Configuration du RPV site à site

Cette rubrique fournit des instructions sur la construction d'une connexion IPSec RPV site à site à partir d'un réseau sur place vers votre VCN. Pour des informations générales sur l'utilisation du RPV site à site, voir Aperçu du RPV site à site.

Avant de commencer

Pour vous préparer, effectuez d'abord les opérations suivantes :

Conseil

Si un de vos RPV site à site utilise un routage statique, vous pouvez modifier les tunnels afin qu'ils utilisent plutôt un routage dynamique BGP.

Les intervalles d'adresses IP locales de lien suivants ne sont pas valides pour une utilisation avec les interfaces de tunnel interne de RPV site à site :

  • 169.254.10.0-169.254.19.255
  • 169.254.100.0-169.254.109.255
  • 169.254.192.0-169.254.201.255

Processus global

Voici le processus global de configuration du RPV site à site :

  1. Effectuez les tâches figurant dans la liste Avant de commencer.
  2. Configurez les composants du RPV site à site (instructions dans Exemple : Configuration du RPV site à site pour une démonstration de faisabilité) :
    1. Créez votre réseau VCN.
    2. Créez une passerelle DRG.
    3. Attachez la passerelle DRG à votre réseau VCN.
    4. Créez une table et une règle de routage pour la passerelle DRG.
    5. Créez une liste de sécurité et les règles requises.
    6. Créez un sous-réseau dans le VCN.
    7. Créez un objet CPE et indiquez son adresse IP publique.
    8. Créez une connexion IPSec à l'objet CPE et fournissez les informations de routage requises.
  3. Utilisez l'application d'aide pour la configuration de l'équipement local d'abonné : Votre ingénieur réseau doit configurer votre CPE à l'aide des informations fournies par Oracle dans les étapes précédentes. L'application d'aide pour la configuration de l'équipement local d'abonné génère les informations destinées à votre ingénieur réseau. Pour plus d'informations, voir Utilisation de l'application d'aide pour la configuration de l'équipement local d'abonné et Configuration de l'équipement local d'abonné.
  4. Demandez à votre ingénieur réseau de configurer votre équipement local d'abonné.
  5. Validez la connectivité.

Si vous prévoyez configurer des connexions redondantes, consultez le guide sur la redondance de connectivité (PDF).

Exemple : Configuration du RPV site à site pour une démonstration de faisabilité

Conseil

Oracle propose un flux de travail de démarrage rapide pour faciliter la configuration du RPV site à site. Pour plus d'informations, voir Démarrage rapide du RPV site à site.

Cet exemple de scénario montre comment configurer un seul RPV site à site avec une disposition simple que vous pouvez utiliser pour une démonstration de faisabilité. Il suit les tâches 1 et 2 du processus global et décrit la création de chaque composant de la disposition. Pour des dispositions plus complexes, voir Exemple de disposition avec plusieurs zones géographiques ou Exemple de disposition avec PAT.

Tâche 1 : Collecter les informations
Question Réponse
Quel est le CIDR de votre réseau VCN? 172.16.0.0/16

Quelle est l'adresse IP publique de votre appareil CPE? Si vous disposez de plusieurs appareils aux fins de redondance, obtenez l'adresse IP de chacun.

Note : Si votre équipement local d'abonné se trouve derrière un appareil NAT, voir Aperçu des composants de RPV site à site et Exigences et préalables.

142.34.145.37
Allez-vous effectuer une traduction d'adresses de port (PAT) entre chaque appareil CPE et votre réseau VCN? Non

Quel type de routage voulez-vous utiliser? Il existe trois choix mutuellement exclusifs :

Si vous envisagez de vous servir du routage dynamique BGP, répertoriez les adresses IP de la session BGP à utiliser et le numéro ASN de votre réseau.

Si vous souhaitez utiliser un routage statique, répertoriez les routes statiques de votre réseau sur place. Voir Routage pour RPV site à site.

