Documentation sur Oracle Cloud Infrastructure

Check Point : Configuration basée sur des politiques

Cette rubrique décrit une configuration basée sur des politiques pour Check Point CloudGuard. Les instructions ont été validées à l'aide de la version R80.20 de Check Point CloudGuard

Important

Oracle fournit des instructions de configuration pour un ensemble testé de fournisseurs et d'appareils. Utilisez la configuration appropriée pour votre fournisseur et votre version de logiciel.

Si la version de l'appareil ou du logiciel utilisée par Oracle pour vérifier la configuration ne correspond pas exactement à votre appareil ou à votre logiciel, vous pouvez tout de même créer la configuration nécessaire sur votre appareil. Consultez la documentation de votre fournisseur et apportez les ajustements nécessaires.

Si le fabricant de votre appareil ne figure pas dans la liste des fournisseurs et des appareils vérifiés, ou si vous êtes déjà familiarisé avec la configuration de votre appareil pour IPSec, consultez la liste des paramètres IPSec pris en charge et la documentation relative à votre fournisseur pour obtenir de l'aide.

Cette rubrique concerne la configuration basée sur des politiques. Si vous souhaitez plutôt une configuration basée sur des routes (basée sur une interface VTI), voir Check Point : Configuration basée sur des routes.

Une expérience de Check Point est nécessaire. Cette rubrique ne traite pas de l'ajout de la passerelle de sécurité Check Point CloudGuard au gestionnaire de sécurité Check Point CloudGuard. Pour plus d'informations sur l'utilisation des produits Check Point, voir la documentation Check Point.

Important

Oracle fournit des instructions de configuration pour un ensemble testé de fournisseurs et d'appareils. Utilisez la configuration appropriée pour votre fournisseur et votre version de logiciel.

Si la version de l'appareil ou du logiciel utilisée par Oracle pour vérifier la configuration ne correspond pas exactement à votre appareil ou à votre logiciel, vous pouvez tout de même créer la configuration nécessaire sur votre appareil. Consultez la documentation de votre fournisseur et apportez les ajustements nécessaires.

Si le fabricant de votre appareil ne figure pas dans la liste des fournisseurs et des appareils vérifiés, ou si vous êtes déjà familiarisé avec la configuration de votre appareil pour IPSec, consultez la liste des paramètres IPSec pris en charge et la documentation relative à votre fournisseur pour obtenir de l'aide.

Oracle Cloud Infrastructure offre un RPV site à site, une connexion IPSec sécurisée entre votre réseau sur place et un réseau en nuage virtuel (VCN).

Le diagramme suivant présente une connexion IPSec de base à Oracle Cloud Infrastructure avec des tunnels redondants. Les adresses IP utilisées dans ce diagramme servent uniquement d'exemples.

Cette image résume la disposition générale de vos réseaux sur place, des tunnels de connexion RPV site à site et du réseau VCN.

Meilleures pratiques

Cette section décrit les meilleures pratiques et les points à considérer généraux pour utiliser un RPV site à site.

Configurer tous les tunnels pour chaque connexion IPSec

Oracle déploie deux têtes de réseau IPSec pour chacune des connexions afin d'offrir une haute disponibilité pour les charges de travail critiques. Côté Oracle, ces deux têtes de réseau se trouvent sur différents routeurs à des fins de redondance. Oracle recommande de configurer tous les tunnels disponibles pour une redondance maximale. Il s'agit d'une partie essentielle de la philosophie "Design for Failure" (conçu pour résister aux pannes).

Disposer de CPE redondants dans vos emplacements de réseau sur place

Chacun de vos sites qui se connecte avec IPSec à Oracle Cloud Infrastructure doit disposer d'appareils en périphérie de réseau redondants (également appelés équipements locaux d'abonné (CPE)). Vous ajoutez chaque équipement local d'abonné à la console Oracle et créez une connexion IPSec distincte entre votre passerelle de routage dynamique (DRG) et chaque CPE. Pour chaque connexion PSec, Oracle provisionne deux tunnels pour des têtes de réseau IPSec géographiquement redondantes. Pour plus d'informations, voir Guide sur la redondance de connectivité (PDF).

