Documentación de Oracle Cloud Infrastructure

Asistente de VPN de sitio a sitio

El asistente de VPN de sitios a sitios es la forma más rápida para configurar una VPN de sitios a sitios entre una red local y una red virtuales en la nube (VCN). El asistente es un proceso guiado paso a paso en la consola que configura la VPN más los componentes de servicio Networking relacionados.

Otras soluciones VPN seguras incluyen OpenVPN, una solución VPN de cliente a la que se puede acceder en Marketplace de Oracle. OpenVPN conecta dispositivos individuales a una VCN, pero no sitios ni redes completos.

Objetivo del asistente

La VPN de sitio a sitio implica la instalación y la configuración de varios componentes del servicio Networking. El asistente configura esos componentes. En general, el asistente hace lo siguiente:

  • Utiliza una plantilla con suposiciones que le ayudarán a empezar.
  • Le solicita alguna información básica de la red.
  • Configura los componentes del servicio de redes.
  • Permite generar contenido de configuración para que lo utilice un ingeniero de redes cuando configura un dispositivo de equipo local de cliente (CPE).

El asistente es una tarea dentro del proceso general de configuración de la VPN de sitio a sitio, que se ilustra en el siguiente diagrama. El asistente es el cuadro sombreado.

En esta imagen se muestra un diagrama de flujo del proceso de configuración general de la VPN de sitio a sitio.

Observe que el proceso general incluye el trabajo de un ingeniero de redes local. Ese ingeniero proporciona información que usted, a su vez, debe proporcionar al ejecutar el asistente. El asistente devuelve información que el ingeniero de red necesita al configurar un dispositivo CPE. Puede utilizar el asistente de configuración de CPE para proporcionar la información necesaria al ingeniero de redes.

En las siguientes breves secciones se resume cada tarea.

Tarea 1: Información que debe obtener del ingeniero del network
  • Dirección IP pública del dispositivo CPE. (La dirección debe ser IPv4, pero el tráfico IPv6 está soportado)
  • Proveedor de CPE. modelo y versión
  • Identificador IKE de CPE. Para obtener más información, consulte Visión general de los componentes de la VPN de sitio a sitio.
  • Rutas de red local.
  • Si utiliza el enrutamiento dinámico BGP con la VPN:
    • ASN de BGP de la red local
    • Para cada Uno de los dos túneles de IPSec que se crearán, el par de direcciones IP de BGP (con máscara del subred) que desea utilizar para las interfaces del túnel interiores en los extremos de cada túnel. Por ejemplo:
      • Túnel 1: Interfaz de túnel interna - CPE: 10.0.0.16/31
      • Túnel 1: Interfaz de túnel interna - Oracle: 10.0.0.17/31
      • Túnel 2: Interfaz de túnel interna - CPE: 10.0.0.8/31
      • Túnel 2: Interfaz de túnel interna - Oracle: 10.0.0.9/31
Tarea 2: asistente

Realice el recorrido del asistente en la consola. Para obtener más información, consulte estas secciones:

Tarea 3: Información para dar a sus ingenieros de redes

El asistente de configuración de CPA se utiliza para generar los contenidos de configuración que puede utilizar el ingeniero a fin de configurar el CPE.

El contenido incluye estos elementos:

  • La dirección IP de la VPN de Oracle y el secreto compartido para cada túnel de IPSec.
  • Valores de parámetros de IPSec soportados.
  • Información sobre la VCN.
  • Información de configuración específica de CPE.
Tarea 4: Configuración de CPE

El ingeniero de redes toma la información que usted le proporciona y configura el dispositivo CPE.

Tarea 5: Prueba

Usted y el ingeniero de redes prueban la conexión y confirman que el tráfico fluye.

Qué se crea en el asistente

La mayoría de los clientes de Oracle que configuran la VPN de sitio a sitio ya tienen una VCN para conectarse a su red local. En ese caso, el asistente crea los componentes que se numeran en el siguiente diagrama. La tabla describe cada componente.

