Documentation sur Oracle Cloud Infrastructure

Palo Alto

Cette rubrique décrit la configuration d'un appareil Palo Alto. La configuration a été validée à l'aide de PAN-OS version 8.0.0.

Une expérience de Palo Alto est nécessaire.

Important

Oracle fournit des instructions de configuration pour un ensemble testé de fournisseurs et d'appareils. Utilisez la configuration appropriée pour votre fournisseur et votre version de logiciel.

Si la version de l'appareil ou du logiciel utilisée par Oracle pour vérifier la configuration ne correspond pas exactement à votre appareil ou à votre logiciel, vous pouvez tout de même créer la configuration nécessaire sur votre appareil. Consultez la documentation de votre fournisseur et apportez les ajustements nécessaires.

Si le fabricant de votre appareil ne figure pas dans la liste des fournisseurs et des appareils vérifiés, ou si vous êtes déjà familiarisé avec la configuration de votre appareil pour IPSec, consultez la liste des paramètres IPSec pris en charge et la documentation relative à votre fournisseur pour obtenir de l'aide.

Oracle Cloud Infrastructure offre un RPV site à site, une connexion IPSec sécurisée entre votre réseau sur place et un réseau en nuage virtuel (VCN).

Le diagramme suivant présente une connexion IPSec de base à Oracle Cloud Infrastructure avec des tunnels redondants. Les adresses IP utilisées dans ce diagramme servent uniquement d'exemples.

Cette image résume la disposition générale de vos réseau sur place, tunnels IPSec de connexion RPV et réseau VCN.

Meilleures pratiques

Cette section décrit les meilleures pratiques et les points à considérer généraux pour utiliser un RPV site à site.

Configurer tous les tunnels pour chaque connexion IPSec

Oracle déploie deux têtes de réseau IPSec pour chacune des connexions afin d'offrir une haute disponibilité pour les charges de travail critiques. Côté Oracle, ces deux têtes de réseau se trouvent sur différents routeurs à des fins de redondance. Oracle recommande de configurer tous les tunnels disponibles pour une redondance maximale. Il s'agit d'une partie essentielle de la philosophie "Design for Failure" (conçu pour résister aux pannes).

Disposer de CPE redondants dans vos emplacements de réseau sur place

Chacun de vos sites qui se connecte avec IPSec à Oracle Cloud Infrastructure doit disposer d'appareils en périphérie de réseau redondants (également appelés équipements locaux d'abonné (CPE)). Vous ajoutez chaque équipement local d'abonné à la console Oracle et créez une connexion IPSec distincte entre votre passerelle de routage dynamique (DRG) et chaque CPE. Pour chaque connexion PSec, Oracle provisionne deux tunnels pour des têtes de réseau IPSec géographiquement redondantes. Pour plus d'informations, voir Guide sur la redondance de connectivité (PDF).

Considérations relatives au protocole de routage

Lorsque vous créez une connexion IPSec de RPV site à site, elle possède deux tunnels IPSec redondants. Oracle vous encourage à configurer votre équipement local d'abonné pour utiliser les deux tunnels (si votre CPE le prend en charge). Auparavant, Oracle créait des connexions IPSec qui possédaient jusqu'à quatre tunnels IPSec.

Les trois types de routage suivants sont disponibles, et vous en choisissez un séparément pour chaque tunnel du RPV site à site :

  • Routage dynamique BGP : Les routes disponibles sont apprises de manière dynamique au moyen de BGP. La passerelle DRG apprend dynamiquement les routes de votre réseau sur place. Côté Oracle, la passerelle DRG annonce les sous-réseaux du VCN.
  • Routage statique : Lorsque vous configurez la connexion IPSec à la passerelle DRG, vous spécifiez les routes particulières à votre réseau sur place que le réseau VCN doit connaître. Vous devez également configurer votre CPE avec des routes statiques vers les sous-réseaux du VCN. Ces routes ne sont pas apprises dynamiquement.
  • Routage basé sur des politiques : Lorsque vous configurez la connexion IPSec à la passerelle DRG, vous spécifiez les routes particulières à votre réseau sur place que le réseau VCN doit connaître. Vous devez également configurer votre CPE avec des routes statiques vers les sous-réseaux du VCN. Ces routes ne sont pas apprises dynamiquement.

Pour plus d'informations sur le routage avec RPV site à site, notamment des recommandations Oracle sur la manipulation de l'algorithme de sélection du meilleur chemin BGP, voir Routage pour RPV site à site.