Considérations relatives au protocole de routage

Lorsque vous créez une connexion IPSec de RPV site à site, elle possède deux tunnels IPSec redondants. Oracle vous encourage à configurer votre équipement local d'abonné pour utiliser les deux tunnels (si votre CPE le prend en charge). Auparavant, Oracle créait des connexions IPSec qui possédaient jusqu'à quatre tunnels IPSec.

Les trois types de routage suivants sont disponibles, et vous en choisissez un séparément pour chaque tunnel du RPV site à site :

  • Routage dynamique BGP : Les routes disponibles sont apprises de manière dynamique au moyen de BGP. La passerelle DRG apprend dynamiquement les routes de votre réseau sur place. Côté Oracle, la passerelle DRG annonce les sous-réseaux du VCN.
  • Routage statique : Lorsque vous configurez la connexion IPSec à la passerelle DRG, vous spécifiez les routes particulières à votre réseau sur place que le réseau VCN doit connaître. Vous devez également configurer votre CPE avec des routes statiques vers les sous-réseaux du VCN. Ces routes ne sont pas apprises dynamiquement.
  • Routage basé sur des politiques : Lorsque vous configurez la connexion IPSec à la passerelle DRG, vous spécifiez les routes particulières à votre réseau sur place que le réseau VCN doit connaître. Vous devez également configurer votre CPE avec des routes statiques vers les sous-réseaux du VCN. Ces routes ne sont pas apprises dynamiquement.

Pour plus d'informations sur le routage avec RPV site à site, notamment des recommandations Oracle sur la manipulation de l'algorithme de sélection du meilleur chemin BGP, voir Routage pour RPV site à site.

Autres configurations importantes de l'équipement local d'abonné

Assurez-vous que les listes d'accès sur votre équipement local d'abonné sont configurées correctement pour ne pas bloquer le trafic nécessaire depuis ou vers Oracle Cloud Infrastructure.

Si plusieurs tunnels fonctionnent simultanément, le routage peut être asymétrique. Pour permettre le routage asymétrique, assurez-vous que votre équipement local d'abonné est configuré pour gérer le trafic provenant de votre VCN sur n'importe quel tunnel. Par exemple, vous devez désactiver l'inspection ICMP, configurer le contournement de l'état TCP. Pour plus de détails sur la configuration appropriée, communiquez avec le soutien technique du fournisseur de votre CPE. Pour configurer un routage symétrique, consultez Routage pour RPV site à site.

Restrictions et limites

Cette section décrit les caractéristiques et les limites générales importantes de RPV site à site.

Voir Limites de service pour une liste des limites applicables et des instructions pour demander l'augmentation d'une limite.

Routage asymétrique

Oracle utilise un routage asymétrique sur les multiples tunnels qui composent la connexion IPSec. Configurez vos pare-feux en conséquence. Dans le cas contraire, les tests ping ou le trafic d'application sur la connexion ne fonctionnent pas de manière fiable.

Lorsque vous utilisez plusieurs tunnels vers Oracle Cloud Infrastructure, Oracle vous recommande de configurer votre routage de façon à guider le trafic de manière déterministe à travers le tunnel privilégié. Pour utiliser un tunnel IPSec principal et un autre de secours, configurez des routes plus spécifiques pour le tunnel principal (BGP) et des routes moins spécifiques (route sommaire ou par défaut) pour le tunnel de sauvegarde (BGP/statique). Sinon, si vous annoncez la même route (par exemple, une route par défaut) par tous les tunnels, le trafic de retour de votre réseau VCN à votre réseau sur place est dirigé vers n'importe lequel des tunnels disponibles. En effet, Oracle utilise un routage asymétrique.

Pour des recommandations de routage Oracle spécifiques sur la manière de forcer un routage symétrique, voir Routage pour RPV site à site.

