Documentación de Oracle Cloud Infrastructure

Configuración de VPN de sitio a sitio

En este tema se proporcionan instrucciones para crear una conexión IPSec de VPN de sitio a sitio desde una red local a la VCN. Para obtener información general sobre la VPN de sitio a sitio, consulte Visión general de VPN de sitio a sitio.

Antes de Empezar

Para estar preparado, primero debe hacer lo siguiente:

Consejo

Si ya tiene una VPN de sitio a sitio existente que utilice el enrutamiento estático, puede modificar los túneles para que utilicen el enrutamiento dinámico de BGP.

Los siguientes rangos de IP local de enlace no son válidos para su uso con la VPN de sitio a sitio dentro de interfaces de túnel:

  • 169.254.10.0-169.254.19.255
  • 169.254.100.0-169.254.109.255
  • 169.254.192.0-169.254.201.255

Proceso General

Este es el proceso general para configurar la VPN de sitio a sitio:

  1. Complete las tareas que se muestran en Antes de empezar.
  2. Configurar componentes de VPN de sitio a sitio (instrucciones en Ejemplo: configuración de una VPN de sitio a sitio de prueba de concepto):
    1. Cree la VCN.
    2. Cree un DRG.
    3. Asocie el DRG a su VCN.
    4. Cree una tabla de rutas y una regla de ruta para DRG.
    5. Cree una lista de seguridad y reglas necesarias.
    6. Cree una subred en la VCN.
    7. Cree un objeto CPE y proporcione la dirección IP pública del dispositivo CPE.
    8. Cree una conexión de IPSec al objeto CPE y proporcione la información de enrutamiento necesaria.
  3. Utilice el asistente de configuración de CPE: el ingeniero de redes debe configurar el dispositivo CPE con la información que Oracle proporciona durante los pasos anteriores. El asistente de configuración de CPE genera la información para su ingeniero de redes. Para obtener más información, consulte Uso del asistente de configuración de CPE y Configuración de CPE.
  4. Solicite a su ingeniero de redes que configure el dispositivo CPE.
  5. Validar conexión.

Si tiene previsto configurar conexiones redundantes, consulte Guía de redundancia de conectividad (PDF).

Ejemplo: configuración de una VPN de sitio a sitio de prueba de concepto

Consejo

Oracle ofrece un flujo de trabajo de inicio rápido para facilitar la configuración de la VPN de sitio a sitio. Para obtener más información, consulte Inicio rápido de VPN de sitio a sitio.

En este escenario de ejemplo se muestra cómo configurar una VPN de sitio a sitio con un diseño sencillo que podría utilizar para una prueba de concepto (POC). Aquí se siguen las tareas 1 y 2 del Proceso General y se muestra cada componente del diseño que se está creando. Para cada tarea se muestra una captura de pantalla correspondiente a la consola que le ayudará a entender la información necesaria. Para obtener diseños más complejos, consulte Ejemplo de diseño con varias áreas geográficas o Ejemplo de diseño con PAT.

Tarea 1: recopilación de información
Pregunta Respuesta
¿Cuál es el CIDR de la VCN? 172.16.0.0/16

¿Cuál es la dirección IP pública del dispositivo CPE? Si tiene varios dispositivos para garantizar la redundancia, obtenga la dirección IP de cada uno.

Nota: Si el dispositivo CPE está detrás de un dispositivo NAT, consulte Visión general de los componentes de la VPN de sitio a sitio y Requisitos.

 142.34.145.37
¿Ha estado realizando la traducción de direcciones de puerto (PAT) entre cada dispositivo CPE y la VCN? No

¿Qué tipo de enrutamiento planea utilizar? Hay tres opciones mutuamente excluyentes:

Si planea utilizar el enrutamiento dinámico de BGP, muestre las direcciones IP de la sesión BGP que desea utilizar y el ASN de la red.

Si tiene previsto utilizar el enrutamiento estático, indique las rutas estáticas de su red local. Consulte Enrutamiento para la VPN de sitio a sitio.

Si tiene previsto utilizar un enrutamiento basado en políticas o necesita varios dominios de cifrado, muestre los bloques de prefijos IPv6 o de CIDR IPv4 que se utilizan en cada extremo de la conexión. Consulte Dominios de cifrado para túneles basados en políticas.

Ejemplo de enrutamiento dinámico de BGP:

Túnel 1:

  • Interfaz del túnel dentro del BGP - CPE: 10.0.0.16/31
  • Interfaz del túnel dentro del BGP - Oracle: 10.0.0.17/31

Túnel 2:

  • Interfaz del túnel dentro del BGP - CPE: 10.0.0.18/31
  • Interfaz del túnel dentro del BGP - Oracle: 10.0.0.19/31

ASN de Red: 12345

Ejemplo de enrutamiento estático:

Use 10.0.0.0/16 para la ruta estática de un POC simple.

Ejemplo de enrutamiento basado en políticas:

Utilice ??? para una POC simple.
¿Desea proporcionar el secreto compartido de cada túnel o permitir que Oracle los asigne? Consulte Visión general de los componentes de la VPN de sitio a sitio. Deje que Oracle lo asigne.

A continuación se muestra un diagrama de ejemplo para la tarea 1 que utiliza el enrutamiento dinámico de BGP:

En esta imagen se muestra un diseño de VPN básico al utilizar el enrutamiento dinámico de BGP.
Referencia 1: Tabla de rutas de subred por defecto
CIDR de destino Destino de ruta
10.0.0.0/16 DRG
Referencia 2: Lista de seguridad
CIDR de destino Permiso
10.0.0.0/16 Permitido
Referencias de la 3 a la 6
Referencia Función IP
3 Dirección IP pública del CPE 142.34.145.37
4a BGP de túnel 1: interfaz de túnel interna

CPE - 10.0.0.16/31

Oracle - 10.0.0.17/31
4b BGP de túnel 2: interfaz de túnel interna

CPE - 10.0.0.18/31

Oracle - 10.0.0.19/31
5

Dirección IP de VPN de Oracle de túnel 1:

129.213.240.50
6

Dirección IP de VPN de Oracle de túnel 2:

129.213.240.53

A continuación se muestra un diagrama de ejemplo para la tarea 1 que utiliza enrutamiento estático:

En esta imagen se muestra un diseño de VPN básico al utilizar el enrutamiento estático.
Referencia 1: Tabla de rutas de subred por defecto
CIDR de destino Destino de ruta
10.0.0.0/16 DRG
Referencia 2: Lista de seguridad
CIDR de destino Permiso
10.0.0.0/16 Permitido
Referencias de la 3 a la 6
Referencia Función IP
3 Dirección IP pública del CPE 142.34.145.37
4 Ruta estática para conexión IPSec 10.0.0.0/16
5

Dirección IP de VPN de Oracle de túnel 1:

129.213.240.50
6

Dirección IP de VPN de Oracle de túnel 2:

129.213.240.53
Tarea 2a: crear la VCN

Si ya tiene una VCN, vaya a la siguiente tarea.

