasta que se restablezca la conexión del circuito secundario.

Las conexiones de intercambio de tráfico remotas y las asociaciones de VCN no necesitan que se restablezca BGP de la forma en que lo hacen el circuito virtual o las conexiones de túnel IPSec, y la actualización es más rápida. Las conexiones de VCN a un LPG u otros gateways no se ven afectadas, ya que son asociaciones en la VCN y no en el DRG.

Una vez completado el proceso de actualización de DRG, se vuelven a poner en línea los túneles de IPSec de la VPN de sitio a sitio y se vuelven a establecer todas las sesiones de BGP para FastConnect y la VPN de sitio a sitio. Por defecto, el DRG actualizado tiene dos tablas de rutas de DRG generadas automáticamente y distribuciones de rutas de importación activadas para las asociaciones. Estos recursos están diseñados para la compatibilidad retroactiva con un DRG heredado y permiten que todas las comunicaciones anteriores se reanuden de la misma manera que antes de la actualización sin más intervención del usuario.

Para obtener instrucciones paso a paso sobre cómo actualizar un DRG, consulte Actualización de un DRG.

Nota

Si el proceso de actualización de DRG se bloquea por cualquier motivo, cree una solicitud de servicio en My Oracle Support y marque el ticket como de gravedad alta.

Escenarios

Hemos proporcionado algunos escenarios de red detallados para ayudarle a comprender el rol de un DRG en el servicio Networking y cómo funcionan los componentes en general de forma conjunta.

Enrutamiento de DRG

Consulte el resumen técnico de Conozca el enrutamiento en OCI Networking con ejemplos (PDF) para obtener más información sobre el enrutamiento de DRG.

Conflictos de rutas

Si se observan dos rutas con CIDR idénticos en la misma tabla de rutas de DRG, el DRG resuelve el conflicto utilizando los siguientes criterios:

  1. Las rutas estáticas siempre tienen una mayor preferencia que las rutas dinámicas.

    Nota

    No se pueden especificar manualmente dos rutas estáticas con el mismo CIDR en la misma tabla de rutas de DRG, pero sí se puede importar más de una ruta con el mismo CIDR de forma dinámica.
  2. Los conflictos entre rutas dinámicas se resuelven analizando primero la ruta de acceso de AS de la ruta:
    • Las rutas con un origen de ruta VCN o STATIC siempre tienen una ruta de acceso de AS vacía.
    • Las rutas con un origen de ruta IPSEC_TUNNEL o VIRTUAL_CIRCUIT han rellenado los datos de la ruta de acceso de AS (consulte Detalles de enrutamiento para conexiones a la red local para obtener más información).
  3. De lo contrario, el tipo de asociación que importó la ruta se evalúa en función de la siguiente prioridad según el tipo de asociación:
    1. VCN: el DRG realiza una selección arbitraria pero estable.
    2. VIRTUAL_CIRCUIT: si ECMP está desactivado, el DRG realiza una selección arbitraria pero estable. Si ECMP está activado, todas las rutas se agregan a la tabla de rutas y el DRG realiza opciones de enrutamiento mediante ECMP. El ancho de ECMP máximo soportado en un DRG es 8.
    3. IPSEC_TUNNEL: si ECMP está desactivado, el DRG hace que un ECMP selection.If arbitrario pero estable esté activado, todas las rutas se agregan a la tabla de rutas y el DRG realiza opciones de enrutamiento mediante ECMP. El ancho de ECMP máximo soportado en un DRG es 8.
    4. REMOTE_PEERING_CONNECTION: el DRG selecciona la ruta con la menor distancia de red.

      Si dos rutas tienen distancias de red idénticas, el DRG selecciona la ruta con el origen de ruta de prioridad más alta (STATIC > VCN > VIRTUAL_CIRCUIT> IPSEC_TUNNEL > RPC).

      Si dos rutas tienen el mismo origen de ruta, el DRG realiza una selección arbitraria pero estable.

  4. Si se importan rutas en conflicto de asociaciones del mismo tipo, el conflicto se resuelve de forma diferente según el tipo de asociación:
    1. Asociaciones de VCN: si se importan CIDR idénticos de dos asociaciones de VCN, solo se selecciona uno mediante un procedimiento de decisión arbitrario pero estable.
    2. Asociaciones VIRTUAL_CIRCUIT y IPSEC_TUNNEL: si se importan varias rutas con el mismo CIDR y diferentes longitudes de AS_PATH en una tabla de rutas de DRG, se selecciona la ruta con la menor longitud de AS_PATH. De lo contrario, se elige una ruta utilizando un procedimiento de decisión arbitrario pero estable.
    3. Asociaciones de RPC: si se importan CIDR idénticos de dos asociaciones de RPC, se selecciona uno de ellos mediante un procedimiento de decisión estable y arbitrario.

Puede observar los resultados del solucionador de conflictos mostrando el contenido de la tabla de rutas. Las rutas en desuso se marcan con el estado "conflict".

