Configuration de l'équipement local d'abonné
Cette rubrique est destinée aux ingénieurs de réseau. Elle explique comment configurer l'appareil sur place (équipement client sur place ou CPE) à l'extrémité sur place du RPV site à site afin que le trafic circule entre un réseau sur place et un réseau VCN. Voir ces rubriques connexes :
- Service de réseau : Pour des informations générales concernant les parties d'un réseau VCN
- RPV site à site : Pour différentes rubriques concernant les RPV IPSec
- Équipements locaux d'abonné vérifiés : Pour une liste d'appareils CPE vérifiés par Oracle
La figure ci-dessous illustre la disposition de base de la connexion IPSec du RPV site à site à l'aide d'Internet. IPSec sur FastConnect est similaire, mais le trafic traverse uniquement un circuit virtuel privé.
Exigences et préalables
Voici les exigences et les préalables à connaître avant de poursuivre.
Considérations relatives au routage
Pour des détails importants sur le routage pour le RPV site à site, voir Routage pour RPV site à site.
Si vous utilisez le routage dynamique BGP avec un RPV site à site, vous pouvez configurer le routage afin qu'Oracle privilégie un tunnel par rapport à l'autre.
Pour utiliser IPSec sur FastConnect, vous ne pouvez pas mettre à jour un objet CPE pour ajouter cette fonctionnalité. Au lieu de cela, le soutien doit être établi lors de la configuration initiale du CPE. Vous ne pouvez pas non plus avoir les tunnels IPSec et les circuits virtuels pour cette connexion qui utilisent les mêmes tables de routage DRG.
Il est à noter que la configuration basée sur une politique Cisco ASA utilise un seul tunnel.
Création de composants de réseau en nuage
Vous ou une personne de votre organisation doit déjà avoir utilisé la console Oracle pour créer un réseau VCN et une connexion IPSec, qui consiste en deux tunnels IPSec ou plus pour la redondance. Vous devez regrouper les informations suivantes sur ces composants :
- OCID du réseau VCN : L'OCID du réseau VCN est un identificateur Oracle Cloud Infrastructure unique qui comporte un UUID à la fin. Vous pouvez utiliser cet UUID ou toute autre chaîne qui vous aide à identifier ce réseau VCN dans la configuration de l'appareil et n'est pas en conflit avec d'autres noms de groupe d'objets ou de liste d'accès.
- CIDR du VCN
- Masque de sous-réseau du CIDR de VCN
-
Pour chaque tunnel IPSec :
- L'adresse IP du point d'extrémité du tunnel IPSec d'Oracle (tête de réseau du RPV)
- La clé secrète partagée
Informations sur l'appareil CPE sur place
Vous avez également besoin d'informations de base sur les interfaces internes et externes de l'appareil sur place. Pour la liste des informations requises pour un CPE particulier, voir les liens de cette liste : Équipements locaux d'abonné vérifiés.
Par défaut, NAT-T est activé sur tous les tunnels IPSec RPV site à site. Nous vous recommandons de laisser NAT-T activé lors de la configuration du RPV site à site sur OCI.
Si le CPE est derrière un appareil NAT, vous pouvez fournir à Oracle l'identificateur IKE du CPE. Pour plus d'informations, voir Aperçu des composants du RPV site à site.
Une seule adresse IP publique d'objet d'équipement local d'abonné peut avoir jusqu'à 8 connexions IPSec.
Basé sur des routes par rapport à IPSec basé sur des politiques
Les têtes de réseau du RPV Oracle utilisent des tunnels basés sur des routes, mais fonctionnent avec ceux basés sur des politiques avec certaines restrictions. Pour plus de détails, voir Domaines de chiffrement pour les tunnels basés sur des politiques.
Meilleures pratiques pour un RPV site à site
- Configurer tous les tunnels pour chaque connexion IPSec : Oracle déploie plusieurs têtes de réseau IPSec pour les connexions afin de fournir une disponibilité élevée pour les charges de travail critiques. La configuration de tous les tunnels disponibles est une partie essentielle de la philosophie (conçu pour résister aux pannes). (Exception : La configuration basée sur des politiques Cisco ASA qui utilise un seul tunnel.)
- Des équipements locaux d'abonné redondants dans des emplacements sur place : Nous recommandons que chaque site qui se connecte avec IPSec à Oracle Cloud Infrastructure ait des appareils CPE redondants. Vous ajoutez chaque équipement local d'abonné à la console Oracle Cloud Infrastructure et créez une connexion IPSec distincte entre une passerelle de routage dynamique (DRG) et chaque CPE. Pour chaque connexion PSec, Oracle provisionne deux tunnels pour des têtes de réseau IPSec géographiquement redondantes. Oracle peut utiliser n'importe quel tunnel "actif" pour renvoyer le trafic vers un réseau sur place. Pour plus d'informations, voir Routage pour RPV site à site.
-
Considérer les routes agrégées de sauvegarde : Si plusieurs sites sont connectés au moyen d'un RPV site à site à Oracle Cloud Infrastructure, et que ces sites sont connectés à des routeurs dorsaux sur place, envisagez de configurer les routes de connexion IPSec avec à la fois la route agrégée du site local et une route par défaut.
Notez que les routes DRG apprises des connexions IPSec sont utilisées seulement par le trafic que vous routez d'un VCN à la passerelle DRG. La route par défaut est utilisée uniquement par le trafic envoyé à la passerelle DRG dont l'adresse IP de destination ne correspond pas aux routes plus spécifiques des tunnels.
Confirmation du statut de la connexion
Après avoir configuré la connexion IPSec, vous pouvez la tester en créant une instance de calcul dans le VCN, puis en lui envoyant une commande ping à partir d'un réseau sur place. Pour plus d'informations sur la création d'une instance de calcul, voir Lancement d'une instance. Pour envoyer une commande ping à l'instance, les règles de sécurité du VCN doivent autoriser le trafic ping.
Vous pouvez obtenir le statut des tunnels IPSec dans l'API ou la console. Pour obtenir des instructions, voir Obtention des détails d'un tunnel IPSec.
Configurations des équipements
Pour les liens vers des informations de configuration spécifiques à chaque équipement local d'abonné vérifié, voir Équipements CPE vérifiés.