Autres configurations importantes de l'équipement local d'abonné

Assurez-vous que les listes d'accès sur votre équipement local d'abonné sont configurées correctement pour ne pas bloquer le trafic nécessaire depuis ou vers Oracle Cloud Infrastructure.

Si plusieurs tunnels fonctionnent simultanément, le routage peut être asymétrique. Pour permettre le routage asymétrique, assurez-vous que votre équipement local d'abonné est configuré pour gérer le trafic provenant de votre VCN sur n'importe quel tunnel. Par exemple, vous devez désactiver l'inspection ICMP, configurer le contournement de l'état TCP. Pour plus de détails sur la configuration appropriée, communiquez avec le soutien technique du fournisseur de votre CPE. Pour configurer un routage symétrique, consultez Routage pour RPV site à site.

Restrictions et limites

Cette section décrit les caractéristiques et les limites générales importantes de RPV site à site. Voir Limites de service pour une liste des limites applicables et des instructions pour demander l'augmentation d'une limite.

Routage asymétrique

Oracle utilise un routage asymétrique sur les multiples tunnels qui composent la connexion IPSec. Configurez vos pare-feux en conséquence. Dans le cas contraire, les tests ping ou le trafic d'application sur la connexion ne fonctionnent pas de manière fiable.

Lorsque vous utilisez plusieurs tunnels vers Oracle Cloud Infrastructure, Oracle vous recommande de configurer votre routage de façon à guider le trafic de manière déterministe à travers le tunnel privilégié. Pour utiliser un tunnel IPSec principal et un autre de secours, configurez des routes plus spécifiques pour le tunnel principal (BGP) et des routes moins spécifiques (route sommaire ou par défaut) pour le tunnel de sauvegarde (BGP/statique). Sinon, si vous annoncez la même route (par exemple, une route par défaut) par tous les tunnels, le trafic de retour de votre réseau VCN à votre réseau sur place est dirigé vers n'importe lequel des tunnels disponibles. En effet, Oracle utilise un routage asymétrique.

Pour des recommandations de routage Oracle spécifiques sur la manière de forcer un routage symétrique, voir Routage pour RPV site à site.

RPV site à site basé sur des routes ou sur des politiques

Le protocole IPSec utilise des associations de sécurité (AS) pour déterminer comment chiffrer les paquets. Au sein de chaque association, pour définir comment chiffrer ou déchiffrer un paquet, il vous faut paramétrer des domaines de chiffrement pour mapper les adresses IP source et cible d'un paquet, ainsi que le type de protocole, sur une entrée de la base de données des associations de sécurité.

Note

Il est possible que d'autres fournisseurs ou que la documentation sectorielle utilisent le terme ID mandataire, index de paramètre de sécurité (SPI) ou sélecteur de trafic pour désigner les associations de sécurité ou les domaines de chiffrement.

Il existe deux méthodes générales pour mettre en oeuvre les tunnels IPSec :

  • Tunnels basés sur des routes : Également appelés tunnels basés sur les sauts suivants. Une consultation de la table de routage est effectuée sur l'adresse IP de destination d'un paquet. Si l'interface de sortie de cette route est un tunnel IPSec, le paquet est chiffré et envoyé à l'autre extrémité du tunnel.
  • Tunnels basés sur des politiques : Les adresses IP source et cible du paquet sont comparées à une liste d'énoncés de politique. Si une correspondance est trouvée, le paquet est chiffré en fonction des règles de cet énoncé.

Les têtes de réseau du RPV site à site Oracle utilisent des tunnels basés sur des routes, mais fonctionnent avec les tunnels basés sur des politiques. Il existe toutefois certaines restrictions indiquées dans les sections suivantes.

Domaine de chiffrement pour les tunnels basés sur des routes

Si votre équipement local d'abonné prend en charge les tunnels basés sur des routes, utilisez cette méthode pour configurer le tunnel. Il s'agit de la configuration la plus simple. C'est aussi celle qui offre le plus d'interopérabilité avec la tête de réseau du RPV Oracle.

Une connexion IPSec basée sur des routes utilise un domaine de chiffrement avec les valeurs suivantes :

  • Adresse IP source : (0.0.0.0/0)
  • Adresse IP de destination : (0.0.0.0/0)
  • Protocole : IPv4

Si vous devez être plus spécifique, vous pouvez utiliser une seule route sommaire pour vos valeurs de domaine de chiffrement au lieu d'une route par défaut.

Domaine de chiffrement pour les tunnels basés sur des politiques

Lorsque vous utilisez des tunnels basés sur des politiques, chaque entrée de politique (bloc CIDR d'un côté de la connexion IPSec) que vous définissez génère une association de sécurité IPSec avec chaque entrée admissible à l'autre extrémité du tunnel. Cette paire est appelée domaine de chiffrement.