RPV site à site basé sur des routes ou sur des politiques

Le protocole IPSec utilise des associations de sécurité (AS) pour déterminer comment chiffrer les paquets. Au sein de chaque association, pour définir comment chiffrer ou déchiffrer un paquet, il vous faut paramétrer des domaines de chiffrement pour mapper les adresses IP source et cible d'un paquet, ainsi que le type de protocole, sur une entrée de la base de données des associations de sécurité.

Note

Il est possible que d'autres fournisseurs ou que la documentation sectorielle utilisent le terme ID mandataire, index de paramètre de sécurité (SPI) ou sélecteur de trafic pour désigner les associations de sécurité ou les domaines de chiffrement.

Il existe deux méthodes générales pour mettre en oeuvre les tunnels IPSec :

  • Tunnels basés sur des routes : Également appelés tunnels basés sur les sauts suivants. Une consultation de la table de routage est effectuée sur l'adresse IP de destination d'un paquet. Si l'interface de sortie de cette route est un tunnel IPSec, le paquet est chiffré et envoyé à l'autre extrémité du tunnel.
  • Tunnels basés sur des politiques : Les adresses IP source et cible du paquet sont comparées à une liste d'énoncés de politique. Si une correspondance est trouvée, le paquet est chiffré en fonction des règles de cet énoncé.

Les têtes de réseau du RPV site à site Oracle utilisent des tunnels basés sur des routes, mais fonctionnent avec les tunnels basés sur des politiques. Il existe toutefois certaines restrictions indiquées dans les sections suivantes.

Domaine de chiffrement pour les tunnels basés sur des routes

Si votre équipement local d'abonné prend en charge les tunnels basés sur des routes, utilisez cette méthode pour configurer le tunnel. Il s'agit de la configuration la plus simple. C'est aussi celle qui offre le plus d'interopérabilité avec la tête de réseau du RPV Oracle.

Une connexion IPSec basée sur des routes utilise un domaine de chiffrement avec les valeurs suivantes :

  • Adresse IP source : (0.0.0.0/0)
  • Adresse IP de destination : (0.0.0.0/0)
  • Protocole : IPv4

Si vous devez être plus spécifique, vous pouvez utiliser une seule route sommaire pour vos valeurs de domaine de chiffrement au lieu d'une route par défaut.

Domaine de chiffrement pour les tunnels basés sur des politiques

Lorsque vous utilisez des tunnels basés sur des politiques, chaque entrée de politique (bloc CIDR d'un côté de la connexion IPSec) que vous définissez génère une association de sécurité IPSec avec chaque entrée admissible à l'autre extrémité du tunnel. Cette paire est appelée domaine de chiffrement.

Dans ce diagramme, l'extrémité DRG Oracle du tunnel IPSec comporte des entrées de politique pour trois blocs CIDR IPv4 et un bloc CIDR IPv6. L'extrémité CPE sur place du tunnel en comporte pour deux blocs CIDR IPv4 et deux blocs CIDR IPv6. Chaque entrée génère un domaine de chiffrement avec toutes les entrées possibles à l'autre extrémité du tunnel. Les deux côtés d'une paire SA doivent utiliser la même version d'IP. On obtient un total de huit domaines de chiffrement.

Diagramme montrant plusieurs domaines de chiffrement et comment déterminer leur nombre.
Important

Si votre CPE ne prend en charge que les tunnels basés sur des politiques, tenez compte des restrictions suivantes.

  • Le RPV site à site prend en charge plusieurs domaines de chiffrement, mais a une limite supérieure de 50 domaines de chiffrement.
  • Si vous avez rencontré une situation similaire à l'exemple ci-dessus et que vous n'avez configuré que trois des six domaines de chiffrement IPv4 possibles du côté de l'équipement local d'abonné, le lien serait répertorié dans un état "Partiellement actif", car tous les domaines de chiffrement possibles sont toujours créés du côté de la passerelle DRG.
  • Le routage basé sur des politiques dépend de RPV site à site v2. Voir Service de RPV site à site mis à jour pour plus d'informations sur le RPV site à site v2.
  • Selon le moment où votre tunnel a été créé, vous ne pourrez peut-être pas le modifier pour utiliser un routage basé sur des politiques et il vous faudra peut-être le remplacer par un nouveau tunnel IPSec.
  • Les blocs CIDR utilisés à l'extrémité DRG Oracle du tunnel ne peuvent pas chevaucher les blocs CIDR utilisés à l'extrémité CPE sur place du tunnel.
  • Un domaine de chiffrement doit toujours être compris entre deux blocs CIDR de la même version d'adresse IP.

