Inicio rápido de VPN de sitio a sitio
El asistente de VPN de sitio a sitio es la forma más rápida de configurar una VPN de sitio a sitio entre la red local y la red virtual en la nube (VCN). El asistente es un proceso guiado paso a paso en la consola que configura la VPN y los componentes del servicio Networking relacionados.
Otras soluciones VPN seguras incluyen OpenVPN, una solución VPN de cliente a la que se puede acceder en Marketplace de Oracle. OpenVPN conecta dispositivos individuales a la VCN, pero no sitios ni redes completos.
Objetivo del asistente
La VPN de sitio a sitio implica la instalación y la configuración de varios componentes del servicio Networking. El asistente configura esos componentes. En general, el asistente hace lo siguiente:
- Utiliza una plantilla con suposiciones que le ayudará a empezar.
- Le solicita alguna información básica de la red.
- Configura los componentes del servicio de redes.
- Permite generar contenido de configuración para que lo utilice un ingeniero de redes cuando configura el dispositivo de equipo local de cliente (CPE).
El asistente es una tarea dentro del proceso general de configuración de la VPN de sitio a sitio, que se ilustra en el siguiente diagrama. El asistente es el cuadro sombreado.
Tenga en cuenta que el proceso general incluye el trabajo de un ingeniero de redes de su organización. Ese ingeniero proporciona información que usted, a su vez, debe proporcionar al ejecutar el asistente. El asistente devuelve información que el ingeniero de red necesita al configurar el dispositivo CPE. Puede utilizar el asistente de configuración de CPE para consolidar la información necesaria en una plantilla organizada para el ingeniero de redes.
En las siguientes breves secciones se resume cada tarea.
- Dirección IP pública del dispositivo CPE. (La dirección debe ser IPv4, pero el tráfico IPv6 está soportado)
- Proveedor de CPE. modelo y versión
- Identificador IKE de CPE. Para obtener más información, consulte Visión general de los componentes de la VPN de sitio a sitio.
- Rutas de red local.
- Si utiliza el enrutamiento dinámico BGP con la VPN:
- El ASN de BGP de su red
- Para cada uno de los dos túneles de IPSec que se crearán, el par de direcciones IP de BGP (con máscara de subred) que desea utilizar para las interfaces de túnel internas en los extremos de cada túnel. Por ejemplo:
- Túnel 1: Interfaz de túnel interna - CPE: 10.0.0.16/31
- Túnel 1: Interfaz de túnel interna - Oracle: 10.0.0.17/31
- Túnel 2: Interfaz de túnel interna - CPE: 10.0.0.8/31
- Túnel 2: Interfaz de túnel interna - Oracle: 10.0.0.9/31
Realice el recorrido del asistente en la consola. Para obtener más información, consulte estas secciones:
Utilice el asistente de configuración de CPE para generar el contenido de configuración que el ingeniero de redes puede utilizar para configurar el CPE.
El contenido incluye estos elementos:
- La dirección IP de la VPN de Oracle y el secreto compartido para cada túnel de IPSec.
- Valores de parámetros de IPSec soportados.
- Información sobre la VCN.
- Información de configuración específica de CPE.
Su ingeniero de redes toma la información que usted le proporciona y configura su dispositivo CPE.
Usted y el ingeniero de redes prueban la conexión y confirman que el tráfico fluye.
Alternativa al asistente
Si lo prefiere, puede configurar la VPN de sitio a sitio manualmente. Para obtener instrucciones paso a paso, consulte Configuración de la VPN de sitio a sitio.
Qué se crea en el asistente
La mayoría de los clientes de Oracle que configuran la VPN de sitio a sitio ya tienen una VCN para conectarse a su red local. En ese caso, el asistente crea los componentes que se numeran en el siguiente diagrama. La tabla describe cada componente.
| Número | Componente | Descripción | ¿Puede utilizar uno existente o crear uno nuevo? | ||||
|---|---|---|---|---|---|---|---|
| 1 | CPE | Un CPE es una representación virtual del dispositivo CPE real. Esta representación virtual contiene información básica, como la dirección IP pública del dispositivo CPE. | Sí, puede optar por utilizar un CPE existente o que el asistente cree uno nuevo. | ||||
| 2 | Túneles de IPSec |
El asistente crea dos túneles de IPSec, cada uno con información de configuración específica que debe proporcionar a su ingeniero de redes. Nota: El asistente utiliza IKEv1 o IKEv2 para los túneles. Para obtener más información sobre IKEv2, consulte Uso de IKEv2. |
No El asistente crea automáticamente los túneles. | ||||
| 3 | Gateway de enrutamiento dinámico (DRG) | Un DRG es una representación virtual del enrutador real en el extremo de Oracle de su VPN de sitio a sitio. | Sí. | ||||
| 4 | Gateway de internet |
Si la VCN seleccionada aún no tiene un gateway de internet, puede dejar que el asistente cree uno para activar la conectividad directa a internet. |
Sí, puede utilizar un gateway de internet existente o permitir que el asistente cree uno nuevo. | ||||
| 5 | Tabla de rutas de subred |
|
Para crear cualquier recurso nuevo, el límite de servicio para ese recurso no se debe haberse alcanzado aún. Una vez alcanzado el límite de servicio para un tipo de recurso, puede eliminar los recursos no utilizados de ese tipo o solicitar un aumento del límite de servicio.
Además, durante el asistente se especifican qué subredes de la VCN se deben configurar con acceso a la red local. El asistente actualiza las reglas de seguridad y la tabla de rutas de cada subred de la siguiente manera:
- Reglas de ruta: el asistente agrega una o más reglas para enrutar el tráfico de la VCN a su red local mediante el DRG. Hay una regla por ruta de red local que proporcione en el asistente. Si la VCN tiene un gateway de internet (o elige crear uno) y se selecciona una subred pública, el asistente también agrega una regla para enviar el tráfico restante (no destinado a la red local) al gateway de internet.
- Reglas de la lista de seguridad: el asistente también agrega una o más reglas para permitir todos los tipos de tráfico desde su red local. Hay una regla por ruta de red local que proporcione en el asistente. Si la VCN tiene un gateway de internet (o elige crear uno) y se selecciona una subred pública, el asistente también agrega una regla para permitir SSH a través del puerto 22 desde internet.
Puede editar las reglas o agregar más si lo desea.
Una vez completado el asistente, puede utilizar Configuration Helper de CPE para generar el contenido de configuración que el ingeniero de redes puede usar para configurar el CPE.
Dónde se accede al asistente en la consola
Opción 1:
- Abra el menú de navegación, haga clic en Red y, a continuación, haga clic en Descripción general.
- Haga clic en el botón Iniciar asistente de VPN.
Opción 2:
- Abra el menú de navegación, haga clic en Red y, a continuación, en Redes virtuales en la nube.
- Haga clic en Iniciar asistente de VCN.
- Seleccione Agregar VPN de sitio a sitio y conectividad a Internet a una VCN y, a continuación, haga clic en Iniciar asistente de VCN.
Opción 3:
-
- Haga clic en Iniciar asistente de VPN.
Temas relacionados
- Visión general de VPN de sitio a sitio
- Configuración de VPN de sitio a sitio
- Parámetros de IPSec admitidos
- Configuración de CPE
- Dispositivos CPE verificados
- Uso del asistente de configuración de CPE
- Trabajar con VPN de sitio a sitio
- Preguntas frecuentes sobre VPN de sitio a sitio
- Uso de la API para VPN de sitio a sitio