Nota:

Uso del servicio VPN de sitio a sitio de Oracle Cloud Infrastructure en modo HA con enrutamiento ECMP desde Linux y Libreswan

Introducción

En el mundo interconectado actual, garantizar la disponibilidad y la seguridad de los datos transmitidos por las redes es clave. Para satisfacer esta necesidad crítica, Oracle Cloud ofrece sólidas capacidades de red, incluida la capacidad de establecer túneles IPSec de alta disponibilidad. En este tutorial, exploraremos el concepto de túneles IPSec de alta disponibilidad y le guiaremos a través del proceso de configuración de una arquitectura de red resiliente en Oracle Cloud mediante el protocolo de rutas múltiples de igual costo (ECMP).

En este tutorial, nos centraremos en el uso de Oracle Linux, un sistema operativo potente y seguro optimizado para entornos de Oracle Cloud, junto con Libreswan, un cliente IPSec bien establecido, para establecer túneles IPSec en modo basado en rutas. Aprovecharemos la funcionalidad de gateway de direccionamiento dinámico (DRG) que proporciona Oracle Cloud Infrastructure (OCI) para permitir un failover y un equilibrio de carga perfectas entre varios túneles IPSec.

Objetivos

Proporcione una guía completa para implantar túneles IPSec en OCI mediante el protocolo de enrutamiento ECMP para equilibrar la carga del tráfico a lo largo de ellos en un escenario activo/activo.

Si sigue este tutorial, obtendrá una comprensión completa de IPSec en OCI. Adquirirá las habilidades necesarias para interconectar de forma eficaz su infraestructura local con OCI a través de una conexión redundante.

Requisitos

Nota: Se recomienda tener un entorno de prueba configurado en OCI para experimentar con configuraciones de red y IPSec antes de implementarlas en un entorno de producción.

¿Qué es la VPN IPSec?

La seguridad del protocolo de Internet (IPSec) es un marco de estándares abiertos para ayudar a garantizar comunicaciones privadas y seguras a través de redes de protocolo de Internet (IP) mediante el uso de servicios de seguridad criptográfica. IPSec soporta la integridad de datos a nivel de red, la confidencialidad de datos, la autenticación de origen de datos y la protección de reproducción. Debido a que IPSec está integrado en la capa de Internet (capa 3), proporciona seguridad para casi todos los protocolos del conjunto TCP/IP y a que IPSec se aplica de forma transparente a las aplicaciones, no es necesario configurar una seguridad independiente para cada aplicación que utilice TCP/IP.

IPSec ayuda a proporcionar defensa en profundidad frente a ataques basados en red de computadoras que no son de confianza, ataques que pueden dar como resultado la denegación de servicio de aplicaciones, servicios o la red.

VPN de sitio a sitio

Una VPN IPSec (seguridad de protocolo de Internet) de sitio a sitio, también conocida como VPN de red a red, establece una conexión segura y cifrada entre dos o más redes a través de Internet. Permite la transmisión segura de datos entre sitios distribuidos geográficamente, creando una red privada virtual (VPN) que amplía el alcance de la red más allá de sus límites físicos.

En una VPN IPSec de sitio a sitio, las redes participantes, que suelen pertenecer a diferentes organizaciones o ramas remotas de la misma organización, están conectadas mediante túneles IPSec dedicados. Estos túneles encapsulan y cifran el tráfico de red, lo que garantiza su confidencialidad, integridad y autenticidad mientras atraviesan redes que no son de confianza, como Internet.

Por otro lado, una VPN de punto a sitio (P2S) establece una conexión segura entre dispositivos cliente individuales y una red remota. A diferencia de las VPN de sitio a sitio, que conectan redes, las VPN P2S permiten un acceso remoto seguro para que los dispositivos individuales accedan a los recursos de red. Las VPN P2S se suelen utilizar para permitir el acceso seguro a empleados remotos, contratistas o usuarios móviles que necesitan conectarse a la red de la organización desde ubicaciones externas.

Nota: Este ámbito de tutorial está limitado a la VPN IPSec de sitio a sitio que actualmente es la única soportada en OCI DRGv2.

Conceptos de los túneles de VPN IPSec

IPSec significa seguridad de protocolo de Internet o seguridad IP. IPSec es un conjunto de protocolos que cifra todo el tráfico IP antes de transferir los paquetes del nodo de origen al destino. IPSec se puede configurar en dos modos:

IPSec Los túneles de sitio a sitio de VPN ofrecen las siguientes ventajas:

Nota: La VPN de sitio a sitio de OCI SOLO soporta el modo de túnel para que sea el único modo disponible en OCI.

Arquitectura

Arquitectura

OCI IPSec con ECMP consta de listas que incluyen:

Tarea 1: Configurar valores de OCI

Para este tutorial, hemos creado una instancia de VM de Oracle Linux 7 e instalado Libreswan 3.25. Para instalar Libreswan en Linux, puede seguir la siguiente documentación de Oracle: Acceso a otras nubes con Libreswan. Puede instalar Libreswan en el entorno que desee. Para este tutorial, hemos elegido otra región remota en OCI como cliente de Libreswan e iniciador de túnel.

Una vez que haya instalado Libreswan (sin configurarlo aún), tenga en cuenta la IP pública de la máquina virtual de Linux 7, así como el rango privado de IPv4 CIDR en el que instaló Libreswan.

Ahora, vamos a configurar los valores de OCI

Tarea 2: Configuración de los valores de Linux y Libreswan

Esta parte del tutorial se centrará en los pasos de configuración del sistema operativo Linux y Libreswan. El Libreswan que hemos instalado anteriormente actuará como iniciador de túnel de sitio a sitio y DRG de OCI como responsable de respuesta de túnel.

Tarea 3: Configurar el enrutamiento de IP y el tráfico de túnel

Esta parte del tutorial se centrará en el enrutamiento de IP y el tráfico de túnel.

Tarea 4: Configuración del equilibrio de carga y la redundancia de ECMP

Esta parte del tutorial se centrará en el equilibrio de carga y la redundancia de ECMP.

Acuses de recibo

Autores: Luis Catalán Hernández (especialista en redes de OCI en la nube y multinube), Antonio Gamir (especialista en redes de OCI en la nube)

Más recursos de aprendizaje

Explore otros laboratorios en docs.oracle.com/learn o acceda a más contenido de aprendizaje gratuito en el canal YouTube de Oracle Learning. Además, visite education.oracle.com/learning-explorer para convertirse en un explorador de Oracle Learning.

Para obtener documentación sobre los productos, visite Oracle Help Center.