Si votre équipement local d'abonné est derrière un appareil NAT

En général, l'identificateur IKE de CPE configuré à votre extrémité de la connexion doit correspondre à celui qu'Oracle utilise. Par défaut, Oracle utilise l'adresse IP publique du CPE, que vous fournissez lorsque vous créez l'objet CPE dans la console Oracle. Toutefois, si votre équipement local d'abonné est derrière un appareil NAT, l'identificateur IKE configuré à votre extrémité peut être l'adresse IP privée du CPE, comme illustré dans le diagramme suivant.

Cette image présente le CPE derrière un appareil NAT, les adresses IP publiques et privées, ainsi que l'identificateur IKE de CPE.
Note

Certaines plates-formes CPE ne permettent pas de modifier l'identificateur IKE local. Dans ce cas, vous devez remplacer l'ID IKE distant dans la console Oracle par l'ID IKE local de votre CPE. Vous pouvez entrer cette valeur lorsque vous configurez la connexion IPSec ou plus tard, lorsque vous la modifiez. Pour Oracle, la valeur doit être une adresse IP ou un nom de domaine complet, tel que cpe.example.com. Pour obtenir des instructions, voir Modification de l'identificateur IKE de CPE utilisé par Oracle.

Paramètres IPSec pris en charge

Pour la liste des paramètres IPSec pris en charge indépendamment du fournisseur pour toutes les régions, voir Paramètres IPSec pris en charge.

Le numéro ASN BGP d'Oracle pour le domaine du nuage commercial est 31898. Si vous configurez un RPV site à site pour le nuage gouvernemental des États-Unis, voir Paramètres de RPV site à site requis pour le nuage gouvernemental et ASN BGP d'Oracle. Pour le nuage gouvernemental du Royaume-Uni, voir ASN BGP d'Oracle.

Configuration du CPE (basée sur des politiques)

Important

Les instructions de configuration de cette section sont fournies par Oracle Cloud Infrastructure pour votre équipement local d'abonné. Si vous avez besoin d'une assistance supplémentaire, communiquez directement avec le soutien technique de votre fournisseur.

La figure ci-dessous illustre la disposition de base de la connexion IPSec.

Cette image résume la disposition générale de la connexion et des tunnels IPSec.

À propos de l'utilisation de IKEv2

Oracle prend en charge le protocole Internet Key Exchange version 1 (IKEv1) et version 2 (IKEv2). Si vous configurez la connexion IPSec dans la console pour utiliser IKEv2, vous devez limiter votre CPE aux paramètres de chiffrement IKEv2 et connexes qu'il prend en charge. Pour obtenir la liste des paramètres pris en charge par Oracle pour IKEv1 ou IKEv2, voir Paramètres IPSec pris en charge.

Si vous voulez utiliser IKEv2, une des tâches de la section suivante présente une variation. Plus précisément, dans la tâche 4, lors de la configuration du chiffrement, sélectionnez IKEv2 only (IKEv2 seulement) pour la méthode de chiffrement.

Processus de configuration

Tâche 1 : Installer le RPV site à site sur la passerelle de sécurité Check Point CloudGuard
Préalable : Avant de commencer, ajoutez la passerelle de sécurité Check Point CloudGuard au gestionnaire de sécurité Check Point CloudGuard. Établissez également la communication interne sécurisée (SIC) pour pouvoir configurer le tunnel IPSec à l'aide de Check Point SmartConsole. Pour obtenir des instructions sur l'ajout de la passerelle de sécurité à CloudGuard ou l'établissement de la communication SIC, voir la documentation Check Point.
Cette image illustre les conditions préalables.