Consejo

Al utilizar la consola para crear una VCN, solo puede crear la VCN, o bien puede crear la VCN con varios recursos relacionados. Esta tarea crea solo la VCN, y las tareas posteriores crean los otros recursos necesarios.
Esta imagen muestra la creación de la VCN
  1. Abra el menú de navegación, haga clic en Red y, a continuación, en Redes virtuales en la nube.
  2. En Ámbito de lista, seleccione un compartimento en el que tenga permiso para trabajar. La página se actualiza para mostrar solo los recursos de ese compartimento. Si no está seguro de qué compartimiento utilizar, póngase en contacto con un administrador. Para obtener más información, consulte Control de acceso.
  3. Haga clic en Crear red virtual en la nube.

  4. Introduzca los siguientes valores:

    • Crear en compartimiento: déjelo tal cual.
    • Nombre: un nombre descriptivo de la red de nube. No es necesario que sea único y no se puede cambiar posteriormente en la consola (pero puede cambiarlo con la API). Evite introducir información confidencial.
    • Bloque CIDR: un solo bloque CIDR contiguo para la red de nube (por ejemplo, 172.16.0.0/16). Este valor no se puede cambiar posteriormente. Consulte Rangos de direcciones y tamaño de VCN permitidos. Para obtener referencia, use una calculadora de CIDR.
    • Activar asignación de direcciones IPv6: esta opción solo está disponible si la VCN está activada para IPv6. Las direcciones IPv6 están soportadas para todas las regiones comerciales y gubernamentales. Para obtener más información, consulte Direcciones IPv6.

  5. Puede proporcionar valores para el resto de las opciones o puede ignorarlas:

    • Resolución de DNS: esta opción es necesaria para asignar nombres de host de DNS a hosts de la VCN y si tiene previsto utilizar la función de DNS por defecto de la VCN (llamada Solucionador de Internet y VCN). Si selecciona esta opción, puede especificar una etiqueta DNS para la VCN o puede permitir que la consola genere una. El cuadro de diálogo muestra automáticamente el nombre de dominio de DNS correspondiente para la VCN (<VCN_DNS_label>.oraclevcn.com). Para obtener más información, consulte DNS en su red virtual en la nube.
    • Etiquetas: si tiene permisos para crear un recurso, también los tiene para aplicar etiquetas de formato libre a ese recurso. Para aplicar una etiqueta definida, debe tener permisos para utilizar el espacio de nombres de etiqueta. Para obtener más información sobre el etiquetado, consulte Etiquetas de recursos. Si no está seguro de si desea aplicar etiquetas, omita esta opción o pregunte a un administrador. Puede aplicar las etiquetas más tarde.
  6. Haga clic en Crear red virtual en la nube.

La VCN se crea y se muestra en la página. Asegúrese de que se esté aprovisionando antes de continuar.

Tarea 2b: creación de DRG
Esta imagen muestra la creación de DRG

  1. Abra el menú de navegación y haga clic en Redes. En Conectividad de cliente, haga clic en Gateway de enrutamiento dinámico.

  2. Haga clic en Crear gateway de enrutamiento dinámico.
  3. Introduzca los siguientes valores:
    • Crear en compartimiento: déjelo tal cual (el compartimiento de la VCN).
    • Nombre: un nombre descriptivo para el DRG. No tiene que ser único y no se puede cambiar más adelante en la consola (pero puede cambiarlo con la API). Evite introducir información confidencial.
    • Etiquetas: déjelas tal cual. Puede agregar etiquetas más adelante si lo desea. Para obtener más información, consulte Etiquetas de recursos.
  4. Haga clic en Crear gateway de enrutamiento dinámico.

DRG se crea y muestra en la página. Asegúrese de que se esté aprovisionando antes de continuar.

Consejo

También puede utilizar este DRG como gateway para Oracle Cloud Infrastructure FastConnect, que es una alternativa para conectar su red local a la VCN.
Tarea 2c: conecte el DRG a la VCN
En esta imagen se muestra la conexión entre desde DRG hasta la VCN
  1. Haga clic en el nombre del DRG que ha creado.
  2. En Recursos, haga clic en Redes virtuales en la nube.
  3. Haga clic en Asociar a red virtual en la nube.
  4. Seleccione la VCN. Ignore la sección para las opciones avanzadas, que solo es para un caso de enrutamiento avanzado denominado enrutamiento en tránsito, que no es relevante aquí.
  5. Haga clic en Asociar.

La asociación tiene el estado "Asociando" durante un período corto antes de estar lista.

Tarea 2d: crear una tabla de rutas y una regla de ruta para el DRG

Aunque la VCN incluye una tabla de rutas por defecto (sin ninguna regla), en esta tarea se crea una tabla de rutas personalizada con una regla de ruta para el DRG. En este ejemplo, su red local es 10.0.0.0/16. Cree una regla de ruta que tome el tráfico destinado a 10.0.0.0/16 y lo dirija al DRG. Al crear una subred en la tarea 2f, asocia esta tabla de rutas personalizada a la subred.

Consejo

Si ya tiene una VCN existente con una subred, no debe crear una tabla de rutas o una subred. En su lugar, puede actualizar la tabla de rutas de la subred existente para incluir la regla de ruta para el dispositivo DRG.
Esta imagen muestra la creación de la tabla de rutas y la regla de ruta para el DRG
Referencia 1: Tabla de rutas de VCN MyExampleRouteTable
CIDR de destino Tabla de rutas
10.0.0.0/16 DRG
  1. Abra el menú de navegación, haga clic en Red y, a continuación, en Redes virtuales en la nube.
  2. Haga clic en su VCN.
  3. Haga clic en Tablas de rutas para ver las tablas de rutas de la VCN.
  4. Haga clic en Crear tabla de rutas.

  5. Introduzca los siguientes valores:

    • Nombre: un nombre descriptivo de la tabla de rutas (por ejemplo, MyExampleRouteTable). El nombre no tiene que ser único y no se puede cambiar posteriormente en la consola (pero puede cambiarlo en la API). Evite introducir información confidencial.
    • Crear en compartimiento: déjelo tal cual.

    • Haga clic en + Regla de ruta adicional e introduzca lo siguiente:

      • Tipo de destino: gateway de enrutamiento dinámico. El DRG asociado de la VCN se selecciona automáticamente como destino y no tiene que especificarlo usted mismo.
      • Bloque CIDR de destino: el CIDR para la red local (10.0.0.0/16 en este ejemplo).
      • Descripción: descripción opcional de la regla.
    • Etiquetas: deje la información de etiqueta tal cual.
  6. Haga clic en Crear tabla de rutas.

La tabla de rutas se crea y muestra en la página. Sin embargo, la tabla de rutas no realiza ninguna acción a menos que la asocie a una subred durante la creación de esta (consulte la tarea 2f).

