Cette rubrique fournit des instructions sur la construction d'une connexion RPV site à site IPSec à partir d'un réseau sur place vers un VCN. Pour des informations générales sur l'utilisation du RPV site à site, voir Aperçu du RPV site à site.
Avant de commencer
Pour vous préparer, effectuez d'abord les opérations suivantes :
Voulez-vous utiliser la traduction d'adresses de port (PAT) entre chaque équipement local d'abonné et le VCN?
Quel type de routage voulez-vous utiliser? Si vous voulez le routage dynamique BGP, répertoriez les adresses IP de la session BGP à utiliser et le numéro ASN du réseau sur place. Les adresses IP doivent faire partie du domaine de chiffrement du RPV site à site.
Quelles sont les routes statiques du réseau sur place pour le routage statique? Voir Routage pour RPV site à site.
Exemple : Configuration du RPV site à site pour une démonstration de faisabilité 🔗
Conseil
Oracle propose un flux de travail de démarrage rapide pour faciliter la configuration du RPV site à site. Pour plus d'informations, voir Assistant RPV site à site.
Allez-vous effectuer une traduction d'adresses de port (PAT) entre chaque appareil CPE et le VCN?
Non
Quel type de routage voulez-vous utiliser? Il existe trois choix mutuellement exclusifs :
Si vous envisagez d'utiliser le routage dynamique BGP, répertoriez les adresses IP de la session BGP à utiliser et le numéro ASN du réseau sur place.
Si vous souhaitez utiliser un routage statique, répertoriez les routes statiques du réseau sur place. Voir Routage pour RPV site à site.
Si vous prévoyez d'utiliser un routage basé sur des politiques ou si vous avez besoin de plusieurs domaines de chiffrement, répertoriez les blocs CIDR IPv4 ou de préfixe IPv6 utilisés à chaque extrémité de la connexion. Voir Domaines de chiffrement pour les tunnels basés sur des politiques
Exemple de routage dynamique BGP :
Tunnel 1 :
Interface de tunnel interne - CPE : 10.0.0.16/31
Interface de tunnel interne - Oracle : 10.0.0.17/31
Tunnel 2 :
Interface de tunnel interne - CPE : 10.0.0.18/31
Interface de tunnel interne - Oracle : 10.0.0.19/31
ASN de réseau : 12345
Exemple de routage statique :
Utiliser 10.0.0.0/16 pour la route statique pour une démonstration de faisabilité.
Exemple de routage basé sur des politiques :
Utilisez ??? pour une démonstration de faisabilité simple.
Si vous disposez déjà d'un réseau VCN, passez à la tâche suivante.
Conseil
Lorsque vous utilisez la console pour créer un VCN, vous ne pouvez créer que le VCN ou le VCN avec plusieurs ressources connexes. Cette tâche crée uniquement le réseau VCN. Les tâches suivantes créent les autres ressources requises.
Ouvrez le menu de navigation , sélectionnez Service de réseau, puis Réseaux en nuage virtuels.
Sous Portée de la liste, sélectionnez un compartiment que vous êtes autorisé à utiliser pour les mises à jour de page in.The afin d'afficher uniquement les ressources de ce compartiment. Si vous ne savez pas quel compartiment utiliser, communiquez avec un administrateur. Pour plus d'informations, voir Contrôle de l'accès.
Sélectionnez Créer un réseau en nuage virtuel.
Entrez les valeurs suivantes :
Créer dans le compartiment : Laissez tel quel.
Nom : nom descriptif du réseau en nuage. Il ne doit pas nécessairement être unique et ne peut pas être modifié ultérieurement dans la console (mais peut l'être avec l'API). Évitez d'entrer des informations confidentielles.
Activer l'affectation d'adresse IPv6 : Cette option est disponible uniquement si le VCN est activé pour IPv6. L'adressage IPv6 est pris en charge pour toutes les régions commerciales et gouvernementales. Pour plus d'informations, voir Adresses IPv6.
Vous pouvez entrer des valeurs pour les options restantes ou ignorer celles-ci :
Résolution DNS : Cette option est requise pour affecter des noms d'hôte DNS aux hôtes du VCN et requise si vous prévoyez d'utiliser la fonction DNS par défaut du VCN (appelée résolveur Internet et de VCN). Si vous sélectionnez cette option, vous pouvez spécifier une étiquette DNS pour le VCN ou laisser la console en générer une pour vous. La boîte de dialogue affiche automatiquement le nom de domaine DNS correspondant pour le VCN (<VCN_DNS_label>.oraclevcn.com. Pour plus d'informations, voir DNS dans le réseau en nuage virtuel.
Marqueurs : Si vous êtes autorisé à créer une ressource, vous disposez également des autorisations nécessaires pour appliquer des marqueurs à structure libre à cette ressource. Pour appliquer un marqueur défini, vous devez être autorisé à utiliser l'espace de noms de marqueur. Pour plus d'informations sur le marquage, voir Marqueurs de ressource. Si vous n'êtes pas sûr d'appliquer des marqueurs, ignorez cette option ou demandez à un administrateur. Vous pouvez appliquer des marqueurs plus tard.
Sélectionnez Créer un réseau en nuage virtuel.
Le réseau VCN est créé et affiché dans la page. Assurez-vous que le provisionnement est terminé avant de continuer.
Ouvrez le menu de navigation et sélectionnez Service de réseau. Sous Connectivité client, sélectionnez Passerelle de routage dynamique.
Sélectionnez Créer une passerelle de routage dynamique.
Entrez les valeurs suivantes :
Créer dans le compartiment : Laissez tel quel (le compartiment du réseau VCN).
Nom : Nom descriptif de la passerelle DRG. Il ne doit pas nécessairement être unique et ne peut pas être modifié ultérieurement dans la console (mais peut l'être avec l'API). Évitez d'entrer des informations confidentielles.
Marqueurs : Laissez tel quel. Vous pourrez ajouter des marqueurs ultérieurement si vous le souhaitez. Pour plus d'informations, voir Marqueurs de ressource.
Sélectionnez Créer une passerelle de routage dynamique.
