Documentation sur Oracle Cloud Infrastructure

Check Point : Configuration basée sur des routes

Cette rubrique décrit une configuration basée sur des routes pour Check Point CloudGuard. Les instructions ont été validées à l'aide de la version R80.20 de Check Point CloudGuard

Important

Oracle fournit des instructions de configuration pour un ensemble testé de fournisseurs et d'appareils. Utilisez la configuration appropriée pour le fournisseur et la version du logiciel.

Si la version de l'appareil ou du logiciel utilisée par Oracle pour vérifier la configuration ne correspond pas exactement à l'appareil ou au logiciel, vous pouvez tout de même créer la configuration nécessaire sur l'appareil. Consultez la documentation du fournisseur et apportez les modifications nécessaires.

Si l'appareil provient d'un fournisseur qui ne figure pas dans la liste des fournisseurs et des appareils vérifiés, ou si vous êtes déjà familiarisé avec la configuration de l'appareil pour IPSec, voir la liste des paramètres IPSec pris en charge et la documentation sur le fournisseur pour obtenir de l'aide.

Cette rubrique concerne la configuration basée sur des routes. Si vous souhaitez plutôt une configuration basée sur des politiques, voir Check Point : Configuration basée sur des politiques. Le routage basé sur des politiques est mentionné dans cet article. Il est conseillé de connaître les deux méthodes.

Une expérience de Check Point est nécessaire. Cette rubrique ne traite pas de l'ajout de la passerelle de sécurité CloudGuard du point de vérification au gestionnaire de sécurité CloudGuard du point de vérification. Pour plus d'informations sur l'utilisation des produits Check Point, voir la documentation Check Point.

Important

Oracle fournit des instructions de configuration pour un ensemble testé de fournisseurs et d'appareils. Utilisez la configuration appropriée pour le fournisseur et la version du logiciel.

Si la version de l'appareil ou du logiciel utilisée par Oracle pour vérifier la configuration ne correspond pas exactement à l'appareil ou au logiciel, vous pouvez tout de même créer la configuration nécessaire sur l'appareil. Consultez la documentation du fournisseur et apportez les modifications nécessaires.

Si l'appareil provient d'un fournisseur qui ne figure pas dans la liste des fournisseurs et des appareils vérifiés, ou si vous êtes déjà familiarisé avec la configuration de l'appareil pour IPSec, voir la liste des paramètres IPSec pris en charge et la documentation sur le fournisseur pour obtenir de l'aide.

Oracle Cloud Infrastructure offre un RPV site à site, une connexion IPSec sécurisée entre un réseau sur place et un réseau en nuage virtuel (VCN).

Le diagramme suivant présente une connexion IPSec de base à Oracle Cloud Infrastructure avec des tunnels redondants. Les adresses IP utilisées dans ce diagramme servent uniquement d'exemples.

Cette image résume la disposition générale d'un réseau sur place, des tunnels IPSec de la connexion RPV et du réseau VCN.

Meilleures pratiques

Cette section décrit les meilleures pratiques et les points à considérer généraux pour utiliser un RPV site à site.

Configurer tous les tunnels pour chaque connexion IPSec

Oracle déploie deux têtes de réseau IPSec pour les connexions afin de fournir une haute disponibilité pour les charges de travail critiques. Côté Oracle, ces deux têtes de réseau se trouvent sur différents routeurs à des fins de redondance. Nous vous recommandons de configurer tous les tunnels disponibles pour une redondance maximale. Il s'agit d'une partie essentielle de la philosophie "Design for Failure" (conçu pour résister aux pannes).

Disposer d'équipements de client sur place redondants dans des emplacements de réseau sur place

Nous recommandons que chaque site qui se connecte avec IPSec à Oracle Cloud Infrastructure ait des appareils en périphérie de réseau redondants (également connus sous le nom d'équipement local d'abonné (CPE)). Vous ajoutez chaque CPE à la console Oracle et créez une connexion IPSec distincte entre une passerelle de routage dynamique (DRG) et chaque CPE. Pour chaque connexion PSec, Oracle provisionne deux tunnels pour des têtes de réseau IPSec géographiquement redondantes. Pour plus d'informations, voir Guide sur la redondance de connectivité (PDF).