Tarea 2e: creación de una lista de seguridad

Por defecto, el tráfico entrante para las instancias de la VCN está configurado como DENEGAR en todos los puertos y todos los protocolos. En esta tarea, se configuran dos reglas de entrada y una regla de salida para permitir el tráfico de red básico necesario. VCN incluye una lista de seguridad por defecto con un conjunto de reglas predeterminadas. Sin embargo, en esta tarea se crea una lista de seguridad independiente con un conjunto de reglas más restrictivo centradas en el tráfico con la red local. Al crear una subred en la tarea 2f, asocie esta lista de seguridad a la subred.

Consejo

Las listas de seguridad son una forma de controlar el tráfico que entra y sale de los recursos de la VCN. También puede utilizar grupos de seguridad de red, lo que le permite aplicar un conjunto de reglas de seguridad a un conjunto de recursos que tengan el mismo poste de seguridad.
Esta imagen muestra la creación de la lista de seguridad
Referencia 1: Tabla de rutas de VCN MyExampleRouteTable
CIDR de destino Tabla de rutas
10.0.0.0/16 DRG
Referencia 2: Lista de seguridad MyExampleSecurityList
Entrada/Salida CIDR Protocolo: puerto
Entrada 10.0.0.0/16 TCP: 22
Entrada 10.0.0.0/16 ICMP: Todos
Salida 10.0.0.0/16 TCP: Todos
Importante

En el siguiente procedimiento, asegúrese de que el CIDR local que especifique en las reglas de la lista de seguridad sea el mismo (o más pequeño) que el CIDR que ha especificado en la regla de ruta en la tarea anterior. De lo contrario, el tráfico estará bloqueado por las listas de seguridad.
  1. Mientras sigue viendo la VCN, haga clic en Listas de Seguridad en la parte izquierda de la página.
  2. Haga clic en Crear lista de seguridad.

  3. Introduzca los siguientes valores:

    • Nombre: nombre descriptivo de la lista de seguridad. El nombre no tiene que ser único y no se puede cambiar posteriormente en la consola (pero puede sí en la API). Evite introducir información confidencial.
    • Crear en compartimiento: déjelo tal cual.

  4. En la sección Permitir reglas para entrada, haga clic en Agregar regla de entrada e introduzca los siguientes valores para la regla de entrada, que permite SSH entrante en el puerto TCP 22 de su red local:

    • Tipo de origen: CIDR
    • CIDR de origen: el CIDR para la red local (10.0.0.0/16 en este ejemplo).
    • Protocolo IP: TCP.
    • Rango de puertos de origen: déjelo tal cual (el valor predeterminado es Todo).
    • Rango de puertos de destino: 22 (para tráfico SSH).
    • Descripción: descripción opcional de la regla.

  5. En la sección Permitir reglas para salida, haga clic en Agregar regla de salida e introduzca los siguientes valores para la regla de salida, que permite el tráfico TCP saliente en todos los puertos a su red local:

    • Tipo de destino: CIDR
    • CIDR de destino: el CIDR para la red local (10.0.0.0/16 en este ejemplo).
    • Protocolo IP: TCP.
    • Rango de puertos de origen: déjelo tal cual (el valor predeterminado es Todo).
    • Rango de puertos de destino: déjelo tal cual (el valor predeterminado es Todo).
    • Descripción: descripción opcional de la regla.
  6. Deje la información de etiqueta como está.
  7. Haga clic en Crear lista de seguridad.

La lista de seguridad se crea y se muestra en la página. Sin embargo, la lista de seguridad no realiza ninguna acción a menos que la asocie a una subred durante la creación de la subred (consulte la tarea 2f).

Tarea 2f: creación de una subred

En esta tarea, se crea una subred en la VCN. Normalmente, una subred tiene un bloque CIDR más pequeño que el CIDR de la VCN. Todas las instancias que cree en esta subred tienen acceso a su red local. Oracle recomienda utilizar subredes regionales. Aquí crea una subred privada regional.

Esta imagen muestra la creación de la subred
Referencia 1: Tabla de rutas de VCN MyExampleRouteTable
CIDR de destino Tabla de rutas
10.0.0.0/16 DRG
Referencia 2: Lista de seguridad MyExampleSecurityList
Entrada/Salida CIDR Protocolo: puerto
Entrada 10.0.0.0/16 TCP: 22
Entrada 10.0.0.0/16 ICMP: Todos
Salida 10.0.0.0/16 TCP: Todos
  1. Mientras sigue viendo la VCN, haga clic en Subredes en el lado izquierdo de la página.
  2. Haga clic en Crear subred.

  3. Introduzca los siguientes valores:

    • Nombre: un nombre descriptivo de la subred. No es necesario que sea único y no se puede cambiar posteriormente en la consola (pero puede cambiarlo con la API). Evite introducir información confidencial.
    • Subred regional o específica del AD: seleccione el botón de radio para Regional. Oracle recomienda utilizar subredes regionales.
    • Bloque CIDR: un solo bloque CIDR contiguo para la subred (por ejemplo, 172.16.0.0/24). Debe estar dentro del bloque CIDR de la red de la nube y no se puede superponer con otras subredes. No puede cambiar este valor más adelante. Consulte Rangos de direcciones y tamaño de VCN permitidos. Para obtener referencia, use una calculadora de CIDR.
    • Activar asignación de direcciones IPv6: esta opción solo está disponible si la VCN ya está activada para IPv6. Las direcciones IPv6 están soportadas para todas las regiones comerciales y gubernamentales. Para obtener más información, consulte Direcciones IPv6.
    • Tabla de rutas: la tabla de rutas que ha creado anteriormente.
    • Subred privada: seleccione esta opción. Para obtener más información, consulte Acceso a internet.
    • Use los nombres de los host de DNS en esta subred: déjelo tal cual (seleccionado).
    • Opciones de DHCP: conjunto de opciones de DHCP que se asociarán a la subred. Seleccione el conjunto predeterminado de opciones DHCP para la VCN.
    • Listas de Seguridad: la lista de seguridad que ha creado anteriormente.
    • Etiquetas: déjelas tal cual. Puede agregar etiquetas más adelante si lo desea. Para obtener más información, consulte Etiquetas de recursos.
  4. Haga clic en Crear subred.

La subred se crea y se muestra en la página. Ahora que la VCN básica de este ejemplo está configurada, está listo para crear los componentes restantes para la VPN de sitio a sitio.

Tarea 2g: crear un objeto CPE y proporcionar la dirección IP pública del dispositivo CPE

En esta tarea, creará el objeto CPE, que es una representación virtual del dispositivo CPE. El objeto CPE existe en un compartimento de su arrendamiento. Al configurar la VPN de sitio a sitio, deberá cambiar la configuración del dispositivo de perímetro real de la red para que coincida con la configuración del objeto CPE.