Agregación de ruta

Como se describe en la agregación de rutas RFC-1338, le permite "anunciar una única ruta agregada que describa todos los destinos que contiene" en lugar de anunciar una ruta independiente para cada cliente. El ejemplo principal de esto en OCI Networking ocurre cuando configura una asociación de VCN de un DRG para importar CIDR de VCN en lugar de CIDR de subred, lo que simplifica las rutas que anuncia BGP. En función de la arquitectura de red, también puede elegir:

  • Utilice rutas estáticas en lugar de distribuciones de importación en el DRG para resumir aún más estrechamente (el ámbito para esto se limita a esa asociación específica)
  • Agregar en varias asociaciones mediante la introducción de un segundo DRG y hacer que las asociaciones agregadas solo estén disponibles a través de una RPC en otro DRG

Otras formas de agregación de rutas no están disponibles.

Limitaciones

Es posible que algunas funciones parezcan ser posibles, pero no se permiten las siguientes funciones de enrutamiento:

  • Creación o supresión explícita de asociaciones de RPC, de túnel de IPSec o de circuito virtual
  • Rutas estáticas en tablas de rutas de DRG con siguiente salto de asociaciones de túnel de IPSec o de circuito virtual
  • Uso de distribuciones de rutas de exportación no establecidas por defecto
  • Exportación de rutas dinámicas a asociaciones de VCN
  • Rutas que se propagan a través de RPC a través de más de 4 DRG

Uso de BGP para preferir rutas de Oracle a su red local

En esta sección se describe con mayor detalle cómo se puede utilizar el atributo AS_PATH de BGP para influir en la selección de rutas en el contexto de una única tabla de rutas de DRG.

Si las rutas para las diferentes rutas de acceso son iguales, Oracle utiliza la ruta de acceso AS más corta al enviar tráfico a una red local, independientemente de la ruta de acceso utilizada para iniciar la conexión a Oracle.Por lo tanto, se permite el enrutamiento asimétrico. El enrutamiento asimétrico aquí significa que la respuesta de Oracle a una solicitud puede seguir una ruta de acceso diferente a la solicitud. Por ejemplo, en función de cómo esté configurado un dispositivo perimetral (también denominado equipo local de cliente o CPE), podría enviar una solicitud a través de una VPN de sitio a sitio, pero la respuesta de Oracle podría volver a través de FastConnect. Para forzar el enrutamiento simétrico, recomendamos utilizar la ruta de acceso de BGP y AS antepuesta con las rutas para influir en la ruta de acceso que utiliza Oracle al responder a las conexiones e iniciarlas.

Oracle implanta la anteposición de la ruta de AS para establecer la preferencia sobre qué ruta utilizar si un dispositivo perimetral anuncia la misma ruta y los mismos atributos de enrutamiento a través de diferentes tipos de conexión entre una red local y una VCN. Los detalles se resumen en la tabla siguiente. A menos que influya en el enrutamiento de alguna otra manera, cuando se anuncia la misma ruta través de varias rutas de acceso al DRG en el extremo de Oracle de las conexiones, Oracle prefiere las rutas de acceso en el siguiente orden:

Preferencia de Oracle Ruta Detalles sobre cómo prefiere Oracle la ruta Ruta AS resultante para el enrutamiento
1 FastConnect Oracle no antepone ningún ASN a las rutas que anuncia el dispositivo perimetral, para una longitud total de ruta de AS de 1. Su ASN
2 VPN de sitio a sitio con enrutamiento BGP Oracle antepone un único ASN privado en todas las rutas que el dispositivo perimetral anuncia a través de la VPN de sitio a sitio con BGP, para una longitud total de ruta de acceso de AS de 2. ASN privado, su ASN
3 VPN de sitio a sitio con enrutamiento estático Oracle antepone 3 ASN privados en las rutas estáticas que ha proporcionado (Oracle anuncia esas rutas al gateway de enrutamiento dinámico [DRG] en el extremo de Oracle de la VPN de sitio a sitio). Esto da como resultado una longitud total de ruta de acceso de AS de 3. ASN privado, ASN privado, ASN privado

En la tabla anterior, se asume que envía un único número de sistema autónomo en la ruta de acceso de AS. Oracle mantiene la ruta de acceso de AS completa que envía. Si utiliza un enrutamiento estático y también envía una ruta de acceso de AS que tiene "Su ASN" más dos o más ASN adicionales, puede provocar un comportamiento inesperado, ya que la preferencia de enrutamiento de Oracle puede cambiar.

Aunque el comportamiento del enrutamiento estático de VPN basado en políticas se ha documentado anteriormente, Oracle también recomienda que si utiliza conexiones FastConnect con VPN de seguridad, utilice BGP en la VPN basada en rutas IPSec. Esta estrategia le permite tener el control total del comportamiento de failover.

Otros enlaces relevantes