Considérations relatives au protocole de routage

Lorsque vous créez une connexion IPSec de RPV site à site, elle possède deux tunnels IPSec redondants. Oracle vous encourage à configurer l'équipement local d'abonné pour qu'il utilise les deux tunnels (si l'équipement local d'abonné le prend en charge). Auparavant, Oracle créait des connexions IPSec qui possédaient jusqu'à quatre tunnels IPSec.

Les trois types de routage suivants sont disponibles, et vous les sélectionnez séparément pour chaque tunnel du RPV site à site :

  • Routage dynamique BGP : Les routes disponibles sont apprises de manière dynamique au moyen de BGP. La DRG apprend dynamiquement les routes du réseau sur place. Côté Oracle, la passerelle DRG annonce les sous-réseaux du VCN.
  • Routage statique : Lorsque vous configurez la connexion IPSec à la passerelle DRG, vous spécifiez les routes particulières au réseau sur place que le réseau VCN doit connaître. Vous devez également configurer l'équipement local d'abonné avec des routes statiques vers les sous-réseaux du VCN. Ces routes ne sont pas apprises dynamiquement.
  • Routage basé sur des politiques : Lorsque vous configurez la connexion IPSec à la passerelle DRG, vous spécifiez les routes particulières au réseau sur place que le réseau VCN doit connaître. Vous devez également configurer l'équipement local d'abonné avec des routes statiques vers les sous-réseaux du VCN. Ces routes ne sont pas apprises dynamiquement.

Pour plus d'informations sur le routage avec RPV site à site, notamment des recommandations Oracle sur la manipulation de l'algorithme de sélection du meilleur chemin BGP, voir Racheminement pour RPV site à site.

Autres configurations importantes de l'équipement local d'abonné

Assurez-vous que les listes d'accès sur le CPE sont configurées correctement pour ne pas bloquer le trafic nécessaire depuis ou vers Oracle Cloud Infrastructure.

Si plusieurs tunnels sont activés simultanément, le routage peut être asymétrique. Pour tenir compte du routage asymétrique, assurez-vous que le CPE est configuré pour gérer le trafic provenant du VCN sur n'importe quel tunnel. Par exemple, vous devez désactiver l'inspection ICMP, configurer le contournement de l'état TCP. Pour plus de détails sur la configuration appropriée, communiquez avec le soutien technique du fournisseur du CPE. Pour configurer un routage symétrique, voir Routage pour RPV site à site.

Restrictions et limites

Cette section décrit les caractéristiques et les limites générales importantes de RPV site à site.

Voir Limites de service pour une liste des limites applicables et des instructions pour demander l'augmentation d'une limite.

Routage asymétrique

Oracle utilise un routage asymétrique dans les tunnels qui constituent la connexion IPSec. Configurez des pare-feu en gardant cela à l'esprit. Dans le cas contraire, les tests ping ou le trafic d'application sur la connexion ne fonctionnent pas de manière fiable.

Lorsque vous utilisez plusieurs tunnels vers Oracle Cloud Infrastructure, nous vous recommandons de configurer le routage pour acheminer le trafic de manière déterministe par le tunnel privilégié. Pour utiliser un tunnel IPSec principal et un autre de sauvegarde, configurez des routes plus spécifiques pour le tunnel principal (BGP) et des routes moins spécifiques (route sommaire ou par défaut) pour le tunnel de sauvegarde (BGP/statique). Sinon, si vous annoncez la même route (par exemple, une route par défaut) par tous les tunnels, le trafic de retour d'un réseau VCN à un réseau sur place est dirigé vers n'importe lequel des tunnels disponibles. En effet, Oracle utilise un routage asymétrique.

Pour des recommandations de routage Oracle spécifiques sur la manière de forcer un routage symétrique, voir Routage pour RPV site à site.