Si vous prévoyez d'utiliser un routage basé sur des politiques ou si vous avez besoin de plusieurs domaines de chiffrement, répertoriez les blocs CIDR IPv4 ou de préfixe IPv6 utilisés à chaque extrémité de la connexion. Voir Domaines de chiffrement pour les tunnels basés sur des politiques

Exemple de routage dynamique BGP :

Tunnel 1 :

  • Interface de tunnel interne - CPE : 10.0.0.16/31
  • Interface de tunnel interne - Oracle : 10.0.0.17/31

Tunnel 2 :

  • Interface de tunnel interne - CPE : 10.0.0.18/31
  • Interface de tunnel interne - Oracle : 10.0.0.19/31

ASN de réseau : 12345

Exemple de routage statique :

Utiliser 10.0.0.0/16 pour la route statique pour une simple démonstration de faisabilité.

Exemple de routage basé sur des politiques :

Utilisez ??? pour une démonstration de faisabilité simple.

Voulez-vous définir la clé secrète partagée de chaque tunnel ou laisser Oracle l'affecter? Voir Aperçu des composants de RPV site à site. Laisser Oracle effectuer l'affectation.

Voici un exemple de diagramme pour la tâche 1 avec le routage dynamique BGP :

Cette image présente une disposition RPV de base utilisant le routage dynamique BGP.
Légende 1 : Table de routage de sous-réseau par défaut
CIDR de destination Cible de routage
10.0.0.0/16 DRG
Légende 2 : Liste de sécurité
CIDR de destination Autorisation
10.0.0.0/16 Autorisé
Légendes 3 à 6
Légende Fonction Adresse IP
3 Adresse IP publique du CPE 142.34.145.37
4a BGP Tunnel 1 : Interface de tunnel interne

CPE - 10.0.0.16/31

Oracle - 10.0.0.17/31

4b BGP Tunnel 2 : Interface de tunnel interne

CPE - 10.0.0.18/31

Oracle - 10.0.0.19/31

5

Tunnel 1 - Adresse IP du RPV d'Oracle :

129.213.240.50
6

Tunnel 2 - Adresse IP du RPV d'Oracle :

129.213.240.53

Voici un exemple de diagramme pour la tâche 1 avec le routage statique :

Cette image présente une disposition RPV de base utilisant le routage statique.
Légende 1 : Table de routage de sous-réseau par défaut
CIDR de destination Cible de routage
10.0.0.0/16 DRG
Légende 2 : Liste de sécurité
CIDR de destination Autorisation
10.0.0.0/16 Autorisé
Légendes 3 à 6
Légende Fonction Adresse IP
3 Adresse IP publique du CPE 142.34.145.37
4 Route statique pour la connexion IPSec 10.0.0.0/16
5

Tunnel 1 - Adresse IP du RPV d'Oracle :

129.213.240.50
6

Tunnel 2 - Adresse IP du RPV d'Oracle :

129.213.240.53
Tâche 2a : Créer le réseau VCN

Si vous disposez déjà d'un réseau VCN, passez à la tâche suivante.

Conseil

Lorsque vous utilisez la console, vous pouvez créer le réseau VCN seul ou avec plusieurs ressources connexes. Cette tâche permet uniquement de créer le réseau VCN. Les tâches suivantes décrivent comment créer les autres ressources requises.
Cette image présente la création du réseau VCN
  1. Ouvrez le menu de navigation, cliquez sur Réseau, puis sur Réseaux en nuage virtuels.
  2. Sous Portée de la liste, sélectionnez un compartiment que vous êtes autorisé à utiliser pour les mises à jour de page in.The afin d'afficher uniquement les ressources de ce compartiment. Si vous ne savez pas quel compartiment utiliser, communiquez avec un administrateur. Pour plus d'informations, voir Contrôle de l'accès.
  3. Cliquez sur Créer un réseau en nuage virtuel.
  4. Entrez les valeurs suivantes :

    • Créer dans le compartiment : Laissez tel quel.
    • Nom : nom descriptif du réseau en nuage. Il ne doit pas nécessairement être unique et ne peut pas être modifié ultérieurement dans la console (mais peut l'être avec l'API). Évitez d'entrer des informations confidentielles.
    • Bloc CIDR : bloc contigu unique pour le réseau en nuage (par exemple, 172.16.0.0/16). Vous ne pouvez pas modifier cette valeur ultérieurement. Voir Taille et intervalles d'adresses de réseau VCN autorisés. Pour référence, utilisez un calculateur CIDR.
    • Activer l'affectation d'adresse IPv6 : Cette option est disponible uniquement si le VCN est activé pour IPv6. L'adressage IPv6 est pris en charge pour toutes les régions commerciales et gouvernementales. Pour plus d'informations, voir Adresses IPv6.
  5. Vous pouvez entrer des valeurs pour les options restantes ou ignorer celles-ci :

