Documentación de Oracle Cloud Infrastructure

Visión general de VPN de sitio a sitio

La VPN de sitio a sitios proporciona la conexión IPSec entre una red local y una red de nube virtual (VCN). El conjunto de protocolos IPSec cifra el tráfico IP antes de transferir los paquetes del origen al destino y descifra el tráfico cuando llega. La VPN de sitio a sitio se denominaba anteriormente VPN Connect y IPSec VPN.

Otras soluciones VPN seguras incluyen OpenVPN, una solución VPN de cliente a la que se puede acceder en Marketplace de Oracle. OpenVPN conecta dispositivos individuales a una VCN, pero no sitios ni redes completos.

En este tema se ofrece una visión general de la VPN de sitio a sitio para una VCN. Para conocer escenarios que incluyan el VPN de sitio a página, consulte Escenario B: subred privada con una VPN y Escenario C: subredes públicas y privadas con una VPN.

Consulte Límites de VPN de sitio a sitio y Solicitud de aumento del límite de servicio para obtener información relacionada con los límites.

Personal y conocimientos necesarios

Por lo general, el siguiente tipo de personal está implicado en la configuración de la VPN de sitio a sitio con Oracle Cloud Infrastructure:

  • Miembro del equipo de Dev Ops (o función similar) que utiliza Oracle Cloud InfrastructureConsole para configurar los componentes de la nube necesarios para la red virtual y la VPN de sitio a sitio.
  • Ingeniero de redes (o función similar) que configura el dispositivo del equipo local de cliente (CPE) con la información proporcionada por el miembro del equipo de Dev Ops.
Consejo

El miembro del equipo de Dev Ops debe tener el permiso necesario para crear y gestionar los componentes en la nube. Si la persona es el administrador predeterminado para el arrendamiento de Oracle Cloud Infrastructure o un miembro del grupo de administradores, tendrá el permiso necesario. Para obtener información sobre cómo restringir el acceso a los componentes del red, consulte Control de acceso.

El personal debe estar familiarizado con los siguientes conceptos y definiciones:

RECURSOS EN LA NUBE
Todo lo que aprovisione en una plataforma en la nube. Por ejemplo, con Oracle Cloud Infrastructure, un "recurso en la nube" puede ser una VCN, una instancia informática, un usuario, un compartimento, un equilibrador de cargas o cualquier otro componente del servicio de la plataforma.
LOCAL
Término ampliamente utilizado en tecnologías en la nube que hace referencia a los entornos tradicionales del centro de datos. Las instalaciones locales pueden significar un escenario de colocación, un espacio dedicado en el suelo, un edificio dedicado del Centro de datos o un escritorio que se ejecuta en un escritorio.
IDENTIFICADOR DE ORACLE CLOUD (OCID)
Identificador único asignado a cada recurso que aprovisione en Oracle Cloud Infrastructure. OCID es una cadena larga que Oracle genera automáticamente. No puede elegir el valor de un OCID ni cambiarlo de un recurso. Para obtener más información, consulte Identificadores de recursos.

Acerca de la conexión IPSec de Oracle

En general, una conexión IPSec se puede configurar de los siguientes modos:

  • Modo de Transporte: IPSec cifra y autentica únicamente la carga útil real del paquete, y la información del encabezado permanece intacta.
  • Modo de túnel (admitido por Oracle): IPSec cifra y autentica todo el paquete. Después del cifrado, el paquete se encapsula para formar un nuevo paquete IP que tiene información de encabezado diferente.

Oracle Cloud Infrastructure solo admite el modo de túnel para VPN IPSec.

Cada conexión IPSec de Oracle consta de varias conexiones IPSec redundantes. Para un túnel específico, puede utilizar el enrutamiento dinámico con el Protocolo de gateway de borde (BGP) o el enrutamiento estático para encaminar el tráfico del túnel. A continuación, se proporcionan más detalles sobre el enrutamiento.

Los túneles de IPSec de VPN de sitio a sitio ofrecen las siguientes ventajas:

  • Las líneas de Internet públicas se utilizan para enviar datos, de modo que no es necesario contar con líneas de leasing costosas y dedicadas de un sitio a otro.
  • Las direcciones IP internas de las redes y los nodos participantes se ocultan a los usuarios externos.
  • Se cifra toda la comunicación entre los sitios de origen y destino, lo que reduce significativamente las posibilidades de robo de información.