Connexion IPSec basée sur des routes ou sur des politiques

Le protocole IPSec utilise des associations de sécurité pour décider comment chiffrer des paquets. Au sein de chaque association, pour définir comment chiffrer ou déchiffrer un paquet, il vous faut paramétrer des domaines de chiffrement pour mapper les adresses IP source et cible d'un paquet, ainsi que le type de protocole, sur une entrée de la base de données des associations de sécurité.

Note

Il est possible que d'autres fournisseurs ou que la documentation sectorielle utilisent le terme ID mandataire, index de paramètre de sécurité (SPI) ou sélecteur de trafic pour désigner les associations de sécurité ou les domaines de chiffrement.

Il existe deux méthodes générales pour mettre en oeuvre les tunnels IPSec :

  • Tunnels basés sur des routes : Également appelés tunnels basés sur les sauts suivants. Une consultation de la table de routage est effectuée sur l'adresse IP de destination d'un paquet. Si l'interface de sortie de cette route est un tunnel IPSec, le paquet est chiffré et envoyé à l'autre extrémité du tunnel.
  • Tunnels basés sur des politiques : Les adresses IP source et cible du paquet sont comparées à une liste d'énoncés de politique. Si une correspondance est trouvée, le paquet est chiffré en fonction des règles de cet énoncé.

Les têtes de réseau du RPV site à site Oracle utilisent des tunnels basés sur des routes, mais fonctionnent avec les tunnels basés sur des politiques. Il existe toutefois certaines restrictions indiquées dans les sections suivantes.

Domaine de chiffrement pour les tunnels basés sur des routes

Si le CPE prend en charge les tunnels basés sur des routes, utilisez cette méthode pour configurer le tunnel. Il s'agit de la configuration la plus simple. C'est aussi la plus interopérable avec la tête de réseau du RPV Oracle.

Une connexion IPSec basée sur des routes utilise un domaine de chiffrement avec les valeurs suivantes :

  • Adresse IP source : (0.0.0.0/0)
  • Adresse IP de destination : (0.0.0.0/0)
  • Protocole : IPv4

Si vous devez être plus spécifique, vous pouvez utiliser une seule route sommaire pour les valeurs de domaine de chiffrement au lieu d'une route par défaut.

Domaine de chiffrement pour les tunnels basés sur des politiques

Lorsque vous utilisez des tunnels basés sur des politiques, chaque entrée de politique (bloc CIDR d'un côté de la connexion IPSec) que vous définissez génère une association de sécurité IPSec avec chaque entrée admissible à l'autre extrémité du tunnel. Cette paire est appelée domaine de chiffrement.

Dans ce diagramme, l'extrémité DRG Oracle du tunnel IPSec comporte des entrées de politique pour trois blocs CIDR IPv4 et un bloc CIDR IPv6. L'extrémité CPE sur place du tunnel en comporte pour deux blocs CIDR IPv4 et deux blocs CIDR IPv6. Chaque entrée génère un domaine de chiffrement avec toutes les entrées possibles à l'autre extrémité du tunnel. Les deux côtés d'une paire SA doivent utiliser la même version d'IP. On obtient un total de huit domaines de chiffrement.

Diagramme montrant plusieurs domaines de chiffrement et comment trouver leur numéro.
Important

Si l'équipement local d'abonné ne prend en charge que les tunnels basés sur des politiques, tenez compte des restrictions suivantes.

  • Le RPV site à site prend en charge plusieurs domaines de chiffrement, mais a une limite supérieure de 50 domaines de chiffrement.
  • Si vous avez rencontré une situation similaire à l'exemple précédent et que vous n'avez configuré que trois des six domaines de chiffrement IPv4 possibles côté CPE, le lien serait listé dans un état "Partiellement actif", car tous les domaines de chiffrement possibles sont toujours créés côté DRG.
  • Selon le moment où un tunnel a été créé, vous ne pourrez peut-être pas le modifier pour utiliser un routage basé sur des politiques et il vous faudra peut-être le remplacer par un nouveau tunnel IPSec.
  • Les blocs CIDR utilisés à l'extrémité DRG Oracle du tunnel ne peuvent pas chevaucher les blocs CIDR utilisés à l'extrémité CPE sur place du tunnel.
  • Un domaine de chiffrement doit toujours être compris entre deux blocs CIDR de la même version d'adresse IP.