    • Résolution DNS : Cette option est requise pour affecter des noms d'hôte DNS aux hôtes du VCN et requise si vous prévoyez d'utiliser la fonction DNS par défaut du VCN (appelée résolveur Internet et de VCN). Si vous sélectionnez cette option, vous pouvez spécifier une étiquette DNS pour le VCN ou vous pouvez autoriser la console à en générer une pour vous. The dialog box automatically displays the corresponding DNS Domain Name for the VCN (<VCN_DNS_label>.oraclevcn.com). Pour plus d'informations, voir DNS dans le réseau en nuage virtuel.
    • Marqueurs : Si vous êtes autorisé à créer une ressource, vous disposez également des autorisations nécessaires pour appliquer des marqueurs à structure libre à cette ressource. Pour appliquer un marqueur défini, vous devez être autorisé à utiliser l'espace de noms de marqueur. Pour plus d'informations sur le marquage, voir Marqueurs de ressource. Si vous n'êtes pas sûr d'appliquer des marqueurs, ignorez cette option ou demandez à un administrateur. Vous pouvez appliquer des marqueurs plus tard.
  6. Cliquez sur Créer un réseau en nuage virtuel.

Le réseau VCN est créé et affiché dans la page. Assurez-vous que le provisionnement est terminé avant de continuer.

Tâche 2b : Créer la passerelle DRG
Cette image présente la création de la passerelle DRG
  1. Ouvrez le menu de navigation et cliquez sur Réseau. Sous Connectivité client, cliquez sur Passerelle de routage dynamique.
  2. Cliquez sur Créer une passerelle de routage dynamique.
  3. Entrez les valeurs suivantes :
    • Créer dans le compartiment : Laissez tel quel (le compartiment du réseau VCN).
    • Nom : Nom descriptif de la passerelle DRG. Il ne doit pas nécessairement être unique et ne peut pas être modifié ultérieurement dans la console (mais peut l'être avec l'API). Évitez d'entrer des informations confidentielles.
    • Marqueurs : Laissez tel quel. Vous pourrez ajouter des marqueurs ultérieurement si vous le souhaitez. Pour plus d'informations, voir Marqueurs de ressource.
  4. Cliquez sur Créer une passerelle de routage dynamique.

La passerelle DRG est créée et affichée dans la page. Assurez-vous que le provisionnement est terminé avant de continuer.

Conseil

Vous pouvez également utiliser cette passerelle DRG comme passerelle de Oracle Cloud Infrastructure FastConnect, autre moyen de connecter le réseau sur place à votre réseau VCN.
Tâche 2c : Associer la passerelle DRG au réseau VCN
Cette image présente l'association de la passerelle DRG au réseau VCN
  1. Cliquez sur le nom de la passerelle DRG que vous avez créé.
  2. Sous Ressources, cliquez sur Réseaux en nuage virtuels.
  3. Cliquez sur Attacher au réseau en nuage virtuel.
  4. Sélectionnez le réseau VCN. Ignorez la section des options avancées, qui est réservée à un scénario de routage avancé appelé routage de transit, qui n'est pas pertinent ici.
  5. Cliquez sur Attacher.

L'attachement est à l'état Attachement pendant une courte période avant d'être prêt.

Tâche 2d : Créer une table et une règle de routage pour la passerelle DRG

Bien que le VCN soit fourni avec une table de routage par défaut (sans règles), dans cette tâche, vous allez créer une table de routage personnalisée avec une règle de routage pour la passerelle DRG. Dans cet exemple, votre réseau sur place est 10.0.0.0/16. Vous créez une règle de routage qui accepte tout le trafic destiné à 10.0.0.0/16 et qui l'achemine vers la passerelle DRG. Lorsque vous créerez un sous-réseau dans la tâche 2f, vous lui associerez cette table de routage personnalisée.