  1. Installez le module RPV IPSec. Oracle recommande d'installer également le module de surveillance pour l'analyse du trafic.

    Cette image montre où activer le module RPV IPSec.

  2. Cliquez sur OK pour enregistrer vos modifications.
Tâche 2 : Configurer les paramètres IPSec pour la passerelle de sécurité Check Point CloudGuard

Cette tâche décrit les options les plus importantes utilisées pour un tunnel IPSec avec Oracle Cloud Infrastructure.

  1. Dans la page Network Management (Gestion de réseaux), importez toutes les interfaces. Pour ce faire, cliquez sur Get Interfaces (Obtenir les interfaces), qui contient les options Get Interfaces With Topology (Obtenir les interfaces avec la topologie) et Get Interfaces Without Topology (Obtenir les interfaces sans topologie). Cet exemple utilise Get Interfaces Without Topology (Obtenir les interfaces sans topologie) qui vous permet de définir l'objet de chaque interface en tant que réseau externe ou interne.

    Toutes ces interfaces seront utilisées dans le domaine RPV en tant que sous-réseaux annoncés par la passerelle de sécurité Check Point CloudGuard dans le domaine de chiffrement IPSec.

    Cette image présente l'emplacement d'importation des interfaces.

  2. Dans la page VPN Domain (Domaine RPV), Oracle recommande de sélectionner l'option All IP Addresses behind Gateway are based on Topology information (Toutes les adresses IP derrière la passerelle sont basées sur les informations de topologie). Cette option ajoute tous les sous-réseaux détectés dans Network Management (Gestion des réseaux) au domaine de chiffrement IPSec.

    Vous pouvez à la place sélectionner l'option Manually defined (Défini manuellement). Toutefois, cette opération nécessite un objet réseau avec tous les sous-réseaux à inclure dans le domaine de chiffrement IPSec.

    Cette image montre où configurer le domaine RPV.

  3. Si votre passerelle de sécurité Check Point CloudGuard utilise NAT 1:1 pour mapper des adresses IP privées à des adresses IP publiques : dans la page Link Selection (Sélection de liens), sous Always use this IP address (Toujours utiliser cette adresse IP), sélectionnez Statically NATed IP (Adresse IP traduite statiquement)et indiquez l'adresse IP qui doit servir d'ID IKE.

    Cette image montre où configurer l'adresse IP NAT, qui sera l'ID IKE local.

    Si vous ne voulez pas utiliser d'adresse IP publique comme ID IKE local, vous pouvez choisir une autre valeur (telle qu'une adresse IP privée), mais elle ne sera pas celle attendue par la passerelle DRG Oracle. Pour résoudre ce problème, vous pouvez modifier la valeur utilisée par Oracle dans la console Oracle (voir les instructions qui suivent).

    Pour modifier l'ID IKE de CPE utilisé par Oracle (console Oracle)

    1. Ouvrez le menu de navigation et cliquez sur Réseau. Sous Connexion client, cliquez sur RPV site-à-site.

      La liste des connexions IPSec du compartiment que vous consultez est affichée. Si vous ne voyez pas celui que vous recherchez, vérifiez que vous consultez le bon compartiment (sélectionnez-le dans la liste située dans la partie gauche de la page).

    2. Pour la connexion IPSec qui vous intéresse, cliquez sur le menu Actions (Menu Actions), puis sur Modifier.

      L'ID IKE de CPE courant qu'utilise Oracle est affiché au bas de la boîte de dialogue.

    3. Entrez les nouvelles valeurs dans les champs Type d'identificateur IKE de l'équipement local d'abonné et Identificateur IKE de l'équipement local d'abonné, puis cliquez sur Enregistrer les modifications.
  4. Cliquez sur OK pour enregistrer vos modifications.
Tâche 3 : Créer un appareil interopérable

Vous créerez ultérieurement une communauté RPV. Avant cela, vous devez créer un appareil interopérable dont la passerelle de sécurité Check Point CloudGuard se servira pour définir la passerelle DRG Oracle.

