Documentation sur Oracle Cloud Infrastructure

Création d'une connexion IPSec

Le service RPV site à site vous permet de créer une connexion IPSec contenant des tunnels IPSec qui connectent en toute sécurité Oracle Cloud Infrastructure à un réseau sur place.

Avant de créer une connexion IPSec pour le RPV site à site, consultez Configuration du RPV site à site et planifiez le RPV site à site. Consultez également la section Utilisation de RPV site à site.

  • Entrer les informations de connexion IPSec

    La présente section traite des informations de base pour la connexion IPSec. Les sections suivantes couvrent les spécificités qui dépendent des trois types de routage que vous sélectionnez pour ce tunnel.

    Vous pouvez penser à un "IPSec connection object" comme quelque chose qui contient ses propres métadonnées, et les informations de configuration pour les tunnels IPSec qu'il contient.

    1. Dans la page de liste RPV site-à-site, sélectionnez Créer une connexion IPSec. Si vous avez besoin d'aide pour trouver la page de liste, voir Liste des connexions IPSec.
    2. Entrez un nom descriptif pour la connexion IPSec. Il ne doit pas nécessairement être unique et vous pouvez le modifier ultérieurement. Évitez d'entrer des informations confidentielles.
    3. Sélectionnez un compartiment pour la connexion IPSec. Par défaut, il s'agit du compartiment le plus récemment utilisé. Il est probable qu'il s'agisse du même compartiment que le VCN contenant les ressources à mettre à la disposition du réseau sur place.
    4. Sélectionnez le compartiment contenant l'objet CPE à associer à la connexion IPSec, puis sélectionnez l'objet CPE.
      Si vous configurez IPSec sur FastConnect, l'équipement local d'abonné que vous sélectionnez doit comporter une étiquette confirmant que IPSec sur FastConnect est activé pour cet équipement local d'abonné. Le routage BGP est privilégié pour les connexions qui utilisent IPSec par rapport à FastConnect.
    5. Si le CPE est derrière un appareil NAT, cochez la case appropriée.

      Si la case est cochée, fournissez les informations suivantes :

      • Type d'identificateur CPE IKE : Sélectionnez le type d'identificateur utilisé par IKE (Internet Key Exchange) pour identifier l'appareil CPE. Un nom de domaine complet ou une adresse IPv4 peut être un identificateur.
      • Identificateur IKE de l'équipement local d'abonné : Entrez les informations utilisées par IKE pour identifier ce dernier. Oracle utilise par défaut l'adresse IP publique du CPE. Si l'équipement local d'abonné est derrière un appareil NAT, vous devrez peut-être entrer une valeur différente. Vous pouvez soit entrer la nouvelle valeur ici, soit modifier la valeur plus tard.
    6. Sélectionnez le compartiment contenant la passerelle DRG à associer à la connexion IPSec, puis sélectionnez la passerelle DRG. Cette passerelle DRG doit déjà être attachée au VCN que vous voulez rendre disponible pour un réseau sur place.
    7. (Facultatif) Si vous avez l'intention d'utiliser un routage statique pour l'un des tunnels, entrez au moins une route dans le champ Routes vers votre réseau sur place. Sinon, ignorez cette option.
      Vous pouvez entrer jusqu'à 10 routes statiques et modifier les routes statiques ultérieurement. Les routes correspondent aux blocs CIDR de VCN avec lesquels le réseau sur place doit se connecter.

    Configurez ensuite les deux tunnels IPSec. Si le périphérique CPE réel ne prend en charge qu'un seul tunnel IPSec par connexion, la configuration du tunnel 2 est facultative. La façon dont vous configurez les tunnels dépend de la méthode d'acheminement que vous prévoyez d'utiliser. Sélectionnez donc la section correspondante.

    Configurer un tunnel pour le routage BGP

    Configurer un tunnel pour le routage BGP

    Entrez les informations suivantes dans la section appropriée pour le tunnel 1 et le tunnel 2.