Conseil

Si vous disposez déjà d'un réseau VCN avec un sous-réseau, vous n'avez pas besoin de créer de table de routage ni de sous-réseau. Mettez plutôt à jour la table de routage du sous-réseau afin qu'elle inclue la règle de routage pour la passerelle DRG.
Cette image présente la création de la table et de la règle de routage pour la passerelle DRG
Légende 1 : Table de routage de VCN MyExampleRouteTable
CIDR de destination Table de routage
10.0.0.0/16 DRG
  1. Ouvrez le menu de navigation, cliquez sur Réseau, puis sur Réseaux en nuage virtuels.
  2. Cliquez sur votre VCN.
  3. Cliquez sur Tables de routage pour voir les tables de routage de votre réseau.
  4. Cliquez sur Créer une table de routage.
  5. Entrez les valeurs suivantes :

    • Nom : nom descriptif de la table de routage (par exemple, MyExampleRouteTable). Le nom ne doit pas nécessairement être unique et ne peut pas être modifié ultérieurement dans la console (mais peut l'être avec l'API). Évitez d'entrer des informations confidentielles.
    • Créer dans le compartiment : Laissez tel quel.
    • Cliquez sur + Règle de routage supplémentaire et entrez les données suivantes :

      • Type de cible : Passerelle de routage dynamique. La passerelle DRG attachée au réseau VCN est automatiquement sélectionnée en tant que cible et vous n'avez pas besoin de définir cette dernière.
      • Bloc CIDR de destination : CIDR de votre réseau sur place (10.0.0.0/16 dans cet exemple).
      • Description : Description facultative de la règle.
    • Marqueurs : Laissez les informations de marqueur telles quelles.
  6. Cliquez sur Créer une table de routage.

La table de routage est créée et affichée sur la page. Cependant, elle ne sert à rien tant que vous ne l'avez pas associée à un sous-réseau lors de la création de ce dernier (voir tâche 2f).

Tâche 2e : Créer une liste de sécurité

Par défaut, le trafic entrant vers les instances de votre VCN est réglé à REFUSER sur tous les ports et tous les protocoles. Dans cette tâche, vous configurez deux règles de trafic entrant et une règle de trafic sortant pour autoriser le trafic réseau requis de base. Votre VCN est accompagné d'une liste de sécurité par défaut avec un jeu de règles par défaut. Toutefois, pour cette tâche, vous créez une liste de sécurité distincte contenant un jeu de règles plus restreint pour le trafic sur votre réseau sur place. Lorsque vous créerez un sous-réseau dans la tâche 2f, vous lui associerez cette liste de sécurité.

Conseil

Les listes de sécurité sont un moyen de contrôler le trafic entrant et sortant des ressources du réseau VCN. Vous pouvez également utiliser des groupes de sécurité de réseau, qui vous permettent d'appliquer un jeu de règles de sécurité à un ensemble de ressources dont la situation en matière de sécurité est identique.
Cette image présente la création de la liste de sécurité
Légende 1 : Table de routage de VCN MyExampleRouteTable
CIDR de destination Table de routage
10.0.0.0/16 DRG
Légende 2 : Liste de sécurité MyExampleSecurityList
Trafic entrant/Trafic sortant CIDR Protocole : Port
Entrant 10.0.0.0/16 TCP : 22
Entrant 10.0.0.0/16 ICMP : Tous
Sortant 10.0.0.0/16 TCP : Tous
Important

Dans la procédure suivante, assurez-vous que le CIDR sur place que vous spécifiez dans les règles de liste de sécurité est identique au CIDR que vous avez spécifié dans la règle de routage de la tâche précédente, ou plus restreint. Sinon, le trafic sera bloqué par les listes de sécurité.
  1. Alors que votre VCN est toujours affiché, cliquez sur Listes de sécurité sur le côté gauche de la page.
  2. Cliquez sur Créer une liste de sécurité.
  3. Entrez les valeurs suivantes :

    • Nom : nom descriptif de la liste de sécurité. Le nom ne doit pas nécessairement être unique et ne peut pas être modifié ultérieurement dans la console (mais peut l'être avec l'API). Évitez d'entrer des informations confidentielles.
    • Créer dans le compartiment : Laissez tel quel.
  4. Dans la section Autoriser les règles pour le trafic entrant, cliquez sur Ajouter une règle de trafic entrant et entrez les valeurs suivantes pour cette règle, qui autorise le trafic SSH entrant sur le port TCP 22 à partir de votre réseau sur place :