Esta imagen muestra la creación del objeto CPE
Referencia 1: Tabla de rutas de VCN MyExampleRouteTable
CIDR de destino Tabla de rutas
10.0.0.0/16 DRG
Referencia 2: Lista de seguridad MyExampleSecurityList
Entrada/Salida CIDR Protocolo: puerto
Entrada 10.0.0.0/16 TCP: 22
Entrada 10.0.0.0/16 ICMP: Todos
Salida 10.0.0.0/16 TCP: Todos

  1. Abra el menú de navegación y haga clic en Redes. En Conectividad de cliente, haga clic en Equipo local de cliente.

  2. Haga clic en Crear equipo local del cliente.

  3. Introduzca los siguientes valores:

    • Nombre: un nombre descriptivo del objeto de CPE. No tiene que ser único y no se puede cambiar más adelante en la consola (pero puede cambiarlo con la API). Evite introducir información confidencial.
    • Dirección IP: la dirección IP pública del dispositivo CPE/perimetral real en su extremos de la VPN (consulte la lista de información que se debe recopilar en Antes de empezar).
    • Activar IPSec a través de FastConnect: (opcional) active esta opción solo al configurar la función IPSec a través de FastConnect. Cuando esta opción está activada, la etiqueta del siguiente campo cambia a IP Address (Dirección IP), ya que la dirección IP utilizada como identificador IKE de CPE puede ser pública o privada. Al marcar esta opción, se indica a Oracle que no se podrá acceder a la dirección IP del CPE a través de Internet y que solo se podrá acceder a ella a través del intercambio de tráfico privado.
    • Dirección IP pública: la dirección IP pública del dispositivo CPE/perimetral real en su extremo de la VPN (consulte la lista de información que se debe recopilar en Antes de empezar.
    • Etiquetas: déjelas tal cual. Puede agregar etiquetas más adelante si lo desea. Para obtener más información, consulte Etiquetas de recursos.
  4. Haga clic en Crear CPE.

El objeto CPE se crea y se muestra en la página.

Tarea 2h: creación de una conexión de IPSec al objeto CPE

En esta tarea, puede crear los túneles de IPSec y configurar el tipo de enrutamiento para ellos (enrutamiento dinámico de BGP o enrutamiento estático).

Consejo

Si ya tiene una VPN de sitio a sitio existente que utilice el enrutamiento estático, puede modificar los túneles para que utilicen el enrutamiento dinámico de BGP.
Para el enrutamiento dinámico de BGP
Nota

Oracle recomienda utilizar conexiones IPSec basadas en rutas de BGP para IPSec en FastConnect.

En este ejemplo, configura ambos túneles para que utilicen el enrutamiento dinámico de BGP.

En esta imagen se muestra un diseño de VPN básico al utilizar el enrutamiento dinámico de BGP.
Referencia 1: Tabla de rutas de subred por defecto
CIDR de destino Destino de ruta
10.0.0.0/16 DRG
Referencia 2: Lista de seguridad
CIDR de destino Permiso
10.0.0.0/16 Permitido
Referencias de la 3 a la 6
Referencia Función IP
3 Dirección IP pública del CPE 142.34.145.37
4a BGP de túnel 1: interfaz de túnel interna

CPE - 10.0.0.16/31

Oracle - 10.0.0.17/31
4b BGP de túnel 2: interfaz de túnel interna

CPE - 10.0.0.18/31

Oracle - 10.0.0.19/31
5

Dirección IP de VPN de Oracle de túnel 1:

129.213.240.50
6

Dirección IP de VPN de Oracle de túnel 2:

129.213.240.53

  1. Abra el menú de navegación y haga clic en Redes. En Conectividad con el cliente, haga clic en VPN de sitio a sitio.

  2. Haga clic en Crear conexión IPSec.

  3. Introduzca los siguientes valores:

    • Nombre: introduzca un nombre descriptivo para la conexión de IPSec. No tiene que ser único y puede cambiarlo más adelante. Evite introducir información confidencial.
    • Crear en compartimiento: déjelo tal cual (el compartimiento de la VCN).
    • Equipo local del cliente: seleccione el objeto de CPE que ha creado antes. Si está configurando IPSec en FastConnect, el CPE que seleccione debe tener una etiqueta que confirme que IPSec en FastConnect está activado para ese CPE. Se prefiere el enrutamiento BGP para las conexiones que utilizan IPSec en lugar de FastConnect. Si es necesario, seleccione la casilla de control para indicar que el CPE está detrás de un dispositivo NAT. Si la casilla de control está seleccionada, proporcione la siguiente información:
      • Tipo de identificador IKE de CPE: seleccione el tipo de identificador que utiliza el intercambio de claves de internet (IKE) para identificar el dispositivo CPE. Un FQDN o una dirección IPv4 pueden ser un identificador. Oracle utiliza por defecto la dirección IP pública del CPE. Si su CPE está detrás de un dispositivo NAT, es posible que deba introducir un valor diferente. Puede introducir el nuevo valor aquí o cambiarlo más adelante.
      • Identificador IKE de CPE: introduzca la información que IKE utiliza para identificar el dispositivo CPE.
    • Compartimiento de gateway de enrutamiento dinámico: déjelo tal cual (compartimiento de la VCN).
    • Gateway de enrutamiento dinámico: seleccione el DRG creado anteriormente.
    • Rutas a su red local: déjelo vacío ya que esta conexión IPSec utiliza el enrutamiento dinámico de BGP. Puede configurar los dos túneles para que utilicen BGP siguiendo los pasos posteriores.