    1. Entrez un nom descriptif pour le tunnel. Il ne doit pas nécessairement être unique et vous pouvez le modifier ultérieurement. Évitez d'entrer des informations confidentielles.
    2. (Facultatif) Cochez la case et entrez une clé secrète partagée personnalisée.
      Par défaut, Oracle fournit la clé secrète partagée du tunnel. Pour le fournir vous-même, cochez cette case et entrez la clé secrète partagée. Vous pouvez modifier le secret partagé plus tard.
    3. Sélectionnez la version d'Internet Key Exchange (IKE) à utiliser pour ce tunnel. Sélectionnez IKEv2 seulement si l'équipement local d'abonné prend en charge ce type. Vous devez également configurer le CPE pour qu'il utilise uniquement IKEv2 pour ce tunnel.
    4. Sélectionnez Routage dynamique BGP comme type de routage.
    5. Si l'équipement local d'abonné sélectionné précédemment prend en charge IPSec sur FastConnect, les paramètres suivants sont requis :
      • Adresse IP de tête de réseau du tunnel Oracle : Entrez l'adresse IP du point d'extrémité du tunnel IPSec Oracle (tête du tunnel RPV). Oracle annonce l'adresse IP RPV en tant que route d'hôte /32 à l'aide de la session BGP FastConnect. Si des adresses chevauchent une route de VCN, cela a priorité en raison de la correspondance de préfixe la plus longue.
      • Circuit virtuel associé : Sélectionnez un circuit virtuel qui a été activé pour IPSec sur FastConnect lors de sa création. Le tunnel est mappé au circuit virtuel sélectionné et l'adresse IP de tête de réseau définie n'est accessible que sur place au moyen du circuit virtuel associé.
      • Table de routage DRG : Sélectionnez ou créez une table de routage DRG. Pour éviter tout problème de routage récursif, l'attachement de circuit virtuel et l'attachement de tunnel IPSec utilisés pour IPSec sur FastConnect doivent utiliser des tables de routage DRG différentes.
    6. Entrez l'ASN BGP du réseau sur place.
    7. Entrez l'adresse BGP IPv4 avec masque de sous-réseau (soit /30 ou /31) pour l'extrémité CPE du tunnel (l'IPv4 à l'intérieur de l'interface de tunnel - CPE). Par exemple : 10.0.0.16/31. L'adresse IP doit faire partie du domaine de chiffrement du RPV site à site.
    8. Entrez l'adresse IPv4 BGP avec masque de sous-réseau (soit /30 ou /31) pour l'extrémité Oracle du tunnel (l'IPv4 à l'intérieur de l'interface de tunnel - Oracle). Par exemple : 10.0.0.17/31. L'adresse IP doit faire partie du domaine de chiffrement du RPV site à site.
    9. (Facultatif) Si vous prévoyez d'utiliser IPv6 et IPv4, sélectionnez Activer IPv6 et entrez les détails suivants :
      • IPv6 Interface de tunnel interne - CPE : Entrez l'adresse BGP IPv6 avec masque de sous-réseau (/126) de l'extrémité CPE du tunnel. Par exemple : 2001:db2::6/126. L'adresse IP doit faire partie du domaine de chiffrement du RPV site à site.
      • IPv6 Interface de tunnel interne - Oracle : Entrez l'adresse IP BGP avec masque de sous-réseau (/126) pour l'extrémité Oracle du tunnel. Par exemple : 2001:db2::7/126. L'adresse IP doit faire partie du domaine de chiffrement du RPV site à site.
    10. (Facultatif) Si vous sélectionnez Afficher les options avancées, vous pouvez modifier les paramètres suivants pour le tunnel :
      • Lancement d'Oracle IKE : Ce paramètre indique si l'extrémité Oracle de la connexion IPSec peut démarrer le tunnel IPSec. La valeur par défaut est Initiateur ou répondant. Vous pouvez également décider de définir l'extrémité Oracle comme répondant seulement, ce qui nécessiterait que l'appareil CPE démarre le tunnel IPSec. Nous vous recommandons de laisser cette option au paramètre par défaut.
      • NAT-T activé : Ce paramètre indique si l'appareil CPE est derrière un appareil NAT. La valeur par défaut est Automatique. Les autres options sont désactivé et activé. Nous vous recommandons de laisser cette option au paramètre par défaut.
      • Enable Dead Peer Detection Timeout (Activer la temporisation de détection des homologues inactifs) : Lorsque vous sélectionnez cette option, vous pouvez vérifier périodiquement la stabilité de la connexion au CPE et détecter une panne de ce dernier. Si vous sélectionnez cette option, vous pouvez également choisir l'intervalle le plus long entre les messages d'état de l'appareil CPE avant que la connexion IPSec indique que le contact avec le CPE a été perdu. La valeur par défaut est 20  secondes. Nous vous recommandons de laisser cette option au paramètre par défaut.
    11. (Facultatif) Si vous développez la section Configuration de la première phase (ISAKMP) et que vous sélectionnez Définir des options personnalisées, vous pouvez définir les paramètres facultatifs suivants (vous devez sélectionner une de chaque option) :
      • Algorithmes de chiffrement personnalisés : Vous pouvez sélectionner les options offertes dans le menu déroulant.
      • Algorithmes d'authentification personnalisés : vous pouvez sélectionner l'une des options offertes dans le menu déroulant.
      • Groupes Diffie-Hellman : Vous pouvez sélectionner l'une des options offertes dans le menu déroulant.

