Documentation sur Oracle Cloud Infrastructure

Configuration de l'équipement local d'abonné

Cette rubrique est destinée aux ingénieurs de réseau. Elle explique comment configurer l'appareil sur place (équipement local d'abonné ou CPE) à votre extrémité du RPV site à site afin que le trafic circule entre votre réseau sur place et le réseau en nuage virtuel (VCN). Voir ces rubriques connexes :

La figure ci-dessous illustre la disposition de base de la connexion IPSec du RPV site à site à l'aide d'Internet. IPSec sur FastConnect est similaire, mais le trafic ne traverse qu'un circuit virtuel privé.

Cette image résume la disposition générale de la connexion et des tunnels IPSec.

Exigences et préalables

Plusieurs exigences et préalables doivent être pris en compte avant de poursuivre.

Considérations relatives au routage

Pour obtenir des détails importants sur le routage de votre RPV site à site, voir Routage pour RPV site à site.

Oracle utilise un routage asymétrique sur les multiples tunnels qui composent la connexion IPSec. Même si vous configurez un tunnel principal et un autre de secours, le trafic de votre réseau VCN vers votre réseau sur place peut utiliser n'importe quel tunnel "actif" sur votre unité. Configurez vos pare-feux en conséquence. Dans le cas contraire, les tests ping ou le trafic d'application sur la connexion ne fonctionneront pas de manière fiable.

Si vous utilisez le routage dynamique BGP avec votre RPV site à site, vous pouvez configurer le routage afin qu'Oracle privilégie un tunnel par rapport à l'autre.

Si vous voulez utiliser IPSec sur FastConnect, vous ne pouvez pas mettre à jour un objet CPE pour ajouter cette fonctionnalité; la prise en charge doit être établie lors de la configuration initiale de l'équipement local d'abonné. Vous ne pouvez pas non plus que les tunnels et circuits virtuels IPsec pour cette connexion utilisent les mêmes tables de routage DRG.

Il est à noter que la configuration basée sur une politique Cisco ASA utilise un seul tunnel.

Création de composants de réseau en nuage

Vous ou une personne de votre organisation doit déjà connaître la console Oracle pour créer un réseau VCN et une connexion IPSec, qui consiste en plusieurs tunnels IPSec pour la redondance. Vous devez regrouper les informations suivantes sur ces composants :

  • OCID du VCN : L'OCID du réseau VCN est un identificateur Oracle Cloud Infrastructure unique qui comporte un UUID à la fin. Vous pouvez utiliser cet UUID ou toute autre chaîne qui vous aide à identifier ce réseau VCN dans la configuration de l'appareil et n'est pas en conflit avec d'autres noms de groupe d'objets ou de liste d'accès.
  • CIDR du VCN
  • Masque de sous-réseau du CIDR de VCN

  • Pour chaque tunnel IPSec :

    • L'adresse IP du point d'extrémité du tunnel IPSec d'Oracle (tête de réseau du RPV)
    • La clé secrète partagée

Informations sur votre appareil CPE

Vous avez également besoin d'informations de base sur les interfaces internes et externes de votre appareil sur place (CPE). Pour la liste des informations requises pour votre équipement local d'abonné particulier, voir les liens de cette liste : Équipements locaux d'abonné vérifiés.

Par défaut, NAT-T est activé sur tous les tunnels IPSec RPV site à site. Oracle recommande de laisser NAT-T activé lors de la configuration du RPV site à site sur OCI.

Si votre CPE est derrière un appareil NAT, vous pouvez fournir à Oracle l'identificateur IKE du premier. Pour plus d'informations, voir Aperçu des composants du RPV site à site.

Une seule adresse IP publique d'objet d'équipement local d'abonné peut avoir jusqu'à 8 connexions IPSec.

IPSec basé sur des routes ou sur des politiques

Les têtes de réseau du RPV Oracle utilisent des tunnels basés sur des routes, mais fonctionnent avec ceux basés sur des politiques avec certaines restrictions. Pour plus de détails, voir Domaines de chiffrement pour les tunnels basés sur des politiques.

Meilleures pratiques pour un RPV site à site

  • Configurer tous les tunnels pour chaque connexion IPSec : Oracle déploie plusieurs têtes de réseau IPSec pour toutes vos connexions afin de procurer une disponibilité maximale pour vos charges de travail critiques. La configuration de tous les tunnels disponibles est une partie essentielle de la philosophie (conçu pour résister aux pannes). (Exception : La configuration basée sur des politiques Cisco ASA qui utilise un seul tunnel.)
  • Disposer de CPE redondants dans vos emplacements sur place : Chacun de vos sites qui se connecte avec IPSec à Oracle Cloud Infrastructure doit disposer d'appareils CPE redondants. Vous ajoutez chaque équipement local d'abonné à la console Oracle Cloud Infrastructure et créez une connexion IPSec distincte entre votre passerelle de routage dynamique (DRG) et chaque CPE. Pour chaque connexion PSec, Oracle provisionne deux tunnels pour des têtes de réseau IPSec géographiquement redondantes. Oracle peut utiliser n'importe quel tunnel "actif" pour renvoyer le trafic vers votre réseau sur place. Pour plus d'informations, voir Routage pour RPV site à site.

  • Envisager des routes agrégées de secours : Si plusieurs de vos sites sont connectés au moyen de réseaux privés virtuels IPSec à Oracle Cloud Infrastructure, et sont reliés à vos routeurs fédérateurs sur place, envisagez de configurer vos routes de connexion IPSec avec une route agrégée pour le site local ainsi qu'avec une route par défaut.

    Notez que les routes DRG apprises des connexions IPSec sont utilisées seulement par le trafic que vous acheminez de votre VCN à votre passerelle DRG. La route par défaut sera utilisée uniquement par le trafic envoyé à votre passerelle DRG dont l'adresse IP de destination ne correspond pas aux routes plus spécifiques de vos tunnels.

Confirmation du statut de la connexion

Après avoir configuré la connexion IPSec, vous pouvez la tester en lançant une instance dans le VCN, puis en lui envoyant une commande ping depuis votre réseau sur place. Pour plus d'informations sur le lancement d'une instance, voir Lancement d'une instance. Pour envoyer une commande ping à l'instance, les règles de sécurité du VCN doivent autoriser le trafic ping.

Vous pouvez obtenir le statut des tunnels IPSec dans l'API ou la console. Pour obtenir des instructions, voir Pour afficher le statut et les informations de configuration des tunnels IPSec.

Configurations des équipements

Pour les liens vers des informations de configuration spécifiques à chaque équipement local d'abonné vérifié, voir Équipements CPE vérifiés.