La passerelle DRG est créée et affichée dans la page. Assurez-vous que le provisionnement est terminé avant de continuer.
Conseil
Vous pouvez également utiliser cette passerelle DRG comme passerelle pour Oracle Cloud Infrastructure FastConnect, autre moyen de connecter un réseau sur place à un réseau VCN.
Sélectionnez le nom de la passerelle DRG que vous avez créé.
Sous Ressources, sélectionnez Réseaux en nuage virtuels.
Sélectionnez Attacher au réseau en nuage virtuel.
Sélectionnez le réseau VCN. Ignorez la section des options avancées, qui est réservée à un scénario de routage avancé appelé routage de transit, qui n'est pas pertinent ici.
Sélectionnez Joindre.
L'attachement est à l'état Attachement pendant une courte période avant d'être prêt.
Bien que le VCN soit fourni avec une table de routage par défaut (sans règles), dans cette tâche, vous allez créer une table de routage personnalisée avec une règle de routage pour la passerelle DRG. Dans cet exemple, le réseau sur place est 10.0.0.0/16. Vous créez une règle de routage qui accepte tout le trafic destiné à 10.0.0.0/16 et qui l'achemine vers la passerelle DRG. Lorsque vous créerez un sous-réseau dans la tâche 2f, vous lui associerez cette table de routage personnalisée.
Conseil
Si vous disposez déjà d'un réseau VCN avec un sous-réseau, vous n'avez pas besoin de créer de table de routage ni de sous-réseau. Mettez plutôt à jour la table de routage du sous-réseau afin qu'elle inclue la règle de routage pour la passerelle DRG.
Légende 1 : Table de routage de VCN MyExampleRouteTable
CIDR de destination
Table de routage
10.0.0.0/16
DRG
Ouvrez le menu de navigation , sélectionnez Service de réseau, puis Réseaux en nuage virtuels.
Sélectionnez le réseau VCN.
Sélectionnez Tables de routage pour voir les tables de routage du VCN.
Sélectionnez Créer une table de routage.
Entrez les valeurs suivantes :
Nom : nom descriptif de la table de routage (par exemple, MyExampleRouteTable). Le nom ne doit pas nécessairement être unique et ne peut pas être modifié ultérieurement dans la console (mais peut l'être avec l'API). Évitez d'entrer des informations confidentielles.
Créer dans le compartiment : Laissez tel quel.
Sélectionnez + Règle de routage supplémentaire et entrez les données suivantes :
Type de cible : Passerelle de routage dynamique. La passerelle DRG attachée au réseau VCN est automatiquement sélectionnée en tant que cible et vous n'avez pas besoin de définir cette dernière.
Bloc CIDR de destination : CIDR du réseau sur place (10.0.0.0/16 dans cet exemple).
Description : Description facultative de la règle.
Marqueurs : Laissez les informations de marqueur telles quelles.
Sélectionnez Créer une table de routage.
La table de routage est créée et affichée sur la page. Cependant, elle ne sert à rien tant que vous ne l'avez pas associée à un sous-réseau lors de la création de ce dernier (voir tâche 2f).
Par défaut, le trafic entrant vers les instances d'un VCN est réglé à Refuser sur tous les ports et tous les protocoles. Dans cette tâche, vous configurez deux règles de trafic entrant et une règle de trafic sortant pour autoriser le trafic réseau requis de base. Un VCN est accompagné d'une liste de sécurité par défaut avec un jeu de règles par défaut. Toutefois, pour cette tâche, vous créez une liste de sécurité distincte contenant un jeu de règles plus restreint pour le trafic sur un réseau sur place. Lorsque vous créerez un sous-réseau dans la tâche 2f, vous lui associerez cette liste de sécurité.
Conseil
Les listes de sécurité sont un moyen de contrôler le trafic entrant et sortant des ressources du réseau VCN. Vous pouvez également utiliser des groupes de sécurité de réseau
Légende 1 : Table de routage de VCN MyExampleRouteTable
CIDR de destination
Table de routage
10.0.0.0/16
DRG
Légende 2 : Liste de sécurité MyExampleSecurityList
Trafic entrant/Trafic sortant
CIDR
Protocole : Port
Entrant
10.0.0.0/16
TCP : 22
Entrant
10.0.0.0/16
ICMP : Tous
Sortant
10.0.0.0/16
TCP : Tous
Important
Dans la procédure suivante, assurez-vous que le CIDR sur place que vous spécifiez dans les règles de liste de sécurité est identique au CIDR que vous avez spécifié dans la règle de routage de la tâche précédente, ou plus restreint. Sinon, le trafic est bloqué par les listes de sécurité.
Lorsque le VCN est toujours affiché, sélectionnez Listes de sécurité sur le côté gauche de la page.
Sélectionnez Créer une liste de sécurité.
Entrez les valeurs suivantes :
Nom : nom descriptif de la liste de sécurité. Le nom ne doit pas nécessairement être unique et ne peut pas être modifié ultérieurement dans la console (mais peut l'être avec l'API). Évitez d'entrer des informations confidentielles.
Créer dans le compartiment : Laissez tel quel.
Dans la section Autoriser les règles pour le trafic entrant, sélectionnez Ajouter une règle et entrez les valeurs suivantes pour cette règle, qui autorise le trafic SSH entrant sur le port TCP 22 à partir d'un réseau sur place :
Type de source : CIDR
CIDR source : CIDR d'un réseau sur place (10.0.0.0/16 dans cet exemple)
Protocole IP : TCP.
Intervalle de ports sources : Laissez tel quel (par défaut, Tout).
Intervalle de ports de destination : 22 (pour le trafic SSH).
Description : Description facultative de la règle.
Dans la section Autoriser les règles pour le trafic sortant, sélectionnez Ajouter une règle de trafic sortant et entrez les valeurs suivantes pour cette règle, qui autorise le trafic sortant TCP sur tous les ports TCP vers un réseau sur place :
Type de destination : CIDR
CIDR de destination : CIDR d'un réseau sur place (10.0.0.0/16 dans cet exemple).
Protocole IP : TCP.
