Configuración de VPN de sitio a sitio

A continuación se muestra un diagrama de ejemplo para la tarea 1 que utiliza el enrutamiento dinámico de BGP:

A continuación se muestra un diagrama de ejemplo para la tarea 1 que utiliza enrutamiento estático:

Referencia 1: Tabla de rutas de subred por defecto

CIDR de destino	Destino de ruta
10.0.0.0/16	DRG

Referencia 2: Lista de seguridad

CIDR de destino	Permiso
10.0.0.0/16	Permitido

Referencias de la 3 a la 6

Referencia	Función	IP
3	Dirección IP pública del CPE	142.34.145.37
4	Ruta estática para conexión IPSec	10.0.0.0/16
5	Dirección IP de VPN de Oracle de túnel 1:	129.213.240.50
6	Dirección IP de VPN de Oracle de túnel 2:	129.213.240.53

Si ya tiene una VCN, vaya a la siguiente tarea.

Consulte Creación de una VCN para obtener pasos detallados sobre la creación de una VCN en la consola.

Asegúrese de que la VCN haya terminado de aprovisionarse antes de continuar. En este ejemplo, estamos utilizando 172.16.0.0/16 como CIDR para la VCN, pero lo que seleccione no importa siempre que sea consistente.

Consulte Creación de un DRG para obtener pasos detallados sobre la creación de un DRG.

DRG se crea y muestra en la página. Asegúrese de que se esté aprovisionando antes de continuar.

Consulte Asociación de un DRG a una VCN para obtener pasos detallados sobre la asociación de un DRG a una VCN.

La asociación tiene el estado "Asociando" durante un período corto antes de estar lista.

Aunque la VCN incluye una tabla del direccionamiento por defecto (sin ninguna reglas), en esta tarea se crea una tabla del direccionamiento de la VCN personalizada con una regla de ruta para el DRG como destino. En este ejemplo, la red local es 10.0.0.0/16. Cree una regla de ruta que tome el tráfico destinado a 10.0.0.0/16 y lo dirija al DRG. Al crear una subred en la tarea 2f, asocia esta tabla de rutas personalizada a la subred.

Consulte Creación de una tabla de rutas de VCN para obtener pasos detallados sobre la creación de tablas de rutas de VCN en la consola. Utilice la siguiente configuración para la regla de ruta:

• Tipo de destino: gateway de enrutamiento dinámico. El DRG asociado de la VCN se selecciona automáticamente como destino y no tiene que especificarlo usted mismo.
• bloque CIDR de destino: el CIDR para la red local (10.0.0.0/16 en este ejemplo).

La tabla de rutas se crea y muestra en la página. Sin embargo, la tabla de rutas no realiza ninguna acción a menos que la asocie a una subred durante la creación de esta (consulte la tarea 2f).

Por defecto, el tráfico entrante para las instancias de una VCN está configurado como DENEGAR en todos los puertos y todos los protocolos. En esta tarea, se configuran dos reglas de entrada y una regla de salida para permitir el tráfico de red básico necesario. VCN incluye una lista de seguridad por defecto con un conjunto de reglas predeterminadas. Sin embargo, en esta tarea se crea una lista de seguridad independiente con un conjunto de reglas más restrictivo centradas en el tráfico con una red local. Al crear una subred en la tarea 2f, asocie esta lista de seguridad a la subred.

Consulte Creación de una lista de seguridad para obtener información detallada sobre la creación de una lista de seguridad en una VCN mediante la consola.

1. Agregue una regla de entrada con los siguientes valores, que permite SSH entrante en el puerto TCP 22 desde una red local:

   • Tipo de origen: CIDR
   • CIDR de origen: el CIDR para una red local (10.0.0.0/16 en este ejemplo).
   • Protocolo IP: TCP.
   • Rango de puertos de origen: déjelo tal cual (el valor predeterminado es Todo).
   • Rango de puertos de destino: 22 (para tráfico SSH).
   • Descripción: descripción opcional de la regla.