Si l'équipement local d'abonné se trouve derrière un appareil NAT

En général, l'identificateur IKE de CPE configuré à l'extrémité sur place de la connexion doit correspondre à celui qu'Oracle utilise. Par défaut, Oracle utilise l'adresse IP publique du CPE, que vous fournissez lorsque vous créez l'objet CPE dans la console Oracle. Toutefois, si un CPE est derrière un appareil NAT, l'identificateur IKE configuré à l'extrémité sur place peut être l'adresse IP privée du CPE, comme illustré dans le diagramme suivant.

Cette image présente le CPE derrière un appareil NAT, les adresses IP publiques et privées, ainsi que l'identificateur IKE de CPE.
Note

Certaines plates-formes CPE ne vous permettent pas de modifier l'identificateur IKE local. Dans ce cas, vous devez remplacer l'ID IKE distant dans la console Oracle par l'ID IKE local du CPE. Vous pouvez entrer cette valeur lorsque vous configurez la connexion à IPSec ou plus tard, lorsque vous la modifiez. Pour Oracle, la valeur doit être une adresse IP ou un nom de domaine complet, tel que cpe.example.com. Pour obtenir des instructions, voir Modification de l'identificateur IKE de CPE utilisé par Oracle.

Configuration du CPE (basée sur des routes)

Important

Les instructions de configuration de cette section sont fournies par Oracle Cloud Infrastructure pour cet équipement local d'exploitation. Si vous avez besoin de soutien ou d'aide supplémentaire, communiquez directement avec le soutien du fournisseur d'équipement local d'abonné.

La figure ci-dessous illustre la disposition de base de la connexion IPSec.

Cette image résume la disposition générale de la connexion et des tunnels IPSec.

À propos de l'utilisation de IKEv2

Oracle prend en charge le protocole Internet Key Exchange version 1 (IKEv1) et version 2 (IKEv2). Si vous configurez la connexion IPSec dans la console pour utiliser IKEv2, vous devez configurer l'équipement local d'abonné pour qu'il n'utilise que IKEv2 et les paramètres de chiffrement IKEv2 connexes pris en charge par l'équipement local d'abonné. Pour obtenir la liste des paramètres pris en charge par Oracle pour IKEv1 ou IKEv2, voir Paramètres IPSec pris en charge.

Pour utiliser IKEv2, une variante de l'une des tâches est présentée dans la section suivante. Dans la tâche 4, lors de la configuration du chiffrement, sélectionnez IKEv2 seulement pour la méthode de chiffrement.

Redondance avec BGP sur IPSec

Pour la redondance, il est recommandé d'utiliser BGP sur IPSec. Par défaut, si vous disposez de deux connexions du même type (par exemple, deux RPV IPSec qui utilisent BGP) et que vous annoncez les mêmes routes sur les deux connexions, Oracle privilégie la route la plus ancienne lors de la réponse aux demandes ou du démarrage des connexions. Pour forcer la symétrie du routage, nous recommandons d'utiliser le préfixe de chemin BGP et AS avec les routes afin d'influencer le chemin utilisé par Oracle lors de la réponse aux connexions et du démarrage. Pour plus d'informations, voir Détails de routage des connexions au réseau sur place.

La passerelle Oracle DRG utilise /30 ou /31 comme sous-réseaux pour la configuration d'adresses IP sur les tunnels d'interface. N'oubliez pas que l'adresse IP doit faire partie du domaine de chiffrement du RPV site à site et être autorisée dans la politique de pare-feu pour atteindre le RPV pair au moyen du tunnel d'interface. Vous aurez peut-être à mettre en oeuvre une route statique au moyen de l'interface du tunnel pour l'adresse IP du pair.