Intervalle de ports sources : Laissez tel quel (par défaut, Tout).
Intervalle de ports de destination : Laissez tel quel (par défaut, Tout).
Description : Description facultative de la règle.
Laissez les informations de marqueur telles quelles.
Sélectionnez Créer une liste de sécurité.
La liste de sécurité est créée et affichée dans la page. Cependant, elle ne sert à rien tant que vous ne l'avez pas associée à un sous-réseau lors de la création de ce dernier (voir tâche 2f).
Dans cette tâche, vous créez un sous-réseau dans le VCN. En général, un sous-réseau comprend un bloc CIDR plus petit que celui du VCN. Toutes les instances que vous créez dans ce sous-réseau ont accès à un réseau sur place. Nous recommandons d'utiliser des sous-réseaux régionaux. Ici, vous créez un sous-réseau privé régional.
Légende 1 : Table de routage de VCN MyExampleRouteTable
CIDR de destination
Table de routage
10.0.0.0/16
DRG
Légende 2 : Liste de sécurité MyExampleSecurityList
Trafic entrant/Trafic sortant
CIDR
Protocole : Port
Entrant
10.0.0.0/16
TCP : 22
Entrant
10.0.0.0/16
ICMP : Tous
Sortant
10.0.0.0/16
TCP : Tous
Lorsque le VCN est toujours affiché, sélectionnez Sous-réseaux sur le côté gauche de la page.
Sélectionnez Créer un sous-réseau.
Entrez les valeurs suivantes :
Nom : nom descriptif du sous-réseau. Il ne doit pas nécessairement être unique et ne peut pas être modifié ultérieurement dans la console (mais peut l'être avec l'API). Évitez d'entrer des informations confidentielles.
Sous-réseau régional ou spécifique à un domaine de disponibilité : sélectionnez le bouton radio Régional. Nous recommandons d'utiliser des sous-réseaux régionaux.
Bloc CIDR : bloc CIDR contigu unique pour le sous-réseau (par exemple, 172.16.0.0/24). Il doit être compris dans le bloc CIDR du réseau en nuage, mais ses adresses ne doivent pas chevaucher celles des autres sous-réseaux. Vous ne pouvez pas modifier cette valeur ultérieurement. Voir Taille et intervalles d'adresses de réseau VCN autorisés. Pour référence, utilisez un calculateur CIDR.
Activer l'affectation d'adresse IPv6 : Cette option est disponible uniquement si le VCN est déjà activé pour IPv6. L'adressage IPv6 est pris en charge pour toutes les régions commerciales et gouvernementales. Pour plus d'informations, voir Adresses IPv6.
Table de routage : La table de routage que vous avez créée précédemment.
Sous-réseau privé : sélectionnez cette option. Pour plus d'informations, voir Accès à Internet.
Utiliser les noms d'hôte DNS dans ce sous-réseau : Laissez tel quel (sélectionné).
Options DHCP : jeu d'options DHCP à associer au sous-réseau. Sélectionnez le jeu d'options DHCP par défaut pour le VCN.
Listes de sécurité : La liste de sécurité que vous avez créée précédemment.
Marqueurs : Laissez tel quel. Vous pourrez ajouter des marqueurs ultérieurement si vous le souhaitez. Pour plus d'informations, voir Marqueurs de ressource.
Sélectionnez Créer un sous-réseau.
Le sous-réseau est créé et affiché dans la page. Le VCN de base de cet exemple est maintenant configuré et vous pouvez maintenant créer les composants restants pour le RPV site à site.
Dans cette tâche, vous créez l'objet CPE, représentation virtuelle d'un appareil CPE réel. L'objet CPE existe dans un compartiment d'une location. Lorsque vous configurez un RPV site à site, vous devez modifier la configuration de l'appareil en périphérie de réseau réel pour le réseau sur place afin qu'il correspond à la configuration de l'objet CPE.
Légende 1 : Table de routage de VCN MyExampleRouteTable
CIDR de destination
Table de routage
10.0.0.0/16
DRG
Légende 2 : Liste de sécurité MyExampleSecurityList
Trafic entrant/Trafic sortant
CIDR
Protocole : Port
Entrant
10.0.0.0/16
TCP : 22
Entrant
10.0.0.0/16
ICMP : Tous
Sortant
10.0.0.0/16
TCP : Tous
Ouvrez le menu de navigation et sélectionnez Service de réseau. Sous Connectivité client, sélectionnez Équipement local d'abonné.
Sélectionnez Créer un équipement local d'abonné.
Entrez les valeurs suivantes :
Nom : Nom descriptif de l'objet CPE. Il ne doit pas nécessairement être unique et ne peut pas être modifié ultérieurement dans la console (mais peut l'être avec l'API). Évitez d'entrer des informations confidentielles.
adresse IP : Adresse IP publique de l'appareil CPE/en périphérie réel à l'extrémité sur place du RPV (voir la liste d'informations à collecter dans Avant de commencer).
Activer IPSec sur FastConnect : (Facultatif) Cochez cette option uniquement lors de la configuration de la fonction IPSec sur FastConnect. Lorsque cette option est activée, l'étiquette du champ suivant passe à Adresse IP, car l'adresse IP utilisée comme identificateur IKE de l'équipement local d'abonné peut être publique ou privée. La sélection de cette option indique à Oracle que l'adresse IP de l'équipement local d'abonné n'est pas accessible sur Internet et est accessible uniquement à partir d'un appairage privé.
Adresse IP publique : Adresse IP publique de l'appareil CPE/en périphérie réel à l'extrémité sur place du RPV (voir la liste d'informations à collecter dans Avant de commencer).
Marqueurs : Laissez tel quel. Vous pourrez ajouter des marqueurs ultérieurement si vous le souhaitez. Pour plus d'informations, voir Marqueurs de ressource.
Oracle recommande d'utiliser des connexions IPSec basées sur une route BGP pour IPSec sur FastConnect.
Dans cet exemple, vous configurez les deux tunnels afin qu'ils utilisent le routage dynamique BGP.