  4. Para Túnel 1 (necesario):

    • Nombre: introduzca un nombre descriptivo para el túnel. No tiene que ser único y puede cambiarlo más adelante. Evite introducir información confidencial.
    • Proporcionar secreto compartido personalizado (opcional): por defecto, Oracle proporciona el secreto compartido para el túnel. Si desea proporcionarlo, active esta casilla de control e introduzca el secreto compartido. Puede cambiar el secreto compartido más tarde.
    • Versión de IKEversión de Intercambio de clave de Internet (IKE) que se utilizará para el túnel. Seleccione únicamente IKEv2 si su CPE lo admite. A continuación, también debe configurar el CPE para que utilice únicamente IKEv2 para este túnel.
    • Tipo de enrutamiento: seleccione Enrutamiento dinámico de BGP.
    • Si el CPE seleccionado soporta IPSec en FastConnect, se necesita la siguiente configuración:
      • IP de cabecera de túnel de Oracle: introduzca la dirección IP del punto final del túnel IPSec de Oracle (la cabecera de VPN). Oracle dará a conocer la IP de VPN como una ruta de host /32 mediante la sesión BGP FastConnect. Si hay alguna superposición de direcciones con una ruta de VCN, tendrá prioridad debido a la coincidencia de prefijo más larga.
      • Circuito virtual asociado: seleccione un circuito virtual que se haya activado para IPSec en FastConnect cuando se creó. El túnel se asignará al circuito virtual elegido y solo se podrá acceder a la IP de cabecera definida desde la ubicación local a través del circuito virtual asociado.
      • Tabla de rutas de DRG: seleccione o cree una tabla de rutas de DRG. Para evitar problemas con el enrutamiento recursivo, la asociación de circuito virtual y la asociación de túnel IPSec utilizada para IPsec a través de FC deben utilizar diferentes tablas de rutas de DRG.
    • ASN de BGP: introduzca el ASN de la red.
    • Interfaz de túnel interna IPv4 - CPE: introduzca la dirección IPv4 de BGP con la máscara de subred (/30 o /31) para el extremo CPE del túnel. Por ejemplo: 10.0.0.16/31. La dirección IP debe formar parte del dominio de cifrado de la VPN de sitio a sitio.
    • Interfaz de túnel interna IPv4 - Oracle: introduzca la dirección IPv4 de BGP con la máscara de subred (/30 o /31) para el extremo de Oracle del túnel. Por ejemplo: 10.0.0.17/31. La dirección IP debe formar parte del dominio de cifrado de la VPN de sitio a sitio.
    • Si tiene previsto utilizar IPv6 e IPv4, haga clic en Activar IPv6 e introduzca los siguientes detalles:
      • Interfaz de túnel interna IPv6- CPE: introduzca la dirección IPv6 de BGP con la máscara de subred (/126) para el extremo de CPE del túnel. Por ejemplo: 2001:db2::6/126. La dirección IP debe formar parte del dominio de cifrado de la VPN de sitio a sitio.
      • Interfaz de túnel interna IPv6 - Oracle: introduzca la dirección IP de BGP con la máscara de subred (/126) para el extremo de Oracle del túnel. Por ejemplo: 2001:db2::7/126. La dirección IP debe formar parte del dominio de cifrado de la VPN de sitio a sitio.
      • Si hace clic en Mostrar opciones avanzadas, puede cambiar la siguiente configuración del túnel 1:
        • Inicio de Oracle: este valor indica si el extremo de Oracle de la conexión IPSec puede iniciar el inicio del túnel de IPSec. El valor por defecto es Iniciador o responsable de respuesta. También puede definir el extremo de Oracle como un responsable de respuesta únicamente, lo que requeriría que el dispositivo CPE iniciara el túnel de IPSec. Oracle recomienda dejar esta opción en la configuración por defecto.
        • NAT-T activado: este valor indica si el dispositivo CPE está detrás de un dispositivo NAT. El valor por defecto es Automático. Las demás opciones son Desactivado y Activado. Oracle recomienda dejar esta opción en la configuración por defecto.
        • Activar timeout de detección de peers inoperativos: al hacer clic en esta opción, puede comprobar periódicamente la estabilidad de la conexión al CPE y detectar que el CPE ha dejado de funcionar. Si selecciona esta opción, también puede seleccionar el intervalo más largo entre los mensajes de estado del dispositivo CPE antes de que la conexión IPSec indique que ha perdido el contacto con el CPE. El valor por defecto es de 20 segundos. Oracle recomienda dejar esta opción en la configuración por defecto.
      • Si amplía la sección Configuración de fase uno (ISAKMP) y hace clic en Definir opciones personalizadas, puede definir los siguientes valores opcionales (debe seleccionar uno de cada opción):
        • Algoritmos de cifrado personalizados: puede elegir entre las opciones proporcionadas en el menú desplegable.
        • Algoritmos de autenticación personalizados: puede elegir entre las opciones proporcionadas en el menú desplegable.
        • Grupos Diffie-Hellman: puede elegir entre las opciones proporcionadas en el menú desplegable.

        Si la casilla de control Definir configuraciones personalizadas no está seleccionada, se propone la configuración por defecto.

        Para comprender estas opciones con más detalle, incluidas las propuestas por defecto, consulte Parámetros IPSec soportados.

      • Duración de clave de sesión IKE en segundos: el valor por defecto es 28800, que equivale a 8 horas.
      • Si amplía las opciones de Configuración de fase dos (IPSec) y hace clic en Definir opciones personalizadas, puede definir los siguientes valores opcionales para el túnel 1 (debe seleccionar un algoritmo de cifrado):
        • Algoritmos de cifrado personalizados: puede elegir entre las opciones proporcionadas en el menú desplegable. Si selecciona un algoritmo de cifrado AES-CBC, también debe seleccionar un algoritmo de autenticación.
        • Algoritmos de autenticación personalizados: puede elegir entre las opciones proporcionadas en el menú desplegable. El algoritmo de cifrado que ha seleccionado podría tener autenticación incorporada, en cuyo caso no hay ninguna opción seleccionable.

        Si la casilla de control Definir configuraciones personalizadas no está seleccionada, se propone la configuración por defecto.

        Para todas las opciones de la fase dos, si selecciona una única opción, esa opción sustituye el juego por defecto y es la única opción propuesta para el dispositivo CPE.

      • Duración de clave de sesión IPSec en segundos: el valor por defecto es 3600, que equivale a 1 hora.
      • Activar confidencialidad directa perfecta: por defecto, esta opción está activada. Permite seleccionar la Confidencialidad directa perfecta de grupo Diffie-Hellman. Puede elegir entre las opciones proporcionadas en el menú desplegable. Si no realiza una selección, se propone GROUP5.
  5. En el separador Túnel 2 puede utilizar las mismas opciones descritas para el túnel 1. También puede elegir diferentes opciones o dejar el túnel sin configurar, ya que el dispositivo CPE solo soporta un único túnel.
  6. Puede hacer clic en Mostrar opciones de etiquetado para agregar etiquetas para la conexión IPSec ahora, o puede agregarlas más tarde. Para obtener más información, consulte Etiquetas de recursos.

  7. Haga clic en Crear conexión IPSec.

    La conexión de IPSec se crea y se muestra en la página. Tendrá el "Aprovisionando" durante un período corto.

    La información del túnel que se muestra incluye lo siguiente:

    • La dirección IPv4 o IPv6 de la VPN de Oracle (para el extremo de VPN de Oracle).
    • El estado de IPSec del túnel (los valores posibles son Activo, Inactivo e Inactivo por motivos de mantenimiento). En este punto, el estado es Inactivo. El ingeniero de redes debe configurar el dispositivo CPE para que se pueda establecer el túnel o los túneles.
    • Estado BGP del túnel. En este punto, el estado es Inactivo. El ingeniero de redes debe configurar el dispositivo CPE.

    Para ver el secreto compartido del túnel, haga clic en él para ver sus detalles y, a continuación, haga clic en Mostrar junto a Secreto compartido.

    También puede hacer clic en el separador Detalles de fase para ver los detalles de la primera fase (ISAKMP) y la segunda fase (IPSec) del túnel.