2. Agregue una regla de salida con los siguientes valores, que permita el tráfico TCP saliente en todos los puertos a una red local:

   • Tipo de destino: CIDR
   • Destination CIDR: el CIDR para una red local (10.0.0.0/16 en este ejemplo).
   • Protocolo IP: TCP.
   • Rango de puertos de origen: déjelo tal cual (el valor predeterminado es Todo).
   • Rango de puertos de destino: déjelo tal cual (el valor predeterminado es Todo).
   • Descripción: descripción opcional de la regla.

Cuando se crea la lista de seguridad, se muestra en la página. Sin embargo, la lista de seguridad no realiza ninguna acción a menos que la asocie a una subred durante la creación de la subred (consulte la tarea 2f).

En esta tarea, se crea una subred en la VCN. Normalmente, una subred tiene un bloque CIDR más pequeño que el CIDR de la VCN. Todas las instancias que cree en esta subred tienen acceso a una red local. Se recomienda el uso de subredes regionales. Aquí crea una subred privada regional.

Consulte Creación de una subred para obtener información detallada sobre la creación de una subred de una VCN mediante la consola. Utilice los valores siguientes:

• Subred regional o específica del dominio de disponibilidad : seleccione el botón de radio de Regional. Se recomienda utilizar subredes regionales.
• Bloque CIDR: un solo bloque CIDR contiguo para la subred (por ejemplo, 172.16.0.0/24). Debe estar dentro del bloque CIDR de la red de la nube y no se puede superponer con otras subredes. No puede cambiar este valor más adelante. Consulte Rangos de direcciones y tamaño de VCN permitidos. Para obtener referencia, use una calculadora de CIDR.
• Tabla de rutas: tabla de rutas que ha creado en la tarea 2d.
• Subred privada: seleccione esta opción. Para obtener más información, consulte Acceso a internet.
• Use los nombres de los host de DNS en esta subred: déjelo tal cual (seleccionado).
• Opciones de DHCP: conjunto de opciones de DHCP que se asociarán a la subred. Seleccione el conjunto predeterminado de opciones DHCP para la VCN.
• Listas de Seguridad: la lista de seguridad que ha creado anteriormente.

La subred se crea y se muestra en la página. Ahora que la VCN básica de este ejemplo está configurada, está listo para crear los componentes restantes para la VPN de sitio a sitio.

En esta tarea, se crea el objeto CPE, que es una representación virtual del dispositivo CPE real. El objeto CPE existe en un compartimento de un arrendamiento. Al configurar la VPN de sitio a sitio, deberá cambiar la configuración del dispositivo del perímetro real de la red local para que coincida con la configuración del objeto CPE.

Consulte Creación de un CPE para obtener pasos detallados sobre la creación de un objeto CPE. En este ejemplo, la dirección IP más importante que se debe proporcionar es 142.34.145.37, la dirección IP pública o privada del dispositivo CPE físico.

En esta tarea, puede crear los túneles IPSec y configurar el tipo de enrutamiento para ellos (enrutamiento dinámico de BGP, enrutamiento estático o enrutamiento basado en políticas). Consulte Creación de una conexión IPSec para obtener pasos detallados.

Utilice el asistente de configuración de CPE para generar el contenido de configuración que el ingeniero de redes puede utilizar para configurar el CPE.

El contenido incluye estos elementos:

• Para cada túnel de IPSec, la dirección IP de VPN de Oracle y el secreto compartido.
• Valores de parámetros de IPSec soportados.
• Información sobre la VCN.
• Información de configuración específica de CPE.

Para obtener más información, consulte Uso del asistente de configuración de CPE.

Proporcione al ingeniero de redes los siguientes elementos:

• El contenido generado por el asistente de configuración de CPE.
• Parámetros generales de IPSec que admite Oracle.

Una vez que el ingeniero de redes configure el dispositivo CPE, puede confirmar que el estado IPSec del túnel esté en Activo y en verde. A continuación, puede crear una instancia de Linux en la subred de una VCN. A continuación, utilice SSH para conectarse a la dirección IP privada de la instancia desde un host de la red local. Para obtener más información, consulte Creación de una instancia.