    • Type de source : CIDR
    • CIDR source : CIDR de votre réseau sur place (10.0.0.0/16 dans cet exemple)
    • Protocole IP : TCP.
    • Intervalle de ports sources : Laissez tel quel (par défaut, Tout).
    • Intervalle de ports de destination : 22 (pour le trafic SSH).
    • Description : Description facultative de la règle.
  5. Dans la section Autoriser les règles pour le trafic sortant, cliquez sur Ajouter une règle de trafic sortant et entrez les valeurs suivantes pour cette règle, qui autorise le trafic SSH sortant sur tous les ports TCP vers votre réseau sur place :

    • Type de destination : CIDR
    • CIDR de destination : CIDR de votre réseau sur place (10.0.0.0/16 dans cet exemple).
    • Protocole IP : TCP.
    • Intervalle de ports sources : Laissez tel quel (par défaut, Tout).
    • Intervalle de ports de destination : Laissez tel quel (par défaut, Tout).
    • Description : Description facultative de la règle.
  6. Laissez les informations de marqueur telles quelles.
  7. Cliquez sur Créer une liste de sécurité.

La liste de sécurité est créée et affichée dans la page. Cependant, elle ne sert à rien tant que vous ne l'avez pas associée à un sous-réseau lors de la création de ce dernier (voir tâche 2f).

Tâche 2f : Créer un sous-réseau

Dans cette tâche, vous créez un sous-réseau dans le VCN. En général, un sous-réseau comprend un bloc CIDR plus petit que celui du VCN. Toutes les instances que vous créez dans ce sous-réseau ont accès à votre réseau sur place. Oracle recommande l'utilisation de sous-réseaux régionaux. Ici, vous créez un sous-réseau privé régional.

Cette image présente la création du sous-réseau
Légende 1 : Table de routage de VCN MyExampleRouteTable
CIDR de destination Table de routage
10.0.0.0/16 DRG
Légende 2 : Liste de sécurité MyExampleSecurityList
Trafic entrant/Trafic sortant CIDR Protocole : Port
Entrant 10.0.0.0/16 TCP : 22
Entrant 10.0.0.0/16 ICMP : Tous
Sortant 10.0.0.0/16 TCP : Tous
  1. Alors que votre VCN est toujours affiché, cliquez sur Sous-réseaux sur le côté gauche de la page.
  2. Cliquez sur Créer un sous-réseau.
  3. Entrez les valeurs suivantes :

    • Nom : nom descriptif du sous-réseau. Il ne doit pas nécessairement être unique et ne peut pas être modifié ultérieurement dans la console (mais peut l'être avec l'API). Évitez d'entrer des informations confidentielles.
    • Sous-réseau régional ou spécifique à un domaine de disponibilité : sélectionnez le bouton radio Régional. Oracle recommande l'utilisation de sous-réseaux régionaux.
    • Bloc CIDR : bloc CIDR contigu unique pour le sous-réseau (par exemple, 172.16.0.0/24). Il doit être compris dans le bloc CIDR du réseau en nuage, mais ses adresses ne doivent pas chevaucher celles des autres sous-réseaux. Vous ne pouvez pas modifier cette valeur ultérieurement. Voir Taille et intervalles d'adresses de réseau VCN autorisés. Pour référence, utilisez un calculateur CIDR.
    • Activer l'affectation d'adresse IPv6 : Cette option est disponible uniquement si le VCN est déjà activé pour IPv6. L'adressage IPv6 est pris en charge pour toutes les régions commerciales et gouvernementales. Pour plus d'informations, voir Adresses IPv6.
    • Table de routage : la table de routage que vous avez créée précédemment.
    • Sous-réseau privé : sélectionnez cette option. Pour plus d'informations, voir Accès à Internet.
    • Utiliser les noms d'hôte DNS dans ce sous-réseau : Laissez tel quel (sélectionné).
    • Options DHCP : jeu d'options DHCP à associer au sous-réseau. Sélectionnez le jeu d'options DHCP par défaut pour le VCN.
    • Listes de sécurité : la liste de sécurité que vous avez créée précédemment.
    • Marqueurs : Laissez tel quel. Vous pourrez ajouter des marqueurs ultérieurement si vous le souhaitez. Pour plus d'informations, voir Marqueurs de ressource.
  4. Cliquez sur Créer un sous-réseau.