  8. Copie la dirección IP de la VPN de Oracle y el secreto compartido para cada uno de los túneles en un correo electrónico u otra ubicación para que pueda proporcionarlo al ingeniero de redes que configura su dispositivo CPE.

    Puede ver la información de este túnel aquí en la consola en cualquier momento.

Ya ha creado todos los componentes necesarios para la VPN de sitio a sitio. A continuación, el ingeniero de redes debe configurar el dispositivo CPE para que el tráfico de red pueda fluir entre su red local y la VCN.

Para enrutamiento estático
Nota

Oracle recomienda utilizar conexiones IPSec basadas en rutas de BGP para IPSec en FastConnect.
En esta imagen se muestra la creación de la conexión IPSec con enrutamiento estático. Haga clic para ampliarla.
Referencia 1: Tabla de rutas de VCN MyExampleRouteTable
CIDR de destino Tabla de rutas
10.0.0.0/16 DRG
Referencia 2: Lista de seguridad MyExampleSecurityList
Entrada/Salida CIDR Protocolo: puerto
Entrada 10.0.0.0/16 TCP: 22
Entrada 10.0.0.0/16 ICMP: Todos
Salida 10.0.0.0/16 TCP: Todos
Referencia 3: Detalles de conexión IPSec con la ruta estática 10.0.0.0/16
Túnel Dirección IP del lado de Oracle Dirección IP del lado local
Túnel 1 10.0.0.17/31 10.0.0.16/31
Túnel 2 10.0.0.19/31 10.0.0.18/31

  1. Abra el menú de navegación y haga clic en Redes. En Conectividad con el cliente, haga clic en VPN de sitio a sitio.

  2. Haga clic en Crear conexión IPSec.

  3. Introduzca los siguientes valores:

    • Crear en compartimiento: déjelo tal cual (el compartimiento de la VCN).
    • Nombre: introduzca un nombre descriptivo para la conexión de IPSec. No tiene que ser único y puede cambiarlo más adelante. Evite introducir información confidencial.
    • Compartimiento del equipo local del cliente: déjelo tal cual (compartimiento de la VCN).
    • Equipo local del cliente: seleccione el objeto de CPE que ha creado antes. Si está configurando IPSec en FastConnect, el CPE que seleccione debe tener una etiqueta que confirme que IPSec en FastConnect está activado para ese CPE. IPSec a través de FastConnect está disponible para conexiones que utilizan enrutamiento estático, pero no se recomienda.
    • Compartimiento de gateway de enrutamiento dinámico: déjelo tal cual (compartimiento de la VCN).
    • Gateway de enrutamiento dinámico: seleccione el DRG creado anteriormente.
    • CIDR de ruta estática: introduzca al menos un CIDR de ruta estática (consulte la lista de información que se recopilará en Antes de Empezar). Para este ejemplo, introduzca 10.0.0.0/16. Puede introducir hasta 10 rutas estáticas y, posteriormente, puede cambiar estas rutas estáticas si lo desea.
  4. Haga clic en Mostrar opciones avanzadas.
  5. En el separador Identificador IKE de CPE (opcional): Oracle utiliza por defecto la dirección IP pública del CPE. Si su CPE está detrás de un dispositivo NAT, es posible que deba introducir un valor diferente. Puede introducir el nuevo valor aquí o cambiarlo más adelante.

  6. En el separador Túnel 1 (opcional):

    • Nombre de túnel: introduzca un nombre descriptivo para el túnel. No tiene que ser único y puede cambiarlo más adelante. Evite introducir información confidencial.
    • Proporcionar secreto compartido personalizado (opcional): por defecto, Oracle proporciona el secreto compartido para el túnel. Si desea proporcionarlo, active esta casilla de control e introduzca el secreto compartido. Puede cambiar el secreto compartido más tarde.
    • Versión de IKEversión de Intercambio de clave de Internet (IKE) que se utilizará para el túnel. Seleccione únicamente IKEv2 si su CPE lo admite. A continuación, también debe configurar el CPE para que utilice únicamente IKEv2 para este túnel.
    • Tipo de enrutamiento: deje el botón de radio para Enrutamiento estático seleccionado.
    • Interfaz de túnel interna - CPE (opcional): puede proporcionar una dirección IP con máscara de subred (/30 o /31) para el final de CPE del túnel a efectos de la solución de problemas o la supervisión del túnel. Por ejemplo: 10.0.0.16/31. La dirección IP debe formar parte del dominio de cifrado de la VPN de sitio a sitio.
    • Interfaz de túnel interna - Oracle (opcional): puede proporcionar una dirección IP con máscara de subred (/30 o /31) para el final del túnel de Oracle a efectos de la solución de problemas o la supervisión del túnel. Por ejemplo: 10.0.0.17/31. La dirección IP debe formar parte del dominio de cifrado de la VPN de sitio a sitio.

  7. En el separador Túnel 2 (opcional):

    • Nombre de túnel: introduzca un nombre descriptivo para el túnel. No tiene que ser único y puede cambiarlo más adelante. Evite introducir información confidencial.
    • Proporcionar secreto compartido personalizado (opcional): por defecto, Oracle proporciona el secreto compartido para el túnel. Si desea proporcionarlo, active esta casilla de control e introduzca el secreto compartido. Puede cambiar el secreto compartido más tarde.
    • Versión de IKEversión de Intercambio de clave de Internet (IKE) que se utilizará para el túnel. Seleccione únicamente IKEv2 si su CPE lo admite. A continuación, también debe configurar el CPE para que utilice únicamente IKEv2 para este túnel.
    • Tipo de enrutamiento: deje el botón de radio para Enrutamiento estático seleccionado.
    • Interfaz de túnel interna - CPE (opcional): puede proporcionar una dirección IP con máscara de subred (/30 o /31) para el final de CPE del túnel a efectos de la solución de problemas o la supervisión del túnel. Utilice una dirección IP distinta a la del túnel 1. Por ejemplo: 10.0.0.18/31. La dirección IP debe formar parte del dominio de cifrado de la VPN de sitio a sitio.
    • Interfaz de túnel interna - Oracle (opcional): puede proporcionar una dirección IP con máscara de subred (/30 o /31) para el final del túnel de Oracle a efectos de la solución de problemas o la supervisión del túnel. Utilice una dirección IP distinta a la del túnel 1. Por ejemplo: 10.0.0.19/31. La dirección IP debe formar parte del dominio de cifrado de la VPN de sitio a sitio.
  8. Etiquetas: déjelas tal cual. Puede agregar etiquetas más adelante si lo desea. Para obtener más información, consulte Etiquetas de recursos.

  9. Haga clic en Crear conexión IPSec.

    La conexión de IPSec se crea y se muestra en la página. Estará en estado de "Aprovisionamiento" durante un período corto.