Direccionamiento de la VPN de sitio a sitio

Cuando configura la VPN de sitio a sitio, esta tiene dos túneles de IPSec redundantes. Oracle le recomienda configurar el dispositivo CPE para utilizar ambos túneles (si este lo admite). Tenga en cuenta que en el pasado Oracle creó conexiones de IPSec que tenían hasta cuatro túneles de IPSec.

Los tres tipos siguientes de enrutamiento están disponibles y puede elegir el tipo de enrutamiento por separado para cada túnel IPSec de la VPN de sitio a sitio:

  • Enrutamiento dinámico de BGP: las rutas disponibles se aprenden de forma dinámica mediante BGP. DRG obtiene de forma dinámica las rutas de la red local. En el lado de Oracle, DRG anuncia las subredes de la VCN.
  • Envío estático: al configurar la conexión IPSec con DRG, debe especificar las rutas específicas a la red local de la que desea que se conozca la VCN. También debe configurar el dispositivo CPE con rutas estáticas a las subredes de la VCN. Estas rutas no se aprenden dinámicamente.
  • Enrutamiento basado en política: al configurar la conexión IPSec con DRG, debe especificar las rutas específicas a la red local de la que desea que se conozca la VCN. También debe configurar el dispositivo CPE con rutas estáticas a las subredes de la VCN. Estas rutas no se aprenden dinámicamente.

Detalles de enrutamiento importantes para la VPN de sitio a sitio

A continuación se incluyen detalles importantes para entender el enrutamiento de la VPN de sitio a sitio:

  • Opciones de enrutamiento:

    • Originalmente, la VPN de sitio a sitio solo soportaba el enrutamiento estático y se le solicitaba que proporcionara al menos una ruta estática para la conexión IPSec general.
    • Ahora hay dos tipos de enrutamiento diferentes disponibles (enrutamiento BGP y estático) y puede configurar el tipo de enrutamiento por túnel. Solo se admite un tipo de enrutamiento a la vez para un túnel concreto.
    • En general, le recomendamos que utilice el mismo tipos de direccionamiento para todos los túneles de una conexión IPSec. Una excepción es si se está en proceso de transición entre el enrutamiento estático y BGP, es posible que un túnel utilice temporalmenteun enrutamiento estático mientras el otro ya se ha cambiado a BGP.
    • Al crear una conexión IPSec, el enrutamiento estático es el tipo de enrutamiento predeterminado para todos los túneles, a menos que configure explícitamente cada túnel para utilizar BGP.

  • Información de enrutamiento necesaria:

    • Si selecciona BGP, para cada túnel debe proporcionar dos direcciones IP (una para cada una de los dos altavoces BGP de la sesión BGP del túnel). Las direcciones deben estar en el dominio de cifrado de la conexión IPSec. También debe proporcionar el número del sistema autónomo BGP (ASN de B GP) de la red local.
    • Si selecciona un enrutamiento estático, debe proporcionar al menos una ruta estática (10 como mínimo). Las rutas estáticas se configuran con la conexión general IPSec, de modo que se utilice el mismo conjunto de rutas estáticas para todos los túneles de la conexión IPSec que se configuran para usar enrutamiento estático. Puede cambiar las rutas estáticas en cualquier momento después de crear la conexión IPSec. Si se está realizando una PAT entre un dispositivo CPE y una VCN, la ruta estática de la conexión IPSec es la dirección IP de PAT. Consulte Ejemplo de diseño con PAT.
    • Si selecciona enrutamiento estático, opcionalmente, puede proporcionar una dirección IP para cada extremo del túnel a efectos del control o la resolución de problemas del túnel.
    • Si el túnel está configurado para utilizar BGP, se ignoran las rutas estáticas de la conexión IPSec. Cualquier ruta estática asociada con la conexión IPSec se utiliza para enrutar solo si ese túnel está configurado para utilizar el enrutamiento estático del túnel determinado. Esto es especialmente relevante si tiene una VPN de sitio A sitio que utiliza el enrutamiento estático pero desea cambiar para utilizar BGP.