Légende 1 : Table de routage de sous-réseau par défaut
CIDR de destination
Cible de routage
10.0.0.0/16
DRG
Légende 2 : Liste de sécurité
CIDR de destination
Autorisation
10.0.0.0/16
Autorisé
Légendes 3 à 6
Légende
Fonction
Adresse IP
3
Adresse IP publique du CPE
142.34.145.37
4a
BGP Tunnel 1 : Interface de tunnel interne
CPE - 10.0.0.16/31
Oracle - 10.0.0.17/31
4b
BGP Tunnel 2 : Interface de tunnel interne
CPE - 10.0.0.18/31
Oracle - 10.0.0.19/31
5
Tunnel 1 - Adresse IP du RPV d'Oracle :
129.213.240.50
6
Tunnel 2 - Adresse IP du RPV d'Oracle :
129.213.240.53
Ouvrez le menu de navigation et sélectionnez Service de réseau. Sous Connectivité client, sélectionnez RPV site-à-site.
Cliquez sur Créer une connexion IPSec.
Entrez les valeurs suivantes :
Nom : entrez un nom descriptif pour la connexion IPSec. Il ne doit pas nécessairement être unique et vous pouvez le modifier ultérieurement. Évitez d'entrer des informations confidentielles.
Créer dans le compartiment : Laissez tel quel (le compartiment du réseau VCN).
Équipement local d'abonné : sélectionnez l'objet CPE créé précédemment. Si vous configurez IPSec sur FastConnect, l'équipement local d'abonné que vous choisissez doit avoir une étiquette confirmant que IPSec sur FastConnect est activé pour cet équipement local d'abonné. Le routage BGP est préféré pour les connexions qui utilisent IPSec sur FastConnect. Si nécessaire, cochez la case pour indiquer que l'équipement local d'abonné est derrière un appareil NAT. Si la case est cochée, fournissez les informations suivantes :
Type d'identificateur CPE IKE : Sélectionnez le type d'identificateur utilisé par IKE (Internet Key Exchange) pour identifier l'appareil CPE. Un nom de domaine complet ou une adresse IPv4 peut être une identifier.Oracle par défaut utilisant l'adresse IP publique du CPE. Si votre équipement local d'abonné est derrière un appareil NAT, vous devrez peut-être entrer une valeur différente. Vous pouvez soit entrer la nouvelle valeur ici, soit modifier la valeur plus tard.
Identificateur IKE de l'équipement local d'abonné : entrez les informations utilisées par IKE pour identifier le CPE.
Compartiment de la passerelle de routage dynamique : Laissez tel quel (le compartiment du VCN).
Passerelle de routage dynamique : Sélectionnez la passerelle DRG que vous avez créée précédemment.
Routes vers votre réseau sur place : Laissez vide, car cette connexion IPSec utilise un routage dynamique BGP. Vous allez configurer dans les étapes subséquentes les deux tunnels afin qu'ils utilisent BGP.
Pour le tunnel 1 (obligatoire) :
Nom : entrez un nom descriptif pour le tunnel. Il ne doit pas nécessairement être unique et vous pouvez le modifier ultérieurement. Évitez d'entrer des informations confidentielles.
Indiquer une clé secrète partagée personnalisée (facultatif) : par défaut, Oracle fournit le secret partagé du tunnel. Si vous souhaitez le définir, sélectionnez cette case à cocher et entrez le secret partagé. Vous pouvez modifier le secret partagé plus tard.
Version du protocole IKE : version d'Internet Key Exchange (IKE) à utiliser pour ce tunnel. Sélectionnez IKEv2 seulement si votre équipement local d'abonné prend en charge ce type. Vous devez également configurer le CPE pour qu'il utilise uniquement IKEv2 pour ce tunnel.
Type d'acheminement : Sélectionnez Racheminement dynamique BGP.
Si votre équipement local d'abonné sélectionné prend en charge IPSec sur FastConnect, les paramètres suivants sont requis :
Adresse IP de tête de tunnel Oracle : Entrez l'adresse IP du point d'extrémité du tunnel Oracle IPSec (tête de réseau du RPV). Oracle utilisera l'adresse IP du RPV comme route d'hôte /32 au moyen de la session BGP FastConnect. S'il y a chevauchement d'adresses avec une route de VCN, cela aura priorité en raison de la correspondance de préfixe la plus longue.
Circuit virtuel associé : Sélectionnez un circuit virtuel qui a été activé pour IPSec sur FastConnect lors de sa création. Le tunnel sera mappé au circuit virtuel sélectionné et l'adresse IP de tête de réseau définie ne sera accessible que sur place au moyen du circuit virtuel associé.
Table de routage DRG : Sélectionnez ou créez une table de routage DRG. Pour éviter tout problème de routage récursif, l'attachement de circuit virtuel et l'attachement de tunnel IPSec utilisés pour IPsec sur FC doivent utiliser des tables de routage DRG différentes.
ASN BGP : entrez l'ASN de votre réseau.
IPv4 Interface de tunnel interne - CPE : Entrez l'adresse BGP IPv4 avec masque de sous-réseau (/30 ou/31) pour l'extrémité CPE du tunnel. Par exemple : 10.0.0.16/31. L'adresse IP doit faire partie du domaine de chiffrement du RPV site à site.
IPv4 Interface de tunnel interne - Oracle : Entrez l'adresse IPv4 BGP avec masque de sous-réseau (soit /30 ou /31) pour l'extrémité Oracle du tunnel. Par exemple : 10.0.0.17/31. L'adresse IP doit faire partie du domaine de chiffrement du RPV site à site.
Si vous prévoyez d'utiliser IPv6 et IPv4, cliquez sur Activer IPv6 et entrez les détails suivants :
IPv6 Interface de tunnel interne - CPE : Entrez l'adresse BGP IPv6 avec masque de sous-réseau (/126) pour l'extrémité CPE du tunnel. Par exemple : 2001:db2::6/126. L'adresse IP doit faire partie du domaine de chiffrement du RPV site à site.
IPv6 Interface de tunnel interne - Oracle : Entrez l'adresse IP BGP avec masque de sous-réseau (/126) pour l'extrémité Oracle du tunnel. Par exemple : 2001:db2::7/126. L'adresse IP doit faire partie du domaine de chiffrement du RPV site à site.