Le numéro ASN BGP d'Oracle pour le nuage commercial est 31898, à l'exception de la région Serbie-Centre (Jovanovac), qui est 14544. Si vous configurez un RPV site à site pour le nuage gouvernemental, voir Paramètres de RPV site à site requis pour le nuage gouvernemental et ASN BGP d'Oracle.

Pour le côté sur place, vous pouvez utiliser un numéro ASN privé. Les numéros ASN privés sont compris entre 64512 et 65534.

Tâche 1 : Installer le RPV site à site sur la passerelle de sécurité Check Point CloudGuard
Préalable : Avant de commencer, ajoutez la passerelle de sécurité Check Point CloudGuard au gestionnaire de sécurité Check Point CloudGuard. Établissez également la communication interne sécurisée (SIC) pour pouvoir configurer le tunnel IPSec à l'aide de Check Point SmartConsole. Pour obtenir des instructions sur l'ajout de la passerelle de sécurité à CloudGuard ou l'établissement de la communication SIC, voir la documentation Check Point.
Cette image illustre les conditions préalables.

  1. Installez le module RPV IPSec. Nous vous recommandons d'installer également le module de surveillance pour l'analyse du trafic.

    Cette image montre où activer le module RPV IPSec.

  2. Sélectionnez OK pour enregistrer les modifications.
Tâche 2 : Créer l'interface VTI à partir de GAIA

Dans cette tâche, vous configurez une interface VTI qui utilise les règles de routage pour faire passer le trafic de l'interface VTI au nouveau tunnel IPSec.

  1. Connectez-vous au portail GAIA à l'aide de l'adresse IP publique ou privée de la passerelle de sécurité CloudGuard du point de vérification.
  2. Dans le portail GAIA, sélectionnez la vue Advanced (Avancée).
  3. Sous Network Management (Gestion du réseau), allez à Network Interfaces (Interfaces réseau).

  4. Sélectionnez Add (Ajouter), puis VPN Tunnel (Tunnel RPV).

    Cette image montre où ajouter un tunnel RPV dans le portail GAIA.

  5. Spécifiez les éléments suivants :

    • VPN Tunnel ID (ID tunnel VPN) : Numéro ajouté à l'interface VTI appelée vpnt*, où l'astérisque est le numéro du tunnel VPN spécifié. Pour l'ID tunnel RPV = 1, l'interface est étiquetée vpnt1.

    • Peer (Pair) : Nom de l'appareil interopérable que vous avez créé précédemment pour le tunnel IPSec. Dans ce cas, le nom est OCI-VPN_BGP1.

      Important

      Si le nom indiqué ici ne correspond pas à celui de l'appareil interopérable, le trafic ne circule pas à travers le tunnel IPSec.
    • Numbered (Numéroté) : Sélectionnez Numbered (Numéroté) pour créer une interface numérotée.
    • Locale : Adresse IP locale désignée dans la console Oracle comme Interface de tunnel interne - CPE.
    • Remote Address : adresse IP distante indiquée dans la console Oracle comme interface de tunnel interne - Oracle.
    Cette image présente les paramètres de tunnel RPV à configurer dans le portail GAIA.

  6. Sélectionnez OK.

  7. Sous Network Management (Gestion du réseau), allez à IPv4 Static Routes (Routes statiques IPv4).

  8. Spécifiez les éléments suivants :

    • Route statique pour l'adresse IP Oracle : Ajoutez une adresse IP avec le masque /32 pour l'adresse IP distante qui a été spécifiée dans la console Oracle en tant qu'interface de tunnel interne - Oracle.
    • Static routes to the VCN subnets (Routes statiques vers les sous-réseaux VCN) : Si vous utilisez un routage statique pour cette connexion IPSec à Oracle, ajoutez au moins un sous-réseau pour que le VCN Oracle soit accessible par le tunnel IPSec. La capture d'écran suivante montre une route statique vers 172.31.2.0/26. Si vous utilisez BGP pour cette connexion IPSec à Oracle, ignorez cet élément car les routes sont apprises au moyen de BGP (voir la section suivante).
    Cette image présente les routes statiques à configurer dans le portail GAIA.