    La información del túnel que se muestra incluye lo siguiente:

    • La dirección IP de la VPN de Oracle (para el encabezado de la VPN de Oracle).
    • El estado de IPSec del túnel (los valores posibles son Activo, Inactivo e Inactivo por motivos de mantenimiento). En este punto, el estado es Inactivo. El ingeniero de redes aún debe configurar el dispositivo CPE.

    Para ver el secreto compartido del túnel, haga clic en él para ver sus detalles y, a continuación, haga clic en Mostrar junto a Secreto compartido.

  10. Copie la dirección IP de VPN de Oracle y el secreto compartido para cada uno de los túneles en un correo electrónico u otra ubicación para que pueda proporcionárselos al ingeniero de redes que configurará el dispositivo CPE.

    Puede ver la información de este túnel aquí en la consola en cualquier momento.

Ya ha creado todos los componentes necesarios para la VPN de sitio a sitio. A continuación, el ingeniero de redes debe configurar el dispositivo CPE para que el tráfico de red pueda fluir entre su red local y la VCN.

Para obtener más información, consulte Configuración de CPE.

Para el enrutamiento basado en políticas
Nota

Oracle recomienda utilizar conexiones IPSec basadas en rutas de BGP para IPSec en FastConnect.
Nota

La opción de enrutamiento basado en políticas no está disponible en todos los dominios de disponibilidad y puede que requiera que se cree un nuevo túnel de IPSec.

  1. Abra el menú de navegación y haga clic en Redes. En Conectividad con el cliente, haga clic en VPN de sitio a sitio.

  2. Haga clic en Crear conexión IPSec.

  3. Introduzca los siguientes valores:

    • Crear en compartimiento: déjelo tal cual (el compartimiento de la VCN).
    • Nombre: introduzca un nombre descriptivo para la conexión de IPSec. No tiene que ser único y puede cambiarlo más adelante. Evite introducir información confidencial.
    • Compartimiento del equipo local del cliente: déjelo tal cual (compartimiento de la VCN).
    • Equipo local del cliente: seleccione el objeto de CPE que ha creado antes. Si está configurando IPSec en FastConnect, el CPE que seleccione debe tener una etiqueta que confirme que IPSec en FastConnect está activado para ese CPE. IPSec a través de FastConnect está disponible para conexiones que utilizan enrutamiento basado en políticas, pero no se recomienda.
    • Compartimiento de gateway de enrutamiento dinámico: déjelo tal cual (compartimiento de la VCN).
    • Gateway de enrutamiento dinámico: seleccione el DRG creado anteriormente.
    • CIDR de ruta estática: introduzca al menos un CIDR de ruta estática (consulte la lista de información que se recopilará en Antes de Empezar). Para este ejemplo, introduzca 10.0.0.0/16. Puede introducir hasta 10 rutas estáticas y, posteriormente, puede cambiar estas rutas estáticas si lo desea.
  4. Haga clic en Mostrar opciones avanzadas.
  5. En el separador Identificador IKE de CPE (opcional): Oracle utiliza por defecto la dirección IP pública del CPE. Si su CPE está detrás de un dispositivo NAT, es posible que deba introducir un valor diferente. Puede introducir el nuevo valor aquí o cambiarlo más adelante.

  6. En el separador Túnel 1 (opcional):

    • Nombre de túnel: introduzca un nombre descriptivo para el túnel. No tiene que ser único y puede cambiarlo más adelante. Evite introducir información confidencial.
    • Proporcionar secreto compartido personalizado (opcional): por defecto, Oracle proporciona el secreto compartido para el túnel. Si desea proporcionarlo, active esta casilla de control e introduzca el secreto compartido. Puede cambiar el secreto compartido más tarde.
    • Versión de IKEversión de Intercambio de clave de Internet (IKE) que se utilizará para el túnel. Seleccione únicamente IKEv2 si su CPE lo admite. A continuación, también debe configurar el CPE para que utilice únicamente IKEv2 para este túnel.
    • Tipo de enrutamiento: seleccione el botón de radio del enrutamiento basado en políticas.
    • Local: puede proporcionar varios bloques de prefijos IPv6 o de CIDR IPv4 que utilicen los recursos de la red local, con un enrutamiento determinado por las políticas del dispositivo CPE.
      Nota

      Consulte Dominios de cifrado para túneles basados en políticas para conocer las limitaciones sobre cuántos bloques de prefijos IPv6 o de CIDR IPv4 se pueden utilizar.
    • Oracle Cloud: puede proporcionar varios bloques de prefijos IPv6 o de CIDR IPv4 que utilicen los recursos de la VCN.
      Nota

      Consulte Dominios de cifrado para túneles basados en políticas para conocer las limitaciones sobre cuántos bloques de prefijos IPv6 o de CIDR IPv4 se pueden utilizar.
    • Interfaz de túnel interna - CPE (opcional): puede proporcionar una dirección IP con máscara de subred (/30 o /31) para el final de CPE del túnel a efectos de la solución de problemas o la supervisión del túnel. Por ejemplo: 10.0.0.16/31. La dirección IP debe formar parte de uno de los dominios de cifrado de la VPN de sitio a sitio.
    • Interfaz de túnel interna - Oracle (opcional): puede proporcionar una dirección IP con máscara de subred (/30 o /31) para el final del túnel de Oracle a efectos de la solución de problemas o la supervisión del túnel. Por ejemplo: 10.0.0.17/31. La dirección IP debe formar parte de uno de los dominios de cifrado de la VPN de sitio a sitio.

  7. En el separador Túnel 2 (opcional):

    • Nombre de túnel: introduzca un nombre descriptivo para el túnel. No tiene que ser único y puede cambiarlo más adelante. Evite introducir información confidencial.
    • Proporcionar secreto compartido personalizado (opcional): por defecto, Oracle proporciona el secreto compartido para el túnel. Si desea proporcionarlo, active esta casilla de control e introduzca el secreto compartido. Puede cambiar el secreto compartido más tarde.
    • Versión de IKEversión de Intercambio de clave de Internet (IKE) que se utilizará para el túnel. Seleccione únicamente IKEv2 si su CPE lo admite. A continuación, también debe configurar el CPE para que utilice únicamente IKEv2 para este túnel.
    • Tipo de enrutamiento: seleccione el botón de radio del enrutamiento basado en políticas.
    • Local: puede proporcionar varios bloques de prefijos IPv6 o de CIDR IPv4 que utilicen los recursos de la red local, con un enrutamiento determinado por las políticas del dispositivo CPE.
      Nota

      Consulte Dominios de cifrado para túneles basados en políticas para conocer las limitaciones.
    • Oracle Cloud: puede proporcionar varios bloques de prefijos IPv6 o de CIDR IPv4 que utilicen los recursos de la VCN.
      Nota

      Consulte Dominios de cifrado para túneles basados en políticas para conocer las limitaciones.
    • Interfaz de túnel interna - CPE (opcional): puede proporcionar una dirección IP con máscara de subred (/30 o /31) para el final de CPE del túnel a efectos de la solución de problemas o la supervisión del túnel. Por ejemplo: 10.0.0.16/31. La dirección IP debe formar parte de uno de los dominios de cifrado de la VPN de sitio a sitio.
    • Interfaz de túnel interna - Oracle (opcional): puede proporcionar una dirección IP con máscara de subred (/30 o /31) para el final del túnel de Oracle a efectos de la solución de problemas o la supervisión del túnel. Por ejemplo: 10.0.0.17/31. La dirección IP debe formar parte de uno de los dominios de cifrado de la VPN de sitio a sitio.
  8. Etiquetas: déjelas tal cual. Puede agregar etiquetas más adelante si lo desea. Para obtener más información, consulte Etiquetas de recursos.