  • Cambio del enrutamiento:

    • Si se desea cambiar un túnel de BGP a una ruta estática, primero debe asegurarse de que la conexión IPSec tiene al menos una ruta estática asociada.
    • Puede cambiar el tipo de enrutamiento de una túnel existente en cualquier momento (a menos que el túnel esté aprovisionando Oracle). Mientras cambia el enrutamiento, el túnel permanece activo (su estado de IPSec no cambia). Sin embargo, el tránsito que fluye por el túnel se interrumpe temporalmente durante el reaprovisionamiento y mientras reconfigura el dispositivo CPE. Para obtener información sobre el cambio de la VPN de sitio a página, consulte Trabajar con la VPN de sitio a página.
    • Como configura el tipo de enrutamiento de forma independiente para cada túnel, si cambia la VPN de sitio a sitio de una ruta estática a BGP, es mejor hacerlo en un túnel por vez. Esto evita que toda la conexión IPSec esté caída. Para obtener instrucciones, consulte Cambio del enrutamiento estático al enrutamiento dinámico de BGP.

Métodos de ruta y preferencias de ruta cuando tiene diversas conexiones

Cuando se utiliza BGP, el DRG asociado a una VCN da a conocer las rutas al CPE.

Si configura diversas conexiones entre una red local y la VCN, debe comprender qué rutas anuncia el DRG y cómo definir las preferencias de ruta para utilizar la conexión preferida.

Para obtener información importante, consulte Detalles de enrutamiento para conexiones a la red local.

Preferencia de un túnel específico en la VPN de sitio a sitio

En la VPN de sitio a sitio, puede influir en qué túnel tiene preferencia. A continuación se muestran los elementos que puede configurar:

  • Preferencia local de BGP del CPE: si utiliza BGP, puede configurar el atributo, de preferencia local de BGP, en el dispositivo CPE para controlar qué túnel se prefiere para conexiones iniciadas desde la red local a la VCN. Como Oracle utiliza un enrutamiento asimétrico, debe configurar otros atributos si desea que Oracle responda en el mismo túnel. Consulte los dos elementos siguientes.
  • Rutas cada vez más específicas en el túnel preferido: puede configurar un CPE para anunciar rutas más específicas para el túnel que desea como preferido. Oracle utiliza la ruta con la coincidencia del prefijo más larga al responder o al iniciar conexiones.
  • Ruta a AS antepuesta: BGP prefiere la ruta a AS más corta, de modo que, si utiliza BGP, puede usar la ruta a AS antepuesta para controlar qué túnel tiene la ruta a acceso más corta para una ruta específica. Oracle utiliza la ruta de acceso AS más corta al responder o al iniciar conexiones.

Visión general de los componentes de la VPN de sitio a sitio

Si aún no se ha familiarizado con los componentes básicos del servicio Networking, consulte Networking antes de continuar.

Al configurar una VPN de sitio a sitio para una VCN, debe crear varios componentes de red. Puede crear los componentes con la consola o la API. Consulte el siguiente diagrama y la descripción de los componentes.

En esta imagen se muestran los componentes de la VPN de sitio a sitio
Referencia 1: Tabla de rutas de VCN por defecto
CIDR de destino Destino de ruta
0.0.0.0/0 DRG
objeto CPE
En el extremo local de la VPN de sitio a sitio se encuentra el dispositivo real de la red local (ya sea hardware o software). El término equipo local de cliente (CPE) se suele utilizar en algunos sectores para hacer referencia al tipo de equipo local. Al configurar la VPN, debe crear una representación virtual del dispositivo. Oracle llama a la representación virtual un CPE, pero esta documentación suele utilizar el término objeto CPE para ayudar a distinguir la representación virtual del dispositivo CPE real. El objeto CPE contiene información básica sobre los dispositivos que Oracle necesita. Una única IP pública de objeto CPE puede tener hasta 8 conexiones IPSec.
Gateway de enrutamiento dinámico (DRG)
Al final de la VPN de sitio a sitio de Oracle, hay un enrutador virtual denominado puerta de enlace de enrutamiento dinámico, que es el gateway a una VCN desde la red local. Tanto si utiliza la VPN de sitio a sitio o circuitos virtuales privados de Oracle Cloud Infrastructure FastConnect para conectar la red local y la VCN, el tráfico pasa por el DRG. Para obtener más información, consulte Gateways de enrutamiento dinámico.
Un ingeniero de redes puede considerar el DRG como la cabecera de la VPN. Después de crear un DRG, debe adjuntarlo a una VCN, bien mediante la consola o la API. También debe agregar una o varias reglas de ruta que dirijan el tráfico desde la VCN al DRG. Sin esa asociación de DRG y las reglas de ruta, el tráfico no fluye entre la VCN y la red local. En cualquier momento, puede desconectar el DRG de una VCN, pero mantener todos los componentes restantes de VPN. A continuación, puede volver a conectar el DRG o adjuntarlo a otro VCN.
conexión IPSec
Después de crear el objeto CPE y el DRG, puede conectarlos creando una conexión IPSec, que puede considerar como un objeto principal que representa la VPN de sitio a sitio. La conexión IPSec tiene su propio OCID. Al crear este componente, configura el tipo de enrutamiento que se va a utilizar para cada túnel IPSec y proporciona información de enrutamiento relacionada. Una única IP pública de objeto CPE puede tener hasta 8 conexiones IPSec.
TÚNEL
Un túnel de IPSec se utiliza para cifrar tráfico entre puntos finales de IPSec seguros. Oracle crea dos túneles en cada conexión de IPSec para la redundancia. Cada túnel tiene su propio OCID. Se recomienda configurar el dispositivo CPE para admitir ambos túneles en caso que falle uno u Oracle ponga uno fuera de línea para tareas de mantenimiento. Cada túnel tiene información de configuración que necesita un técnico de red al configurar el dispositivo CPE. Esta información incluye una dirección IP y el secreto compartido, así como parámetros ISAKMP y IPSec. Puede utilizar el asistente de configuración de CPE para recopilar la información que necesita el ingeniero de redes. Para obtener más información, consulte Parámetros de IPSec admitidos y Dispositivos CPE verificados.