    Maintenant, tout le trafic avec une destination spécifique apprise d'une route statique passe par le nouveau tunnel IPSec.

  9. Affichez les interfaces et vérifiez que le tunnel RPV se trouve dans la liste :

    1. Dans SmartConsole, allez à Gateways & Servers (Passerelles et serveurs).
    2. Sélectionnez les passerelles de sécurité Check Point et doublez la sélection.

    3. Sous General Properties (Propriétés générales), dans la page Network Management (Gestion des réseaux), sélectionnez Get Interfaces (Obtenir les interfaces).

      L'interface de tunnel RPV doit figurer dans la liste.

  10. Pour forcer la priorité d'un RPV basé sur des routes, créez un groupe vide et affectez-le au domaine RPV :
    1. Dans la page VPN Domain (Domaine RPV), sélectionnez Manually defined (Défini manuellement), puis sélectionnez Create empty group (Créer un groupe vide).
    2. Sélectionnez New (Nouveau), Group ( Groupe), puis Simple Group ( Groupe simple).

    3. Entrez un nom d'objet, puis sélectionnez OK. Ne pas affecter d'objets à ce groupe vide.

      Cette image présente le groupe vide pour le domaine RPV.
Tâche 3 : Créer un appareil interopérable

Vous créerez ultérieurement une communauté RPV. Avant cela, vous devez créer un appareil interopérable qui sera utilisé dans la passerelle de sécurité CloudGuard du point de vérification pour définir la passerelle DRG Oracle.

  1. Créez l'appareil interopérable.

    Cette image montre où créer un appareil interopérable.

  2. Dans la page General Properties (Propriétés générales) du nouvel appareil interopérable, ajoutez un nom pour identifier le tunnel IPSec. Entrez l'adresse IP affectée par Oracle à l'extrémité Oracle du tunnel lors de la création de la connexion IPSec.

    Cette image montre où configurer l'appareil interopérable.

  3. Pour forcer la priorité d'un RPV basé sur des routes, vous devez créer un groupe vide et l'affecter au domaine RPV. Pour cela, dans la section VPN Domain (Domaine RPV) de la page Topology (Topologie), sélectionnez Manually defined (Défini manuellement), puis le groupe vide.

  4. Dans la page IPSec VPN (RPV IPSec), vous pouvez éventuellement ajouter le nouvel appareil interopérable à une communauté RPV. Vous pouvez ignorer cette étape si vous n'avez pas encore de communauté RPV.

    Notez que vous ignorez l'étape Traditional mode configuration (Configuration en mode traditionnel) car vous définissez tous les paramètres des phases 1 et 2 dans la communauté RPV à une étape ultérieure. La communauté RPV applique ces paramètres à tous les appareils interopérables qui appartiennent à la communauté RPV.

    Cette image montre où ajouter l'appareil interopérable à une communauté RPV.

  5. Dans la page Link Selection (Sélection de liens), sous Always use this IP address (Toujours utiliser cette adresse IP), sélectionnez Main address (Adresse principale), qui était l'adresse spécifiée lors de la création de l'appareil utilisable. Vous pouvez utiliser une adresse IP spécifique comme ID IKE.

    Cette image montre où indiquer l'adresse à utiliser pour l'appareil interopérable.

  6. Dans la page VPN Advanced (Options avancées du RPV), sélectionnez Use the community settings (Utiliser les paramètres de la communauté) pour appliquer toutes les options et valeurs dans la communauté RPV, notamment les paramètres des phases 1 et 2.

    Cette image montre où spécifier les paramètres avancés du RPV.
  7. Sélectionnez OK pour enregistrer les modifications.
Tâche 4 : Créer une communauté RPV
  1. Sélectionnez Security Policies (Politiques de sécurité), puis dans Access Tools (Outils d'accès), sélectionnez VPN Communities (Communautés RPV).

  2. Sélectionnez Star Community (Communauté en étoile).

    Cette image montre où créer une communauté RPV.

