Documentación de Oracle Cloud Infrastructure

Visión general de VPN de sitio a sitio

La VPN de sitio a sitio proporciona una conexión IPSec de sitio a sitio entre la red local y la red virtual en la nube (VCN). El conjunto de protocolos IPSec cifra el tráfico IP antes de transferir los paquetes del origen al destino y descifra el tráfico cuando llega. La VPN de sitio a sitio se conocía anteriormente como VPN Connect y VPN con IPSec.

Otras soluciones VPN seguras incluyen OpenVPN, una solución VPN de cliente a la que se puede acceder en Marketplace de Oracle. OpenVPN conecta dispositivos individuales a la VCN, pero no sitios ni redes completos.

En este tema se ofrece una descripción general de la VPN de sitio a sitio para la VCN. Para ver escenarios que incluyan la VPN de sitio a sitio, consulte Escenario B: subred privada con una VPN y Escenario C: subredes públicas y privadas con una VPN.

Consulte Límites de VPN de sitio a sitio y Solicitud de aumento del límite de servicio para obtener información relacionada con los límites.

Personal y conocimientos necesarios

Por lo general, el siguiente tipo de personal es el que se implica en la configuración de la VPN de sitio a sitio con Oracle Cloud Infrastructure:

  • Miembro del equipo de Dev Ops (o función similar) que utiliza la consola de Oracle Cloud Infrastructure para configurar los componentes de la nube necesarios para la red virtual y la VPN de sitio a sitio.
  • Ingeniero de redes (o función similar) que configura el dispositivo del equipo local de cliente (CPE) con la información proporcionada por el miembro del equipo de Dev Ops.
Consejo

El miembro del equipo de Dev Ops debe tener el permiso necesario para crear y gestionar los componentes en la nube. Si la persona es el administrador predeterminado para su arrendamiento de Oracle Cloud Infrastructure o un miembro del grupo de Administradores, tendrá el permiso necesario. Para obtener información sobre cómo restringir el acceso a los componentes de red, consulte Control de acceso.

El personal debe estar familiarizado con los siguientes conceptos y definiciones:

RECURSOS EN LA NUBE
Todo lo que aprovisione en una plataforma en la nube. Por ejemplo, con Oracle Cloud Infrastructure, un recurso en la nube puede hacer referencia a una VCN, una instancia de recursos informáticos, un usuario, un compartimiento, un equilibrador de carga o cualquier otro componente de servicio de la plataforma.
LOCAL
Término muy utilizado en las tecnologías en la nube que hace referencia a los entornos tradicionales de centros de datos. Las instalaciones locales pueden hacer referencia a un escenario de colocación, un espacio específico en el suelo, un edificio del centro de datos específico o un escritorio que se ejecuta en su puesto.
IDENTIFICADOR DE ORACLE CLOUD (OCID)
Identificador único asignado a cada recurso que aprovisione en Oracle Cloud Infrastructure. OCID es una cadena larga que Oracle genera automáticamente. No puede seleccionar el valor de un OCID ni cambiar el OCID de un recurso. Para obtener más información, consulte Identificadores de recursos.

Acerca de la conexión IPSec de Oracle

En general, una conexión IPSec se puede configurar de los siguientes modos:

  • Modo de Transporte: IPSec cifra y autentica únicamente la carga útil real del paquete, y la información del encabezado permanece intacta.
  • Modo de túnel (admitido por Oracle): IPSec cifra y autentica todo el paquete. Después del cifrado, el paquete se encapsula para formar un nuevo paquete IP que tiene información de encabezado diferente.

Oracle Cloud Infrastructure solo admite el modo de túnel para VPN con IPSec.

Cada conexión IPSec de Oracle consta de varios túneles de IPSec redundantes. Para un túnel determinado, puede utilizar un enrutamiento dinámico con el Protocolo de gateway de borde (BGP) o un enrutamiento estático para enrutar el tráfico del túnel. A continuación, se proporcionan más detalles sobre el enrutamiento.

Los túneles de IPSec de VPN de sitio a sitio ofrecen las siguientes ventajas:

  • Las líneas públicas de internet se utilizan para transmitir datos, de modo que no son necesarias líneas de leasing costosas y específicas de un sitio a otro.
  • Las direcciones IP internas de las redes y los nodos participantes se ocultan a los usuarios externos.
  • Se cifra toda la comunicación entre los sitios de origen y destino, lo que disminuye significativamente las posibilidades de robo de información.