Esta imagen muestra los componentes del servicio de redes que se han creado.
Número Componente Descripción ¿Puede utilizar uno existente o crear uno nuevo?
1 CPE Un CPE es una representación virtual del dispositivo CPE real. Esta representación virtual contiene información básica, como la dirección IP pública del dispositivo CPE. Sí, puede optar por utilizar un CPE existente o que el asistente cree uno nuevo.
2 Túneles de IPSec

El asistente crea dos túneles IPSec, cada una con información de configuración específica que debe proporcionar al ingeniero de redes.

Nota: El asistente utiliza IKEv1 o IKEv2 para los túneles. Para obtener más información sobre IKEv2, consulte Uso de IKEv2.

 No El asistente crea automáticamente los túneles.
3 Gateway de enrutamiento dinámico (DRG) Un DRG es una representación virtual del enrutador real en el extremo de Oracle de su VPN de sitio a sitio. Sí.
4 Gateway de internet

Si la VCN que seleccione no tiene aún un gateway de Internet, puede permitir que el asistente cree uno para activar la conectividad directa a Internet.

Sí, puede utilizar una puerta de enlace de Internet existente o permitir que el asistente cree una nueva.
5 Tabla de rutas de subred
CIDR de destino Destino de ruta
10.0.0.0/16 DRG
Nota

Para crear cualquier recurso nuevo, el límite de servicio para ese recurso no se debe haberse alcanzado aún. Una vez alcanzado el límite de servicio para un tipo de recurso, puede eliminar los recursos no utilizados de ese tipo o solicitar un aumento del límite de servicio.

Además, durante el asistente se especifican las subredes de la VCN que se van a configurar con acceso a la red local. El asistente actualiza las reglas de seguridad y la tabla de rutas de cada subred de la siguiente manera:

  • Reglas de rutas: el asistente agrega una o más reglas para enrutar al tráfico de la VCN a una red local mediante el DRG. Debe proporcionar una regla por ruta de red local en el asistente. Si la VCN tiene un gateway de internet (o crea uno) y se selecciona una subred pública, el asistente también agrega una regla para enviar al gateway de internet el tráfico restante (no destinado para la red local).
  • Reglas de Lista de Seguridad: el asistente también agrega una o más reglas para permitir todos los tipos de tráfico de una red local. Debe proporcionar una regla por ruta de red local en el asistente. Si la VCN tiene un gateway de internet (o crea uno) y se selecciona una subred pública, el asistente también agrega una regla para permitir SSH a través del puerto 22 desde internet.

Puede editar las reglas o agregar más si lo desea.

Una vez completado el asistente, puede utilizar el asistente de configuración deCPE para generar los contenidos de configuración que puede usar el ingeniero en redes local para configurar el CPE.

Dónde se accede al asistente en la consola

Para acceder a este asistente desde la página Visión general de redes:

  1. Abra el menú de navegación, seleccione Red y, a continuación, seleccione Visión general.
  2. En la sección Agregar conectividad a internet y VPN de sitio a sitio a una VCN, seleccione Iniciar asistente de VCN.

Para acceder a este asistente desde la página de lista Redes virtuales en la nube:

  1. Abra el menú de navegación , seleccione Red y, a continuación, seleccione Redes virtuales en la nube.
  2. En la página de lista Redes virtuales en la nube, realice una de las siguientes acciones según la opción que vea:
    • Seleccione el botón Acciones y, a continuación, seleccione Iniciar asistente de VCN.
    • Select Start VCN Wizard.
  3. Seleccione Agregar VPN de sitio al sitio y conectividad de Internet a una VCN y, a continuación, seleccione Iniciar asistente de VCN.

Para acceder a este asistente desde la página de lista VPN de sitio a página:

  1. Abra el menú de navegación y seleccione Red. En Conectividad de cliente, seleccione VPN de sitio a sitio.
  2. Seleccione Iniciar asistente de VPN.