Control de acceso para los componentes

Para el control de acceso, cuando configura la VPN de sitio a lugar, debe especificar el compartimento en el que desea que residan cada una de las componentes. Si no está seguro del compartimiento que desea utilizar, coloque todos los componentes en el mismo compartimiento que la VCN. Tenga en cuenta que los túneles de IPSec siempre residen en el mismo compartimiento que la conexión principal de IPSec. Para obtener información sobre los compartimentos y la restricción del acceso a los componentes del red, consulte Control de acceso.

Nombres e identificadores de los componentes

También puede asignar un nombre descriptivo a cada uno de los componentes cuando los cree. Estos nombres no tienen que ser únicos, aunque se recomienda utilizar nombres únicos en un arrendamiento. Evite introducir información confidencial. Oracle asigna automáticamente un OCID a cada componente. Para obtener más información, consulte Identificadores de recursos.

Si el CPE está detrás de un dispositivo NAT

En general, el identificador IKE de CPE configurado en el extremo local de la conexión debe coincidir con el identificador IKE de CPE que utiliza Oracle. De manera predeterminada, Oracle utiliza la dirección IP pública de CPE, que se proporciona al crear el objeto CPE en la consola de Oracle. Sin embargo, si un CPE está detrás de un dispositivo NAT, el identificador IKE de CPE configurado en el extremo local puede ser la dirección IP privada del CPE, como se muestra en el diagrama siguiente.

En esta imagen se muestra el CPE que se encuentra detrás de un dispositivo NAT, las direcciones IP públicas y privadas y el identificador IKE de CPE.
Nota

Algunas plataformas de CPE no permiten cambiar el identificador IKE local. Si no puede, debe cambiar el ID de IKE remoto en la consola de Oracle para que coincida con el ID de IKE local de CPE. Puede proporcionar el valor al configurar la conexión de IPSec o más tarde, editando la conexión de IPSec. Oracle espera que el valor sea una dirección IP o un nombre de dominio completo (FQDN), como cpe.example.com. Para obtener instrucciones, consulte Cambio del identificador IKE de CPE que Oracle utiliza.

Acerca del secreto compartido de túnel

Cada túnel tiene un secreto compartido. De forma predeterminada, Oracle asigna el secreto compartido al túnel, a menos que usted proporcione un secreto compartido. Puede proporcionar un secreto compartido para cada túnel al crear la conexión de IPSec, o después de crear los túneles. Para el secreto compartido, solo se permiten letras, números y espacios. Si cambia el secreto compartido de una túnel existente, el túnel se caerá mientras se reaprovisiona.

Para obtener instrucciones, consulte Cambio del secreto compartido que utiliza un túnel de IPSec.

Recursos para la configuración del CPE

Los ingenieros de redes deben configurar el CPE en el extremo local de la conexión IPSec. Para facilitar la tarea, Oracle proporciona los siguientes recursos:

Para obtener más información, consulte también Configuración de CPE.

Supervisión de la conexión

Puede supervisar el estado, la capacidad y el rendimiento de los recursos de Oracle Cloud Infrastructure mediante métricas, alarmas y notificaciones. Para obtener más información, consulte Supervisión y Notificaciones.

Para obtener información sobre la supervisión de la conexión, consulte Métricas de VPN del sitio a la ubicación.