Enrutamiento para la VPN de sitio a sitio

Cuando configura la VPN de sitio a sitio, esta tiene dos túneles de IPSec redundantes. Oracle le recomienda configurar el dispositivo CPE para utilizar ambos túneles (si el dispositivo lo admite). Tenga en cuenta que en el pasado Oracle creó conexiones de IPSec que tenían hasta cuatro túneles de IPSec.

Los tres tipos siguientes de enrutamiento están disponibles y puede seleccionar el tipo de enrutamiento por separado para cada túnel IPSec de la VPN de sitio a sitio:

  • Enrutamiento dinámico de BGP: las rutas disponibles se aprenden de forma dinámica mediante BGP. DRG aprende de forma dinámica las rutas de su red local. En el lado de Oracle, DRG anuncia las subredes de la VCN.
  • Enrutamiento estático: al configurar la conexión de IPSec con DRG, debe especificar las rutas específicas a la red local de la que desea que se conozca la VCN. También debe configurar su dispositivo CPE con rutas estáticas a las subredes de la VCN. Estas rutas no se aprenden dinámicamente.
  • Enrutamiento basado en política: al configurar la conexión IPSec al DRG, debe especificar las rutas específicas a la red local que desea que conozca la VCN. También debe configurar su dispositivo CPE con rutas estáticas a las subredes de la VCN. Estas rutas no se aprenden dinámicamente.

Detalles de enrutamiento importantes para la VPN de sitio a sitio

A continuación se incluyen detalles importantes para entender el enrutamiento de su VPN de sitio a sitio:

  • Opciones de enrutamiento:

    • Originalmente, la VPN de sitio a sitio solo soportaba el enrutamiento estático y se le solicitaba que proporcionara al menos una ruta estática para la conexión de IPSec general.
    • Ahora hay dos tipos de enrutamiento diferentes disponibles (enrutamiento BGP y estático) y puede configurar el tipo de enrutamiento por túnel. Solo se admite un tipo de enrutamiento a la vez para un túnel determinado.
    • En general, Oracle le recomienda utilizar el mismo tipo de direccionamiento para todos los túneles de su conexión IPSec. Excepción: si está en proceso de transición entre el enrutamiento estático y BGP, es posible que un túnel utilice temporalmente un enrutamiento estático mientras que el otro ya se ha cambiado a BGP.
    • Al crear una conexión IPSec, el enrutamiento estático es el tipo de enrutamiento predeterminado para todos los túneles, a menos que configure explícitamente cada túnel para utilizar BGP.

  • Información de enrutamiento necesaria:

    • Si elige BGP, para cada túnel debe proporcionar dos direcciones IP (una para cada uno de los dos altavoces BGP de la sesión BGP del túnel). Las direcciones deben estar en el dominio de cifrado de la conexión IPSec. También debe proporcionar el número de sistema autónomo de BGP (ASN de BGP) de su red.
    • Si selecciona el enrutamiento estático, debe proporcionar al menos una ruta estática (10 como máximo). Las rutas estáticas se configuran con la conexión general IPSec, de modo que se utilice el mismo conjunto de rutas estáticas para todos los túneles de la conexión IPSec que se configuran para usar enrutamiento estático. Puede cambiar las rutas estáticas en cualquier momento después de crear la conexión IPSec. Si está realizando una acción PAT entre su dispositivo CPE y VCN, la ruta estática de la conexión IPSec es la dirección IP de PAT. Consulte Ejemplo de diseño con PAT.
    • Si elige enrutamiento estático, opcionalmente puede proporcionar una dirección IP para cada extremo del túnel a efectos de la solución de problemas o la supervisión del túnel.
    • Si el túnel está configurado para utilizar BGP, se ignoran las rutas estáticas de la conexión IPSec. Cualquier ruta estática asociada con la conexión IPSec se utiliza para enrutar el tráfico de un túnel determinado solo si ese túnel está configurado para utilizar un enrutamiento estático. Esto es especialmente relevante si tiene una VPN de sitio a sitio que utiliza el enrutamiento estático pero desea cambiar para utilizar BGP.