  3. Ajoutez un nom pour la communauté en étoile.

  4. Dans la page Gateways (Passerelles), sélectionnez les valeurs de Center Gateways (Passerelles centrales) et Satellite Gateways (Passerelles satellites) . Cette communauté en étoile sert de modèle de paramètres pour les appareils interopérables que vous spécifiez pour Center Gateways (Passerelles centrales) et Satellite Gateways (Passerelles satellites).

    • Center Gateways (Passerelles centrales) : Pour la passerelle de sécurité Check Point CloudGuard.
    • Satellite Gateways (Passerelles satellites) : Pour le CPE connecté à la passerelle DRG Oracle pour chaque tunnel IPSec.
    Cette image montre où configurer les passerelles de la communauté RPV.

  5. Pour autoriser le trafic, sélectionnez Global Properties (Propriétés globales), puis VPN (RPV), puis Advanced (Avancé).

    Cette image montre l'emplacement des propriétés globales.
    Cette image montre où trouver les propriétés avancées du RPV pour permettre le trafic.

  6. Sélectionnez Activer la mise en correspondance directionnelle du RPV dans la colonne RPV. Plus tard, vous créerez une politique de sécurité qui utilise une condition de correspondance directionnelle pour permettre le passage du trafic en fonction de règles de routage.

  7. Sélectionnez OK.

  8. Dans la page Encryption (Chiffrement), configurez les paramètres des phases 1 et 2 pris en charge par Oracle. Pour obtenir la liste de ces valeurs, voir Paramètres IPSec pris en charge.

    Si vous êtes en train de configurer un RPV site à site pour le nuage gouvernemental, voir Paramètres de RPV site à site requis pour le nuage gouvernemental.

    Notez que pour utiliser IKEv2, pour la méthode de chiffrement, sélectionnez plutôt IKEv2 seulement.

    Cette image montre où configurer les paramètres des phases 1 et 2.

  9. Dans la page permanent tunnels (Gestion des tunnels), sélectionnez Set Permanent Tunnels (Définir les tunnels permanents). Nous vous recommandons :

    • Sélectionnez On all tunnels in the community (Sur tous les tunnels de la communauté) pour garder tous les tunnels Oracle IPSec actifs constamment.
    • Dans la section VPN Tunnel Sharing (Partage de tunnel RPV), sélectionnez One VPN tunnel per Gateway pair (Un tunnel RPV par paire de passerelles).

    Cette dernière option ne génère qu'une seule paire d'associations de sécurité IPSec, et chaque association, avec un seul index de paramètre de sécurité (SPI) (unidirectionnel).

    Lorsque vous utilisez des tunnels basés sur des politiques, chaque entrée de politique génère une paire d'associations de sécurité IPSec (ou domaine de chiffrement).

    Important

    La tête de réseau du RPV Oracle peut prendre en charge plusieurs domaines de chiffrement, dans les limites prévues. Pour plus de détails, voir Domaines de chiffrement pour les tunnels basés sur des politiques.

    Oracle crée une connexion IPSec basée sur des routes, ce qui signifie que tout est acheminé à travers un domaine de chiffrement indiquant 0.0.0.0/0 (au choix) pour le trafic local et 0.0.0.0/0 (au choix) pour le trafic distant. Pour plus d'informations, voir Domaine de chiffrement ou ID mandataire pris en charge.

    Cette image montre où configurer les options de gestion des tunnels.

  10. Dans la page Shared Secret (Secret partagé), sélectionnez Use only Shared Secret for all external members (Utiliser uniquement le secret partagé pour tous les membres externes) et ajoutez le secret partagé généré par Oracle pour le tunnel lors de la création de la connexion IPSec.

    Oracle ne prend en charge que les clés secrètes partagées. Notez que vous pouvez modifier la clé secrète partagée dans la console Oracle.