      Si la case Définir des configurations personnalisées n'est pas cochée, les paramètres par défaut sont proposés. Vous pouvez toujours sélectionner la durée de vie de la clé de session IKE en secondes. La valeur par défaut est 28800, ce qui équivaut à 8 heures.

      Pour comprendre ces options plus en détail, y compris les propositions par défaut, voir Paramètres IPSec pris en charge.

    12. Si vous développez les options Configuration de la deuxième phase (IPSec) et que vous sélectionnez Définir des options personnalisées, vous pouvez définir les paramètres facultatifs suivants pour le tunnel (vous devez sélectionner un algorithme de chiffrement) :
      • Algorithmes de chiffrement personnalisés : Vous pouvez sélectionner les options offertes dans le menu déroulant. Si vous sélectionnez un algorithme de chiffrement AES-CBC, vous devez également sélectionner un algorithme d'authentification.
      • Algorithmes d'authentification personnalisés : vous pouvez sélectionner l'une des options offertes dans le menu déroulant. L'algorithme de chiffrement que vous avez choisi peut comporter une authentification intégrée, auquel cas aucune option sélectionnable n'est disponible.

      Si la case Définir des configurations personnalisées n'est pas cochée, les paramètres par défaut sont proposés. Vous pouvez toujours modifier les paramètres suivants :

      • Durée de vie de la clé de session IPSec en secondes : La valeur par défaut est 3600, qui est égale à 1 heure.
      • Activer la confidentialité persistante : Par défaut, cette option est activée. Il vous permet de sélectionner le groupe Diffie-Hellman de confidentialité persistante. Vous pouvez sélectionner une des options offertes dans le menu déroulant. Si vous ne faites pas de sélection, GROUP5 est proposé.

      Pour toutes les options de la phase deux, la sélection d'une seule option remplace le jeu par défaut et est la seule option proposée au CPE.

    13. Pour Tunnel 2, vous pouvez utiliser les mêmes options que pour le tunnel 1. Vous pouvez également sélectionner différentes options ou décider de ne pas configurer le tunnel, car l'appareil CPE ne prend en charge qu'un seul tunnel.
    14. Lorsque vous avez terminé, sélectionnez Créer une connexion IPSec.
    15. Copiez l'adresse IP du RPV Oracle et la clé secrète partagée de chacun des tunnels dans un courriel ou ailleurs afin de les transmettre à l'ingénieur réseau qui configure l'appareil CPE.

      Vous pouvez voir ces informations de tunnel ici dans la console, à tout moment.

    La connexion IPSec est créée et affichée dans la page. Elle reste à l'état Provisionnement pendant une courte période.

    Les informations sur le tunnel affiché sont les suivantes :

    • Adresse IPv4 ou IPv6 du RPV Oracle (pour la tête de réseau privé virtuel Oracle).
    • Statut IPSec du tunnel (valeurs possibles : Actif, Inactif et Arrêté pour maintenance). À ce stade, le statut est Inactif. L'ingénieur réseau doit configurer le périphérique CPE pour que le ou les tunnels puissent être établis.
    • Statut BGP du tunnel. À ce stade, le statut est Inactif. L'ingénieur réseau doit configurer le périphérique CPE.

    Pour voir la clé secrète partagée du tunnel, sélectionnez le tunnel pour voir ses détails, puis sélectionnez Afficher à côté de Clé secrète partagée.

    Vous pouvez également sélectionner l'onglet Détails de la phase pour voir les détails de la phase un (ISAKMP) et de la phase deux (IPSec) pour le tunnel.