  1. Créez l'appareil interopérable.

    Cette image montre où créer un appareil interopérable.

  2. Dans la page General Properties (Propriétés générales) du nouvel appareil interopérable, ajoutez un nom pour identifier le tunnel IPSec. Entrez l'adresse IP affectée par Oracle à l'extrémité Oracle du tunnel lors de la création de la connexion IPSec.

    Cette image montre où configurer l'appareil interopérable.

  3. Dans la page Topology (Topologie), Oracle vous recommande de créer une topologie en cliquant sur New (Nouveau), puis en ajoutant les sous-réseaux du VCN Oracle à utiliser pour le tunnel.

    Vous pouvez à la place sélectionner l'option Manually defined (Défini manuellement). Toutefois, cette opération nécessite un objet réseau avec tous les sous-réseaux à inclure dans le domaine de chiffrement IPSec.

    Cette image montre où configurer la topologie pour l'appareil interopérable.

  4. Dans la page IPSec VPN (RPV IPSec), vous pouvez éventuellement ajouter le nouvel appareil interopérable à une communauté RPV. Vous pouvez ignorer cette étape si vous n'avez pas encore de communauté RPV.

    Remarquez que vous omettez l'étape Traditional mode configuration (Configuration en mode traditionnel) car vous définirez tous les paramètres des phase 1 et 2 dans la communauté RPV à une étape ultérieure. La communauté RPV applique ces paramètres à tous les appareils interopérables qui appartiennent à la communauté RPV.

    Cette image montre où ajouter l'appareil interopérable à une communauté RPV.

  5. Dans la page Link Selection (Sélection de liens), sous Always use this IP address (Toujours utiliser cette adresse IP), sélectionnez Main address (Adresse principale), soit l'adresse que spécifiée lors de la création de l'appareil interopérable. Au besoin, choisissez une adresse IP spécifique qui sera utilisée comme ID IKE.

    Cette image montre où indiquer l'adresse à utiliser pour l'appareil interopérable.

  6. Dans la page VPN Advanced (Options avancées du RPV), sélectionnez Use the community settings (Utiliser les paramètres de la communauté) pour appliquer toutes les options et valeurs dans la communauté RPV, notamment les paramètres des phases 1 et 2.

    Cette image montre où spécifier les paramètres avancés du RPV.
  7. Cliquez sur OK pour enregistrer vos modifications.
Tâche 4 : Créer une communauté RPV
  1. Sélectionnez Security Policies (Politiques de sécurité), puis dans Access Tools (Outils d'accès), sélectionnez VPN Communities (Communautés RPV).

  2. Sélectionnez Star Community (Communauté en étoile).

    Cette image montre où créer une communauté RPV.

  3. Ajoutez un nom pour la communauté en étoile.

  4. Dans la page Gateways (Passerelles), sélectionnez les valeurs de Center Gateways (Passerelles centrales) et Satellite Gateways (Passerelles satellites) . Cette communauté en étoile sert de modèle de paramètres pour les appareils interopérables que vous spécifiez pour Center Gateways (Passerelles centrales) et Satellite Gateways (Passerelles satellites).

    • Center Gateways (Passerelles centrales) : Pour la passerelle de sécurité Check Point CloudGuard.
    • Satellite Gateways (Passerelles satellites) : Pour le CPE connecté à la passerelle DRG Oracle pour chaque tunnel IPSec.
    Cette image montre où configurer les passerelles de la communauté RPV.

  5. S'il s'agit d'un scénario de preuve de concept (POC) : dans la page Encrypted Traffic, sélectionnez Accept tout le trafic chiffré sur. La valeur par défaut de ce paramètre permet le trafic entre la passerelle centrale et les passerelles satellites. Ce paramètre convient à un scénario de démonstration de faisabilité. Toutefois, pour un scénario de production, Oracle vous recommande de créer des politiques de sécurité spécifiques sous Access Control (Contrôle d'accès) et dans l'onglet Policy (Politique). Ces opérations sont décrites dans la tâche finale du processus.