    Cette image montre où spécifier la clé secrète partagée.
  11. Sélectionnez OK pour enregistrer les modifications.
Tâche 5 : Créer une politique de sécurité

  1. Allez à Access Control (Contrôle d'accès), puis à l'onglet Policy (Politique). Créez des politiques de sécurité spécifiques à l'aide de l'option Directional Match Condition qui permet le passage du trafic en fonction de tables de routage. Configurez la condition avec ces paramètres :

    • Internal_Clear > VPN Community created
    • VPN Community created > VPN Community created
    • VPN Community created > Internal_Clear

    Dans ce cas, la communauté RPV est OCI-DRG-BGP et Internal_Clear est prédéfini par Check Point.

    Cette image montre comment configurer la condition de correspondance directionnelle relative à la politique de sécurité.
  2. Sélectionnez OK pour enregistrer les modifications.

  3. Sélectionnez installer la politique pour appliquer la configuration.

    Cette image montre où sélectionner la politique d'installation.
Tâche 6 : Activer BGP

Effectuez les étapes suivantes pour chaque tunnel.

  1. Allez à Advanced Routing (Routage avancé), puis à BGP.

  2. Sous BGP Global Paramètres, sélectionnez Modifier les paramètres globaux, puis ajoutez un ID routeur et un numéro ASN local.

    Cette image montre où modifier les paramètres globaux BGP.
  3. Sélectionnez enregistrer.
Tâche 7 : Répartir les routes dans BGP
  1. Allez à Advanced Routing (Routage avancé), puis à Route Distribution (Répartition des routes).

  2. Sélectionnez Ajouter la nouvelle répartition à partir de, puis Interface pour ajouter tous les sous-réseaux connectés.

    Cette image montre où configurer la répartition des routes.

  3. Dans la boîte de dialogue Add Redistribution from Interface (Ajouter une nouvelle répartition à partir de l'interface), configurez les éléments suivants :

    • To Protocol (Protocole : À) : Sélectionnez BGP AS 31898. Le numéro ASN BGP d'Oracle pour le nuage commercial est 31898, à l'exception de la région Serbie-Centre (Jovanovac), qui est 14544. Si vous configurez un RPV site à site pour le nuage gouvernementnel, voir ASN BGP d'Oracle.
    • Interface : Sélectionnez tout pour annoncer tous les sous-réseaux connectés.
    Cette image montre la boîte de dialogue Add Redistribution from Interface (Ajouter une nouvelle répartition à partir de l'interface).
  4. Sélectionnez enregistrer.

La session BGP doit maintenant être disponible, et annoncer et recevoir des sous-réseaux.

Vérification

La commande d'interface de ligne de commande suivante vérifie les pairs et le routage BGP.

show bgp peers

La commande suivante vérifie que vous recevez les routes BGP.

show route bgp

La commande suivante vérifie les routes actuellement annoncées. Dans cet exemple, remplacez <remote_IP_address> par l'adresse IP distante indiquée dans la console Oracle comme interface de tunnel interne - Oracle

show bgp peer <remote_IP_address> advertise

La commande suivante vérifie les routes reçues.

show bgp peer <remote_IP_address> received

Utilisez les options 2 et 4 de la commande suivante pour vérifier les associations de sécurité.


vpn tunnelutil


**********     Select Option     **********


(1)                List all IKE SAs
(2)              * List all IPsec SAs
(3)                List all IKE SAs for a given peer (GW) or user (Client)
(4)              * List all IPsec SAs for a given peer (GW) or user (Client)
(5)                Delete all IPsec SAs for a given peer (GW)
(6)                Delete all IPsec SAs for a given User (Client)
(7)                Delete all IPsec+IKE SAs for a given peer (GW)
(8)                Delete all IPsec+IKE SAs for a given User (Client)
(9)                Delete all IPsec SAs for ALL peers and users
(0)                Delete all IPsec+IKE SAs for ALL peers and users


* To list data for a specific CoreXL instance, append "-i <instance number>" to your selection.


(Q)               Quit


*******************************************

Un service de surveillance est également disponible dans Oracle Cloud Infrastructure pour la surveillance active et passive des ressources en nuage. Pour des informations sur la surveillance d'un réseau privé virtuel site à site, voir Mesures du réseau privé virtuel site à site.

En cas de problèmes, voir Dépannage du RPV site à site.