  • Cambio del enrutamiento:

    • Si desea cambiar un túnel de BGP a un enrutamiento estático, primero debe asegurarse de que la conexión IPSec tiene al menos una ruta estática asociada.
    • Puede cambiar el tipo de enrutamiento de un túnel existente en cualquier momento (a menos que Oracle esté provisionando el túnel). Mientras cambia el enrutamiento, el túnel permanece activo (su estado de IPSec no cambia). Sin embargo, el tráfico que fluye por el túnel se interrumpe temporalmente durante el nuevo aprovisionamiento y la reconfiguración del dispositivo del equipo local del cliente (CPE). Para obtener información sobre cómo realizar cambios en la VPN de sitio a sitio, consulte Trabajar con VPN de sitio a sitio.
    • Como configura el tipo de enrutamiento de forma independiente para cada túnel, si desea cambiar la VPN de sitio a sitio de un enrutamiento estático a BGP, puede hacerlo en un túnel cada vez. Esto evita que toda la conexión IPSec esté caída. Para obtener instrucciones, consulte Cambio del enrutamiento estático al enrutamiento dinámico de BGP.

Métodos de ruta y preferencias de ruta cuando tiene varias conexiones

Si utiliza BGP, el DRG asociado a su VCN anuncia rutas a su CPE.

Si configura varias conexiones entre su red local y VCN, debe comprender qué rutas anuncia DRG y cómo definir las preferencias de ruta para utilizar la conexión deseada.

Para obtener información importante, consulte Detalles de enrutamiento para conexiones a la red local.

Preferencia de un túnel específico en la VPN de sitio a sitio

En la VPN de sitio a sitio, puede influir en qué túnel tiene preferencia. A continuación se muestran los elementos que puede configurar:

  • Su preferencia local de BGP de CPE: si utiliza BGP, puede configurar el atributo de preferencia local de BGP en su dispositivo CPE para controlar qué túnel se prefiere para conexiones iniciadas desde su red local a su VCN. Como Oracle en general utiliza el enrutamiento asimétrico, debe configurar otros atributos si desea que Oracle responda en el mismo túnel. Consulte los dos elementos siguientes.
  • Rutas más específicas en el túnel preferido: puede configurar su CPE para anunciar rutas más específicas para el túnel que desea como preferido. Oracle utiliza la ruta con la coincidencia de prefijo más larga al responder o iniciar conexiones.
  • Ruta de acceso de AS antepuesta: BGP prefiere la ruta de acceso de AS más corta, de modo que, si utiliza BGP, puede utilizar la ruta de acceso de AS antepuesta para controlar qué túnel tiene la ruta de acceso más corta para una ruta determinada. Oracle utiliza la ruta de acceso de AS más corta al responder o iniciar conexiones.

Visión general de los componentes de la VPN de sitio a sitio

Si aún no se ha familiarizado con los componentes básicos del servicio Networking, consulte Networking antes de continuar.

Al configurar una VPN de sitio a sitio para su VCN, debe crear varios componentes de Networking. Puede crear los componentes con la consola o la API. Consulte el siguiente diagrama y la descripción de los componentes.

En esta imagen se muestran los componentes de la VPN de sitio a sitio
Referencia 1: Tabla de rutas de VCN por defecto
CIDR de destino Destino de ruta
0.0.0.0/0 DRG
objeto CPE
En su extremo de la VPN de sitio a sitio se encuentra el dispositivo real de su red local (ya sea de hardware o de software). El término equipo local de cliente (CPE) se suele utilizar en algunos sectores para hacer referencia a este tipo de equipo local. Al configurar la VPN, debe crear una representación virtual del dispositivo. Oracle llama a la representación virtual un CPE, pero esta documentación suele utilizar el término objeto CPE para ayudar a distinguir la representación virtual del dispositivo CPE real. El objeto CPE contiene información básica sobre el dispositivo que necesita Oracle. Una única IP pública de objeto CPE puede tener hasta 8 conexiones IPSec.
GATEWAY DE ENRUTAMIENTO DINÁMICO (DRG)
En el extremo de la VPN de sitio a sitio de Oracle hay un enrutador virtual denominado gateway de enrutamiento dinámico, que es el gateway a su VCN desde la red local. Tanto si utiliza los circuitos virtuales privados de la VPN de sitio a sitio o de Oracle Cloud Infrastructure FastConnect para conectar su red local y la VCN, el tráfico pasa por el DRG. Para obtener más información, consulte Gateways de enrutamiento dinámico.
Un ingeniero de redes puede considerar el DRG como la cabecera de la VPN. Después de crear un DRG, debe adjuntarlo a su VCN, bien mediante la consola o mediante la API. También debe agregar una o varias reglas de ruta que dirijan el tráfico desde la VCN al DRG. Sin ese anexo de DRG y las reglas de ruta, el tráfico no fluye entre su red local y su VCN. En cualquier momento, puede desconectar el DRG de la VCN, pero mantenga todos los componentes de VPN restantes. A continuación, puede volver a conectar el DRG o adjuntarlo a otro VCN.
conexión IPSec
Después de crear el objeto CPE y el DRG, puede conectarlos creando una conexión IPSec, que puede considerar como un objeto principal que representa la VPN de sitio a sitio. La conexión IPSec tiene su propio OCID. Al crear este componente, configura el tipo de direccionamiento que se va a utilizar para cada túnel IPSec y proporciona información de direccionamiento relacionada. Una única IP pública de objeto CPE puede tener hasta 8 conexiones IPSec.
TÚNEL
Un túnel de IPSec se utiliza para cifrar tráfico entre puntos finales de IPSec seguros. Oracle crea dos túneles en cada conexión de IPSec para la redundancia. Cada túnel tiene su propio OCID. Oracle recomienda configurar el dispositivo CPE para admitir ambos túneles en caso de que falle uno u Oracle ponga uno fuera de línea para realizar tareas de mantenimiento. Cada túnel tiene información de configuración que necesita su ingeniero de red al configurar el dispositivo CPE. Esta información incluye una dirección IP y un secreto compartido, así como los parámetros ISAKMP e IPSec. Puede utilizar el asistente de configuración de CPE para recopilar la información que necesita el ingeniero de redes. Para obtener más información, consulte Parámetros de IPSec admitidos y Dispositivos CPE verificados.