Dans ce diagramme, l'extrémité DRG Oracle du tunnel IPSec comporte des entrées de politique pour trois blocs CIDR IPv4 et un bloc CIDR IPv6. L'extrémité CPE sur place du tunnel en comporte pour deux blocs CIDR IPv4 et deux blocs CIDR IPv6. Chaque entrée génère un domaine de chiffrement avec toutes les entrées possibles à l'autre extrémité du tunnel. Les deux côtés d'une paire SA doivent utiliser la même version d'IP. On obtient un total de huit domaines de chiffrement.

Diagramme montrant plusieurs domaines de chiffrement et comment déterminer leur nombre.
Important

Si votre CPE ne prend en charge que les tunnels basés sur des politiques, tenez compte des restrictions suivantes.

  • Le RPV site à site prend en charge plusieurs domaines de chiffrement, mais a une limite supérieure de 50 domaines de chiffrement.
  • Si vous avez rencontré une situation similaire à l'exemple ci-dessus et que vous n'avez configuré que trois des six domaines de chiffrement IPv4 possibles du côté de l'équipement local d'abonné, le lien serait répertorié dans un état "Partiellement actif", car tous les domaines de chiffrement possibles sont toujours créés du côté de la passerelle DRG.
  • Le routage basé sur des politiques dépend de RPV site à site v2. Voir Service de RPV site à site mis à jour pour plus d'informations sur le RPV site à site v2.
  • Selon le moment où votre tunnel a été créé, vous ne pourrez peut-être pas le modifier pour utiliser un routage basé sur des politiques et il vous faudra peut-être le remplacer par un nouveau tunnel IPSec.
  • Les blocs CIDR utilisés à l'extrémité DRG Oracle du tunnel ne peuvent pas chevaucher les blocs CIDR utilisés à l'extrémité CPE sur place du tunnel.
  • Un domaine de chiffrement doit toujours être compris entre deux blocs CIDR de la même version d'adresse IP.

Si votre équipement local d'abonné est derrière un appareil NAT

En général, l'identificateur IKE de CPE configuré à votre extrémité de la connexion doit correspondre à celui qu'Oracle utilise. Par défaut, Oracle utilise l'adresse IP publique du CPE, que vous fournissez lorsque vous créez l'objet CPE dans la console Oracle. Toutefois, si votre équipement local d'abonné est derrière un appareil NAT, l'identificateur IKE configuré à votre extrémité peut être l'adresse IP privée du CPE, comme illustré dans le diagramme suivant.

Cette image présente le CPE derrière un appareil NAT, les adresses IP publiques et privées, ainsi que l'identificateur IKE de CPE.
Note

Certaines plates-formes CPE ne permettent pas de modifier l'identificateur IKE local. Dans ce cas, vous devez remplacer l'ID IKE distant dans la console Oracle par l'ID IKE local de votre CPE. Vous pouvez entrer cette valeur lorsque vous configurez la connexion à IPSec ou plus tard, lorsque vous la modifiez. Pour Oracle, la valeur doit être une adresse IP ou un nom de domaine complet, tel que cpe.example.com. Pour obtenir des instructions, voir Modification de l'identificateur IKE de CPE utilisé par Oracle.

Paramètres IPSec pris en charge

Pour la liste des paramètres IPSec pris en charge indépendamment du fournisseur pour toutes les régions, voir Paramètres IPSec pris en charge.

Le numéro ASN BGP d'Oracle pour le domaine du nuage commercial est 31898. Si vous configurez un RPV site à site pour le nuage gouvernemental des États-Unis, voir Paramètres de RPV site à site requis pour le nuage gouvernemental et ASN BGP d'Oracle. Pour le nuage gouvernemental du Royaume-Uni, voir ASN BGP d'Oracle.

Configuration de l'équipement local d'abonné

Important

Les instructions de configuration de cette section sont fournies par Oracle Cloud Infrastructure pour votre équipement local d'abonné. Si vous avez besoin d'une assistance supplémentaire, communiquez directement avec le soutien technique de votre fournisseur.

La figure ci-dessous illustre la disposition de base de la connexion IPSec.

Cette image résume la disposition générale de la connexion et des tunnels IPSec.

Détails importants sur les instructions de configuration

  • Validations : Pour que PAN active la configuration, vous devez effectuer l'action de validation après toute modification de la configuration.
  • Exemple d'adresses IP : l'exemple de configuration utilise des adresses IP de la classe A 10.0.0.0/8 (RFC1918) et 198.51.100.0/24 (RFC5735). Lorsque vous effectuez la configuration sur le CPE, utilisez le plan d'adressage IP correct pour votre topologie de réseau.