    À l'heure actuelle, vous avez créé tous les composants requis pour le RPV site à site. L'ingénieur réseau sur place doit ensuite configurer l'appareil CPE pour que le trafic réseau puisse circuler entre le réseau sur place et un VCN.

    Pour plus d'informations, voir Configuration de l'équipement local d'abonné.

    Configurer un tunnel pour le routage statique

    Configurer un tunnel pour le routage statique

    Note

    Nous vous recommandons d'utiliser des connexions IPSec basées sur une route BGP pour IPSec sur FastConnect.

    Entrez les informations suivantes dans la section appropriée pour le tunnel 1 et le tunnel 2.

    1. Entrez un nom descriptif pour le tunnel. Il ne doit pas nécessairement être unique et vous pouvez le modifier ultérieurement. Évitez d'entrer des informations confidentielles.
    2. (Facultatif) Cochez la case et entrez une clé secrète partagée personnalisée.
      Par défaut, Oracle fournit la clé secrète partagée du tunnel. Pour le fournir vous-même, cochez cette case et entrez la clé secrète partagée. Vous pouvez modifier le secret partagé plus tard.
    3. Sélectionnez la version d'Internet Key Exchange (IKE) à utiliser pour ce tunnel. Sélectionnez IKEv2 seulement si l'équipement local d'abonné prend en charge ce type. Vous devez également configurer le CPE pour qu'il utilise uniquement IKEv2 pour ce tunnel.
    4. Sélectionnez Routage statique comme type de routage.
    5. Entrez l'adresse BGP IPv4 avec masque de sous-réseau (soit /30 ou /31) pour l'extrémité CPE du tunnel (l'IPv4 à l'intérieur de l'interface de tunnel - CPE). Par exemple : 10.0.0.16/31. L'adresse IP doit faire partie du domaine de chiffrement du RPV site à site.
    6. Entrez l'adresse IPv4 BGP avec masque de sous-réseau (soit /30 ou /31) pour l'extrémité Oracle du tunnel (l'IPv4 à l'intérieur de l'interface de tunnel - Oracle). Par exemple : 10.0.0.17/31. L'adresse IP doit faire partie du domaine de chiffrement du RPV site à site.
    7. (Facultatif) Si vous prévoyez d'utiliser IPv6 et IPv4, sélectionnez Activer IPv6 et entrez les détails suivants :
      • IPv6 Interface de tunnel interne - CPE : Entrez l'adresse BGP IPv6 avec masque de sous-réseau (/126) de l'extrémité CPE du tunnel. Par exemple : 2001:db2::6/126. L'adresse IP doit faire partie du domaine de chiffrement du RPV site à site.
      • IPv6 Interface de tunnel interne - Oracle : Entrez l'adresse IP BGP avec masque de sous-réseau (/126) pour l'extrémité Oracle du tunnel. Par exemple : 2001:db2::7/126. L'adresse IP doit faire partie du domaine de chiffrement du RPV site à site.
    8. (Facultatif) Si vous sélectionnez Afficher les options avancées, vous pouvez modifier les paramètres suivants pour le tunnel :
      • Lancement d'Oracle IKE : Ce paramètre indique si l'extrémité Oracle de la connexion IPSec peut démarrer le tunnel IPSec. La valeur par défaut est Initiateur ou répondant. Vous pouvez également décider de définir l'extrémité Oracle comme répondant seulement, ce qui nécessiterait que l'appareil CPE démarre le tunnel IPSec. Nous vous recommandons de laisser cette option au paramètre par défaut.
      • NAT-T activé : Ce paramètre indique si l'appareil CPE est derrière un appareil NAT. La valeur par défaut est Automatique. Les autres options sont désactivé et activé. Nous vous recommandons de laisser cette option au paramètre par défaut.
      • Enable Dead Peer Detection Timeout (Activer la temporisation de détection des homologues inactifs) : Lorsque vous sélectionnez cette option, vous pouvez vérifier périodiquement la stabilité de la connexion au CPE et détecter une panne de ce dernier. Si vous sélectionnez cette option, vous pouvez également choisir l'intervalle le plus long entre les messages d'état de l'appareil CPE avant que la connexion IPSec indique que le contact avec le CPE a été perdu. La valeur par défaut est 20  secondes. Nous vous recommandons de laisser cette option au paramètre par défaut.
    9. (Facultatif) Si vous développez la section Configuration de la première phase (ISAKMP) et que vous sélectionnez Définir des options personnalisées, vous pouvez définir les paramètres facultatifs suivants (vous devez sélectionner une de chaque option) :
      • Algorithmes de chiffrement personnalisés : Vous pouvez sélectionner les options offertes dans le menu déroulant.
      • Algorithmes d'authentification personnalisés : vous pouvez sélectionner l'une des options offertes dans le menu déroulant.
      • Groupes Diffie-Hellman : Vous pouvez sélectionner l'une des options offertes dans le menu déroulant.