Control de acceso para los componentes

Para el control de acceso, cuando configure la VPN de sitio a sitio, debe especificar el compartimento en el que desea que resida cada uno de los componentes. Si no está seguro del compartimiento que desea utilizar, coloque todos los componentes en el mismo compartimiento que la VCN. Tenga en cuenta que los túneles de IPSec siempre residen en el mismo compartimiento que la conexión principal de IPSec. Para obtener información sobre compartimientos y restricción del acceso a los componentes de red, consulte Control de acceso.

Nombres e identificadores de los componentes

También puede asignar un nombre descriptivo a cada uno de los componentes cuando los cree. Estos nombres no tienen que ser únicos, aunque se recomienda utilizar nombres únicos durante su arrendamiento. Evite introducir información confidencial. Oracle asigna automáticamente un OCID a cada componente. Para obtener más información, consulte Identificadores de recursos.

Si su CPE está detrás de un dispositivo NAT

En general, el identificador IKE de CPE configurado al final de la conexión debe coincidir con el identificador IKE de CPE que utiliza Oracle. De forma predeterminada, Oracle utiliza la dirección IP pública de CPE, que se proporciona al crear el objeto CPE en la consola de Oracle. Sin embargo, si su CPE está detrás de un dispositivo NAT, el identificador IKE de CPE configurado en su extremo puede ser la dirección IP privada del CPE, como se muestra en el diagrama siguiente.

En esta imagen se muestra el CPE que se encuentra detrás de un dispositivo NAT, las direcciones IP públicas y privadas y el identificador IKE de CPE.
Nota

Algunas plataformas de CPE no permiten cambiar el identificador de IKE local. Si no puede, debe cambiar el ID de IKE remoto en la consola de Oracle para que coincida con el ID de IKE local de su CPE. Puede proporcionar el valor al configurar la conexión de IPSec o más tarde, editando la conexión de IPSec. Oracle espera que el valor sea una dirección IP o un nombre de dominio completo (FQDN), como cpe.example.com. Para obtener instrucciones, consulte Cambio del identificador IKE de CPE que Oracle utiliza.

Acerca del secreto compartido de túnel

Cada túnel tiene un secreto compartido. De forma predeterminada, Oracle asigna el secreto compartido al túnel, a menos que usted proporcione un secreto compartido. Puede proporcionar un secreto compartido para cada túnel al crear la conexión de IPSec, o después de crear los túneles. Para el secreto compartido, solo se permiten letras, números y espacios. Si cambia el secreto compartido de un túnel existente, el túnel se caerá mientras se reaprovisiona.

Para obtener instrucciones, consulte Cambio del secreto compartido que utiliza un túnel de IPSec.

Recursos para la configuración del CPE

El ingeniero de redes debe configurar el CPE en su extremo de la conexión de IPSec. Para facilitar la tarea, Oracle proporciona los siguientes recursos:

Para obtener más información, consulte también Configuración de CPE.

Supervisión de la conexión

Puede supervisar el estado, la capacidad y el rendimiento de los recursos de Oracle Cloud Infrastructure mediante métricas, alarmas y notificaciones. Para obtener más información, consulte Supervisión y Notificaciones.

Para obtener más información sobre la supervisión de su conexión, consulte Métricas de VPN de sitio a sitio.