L'exemple de configuration utilise les variables et valeurs suivantes :

  • Interface de tunnel interne 1 - CPE : 198.51.100.1/30
  • Interface de tunnel interne 2 - CPE : 198.51.100.5/30
  • Interface de tunnel interne 1 - Oracle : 198.51.100.2/30
  • Interface de tunnel interne 2 - Oracle : 198.51.100.6/30
  • ASN du CPE : 64511
  • Réseau sur place : 10.200.1.0/24
  • Bloc CIDR du VCN : 10.200.0.0/24
  • Adresse IP publique du CPE : 10.100.0.100/24
  • Adresse IP 1 de la tête de réseau du RPV Oracle (DRG) : 10.150.128.1/32
  • Adresse IP 2 de la tête de réseau du RPV Oracle (DRG)  : 10.150.127.1/32
  • Tunnel 1 : tunnel.1
  • Tunnel 2 : tunnel.2
  • Interface de sortie : ethernet1/1

À propos de l'utilisation de IKEv2

Oracle prend en charge le protocole Internet Key Exchange version 1 (IKEv1) et version 2 (IKEv2). Si vous configurez la connexion IPSec dans la console pour utiliser IKEv2, vous devez limiter votre CPE aux paramètres de chiffrement IKEv2 et connexes qu'il prend en charge. Pour obtenir la liste des paramètres pris en charge par Oracle pour IKEv1 ou IKEv2, voir Paramètres IPSec pris en charge.

Pour utiliser IKEv2, certaines étapes de la section suivante présentent des variations spéciales. Voici un sommaire des étapes spéciales :

Processus de configuration

Le processus suivant inclut la configuration BGP de la connexion IPSec. Si vous préférez utiliser le routage statique, effectuez les tâches 1 à 5, puis passez à Configuration de l'équipement local d'abonné.

Tâche 1 : Configurer la politique ISAKMP de la phase 1

Dans cet exemple, la même politique ISAKMP est utilisée pour les deux tunnels.

  1. Sélectionnez Network (Réseau), IKE Crypto (Crypto IKE), puis cliquez sur Add (Ajouter).

  2. Configurez les paramètres tels qu'ils sont affichés dans la capture d'écran suivante. Pour obtenir la liste des valeurs, voir Paramètres IPSec pris en charge. Si vous configurez un RPV site à site pour le nuage gouvernemental, voir Paramètres de RPV site à site requis pour le nuage gouvernemental.

    Cette image montre où configurer la politique ISAKMP.

    La capture d'écran suivante montre le résultat final de cette tâche :

    Cette image présente le résultat final après la création de la politique ISAKMP.
Tâche 2 : Définir les pairs ISAKMP
  1. Sélectionnez Network (Réseau), IKE Gateways (Passerelles IKE), puis cliquez sur (Add) Ajouter.

  2. Pour le pair 1, configurez les paramètres tels qu'ils apparaissent dans les captures d'écran suivantes.

    1. Dans l'onglet General (Général) :

      • Version : pour IKEv1, sélectionnez IKEv1 only mode (Mode IKEv1 uniquement). Si vous voulez utiliser IKEv2, sélectionnez IKEv2 Only Mode (Mode IKEv2 uniquement). Si vous utilisez IKEv2, à la tâche 5, vous ajouterez également des ID mandataires.
      • Interface : Interface propriétaire de l'adresse IP publique du CPE. Remplacez ethernet1/1 par la valeur spécifique de votre topologie de réseau.
      • Peer IP address (Adresse IP de pair) : Adresse IP publique affectée par Oracle à la tête de réseau Oracle du tunnel. Remplacez la valeur par l'adresse IP correcte de votre premier tunnel.
      • Pre-shared Key (Clé prépartagée) : Secret partagé qu'Oracle a affecté automatiquement lors de la création du tunnel IPSec. Si vous le souhaitez, vous pouvez spécifier une autre valeur. Entrez la même valeur ici et dans la console Oracle.
      • Local Identification (Identification locale) et Peer Identification (Identification de pair) : ID IKE. L'identification locale est l'adresse IP publique du CPE. L'identification distante est l'adresse IP de la tête de réseau du RPV Oracle pour le premier tunnel.
      Cette image montre où configurer les paramètres du premier pair.

    2. Dans l'onglet Advanced Options (Options avancées), assurez-vous que les valeurs définies pour le premier pair sont celles de la capture d'écran suivante.

      Cette image présente les options avancées de la passerelle IKE pour le premier pair.