      Si la case Définir des configurations personnalisées n'est pas cochée, les paramètres par défaut sont proposés. Vous pouvez toujours sélectionner la durée de vie de la clé de session IKE en secondes. La valeur par défaut est 28800, ce qui équivaut à 8 heures.

      Pour comprendre ces options plus en détail, y compris les propositions par défaut, voir Paramètres IPSec pris en charge.

    10. Si vous développez les options Configuration de la deuxième phase (IPSec) et que vous sélectionnez Définir des options personnalisées, vous pouvez définir les paramètres facultatifs suivants pour le tunnel (vous devez sélectionner un algorithme de chiffrement) :
      • Algorithmes de chiffrement personnalisés : Vous pouvez sélectionner les options offertes dans le menu déroulant. Si vous sélectionnez un algorithme de chiffrement AES-CBC, vous devez également sélectionner un algorithme d'authentification.
      • Algorithmes d'authentification personnalisés : vous pouvez sélectionner l'une des options offertes dans le menu déroulant. L'algorithme de chiffrement que vous avez choisi peut comporter une authentification intégrée, auquel cas aucune option sélectionnable n'est disponible.

      Si la case Définir des configurations personnalisées n'est pas cochée, les paramètres par défaut sont proposés. Vous pouvez toujours modifier les paramètres suivants :

      • Durée de vie de la clé de session IPSec en secondes : La valeur par défaut est 3600, qui est égale à 1 heure.
      • Activer la confidentialité persistante : Par défaut, cette option est activée. Il vous permet de sélectionner le groupe Diffie-Hellman de confidentialité persistante. Vous pouvez sélectionner une des options offertes dans le menu déroulant. Si vous ne faites pas de sélection, GROUP5 est proposé.

      Pour toutes les options de la phase deux, la sélection d'une seule option remplace le jeu par défaut et est la seule option proposée au CPE.

    11. Pour Tunnel 2, vous pouvez utiliser les mêmes options que pour le tunnel 1. Vous pouvez également sélectionner différentes options ou décider de ne pas configurer le tunnel, car l'appareil CPE ne prend en charge qu'un seul tunnel.
    12. Lorsque vous avez terminé, sélectionnez Créer une connexion IPSec.
    13. Copiez l'adresse IP du RPV Oracle et la clé secrète partagée de chacun des tunnels dans un courriel ou ailleurs afin de les transmettre à l'ingénieur réseau qui configure l'appareil CPE.

      Vous pouvez voir ces informations de tunnel ici dans la console, à tout moment.

    La connexion IPSec est créée et affichée dans la page. Elle reste à l'état Provisionnement pendant une courte période.

    Les informations sur le tunnel affiché sont les suivantes :

    • Adresse IP du RPV d'Oracle (pour la tête du réseau privé virtuel Oracle).
    • Statut IPSec du tunnel (valeurs possibles : Actif, Inactif et Arrêté pour maintenance). À ce stade, le statut est Inactif. Un ingénieur réseau doit toujours configurer le périphérique CPE.

    Pour voir la clé secrète partagée du tunnel, sélectionnez le tunnel pour voir ses détails, puis sélectionnez Afficher à côté de Clé secrète partagée.

    À l'heure actuelle, vous avez créé tous les composants requis pour le RPV site à site. L'ingénieur réseau sur place doit ensuite configurer l'appareil CPE pour que le trafic réseau puisse circuler entre le réseau sur place et un VCN.

    Pour plus d'informations, voir Configuration de l'équipement local d'abonné.

    Configurer un tunnel pour le routage basé sur des stratégies

    Configurer un tunnel pour le routage basé sur des stratégies

    Note

    Nous vous recommandons d'utiliser des connexions IPSec basées sur une route BGP pour IPSec sur FastConnect.
    Note

    L'option de routage basée sur des politiques n'est pas disponible dans tous les domaines de disponibilité et peut nécessiter la création d'un nouveau tunnel IPSec.