Si vous cliquez sur Show Advanced Options, vous pouvez modifier les paramètres suivants pour Tunnel 1 :
Lancement par Oracle : Ce paramètre indique si l'extrémité Oracle de la connexion IPSec peut lancer le démarrage du tunnel IPSec. La valeur par défaut est Initiateur ou répondant. Vous pouvez également choisir de définir l'extrémité Oracle comme répondant seulement, ce qui nécessiterait que l'appareil CPE lance le tunnel IPSec. Oracle recommande de laisser cette option au paramètre par défaut.
NAT-T activé : Ce paramètre indique si l'appareil CPE est derrière un appareil NAT. La valeur par défaut est automatique. Les autres options sont désactivé et activé. Oracle recommande de laisser cette option au paramètre par défaut.
Activer la temporisation de détection des pairs inactifs : Cliquez sur cette option pour vérifier périodiquement la stabilité de la connexion au CPE et détecter une panne de ce dernier. Si vous sélectionnez cette option, vous pouvez également choisir l'intervalle le plus long entre les messages d'état de l'appareil CPE avant que la connexion IPSec indique que le contact avec le CPE a été perdu. La valeur par défaut est 20 secondes. Oracle recommande de laisser cette option au paramètre par défaut.
Si vous développez la section Configuration de la phase 1 (ISAKMP) et cliquez sur Définir des options personnalisées, vous pouvez définir les paramètres facultatifs suivants (vous devez sélectionner une des options) :
Algorithmes de chiffrement personnalisés : Vous pouvez choisir parmi les options offertes dans le menu déroulant.
Algorithmes d'authentification personnalisés : Vous pouvez choisir parmi les options offertes dans le menu déroulant.
Groupes Diffie-Hellman : Vous pouvez choisir parmi les options offertes dans le menu déroulant.
Si la case Définir des configurations personnalisées n'est pas cochée, les paramètres par défaut sont proposés.
Durée de vie de la clé de session IKE en secondes : La valeur par défaut est 28800, ce qui équivaut à 8 heures.
Si vous développez les options de configuration de la phase 1 (IPSec) et cliquez sur Définir des options personnalisées, vous pouvez définir les paramètres facultatifs suivants pour Tunnel 1 (vous devez sélectionner un algorithme de chiffrement) :
Algorithmes de chiffrement personnalisés : Vous pouvez choisir parmi les options offertes dans le menu déroulant. Si vous sélectionnez un algorithme de chiffrement AES-CBC, vous devez également sélectionner un algorithme d'authentification.
Algorithmes d'authentification personnalisés : Vous pouvez choisir parmi les options offertes dans le menu déroulant. L'algorithme de chiffrement que vous avez choisi peut comporter une authentification intégrée, auquel cas il n'y a pas d'option sélectionnable.
Si la case Définir des configurations personnalisées n'est pas cochée, les paramètres par défaut sont proposés.
Pour toutes les options de la phase 2, si vous sélectionnez une seule option, celle-ci remplace le jeu par défaut et sera la seule option proposée au CPE.
IPSec Durée de vie de la clé de session en secondes : La valeur par défaut est 3600, ce qui équivaut à une heure.
Activer la confidentialité persistante : Par défaut, cette option est activée. Elle vous permet de choisir le groupe Diffie-Hellman de confidentialité persistante. Vous pouvez choisir parmi les options offertes dans le menu déroulant. Si vous ne faites pas de sélection, GROUP5 est proposé.
Dans l'onglet Tunnel 2, vous pouvez utiliser les mêmes options que celles décrites pour le tunnel 1. Vous pouvez également choisir d'autres options ou laisser le tunnel non configuré, car votre équipement local d'abonné ne prend en charge qu'un seul tunnel.
Vous pouvez cliquer Afficher les options de marquage pour ajouter des marqueurs pour la connexion IPSec immédiatement, ou les ajouter plus tard. Pour plus d'informations, voir Marqueurs de ressource.
Cliquez sur Créer une connexion IPSec.
La connexion IPSec est créée et affichée dans la page. Elle est à l'état Provisionnement pour une courte période.
Les informations sur le tunnel affiché sont les suivantes :
Adresse IPv4 ou IPv6 du RPV Oracle (pour la tête de réseau privé virtuel Oracle).
Statut IPSec du tunnel (valeurs possibles : Actif, Inactif et Arrêté pour maintenance). À ce stade, le statut est Inactif. L'ingénieur réseau doit configurer votre appareil CPE pour que le ou les tunnels puissent être établis.
Statut BGP du tunnel. À ce stade, le statut est Inactif. L'ingénieur réseau doit configurer votre appareil CPE.
Pour afficher le secret partagé du tunnel, cliquez sur le tunnel pour voir ses détails, puis cliquez sur Afficher à côté de Secret partagé.
Vous pouvez également cliquer sur l'onglet Détails de la phase pour voir les détails de la première phase (ISAKMP) et de la deuxième phase (IPSec) du tunnel.
Copiez l'adresse IP du RPV Oracle et la clé secrète partagée de chacun des tunnels dans un courriel ou ailleurs afin de les transmettre à l'ingénieur réseau qui configure votre appareil CPE.
Vous pouvez voir ces informations de tunnel ici dans la console, à tout moment.
Vous avez maintenant créé tous les composants requis pour le RPV site à site. Votre ingénieur réseau doit ensuite configurer votre appareil CPE pour que le trafic réseau puisse circuler entre votre réseau sur place et votre VCN.
Oracle recommande d'utiliser des connexions IPSec basées sur une route BGP pour IPSec sur FastConnect.