      Si vous utilisez IKEv2, sélectionnez le profil de chiffrement IKE associé au tunnel IKEv2.

      Cette image présente le paramètre de profil de chiffrement IKEv2.

  3. Pour le pair 2, configurez les paramètres tels qu'ils apparaissent dans les captures d'écran suivantes.

    1. Dans l'onglet General (Général) :

      • Version : pour IKEv1, sélectionnez IKEv1 only mode (Mode IKEv1 uniquement). Si vous voulez utiliser IKEv2, sélectionnez IKEv2 only mode (Mode IKEv2 seulement). Pour IKEv2, notez que vous devez également fournir un ID mandataire plus tard dans la tâche 5.
      • Interface : Interface propriétaire de l'adresse IP publique du CPE. Remplacez ethernet1/1 par la valeur spécifique de votre topologie de réseau.
      • Peer IP address (Adresse IP de pair) : Adresse IP publique affectée par Oracle à la tête de réseau Oracle du tunnel. Remplacez la valeur par l'adresse IP correcte de votre second tunnel.
      • Pre-shared Key (Clé prépartagée) : Secret partagé qu'Oracle a affecté automatiquement lors de la création du tunnel IPSec. Si vous le souhaitez, vous pouvez spécifier une autre valeur. Entrez la même valeur ici et dans la console Oracle.
      • Local Identification (Identification locale) et Peer Identification (Identification de pair) : ID IKE. L'identification locale est l'adresse IP publique du CPE. L'identification distante est l'adresse IP de la tête de réseau du RPV Oracle pour le second tunnel.
      Cette image montre où configurer les paramètres du second pair.

    2. Dans l'onglet Advanced Options (Options avancées), assurez-vous que les valeurs définies pour le second pair sont celles de la capture d'écran suivante.

      Cette image présente les options avancées de la passerelle IKE pour le second pair.

      Si vous utilisez IKEv2, sélectionnez le profil de chiffrement IKE associé au tunnel IKEv2.

      Cette image présente le paramètre de profil de chiffrement IKEv2.

La capture d'écran suivante montre le résultat final de cette tâche :

Cette image présente le résultat final après la définition des pairs ISAKMP.
Tâche 3 : Définir la politique IPSec de la phase 2

Dans cet exemple, le même profil crypto IPSec est utilisé pour les deux tunnels.

  1. Sélectionnez Network (Réseau), IPSec Crypto (Crypto IPSec), puis cliquez sur Add (Ajouter).

  2. Configurez les paramètres tels qu'ils sont affichés dans la capture d'écran suivante.

    Cette image montre où configurer le profil crypto IPSec.

    La capture d'écran suivante montre le résultat final de cette tâche :

    Cette image présente le résultat final après la création du profil crypto IPSec.
Tâche 4 : Configurer les interfaces de tunnel virtuel
  1. Sélectionnez Network (Réseau), Interfaces, Tunnel, puis cliquez sur Add (Ajouter).

  2. Pour le pair 1, configurez les paramètres tels qu'ils apparaissent dans les captures d'écran suivantes.

    1. Dans l'onglet Configuration, affectez l'interface selon le routeur virtuel et la configuration de la zone de sécurité. Dans cet exemple, le routeur virtuel par défaut et la zone de sécurité ipsec_tunnel sont utilisés.

      Cette image montre où configurer les paramètres d'interface de tunnel pour le premier pair.

    2. Dans l'onglet IPv4, vérifiez que les valeurs définies pour le premier pair sont celles de la capture d'écran suivante. Dans cet exemple, l'adresse IP de l'interface du tunnel est ipsec_address_static1 = 198.51.100.1/30. Configurez votre adresse IP de tunnel selon le plan d'adressage IP de votre réseau.

      Cette image présente les paramètres IPv4 de l'interface de tunnel pour le premier pair.

  3. Pour le pair 2, configurez les paramètres tels qu'ils apparaissent dans les captures d'écran suivantes.

    1. Dans l'onglet Configuration, affectez l'interface selon le routeur virtuel et la configuration de la zone de sécurité. Dans cet exemple, le routeur virtuel par défaut et la zone de sécurité ipsec_tunnel sont utilisés.

      Cette image montre où configurer les paramètres d'interface de tunnel pour le second pair.

    2. Dans l'onglet IPv4, vérifiez que les valeurs définies pour le second pair sont celles de la capture d'écran suivante. Dans cet exemple, l'adresse IP de l'interface du tunnel est ipsec_address_static2 = 198.51.100.5/30. Configurez votre adresse IP de tunnel selon le plan d'adressage IP de votre réseau.