  9. Haga clic en Crear conexión IPSec.

    La conexión de IPSec se crea y se muestra en la página. Estará en estado de "Aprovisionamiento" durante un período corto.

    La información del túnel que se muestra incluye lo siguiente:

    • La dirección IP de la VPN de Oracle (para el encabezado de la VPN de Oracle).
    • El estado de IPSec del túnel (los valores posibles son Activo, Inactivo e Inactivo por motivos de mantenimiento). En este punto, el estado es Inactivo. El ingeniero de redes aún debe configurar el dispositivo CPE.

    Para ver el secreto compartido del túnel, haga clic en él para ver sus detalles y, a continuación, haga clic en Mostrar junto a Secreto compartido.

  10. Copie la dirección IP de la VPN de Oracle y el secreto compartido de cada uno de los túneles en un correo electrónico u otra ubicación. A continuación, envíela al ingeniero de redes que configura el dispositivo CPE.

    Puede ver la información de este túnel aquí en la consola en cualquier momento.

Ya ha creado todos los componentes necesarios para la VPN de sitio a sitio. A continuación, el ingeniero de redes debe configurar el dispositivo CPE para que el tráfico de red pueda fluir entre su red local y la VCN.

Para obtener más información, consulte Configuración de CPE.

Tarea 3: uso del asistente de configuración de CPE

Utilice el asistente de configuración de CPE para generar el contenido de configuración que el ingeniero de redes puede usar para configurar el CPE.

El contenido incluye estos elementos:

  • Para cada túnel de IPSec, la dirección IP de VPN de Oracle y el secreto compartido.
  • Valores de parámetros de IPSec soportados.
  • Información sobre la VCN.
  • Información de configuración específica de CPE.

Para obtener más información, consulte Uso del asistente de configuración de CPE.

Tarea 4: solicitar a su ingeniero de redes que configure el CPE

Proporcione a su ingeniero de redes los siguientes elementos:

Importante

Asegúrese de que su ingeniero de redes configure su dispositivo CPE para admitir ambos túneles en el caso de que uno falle u Oracle inactive uno por mantenimiento. Si utiliza BGP, consulte Enrutamiento de la VPN de sitio a sitio.
Tarea 5: validación de la conectividad

Una vez que el ingeniero de redes configure el dispositivo CPE, puede confirmar que el estado de IPSec del túnel esté en Activo y en verde. A continuación, puede crear una instancia de Linux en la subred de la VCN. Deberá utilizar SSH para conectarse a la dirección IP privada de la instancia desde un host de su red local. Para obtener más información, consulte Creación de una instancia.

Ejemplo de diseño con varias áreas geográficas

El siguiente diagrama muestra un ejemplo con esta configuración:

  • Dos redes en áreas geográficas separadas, cada una conecta a la VCN
  • Un único dispositivo CPE en cada área
  • Dos VPN con IPSec (una para cada dispositivo CPE)

Tenga en cuenta que cada VPN de sitio a sitio tiene dos rutas asociadas: una para la subred del área geográfica en particular y una ruta por defecto 0.0.0.0/0. Oracle memoriza las rutas disponibles para cada túnel con BGP (si los túneles utilizan BGP), o porque los ha definido como rutas estáticas para la conexión de IPSec (si los túneles utilizan un enrutamiento estático).

Esta imagen muestra un diseño con dos áreas geográficas y dos enrutadores
Referencia 1: Tabla de rutas de VCN
CIDR de destino Destino de ruta
10.20.0.0/16 DRG
10.40.0.0/16 DRG

A continuación, se muestran algunos ejemplos de situaciones en las que la ruta 0.0.0.0/0 puede proporcionar flexibilidad:

  • Imagine que el dispositivo CPE 1 cae (consulte el siguiente diagrama). Si la subred 1 y la subred 2 pueden comunicarse entre sí, la VCN aún podría acceder a los sistemas de la subred 1 debido a la ruta 0.0.0.0/0 que va hasta el CPE 2.

    Esta imagen muestra un diseño en el que uno de los enrutadores de CPE se cae
    Referencia 1: Tabla de rutas de VCN
    CIDR de destino Destino de ruta
    10.20.0.0/16 DRG
    10.40.0.0/16 DRG

  • Supongamos que su organización agrega un área geográfica nueva con la subred 3 e, en un principio, solo lo conecta a la subred 2 (consulte el siguiente diagrama). Si ha agregado una regla de ruta a la tabla de rutas de la VCN para la subred 3, la VCN podría acceder a los sistemas de la subred 3 debido a la ruta 0.0.0.0/0 que va hasta el CPE 2.

    Esta imagen muestra un diseño con una subred nueva
    Referencia 1: Tabla de rutas de VCN
    CIDR de destino Destino de ruta
    10.20.0.0/16 DRG
    10.40.0.0/16 DRG
    10.60.0.0/16 DRG

Ejemplo de diseño con PAT

El siguiente diagrama muestra un ejemplo con esta configuración:

  • Dos redes en áreas geográficas separadas, cada una conecta a la VCN
  • Dispositivos CPE redundantes (dos en cada área geográfica)
  • Cuatro VPN con IPSec (una para cada dispositivo CPE)
  • Traducción de dirección de puerto (PAT) para cada dispositivo CPE

Para cada una de las cuatro conexiones, la ruta que Oracle necesita conocer es la dirección IP de PAT para el dispositivo CPE específico. Oracle administra la ruta de la dirección IP PAT para cada túnel, ya sea mediante BGP (si los túneles utilizan BGP) o porque ha definido la dirección relevante como una ruta estática para la conexión de IPSec (si los túneles utilizan un enrutamiento estático).

Al configurar las reglas de ruta para la VCN, especifique una regla para cada dirección IP PAT (o un CIDR agregado que las cubra) con el DRG como destino de la regla.

En esta imagen se muestra un caso con varias VPN, enrutadores y PAT de IPSec.
Referencia 1: Tabla de rutas de VCN
CIDR de destino Destino de ruta
PAT IP 1 DRG
PAT IP 2 DRG
PAT IP 3 DRG
PAT IP 4 DRG