    Entrez les informations suivantes dans la section appropriée pour le tunnel 1 et le tunnel 2.

    1. Entrez un nom descriptif pour le tunnel. Il ne doit pas nécessairement être unique et vous pouvez le modifier ultérieurement. Évitez d'entrer des informations confidentielles.
    2. (Facultatif) Cochez la case et entrez une clé secrète partagée personnalisée.
      Par défaut, Oracle fournit la clé secrète partagée du tunnel. Pour le fournir vous-même, cochez cette case et entrez la clé secrète partagée. Vous pouvez modifier le secret partagé plus tard.
    3. Sélectionnez la version d'Internet Key Exchange (IKE) à utiliser pour ce tunnel. Sélectionnez IKEv2 seulement si l'équipement local d'abonné prend en charge ce type. Vous devez également configurer le CPE pour qu'il utilise uniquement IKEv2 pour ce tunnel.
    4. Sélectionnez Routage basé sur une politique comme type de routage.
    5. Dans la section Associations, entrez des informations dans les champs appropriés :
      • Blocs CIDR sur place : Vous pouvez fournir plusieurs blocs CIDR IPv4 CIDR ou de préfixe IPv6 utilisés par les ressources du réseau sur place, avec un routage décidé par les politiques de l'appareil CPE.
        Note

        Voir Domaines de chiffrement pour les tunnels basés sur des politiques pour connaître les limites sur le nombre de blocs CIDR IPv4 ou de préfixe IPv6 à utiliser.
      • Blocs CIDR Oracle Cloud : Vous pouvez fournir plusieurs blocs CIDR IPv4 CIDR ou de préfixe IPv6 utilisés par les ressources d'un VCN.
        Note

        Voir Domaines de chiffrement pour les tunnels basés sur des politiques pour connaître les limites sur le nombre de blocs CIDR IPv4 ou de préfixe IPv6 à utiliser.
    6. (Facultatif) Si vous le souhaitez pour le dépannage ou la surveillance, entrez des informations dans les champs suivants :
      • IPv4 à l'intérieur de l'interface de tunnel - CPE : Vous pouvez fournir une adresse IP avec masque de sous-réseau ( /30 ou /31) pour l'extrémité CPE du tunnel. Par exemple : 10.0.0.16/31.
      • Interface de tunnel interne - Oracle : Vous pouvez fournir une adresse IP avec masque de sous-réseau ( /30 ou /31) pour l'extrémité Oracle du tunnel. Par exemple : 10.0.0.17/31.

      Ces adresses IP doivent faire partie de l'un des domaines de chiffrement du RPV site à site.

    7. (Facultatif) Si vous sélectionnez Afficher les options avancées, vous pouvez modifier les paramètres suivants pour le tunnel :
      • Lancement d'Oracle IKE : Ce paramètre indique si l'extrémité Oracle de la connexion IPSec peut démarrer le tunnel IPSec. La valeur par défaut est Initiateur ou répondant. Vous pouvez également décider de définir l'extrémité Oracle comme répondant seulement, ce qui nécessiterait que l'appareil CPE démarre le tunnel IPSec. Nous vous recommandons de laisser cette option au paramètre par défaut.
      • NAT-T activé : Ce paramètre indique si l'appareil CPE est derrière un appareil NAT. La valeur par défaut est Automatique. Les autres options sont désactivé et activé. Nous vous recommandons de laisser cette option au paramètre par défaut.
      • Enable Dead Peer Detection Timeout (Activer la temporisation de détection des homologues inactifs) : Lorsque vous sélectionnez cette option, vous pouvez vérifier périodiquement la stabilité de la connexion au CPE et détecter une panne de ce dernier. Si vous sélectionnez cette option, vous pouvez également choisir l'intervalle le plus long entre les messages d'état de l'appareil CPE avant que la connexion IPSec indique que le contact avec le CPE a été perdu. La valeur par défaut est 20  secondes. Nous vous recommandons de laisser cette option au paramètre par défaut.
    8. (Facultatif) Si vous développez la section Configuration de la première phase (ISAKMP) et que vous sélectionnez Définir des options personnalisées, vous pouvez définir les paramètres facultatifs suivants (vous devez sélectionner une de chaque option) :
      • Algorithmes de chiffrement personnalisés : Vous pouvez sélectionner les options offertes dans le menu déroulant.
      • Algorithmes d'authentification personnalisés : vous pouvez sélectionner l'une des options offertes dans le menu déroulant.
      • Groupes Diffie-Hellman : Vous pouvez sélectionner l'une des options offertes dans le menu déroulant.