      Cette image présente les paramètres IPv4 de l'interface de tunnel pour le second pair.

La capture d'écran suivante montre le résultat final de cette tâche :

Cette image présente le résultat final après l'ajout des interfaces de tunnel.
Tâche 5 : Configurer les sessions IPSec
  1. Sélectionnez Network (Réseau), IPSec Tunnels (Tunnels IPSec), puis cliquez sur Add (Ajouter).

  2. Pour le pair 1, configurez les paramètres de l'onglet General (Général) tels qu'ils apparaissent dans les captures d'écran suivantes.

    Notez que si vous utilisez IKEv1, vous n'avez pas besoin d'ajouter des ID mandataires spécifiques à l'onglet Proxy IDs (ID mandataires). Ils ne sont pas nécessaires pour une configuration IKEv1 de RPV basée sur des routes.

    Cependant, pour IKEv2, vous devez en ajouter à l'onglet Proxy I (ID mandataires) afin d'améliorer l'interopérabilité. Assurez-vous que vous avez aussi configuré la passerelle IKE pour utiliser IKEv2, précédemment à la tâche 2.

    Cette image montre où configurer la session IPSec pour le pair 1.

  3. Pour le pair 2, configurez les paramètres de l'onglet General (Général) tels qu'ils apparaissent dans les captures d'écran suivantes.

    Si vous utilisez IKEv2, ajoutez également des ID mandataires dans l'onglet Proxy IDs (ID mandataires).

    Cette image montre où configurer la session IPSec pour le pair 2.
Tâche 6 : Configurer BGP sur IPSec
Note

Si vous voulez utiliser un routage statique au lieu de BGP, ignorez la tâche 6 et allez à Configuration du routage statique.

BGP sur IPSec nécessite des adresses IP sur les interfaces de tunnel des deux côtés.

La capture d'écran de cet exemple utilise ces sous-réseaux pour les interfaces de tunnel :

  • 198.51.100.0/30
    • CPE : 198.51.100.1/30
    • DRG : 198.51.100.2/30
  • 198.51.100.4/30
    • CPE : 198.51.100.5/30
    • DRG : 198.51.100.6/30

Remplacez les valeurs de l'exemple par les adresses IP BGP spécifiées dans la console Oracle pour les interfaces de tunnel internes.

Cette tâche se compose de trois sous-tâches, chacune contenant plusieurs étapes.

Sous-tâche 6-a : Configurer les paramètres BGP

  1. Sélectionnez Network (Réseau), Virtual Routers (Routeurs virtuels), valeur par défaut, puis cliquez sur Add (Ajouter). Cet exemple utilise le routeur virtuel par défaut. Par ailleurs, l'exemple utilise 10.200.1.10 pour l'ID routeur et 64511 pour le numéro ASN. Utilisez le routeur virtuel correct selon votre configuration de réseau, et l'ID routeur et le numéro ASN appropriés pour votre environnement.

    Cette image présente le début de la configuration BGP.

  2. Dans l'onglet General (Général), configurez les paramètres tels qu'ils apparaissent dans la capture d'écran suivante.

    Cette image présente l'onglet Options BGP générales.

  3. Dans l'onglet General (Général), configurez les paramètres tels qu'ils apparaissent dans la capture d'écran suivante.

    Cette image présente l'onglet BGP Advanced (Options BGP avancées).

  4. Dans l'onglet Peer Group (Groupe de pairs) :

    1. Ajoutez le premier groupe de pairs, puis sous Peer Group Name (Nom du groupe de pairs), ajoutez la première session. Ajoutez la session BGP avec la passerelle DRG.
      Cette image présente le groupe de pairs BGP.

    2. Pour le premier tunnel, dans l'onglet Adresse, configurez les paramètres tels qu'ils apparaissent dans la capture d'écran suivante. Le numéro ASN BGP d'Oracle pour le nuage commercial est 31898, à l'exception de la région Serbie - Centre (Jovanovac) qui est 14544. Si vous configurez un RPV site à site pour le nuage gouvernemental, voir ASN BGP d'Oracle.

      Cette image présente l'onglet BGP peer Addressing (Adressage du pair BGP).

    3. Dans l'onglet Connection Options (Options de connexion), configurez les paramètres tels qu'ils apparaissent dans la capture d'écran suivante.

      Cette image présente l'onglet Options de connexion du pair BGP.

    4. Dans l'onglet Advanced (Avancé), configurez les paramètres tels qu'ils apparaissent dans la capture d'écran suivante.

      Cette image présente l'onglet BGP peer Advanced (Options avancées du pair BGP).