Légende 1 : Table de routage de VCN MyExampleRouteTable
CIDR de destination
Table de routage
10.0.0.0/16
DRG
Légende 2 : Liste de sécurité MyExampleSecurityList
Trafic entrant/Trafic sortant
CIDR
Protocole : Port
Entrant
10.0.0.0/16
TCP : 22
Entrant
10.0.0.0/16
ICMP : Tous
Sortant
10.0.0.0/16
TCP : Tous
Légende 3 : Détails de la connexion IPSec avec la route statique 10.0.0.0/16
Tunnel
Adresse IP côté Oracle
Adresse IP côté sur place
Tunnel 1
10.0.0.17/31
10.0.0.16/31
Tunnel 2
10.0.0.19/31
10.0.0.18/31
Ouvrez le menu de navigation et sélectionnez Service de réseau. Sous Connectivité client, sélectionnez RPV site-à-site.
Cliquez sur Créer une connexion IPSec.
Entrez les valeurs suivantes :
Créer dans le compartiment : Laissez tel quel (le compartiment du réseau VCN).
Nom : entrez un nom descriptif pour la connexion IPSec. Il ne doit pas nécessairement être unique et vous pouvez le modifier ultérieurement. Évitez d'entrer des informations confidentielles.
Compartiment de l'équipement local d'abonné : Laissez tel quel (le compartiment du VCN).
Équipement local d'abonné : sélectionnez l'objet CPE créé précédemment. Si vous configurez IPSec sur FastConnect, l'équipement local d'abonné que vous choisissez doit avoir une étiquette confirmant que IPSec sur FastConnect est activé pour cet équipement local d'abonné. IPSec sur FastConnect est disponible pour les connexions qui utilisent un routage statique, mais n'est pas recommandé.
Compartiment de la passerelle de routage dynamique : Laissez tel quel (le compartiment du VCN).
Passerelle de routage dynamique : Sélectionnez la passerelle DRG que vous avez créée précédemment.
CIDR de routage statique : entrez au moins un CIDR de routage statique (voir la liste des informations à collecter dans Avant de commencer). Dans cet exemple, entrez 10.0.0.0/16. Vous pouvez entrer jusqu'à 10 routes statiques et modifier les routes statiques ultérieurement.
Cliquez sur Afficher les options avancées.
Dans l'onglet Identificateur IKE de l'équipement local d'abonné (facultatif) : Oracle utilise par défaut l'adresse IP publique du CPE. Si votre équipement local d'abonné est derrière un appareil NAT, vous devrez peut-être entrer une valeur différente. Vous pouvez soit entrer la nouvelle valeur ici, soit modifier la valeur plus tard.
Dans l'onglet Tunnel 1 (facultatif) :
Nom du tunnel : entrez un nom descriptif pour le tunnel. Il ne doit pas nécessairement être unique et vous pouvez le modifier ultérieurement. Évitez d'entrer des informations confidentielles.
Indiquer une clé secrète partagée personnalisée (facultatif) : par défaut, Oracle fournit le secret partagé du tunnel. Si vous souhaitez le définir, sélectionnez cette case à cocher et entrez le secret partagé. Vous pouvez modifier le secret partagé plus tard.
Version du protocole IKE : version d'Internet Key Exchange (IKE) à utiliser pour ce tunnel. Sélectionnez IKEv2 seulement si votre équipement local d'abonné prend en charge ce type. Vous devez également configurer le CPE pour qu'il utilise uniquement IKEv2 pour ce tunnel.
Type d'acheminement : Laissez le bouton radio Routage statique sélectionné.
Interface de tunnel interne - CPE : Vous pouvez entrer une adresse IP avec masque de sous-réseau ( /30 ou /31) pour le côté CPE du tunnel aux fins de dépannage ou de surveillance du tunnel. Par exemple : 10.0.0.16/31. L'adresse IP doit faire partie du domaine de chiffrement du RPV site à site.
Interface de tunnel interne - CPE : Vous pouvez entrer une adresse IP avec masque de sous-réseau (/30 ou /31) pour l'extrémité Oracle du tunnel aux fins de dépannage ou de surveillance du tunnel. Par exemple : 10.0.0.17/31. L'adresse IP doit faire partie du domaine de chiffrement du RPV site à site.
Dans l'onglet Tunnel 2 (facultatif) :
Nom du tunnel : entrez un nom descriptif pour le tunnel. Il ne doit pas nécessairement être unique et vous pouvez le modifier ultérieurement. Évitez d'entrer des informations confidentielles.
Indiquer une clé secrète partagée personnalisée (facultatif) : par défaut, Oracle fournit le secret partagé du tunnel. Si vous souhaitez le définir, sélectionnez cette case à cocher et entrez le secret partagé. Vous pouvez modifier le secret partagé plus tard.
Version du protocole IKE : version d'Internet Key Exchange (IKE) à utiliser pour ce tunnel. Sélectionnez IKEv2 seulement si votre équipement local d'abonné prend en charge ce type. Vous devez également configurer le CPE pour qu'il utilise uniquement IKEv2 pour ce tunnel.
Type d'acheminement : Laissez le bouton radio Routage statique sélectionné.
Interface de tunnel interne - CPE : Vous pouvez entrer une adresse IP avec masque de sous-réseau ( /30 ou /31) pour le côté CPE du tunnel aux fins de dépannage ou de surveillance du tunnel. Utilisez une adresse IP différente de celle du tunnel 1. Par exemple: 10.0.0.18/31. L'adresse IP doit faire partie du domaine de chiffrement du RPV site à site.
Interface de tunnel interne - CPE : Vous pouvez entrer une adresse IP avec masque de sous-réseau (/30 ou /31) pour l'extrémité Oracle du tunnel aux fins de dépannage ou de surveillance du tunnel. Utilisez une adresse IP différente de celle du tunnel 1. Par exemple : 10.0.0.19/31. L'adresse IP doit faire partie du domaine de chiffrement du RPV site à site.
Marqueurs : Laissez tel quel. Vous pourrez ajouter des marqueurs ultérieurement si vous le souhaitez. Pour plus d'informations, voir Marqueurs de ressource.
Cliquez sur Créer une connexion IPSec.
La connexion IPSec est créée et affichée dans la page. Elle sera à l'état Provisionnement pendant une courte période.
Les informations sur le tunnel affiché sont les suivantes :
Adresse IP du RPV d'Oracle (pour la tête du réseau privé virtuel Oracle).