      Si la case Définir des configurations personnalisées n'est pas cochée, les paramètres par défaut sont proposés. Vous pouvez toujours sélectionner la durée de vie de la clé de session IKE en secondes. La valeur par défaut est 28800, ce qui équivaut à 8 heures.

      Pour comprendre ces options plus en détail, y compris les propositions par défaut, voir Paramètres IPSec pris en charge.

    9. Si vous développez les options Configuration de la deuxième phase (IPSec) et que vous sélectionnez Définir des options personnalisées, vous pouvez définir les paramètres facultatifs suivants pour le tunnel (vous devez sélectionner un algorithme de chiffrement) :
      • Algorithmes de chiffrement personnalisés : Vous pouvez sélectionner les options offertes dans le menu déroulant. Si vous sélectionnez un algorithme de chiffrement AES-CBC, vous devez également sélectionner un algorithme d'authentification.
      • Algorithmes d'authentification personnalisés : vous pouvez sélectionner l'une des options offertes dans le menu déroulant. L'algorithme de chiffrement que vous avez choisi peut comporter une authentification intégrée, auquel cas aucune option sélectionnable n'est disponible.

      Si la case Définir des configurations personnalisées n'est pas cochée, les paramètres par défaut sont proposés. Vous pouvez toujours modifier les paramètres suivants :

      • Durée de vie de la clé de session IPSec en secondes : La valeur par défaut est 3600, qui est égale à 1 heure.
      • Activer la confidentialité persistante : Par défaut, cette option est activée. Il vous permet de sélectionner le groupe Diffie-Hellman de confidentialité persistante. Vous pouvez sélectionner une des options offertes dans le menu déroulant. Si vous ne faites pas de sélection, GROUP5 est proposé.

      Pour toutes les options de la phase deux, la sélection d'une seule option remplace le jeu par défaut et est la seule option proposée au CPE.

    10. Pour Tunnel 2, vous pouvez utiliser les mêmes options que pour le tunnel 1. Vous pouvez également sélectionner différentes options ou décider de ne pas configurer le tunnel, car l'appareil CPE ne prend en charge qu'un seul tunnel.
    11. Lorsque vous avez terminé, sélectionnez Créer une connexion IPSec.
    12. Copiez l'adresse IP du RPV Oracle et la clé secrète partagée de chacun des tunnels dans un courriel ou ailleurs afin de les transmettre à l'ingénieur réseau qui configure l'appareil CPE.

      Vous pouvez voir ces informations de tunnel ici dans la console, à tout moment.

    La connexion IPSec est créée et affichée dans la page. Elle reste à l'état Provisionnement pendant une courte période.

    Les informations sur le tunnel affiché sont les suivantes :

    • Adresse IP du RPV d'Oracle (pour la tête du réseau privé virtuel Oracle).
    • Statut IPSec du tunnel (valeurs possibles : Actif, Inactif et Arrêté pour maintenance). À ce stade, le statut est Inactif. L'ingénieur réseau doit configurer le périphérique CPE avant que le statut puisse changer.

    Pour voir la clé secrète partagée du tunnel, sélectionnez le tunnel pour voir ses détails, puis sélectionnez Afficher à côté de Clé secrète partagée.

    À l'heure actuelle, vous avez créé tous les composants requis pour le RPV site à site. L'ingénieur réseau sur place doit ensuite configurer l'appareil CPE pour que le trafic réseau puisse circuler entre le réseau sur place et un VCN.

    Pour plus d'informations, voir Configuration de l'équipement local d'abonné.

  • Utilisez la commande network ip-sec-connection create et les paramètres requis pour créer une connexion IPSec :

    oci network ip-sec-connection create --compartment-id compartment-ocid --cpe-id cpe-ocid --drg-id drg-ocid  --static-routes complex type ... [OPTIONS]

    L'option --static-routes n'est requise que lors de l'utilisation du routage statique.

    Pour la liste complète des paramètres et des valeurs pour les commandes de l'interface de ligne de commande, voir Informations de référence sur les commandes de l'interface de ligne de commande.

  • Exécutez l'opération CreateIPSecConnection pour créer une connexion IPSec.