    5. Dans l'onglet Peer Group (Groupe de pairs), ajoutez le deuxième groupe, et sous Peer Group Name (Nom du groupe de pairs), ajoutez la seconde session. Ajoutez la session BGP avec la passerelle DRG.

      Cette image présente le groupe de pairs BGP.

    6. Pour le second tunnel, dans l'onglet Addressing (Adressage), configurez les paramètres tels qu'ils apparaissent dans la capture d'écran suivante.

      Cette image présente l'onglet BGP peer Addressing (Adressage du pair BGP).

    7. Dans l'onglet Connection Options (Options de connexion), configurez les paramètres tels qu'ils apparaissent dans la capture d'écran suivante.

      Cette image présente l'onglet Options de connexion du pair BGP.

    8. Dans l'onglet Advanced (Avancé), configurez les paramètres tels qu'ils apparaissent dans la capture d'écran suivante.

      Cette image présente l'onglet BGP peer Advanced (Options avancées du pair BGP).

    La capture d'écran suivante montre la configuration finale du groupe de pairs :

    Cette image présente la configuration finale du groupe de pairs.

  5. Dans l'onglet Importer, configurez les paramètres tel qu'ils apparaissent dans les captures d'écran suivantes. Ici, vous configurez tunnel.1 comme tunnel principal et tunnel.2 comme tunnel de secours pour la route de réseau VCN reçue de la passerelle DRG par BGP (10.200.0.0/24). Du point de vue BGP, les deux tunnels sont à l'état Établi.

    1. Pour la première règle, dans l'onglet General (Général), configurez les paramètres tels qu'ils apparaissent dans la capture d'écran suivante.

      Cette image présente l'onglet Import (Importer) de l'onglet General (Général).

    2. Dans l'onglet Match (Correspondance), configurez les paramètres tels qu'ils apparaissent dans la capture d'écran suivante.

      Cette image présente l'onglet Import Rule - Match (Importer une règle - Correspondance).

    3. Dans l'onglet Action, configurez les paramètres tels qu'ils apparaissent dans la capture d'écran suivante.

      Cette image présente l'onglet Importer une règle - Action.

    4. Pour la seconde règle, dans l'onglet General (Général), configurez les paramètres tels qu'ils apparaissent dans la capture d'écran suivante.

      Cette image présente l'onglet Import (Importer) de l'onglet General (Général).

    5. Dans l'onglet Match (Correspondance), configurez les paramètres tels qu'ils apparaissent dans la capture d'écran suivante.

      Cette image présente l'onglet Import Rule - Match (Importer une règle - Correspondance).

    6. Dans l'onglet Action, configurez les paramètres tels qu'ils apparaissent dans la capture d'écran suivante.

      Cette image présente l'onglet Importer une règle - Action.

  6. Dans l'onglet Export (Exporter), configurez les paramètres tel qu'ils apparaissent dans les captures d'écran suivantes. Ici, vous configurez une politique pour imposer à la passerelle DRG de préférer tunnel.1 comme chemin de retour plutôt que le CIDR du réseau sur place (10.200.1.0/24).

    1. Dans l'onglet General (Général), configurez les paramètres tels qu'ils apparaissent dans la capture d'écran suivante.

      Cette image présente l'onglet Export (Exporter).

    2. Dans l'onglet Match (Correspondance), configurez les paramètres tels qu'ils apparaissent dans la capture d'écran suivante.

      Cette image présente l'onglet Export - Match (Exporter - Correspondance).

    3. Dans l'onglet Action, configurez les paramètres tels qu'ils apparaissent dans la capture d'écran suivante.

      Cette image présente l'onglet Action.

    La capture d'écran suivante montre la configuration finale de l'exportation :

    Cette image présente la configuration finale de l'exportation.

    Notez qu'aucune configuration n'est requise pour les onglets Conditional Adv (Annonce conditionnelle) ou Aggregate (Agrégation).

  7. Dans l'onglet Redist Rules (Règles de répartition), configurez les paramètres tels qu'ils apparaissent dans la capture d'écran suivante. Ici, vous annoncez le CIDR du réseau sur place dans BGP.

    Cette image présente l'onglet Redistribute Rules (Règles de répartition).
Sous-tâche 6-b : Attendre que les sessions BGP soient établies, puis vérifier le statut BGP

  1. Sélectionnez Network (Réseau), IPSec Tunnels (Tunnels IPSec), la colonne Virtual Router (Routeur virtuel), puis cliquez sur Show Routes (Afficher les routes).

    Cette image montre où afficher les routes du routeur virtuel.