Statut IPSec du tunnel (valeurs possibles : Actif, Inactif et Arrêté pour maintenance). À ce stade, le statut est Inactif. L'ingénieur réseau doit encore configurer votre appareil CPE.
Pour afficher le secret partagé du tunnel, cliquez sur le tunnel pour voir ses détails, puis cliquez sur Afficher à côté de Secret partagé.
Copiez l'adresse IP du RPV Oracle et la clé secrète partagée de chacun des tunnels dans un courriel ou ailleurs afin de les transmettre à l'ingénieur réseau qui configurera l'appareil CPE.
Vous pouvez voir ces informations de tunnel ici dans la console, à tout moment.
Vous avez maintenant créé tous les composants requis pour le RPV site à site. Votre ingénieur réseau doit ensuite configurer l'appareil CPE pour que le trafic réseau puisse circuler entre votre réseau sur place et votre VCN.
Oracle recommande d'utiliser des connexions IPSec basées sur une route BGP pour IPSec sur FastConnect.
Note
L'option de routage basée sur des politiques n'est pas disponible dans tous les domaines de disponibilité et peut nécessiter la création d'un nouveau tunnel IPSec.
Ouvrez le menu de navigation et sélectionnez Service de réseau. Sous Connectivité client, sélectionnez RPV site-à-site.
Cliquez sur Créer une connexion IPSec.
Entrez les valeurs suivantes :
Créer dans le compartiment : Laissez tel quel (le compartiment du réseau VCN).
Nom : entrez un nom descriptif pour la connexion IPSec. Il ne doit pas nécessairement être unique et vous pouvez le modifier ultérieurement. Évitez d'entrer des informations confidentielles.
Compartiment de l'équipement local d'abonné : Laissez tel quel (le compartiment du VCN).
Équipement local d'abonné : sélectionnez l'objet CPE créé précédemment. Si vous configurez IPSec sur FastConnect, l'équipement local d'abonné que vous choisissez doit avoir une étiquette confirmant que IPSec sur FastConnect est activé pour cet équipement local d'abonné. IPSec sur FastConnect est disponible pour les connexions qui utilisent un routage basé sur une politique, mais n'est pas recommandé.
Compartiment de la passerelle de routage dynamique : Laissez tel quel (le compartiment du VCN).
Passerelle de routage dynamique : Sélectionnez la passerelle DRG que vous avez créée précédemment.
CIDR de routage statique : entrez au moins un CIDR de routage statique (voir la liste des informations à collecter dans Avant de commencer). Dans cet exemple, entrez 10.0.0.0/16. Vous pouvez entrer jusqu'à 10 routes statiques et modifier les routes statiques ultérieurement.
Cliquez sur Afficher les options avancées.
Dans l'onglet Identificateur IKE de l'équipement local d'abonné (facultatif) : Oracle utilise par défaut l'adresse IP publique du CPE. Si votre équipement local d'abonné est derrière un appareil NAT, vous devrez peut-être entrer une valeur différente. Vous pouvez soit entrer la nouvelle valeur ici, soit modifier la valeur plus tard.
Dans l'onglet Tunnel 1 (facultatif) :
Nom du tunnel : entrez un nom descriptif pour le tunnel. Il ne doit pas nécessairement être unique et vous pouvez le modifier ultérieurement. Évitez d'entrer des informations confidentielles.
Indiquer une clé secrète partagée personnalisée (facultatif) : par défaut, Oracle fournit le secret partagé du tunnel. Si vous souhaitez le définir, sélectionnez cette case à cocher et entrez le secret partagé. Vous pouvez modifier le secret partagé plus tard.
Version du protocole IKE : version d'Internet Key Exchange (IKE) à utiliser pour ce tunnel. Sélectionnez IKEv2 seulement si votre équipement local d'abonné prend en charge ce type. Vous devez également configurer le CPE pour qu'il utilise uniquement IKEv2 pour ce tunnel.
Type d'acheminement : Sélectionnez le bouton radio Routage basé sur des politiques.
Sur place : Vous pouvez fournir plusieurs blocs CIDR IPv4 CIDR ou de préfixe IPv6 utilisés par les ressources de votre réseau sur place, avec l'acheminement déterminé par les politiques d'équipement local d'exploitation.
Interface de tunnel interne - CPE : Vous pouvez entrer une adresse IP avec masque de sous-réseau ( /30 ou /31) pour le côté CPE du tunnel aux fins de dépannage ou de surveillance du tunnel. Par exemple : 10.0.0.16/31. L'adresse IP doit faire partie de l'un des domaines de chiffrement du RPV site à site.
Interface de tunnel interne - CPE : Vous pouvez entrer une adresse IP avec masque de sous-réseau (/30 ou /31) pour l'extrémité Oracle du tunnel aux fins de dépannage ou de surveillance du tunnel. Par exemple : 10.0.0.17/31. L'adresse IP doit faire partie de l'un des domaines de chiffrement du RPV site à site.
Dans l'onglet Tunnel 2 (facultatif) :
Nom du tunnel : entrez un nom descriptif pour le tunnel. Il ne doit pas nécessairement être unique et vous pouvez le modifier ultérieurement. Évitez d'entrer des informations confidentielles.
Indiquer une clé secrète partagée personnalisée (facultatif) : par défaut, Oracle fournit le secret partagé du tunnel. Si vous souhaitez le définir, sélectionnez cette case à cocher et entrez le secret partagé. Vous pouvez modifier le secret partagé plus tard.
Version du protocole IKE : version d'Internet Key Exchange (IKE) à utiliser pour ce tunnel. Sélectionnez IKEv2 seulement si votre équipement local d'abonné prend en charge ce type. Vous devez également configurer le CPE pour qu'il utilise uniquement IKEv2 pour ce tunnel.
Type d'acheminement : Sélectionnez le bouton radio Routage basé sur des politiques.
Sur place : Vous pouvez fournir plusieurs blocs CIDR IPv4 CIDR ou de préfixe IPv6 utilisés par les ressources de votre réseau sur place, avec l'acheminement déterminé par les politiques d'équipement local d'exploitation.