    Cette image montre où configurer le trafic chiffré.

  6. Dans la page Encryption (Chiffrement), configurez les paramètres des phases 1 et 2 pris en charge par Oracle. Pour obtenir la liste de ces valeurs, voir Paramètres IPSec pris en charge.

    Si vous configurez un RPV site à site pour le nuage gouvernemental, voir Paramètres de RPV site à site requis pour le nuage gouvernemental.

    Notez que si vous désirez utiliser IKEv2, sélectionnez IKEv2 only (IKEv2 seulement) dans le champ Encryption Method (Méthode de chiffrement).

    Cette image montre où configurer les paramètres des phases 1 et 2.

  7. Dans la page permanent tunnels (Gestion des tunnels), sélectionnez Set Permanent Tunnels (Définir les tunnels permanents). Oracle vous recommande d'effectuer les opérations suivantes :

    • Sélectionnez On all tunnels in the community (Sur tous les tunnels de la communauté) pour garder tous les tunnels Oracle IPSec actifs constamment.
    • Dans la section VPN Tunnel Sharing (Partage de tunnel RPV), sélectionnez One VPN tunnel per Subnet pair (Un tunnel RPV par paire de sous-réseaux).

    Cette dernière option ne génère qu'une seule paire d'associations de sécurité IPSec, et chaque association, avec un seul index de paramètre de sécurité (SPI) (unidirectionnel).

    Lorsque vous utilisez des tunnels basés sur des politiques, chaque entrée de politique génère une paire d'associations de sécurité IPSec (ou domaine de chiffrement).

    Important

    La tête de réseau du RPV Oracle peut prendre en charge plusieurs domaines de chiffrement, mais certaines limitations s'appliquent. Pour plus de détails, voir Domaines de chiffrement pour les tunnels basés sur des politiques.

    Oracle crée une connexion IPSec basée sur des routes, ce qui signifie que tout est acheminé à travers un domaine de chiffrement indiquant 0.0.0.0/0 (au choix) pour le trafic local et 0.0.0.0/0 (au choix) pour le trafic distant. Pour plus d'informations, voir Domaine de chiffrement ou ID mandataire pris en charge.

    Cette image montre où configurer les options de gestion des tunnels.

  8. Dans la page Shared Secret (Secret partagé), sélectionnez Use only Shared Secret for all external members (Utiliser uniquement le secret partagé pour tous les membres externes) et ajoutez le secret partagé généré par Oracle pour le tunnel lors de la création de la connexion IPSec.

    Actuellement, Oracle ne prend en charge que les clés secrètes partagées. Notez que vous pouvez modifier la clé secrète partagée dans la console Oracle.

    Cette image montre où spécifier la clé secrète partagée.
  9. Cliquez sur OK pour enregistrer vos modifications.

Vérification

Utilisez les options 2 et 4 de la commande suivante pour vérifier les associations de sécurité. 


vpn tunnelutil


**********     Select Option     **********
 
 
(1)                List all IKE SAs
(2)              * List all IPsec SAs
(3)                List all IKE SAs for a given peer (GW) or user (Client)
(4)              * List all IPsec SAs for a given peer (GW) or user (Client)
(5)                Delete all IPsec SAs for a given peer (GW)
(6)                Delete all IPsec SAs for a given User (Client)
(7)                Delete all IPsec+IKE SAs for a given peer (GW)
(8)                Delete all IPsec+IKE SAs for a given User (Client)
(9)                Delete all IPsec SAs for ALL peers and users
(0)                Delete all IPsec+IKE SAs for ALL peers and users
 
 
* To list data for a specific CoreXL instance, append "-i <instance number>" to your selection.
 
 
(Q)               Quit
 
 
*******************************************

Un service Surveillance, également disponible dans Oracle Cloud Infrastructure, vous permet de contrôler vos ressources en nuage de manière active et passive. Pour plus d'informations sur la surveillance de votre RPV site à site, voir Mesures du RPV site à site.

En cas de problèmes, voir Dépannage du RPV site à site.