  2. Sélectionnez BGP, puis l'onglet Peer (Pair) pour vérifier que la session BGP est établie. Toute autre valeur signifie que la session BGP n'a pas été établie et que l'échange de routes n'aura pas lieu.

    Cette image montre où consulter le statut de la session BGP.

  3. Dans l'onglet Local RIB (RIB locale) : les préfixes sont reçus de la passerelle DRG, tunnel.1 étant privilégié.

    Cette image présente l'onglet BGP - Local RIB (RIB locale).

  4. Dans l'onglet RIB Out (RIB externe) : Le CIDR du réseau sur place est envoyé au moyen de BGP à DRG1, avec une valeur as_path de 64511, et pour DRG2, avec une valeur as_path de 64511, 64511. Ainsi, selon l'algorithme du meilleur chemin BGP, la route privilégiée par le DRG pour atteindre le CIDR du réseau sur place utilise la connexion par tunnel.1.

    Cette image présente l'onglet BGP - RIB Out (RIB externe).
Sous-tâche 6-c : Confirmer que les routes BGP ont été insérées dans la table de routage

Pour voir les routes, sélectionnez Routing (Routage), puis l'onglet Route Table (Table de routage).

Cette image présente les routes insérées dans la table de routage.

Configuration du routage statique

Utilisez les instructions ci-après si votre équipement local d'abonné ne prend pas en charge BGP sur IPSec, ou si vous ne voulez pas utiliser BGP sur IPSec.

Dans cette tâche, vous configurez les routes statiques pour diriger le trafic à travers les interfaces de tunnel afin d'atteindre la passerelle DRG et enfin les hôtes du VCN.

  1. Suivez les tâches 1 à 5 de la section précédente.
  2. Configurez les routes statiques :
    1. Sélectionnez Network (Réseau), Virtual Routers (Routeurs virtuels), valeur par défaut, Static Routes (Routes statiques), puis cliquez sur Add (Ajouter).

    2. Pour Route 1, configurez les paramètres tels qu'ils apparaissent dans l'image suivante.

      Cette image présente les paramètres de route statique pour la route 1.

    3. Pour Route 2, configurez les paramètres tels qu'ils apparaissent dans l'image suivante.

      Cette image présente les paramètres de route statique pour la route 2.

  3. (Recommandé) Activez ECMP pour le trafic envoyé au travers des deux tunnels. La mesure est réglée à 10 pour les deux routes. Voici quelques remarques importantes concernant l'activation d'ECMP :

    • Vérifiez d'abord si la conception de votre réseau permet ECMP.
    • L'activation ou la désactivation d'ECMP sur un routeur virtuel entraîne le redémarrage de ce dernier par le système. Le redémarrage peut mettre fin aux sessions courantes.

    • Cet exemple utilise le routeur virtuel par défaut. Utilisez le routeur virtuel correct pour votre environnement réseau.

    Pour activer ECMP, sélectionnez Network, Virtual Routers, valeur par défaut, Router Settings, ECMP, puis Enable.

    Cette image présente les paramètres ECMP.

Ces captures d'écran présentent la configuration finale une fois la tâche terminée :

Cette image présente la configuration finale dans l'onglet IPv4 après la configuration des routes statiques.
Cette image présente la configuration finale après la définition des routes statiques.

Modification de l'identificateur IKE

Si l'équipement local d'abonné figure derrière un appareil NAT doté d'une adresse IP privée sur l'interface de sortie utilisée comme source par les interfaces du tunnel, vous devez spécifier l'adresse IP publique de l'appareil comme ID IKE local. Pour ce faire, définissez la valeur Local Identification (Identification locale) dans la configuration de la passerelle IKE :

Cette image montre où modifier l'identificateur IKE du CPE.

Vérification

Pour vérifier le statut du tunnel IPSec :

Cette image montre où vérifier le statut du tunnel IPSec.

Utilisez cette commande pour vérifier le l association de sécurité IKE :

show vpn ike-sa

Utilisez cette commande pour vérifier la configuration du tunnel IPSec :

show vpn tunnel name <tunnel_name>

Pour vérifier le statut BGP, recherchez Established (Établi) :

Cette image montre où vérifier le statut BGP.

Pour vérifier le statut BGP à partir de la ligne de commande :

show routing protocol bgp peer peer-name <name>

Pour vérifier que les routes sont installées dans la table de routage :

show routing route

Un service Surveillance, également disponible dans Oracle Cloud Infrastructure, vous permet de contrôler vos ressources en nuage de manière active et passive. Pour plus d'informations sur la surveillance de votre RPV site à site, voir Mesures du RPV site à site.

En cas de problèmes, voir Dépannage du RPV site à site.