Interface de tunnel interne - CPE : Vous pouvez entrer une adresse IP avec masque de sous-réseau ( /30 ou /31) pour le côté CPE du tunnel aux fins de dépannage ou de surveillance du tunnel. Par exemple : 10.0.0.16/31. L'adresse IP doit faire partie de l'un des domaines de chiffrement du RPV site à site.
Interface de tunnel interne - CPE : Vous pouvez entrer une adresse IP avec masque de sous-réseau (/30 ou /31) pour l'extrémité Oracle du tunnel aux fins de dépannage ou de surveillance du tunnel. Par exemple : 10.0.0.17/31. L'adresse IP doit faire partie de l'un des domaines de chiffrement du RPV site à site.
Marqueurs : Laissez tel quel. Vous pourrez ajouter des marqueurs ultérieurement si vous le souhaitez. Pour plus d'informations, voir Marqueurs de ressource.
Cliquez sur Créer une connexion IPSec.
La connexion IPSec est créée et affichée dans la page. Elle sera à l'état Provisionnement pendant une courte période.
Les informations sur le tunnel affiché sont les suivantes :
Adresse IP du RPV d'Oracle (pour la tête du réseau privé virtuel Oracle).
Statut IPSec du tunnel (valeurs possibles : Actif, Inactif et Arrêté pour maintenance). À ce stade, le statut est Inactif. L'ingénieur réseau doit encore configurer votre appareil CPE.
Pour afficher le secret partagé du tunnel, cliquez sur le tunnel pour voir ses détails, puis cliquez sur Afficher à côté de Secret partagé.
Copiez l'adresse IP du RPV Oracle et la clé secrète partagée de chacun des tunnels dans un courriel ou ailleurs, puis transmettez-les à l'ingénieur réseau qui configure votre appareil CPE.
Vous pouvez voir ces informations de tunnel ici dans la console, à tout moment.
Vous avez maintenant créé tous les composants requis pour le RPV site à site. Votre ingénieur réseau doit ensuite configurer l'appareil CPE pour que le trafic réseau puisse circuler entre votre réseau sur place et votre VCN.
Utilisez l'application d'aide pour la configuration de l'équipement local d'abonné pour générer un contenu de configuration que l'ingénieur réseau pourra utiliser pour configurer le CPE.
Ce contenu inclut les éléments suivants :
Pour chaque tunnel IPSec, l'adresse IP RPV Oracle et le secret partagé.
N'oubliez pas de demander à l'ingénieur réseau de configurer un équipement local d'abonné afin qu'il prenne en charge les deux tunnels en cas de panne de l'un d'entre eux ou de sa mise hors service par Oracle pour maintenance. Si vous utilisez BGP, voir Routage pour RPV site à site.
Après que l'ingénieur réseau configure le périphérique CPE, vous pouvez confirmer que le statut IPSec du tunnel est Actif et vert. Ensuite, vous pouvez créer une instance Linux dans le sous-réseau d'un VCN. Utilisez ensuite SSH pour vous connecter à l'adresse IP privée de l'instance à partir d'un hôte dans le réseau sur place. Pour plus d'informations, voir Création d'une instance.
Exemple de disposition avec plusieurs zones géographiques 🔗
Le diagramme suivant présente un autre exemple avec la configuration suivante :
Deux réseaux dans des zones géographiques distinctes qui se connectent à un VCN
Un seul appareil CPE dans chaque zone
Deux RPV IPSec (un pour chaque appareil CPE)
Notez que deux routes sont associées à chaque RPV site à site : une pour le sous-réseau de la zone géographique particulière et une route 0.0.0.0/0 par défaut. Oracle apprend quelles sont les routes disponibles pour chaque tunnel, soit par BGP (si les tunnels utilisent BGP), ou parce que vous les définissez comme routes statiques pour la connexion IPSec (si les tunnels utilisent un routage statique).
Légende 1 : Table de routage du RPV site à site 1
CIDR de destination
Cible de routage
10.20.0.0/16
DRG
0.0.0.0/0
DRG
Légende 2 : Table de routage du RPV site à site 2
CIDR de destination
Cible de routage
10.40.0.0/16
DRG
0.0.0.0/0
DRG
Exemples de situations dans lesquelles la route 0.0.0.0/0 permet une certaine flexibilité :
Supposons que l'appareil CPE 1 soit arrêté (voir le diagramme suivant). Si les sous-réseaux 1 et 2 peuvent communiquer les uns avec les autres, le VCN peut toujours accéder aux systèmes du sous-réseau 1 grâce à la route 0.0.0.0/0 qui va vers le CPE 2.
Si une organisation ajoute une nouvelle zone géographique avec un sous-réseau 3 et la connecte initialement au sous-réseau 2 (voir le diagramme suivant). Si vous avez ajouté une règle de routage à la table de routage du VCN pour le sous-réseau 3, le VCN peut accéder aux systèmes du sous-réseau 3 à cause de la route 0.0.0.0/0 qui va vers le CPE 2.
Légende 1 : Table de routage de VCN
CIDR de destination
Cible de routage
10.20.0.0/16
DRG
10.40.0.0/16
DRG
10.60.0.0/16
DRG
Exemple de disposition avec PAT 🔗
Le diagramme suivant présente un exemple de cette configuration :
Deux réseaux dans des zones géographiques distinctes qui se connectent à un VCN
Appareils CPE redondants (deux dans chaque zone géographique)
Quatre RPV IPSec (un pour chaque appareil CPE)
Traduction d'adresses de port (PAT) pour chaque appareil CPE
Pour chacune des quatre connexions, Oracle doit connaître l'adresse IP PAT de l'appareil CPE spécifique. Oracle apprend la route d'adresses IP PAT pour chaque tunnel par BGP (si les tunnels utilisent BGP) ou parce que vous définissez l'adresse pertinente comme route statique pour la connexion IPSec (si les tunnels utilisent le routage statique).
Lorsque vous configurez les règles de routage pour le VCN, vous spécifiez une règle pour chaque adresse IP PAT (ou un CIDR agrégé qui les couvre toutes) avec la passerelle DRG comme cible de la règle.