Le sous-réseau est créé et affiché dans la page. Le VCN de base de cet exemple est maintenant configuré et vous pouvez à présent créer les composants restants pour le RPV site à site.

Tâche 2g : Créer un objet CPE et fournir l'adresse IP publique de votre appareil CPE

Dans cette tâche, vous créez l'objet CPE, représentation virtuelle de votre équipement CPE. Cet objet se trouve dans un compartiment de votre location. Lorsque vous configurez un RPV site à site, vous devez modifier la configuration de l'appareil en périphérie de réseau réel pour votre réseau afin qu'il corresponde à la configuration de l'objet CPE.

Cette image montre la création de l'objet CPE
Légende 1 : Table de routage de VCN MyExampleRouteTable
CIDR de destination Table de routage
10.0.0.0/16 DRG
Légende 2 : Liste de sécurité MyExampleSecurityList
Trafic entrant/Trafic sortant CIDR Protocole : Port
Entrant 10.0.0.0/16 TCP : 22
Entrant 10.0.0.0/16 ICMP : Tous
Sortant 10.0.0.0/16 TCP : Tous
  1. Ouvrez le menu de navigation et cliquez sur Réseau. Sous Connectivité client, cliquez sur Appareil client.
  2. Cliquez sur Créer un équipement local d'abonné.
  3. Entrez les valeurs suivantes :

    • Nom : nom descriptif de l'objet CPE. Il ne doit pas nécessairement être unique et ne peut pas être modifié ultérieurement dans la console (mais peut l'être avec l'API). Évitez d'entrer des informations confidentielles.
    • Adresse IP : Adresse IP publique de l'appareil CPE/en périphérie réel à votre extrémité du réseau privé virtuel (voir la liste d'informations à collecter dans Avant de commencer).
    • Activer IPSec sur FastConnect : (Facultatif) Cochez cette option uniquement lors de la configuration de la fonction IPSec sur FastConnect. Lorsque cette option est activée, l'étiquette du champ suivant passe à Adresse IP, car l'adresse IP utilisée comme identificateur IKE de l'équipement local d'abonné peut être publique ou privée. La sélection de cette option indique à Oracle que l'adresse IP de l'équipement local d'abonné ne sera pas accessible sur Internet et ne sera accessible que par un appairage privé.
    • Adresse IP publique : Adresse IP publique de l'appareil CPE/en périphérie réel à votre extrémité du RPV (voir la liste d'informations à collecter dans Avant de commencer).
    • Marqueurs : Laissez tel quel. Vous pourrez ajouter des marqueurs ultérieurement si vous le souhaitez. Pour plus d'informations, voir Marqueurs de ressource.
  4. Cliquez sur Créer un CPE.

L'objet CPE est créé et affiché dans la page.

Tâche 2h : Créer une connexion IPSec vers l'objet CPE

Dans cette tâche, vous créez les tunnels IPSec et configurez pour eux le type de routage (routage dynamique BGP ou routage statique).

Conseil

Si un de vos RPV site à site utilise un routage statique, vous pouvez modifier les tunnels afin qu'ils utilisent plutôt un routage dynamique BGP.
Pour le routage dynamique BGP
Note

Oracle recommande d'utiliser des connexions IPSec basées sur une route BGP pour IPSec sur FastConnect.

Dans cet exemple, vous configurez les deux tunnels afin qu'ils utilisent le routage dynamique BGP.

Cette image présente une disposition RPV de base utilisant le routage dynamique BGP.
Légende 1 : Table de routage de sous-réseau par défaut
CIDR de destination Cible de routage
10.0.0.0/16 DRG
Légende 2 : Liste de sécurité
CIDR de destination Autorisation
10.0.0.0/16 Autorisé
Légendes 3 à 6
Légende Fonction Adresse IP
3 Adresse IP publique du CPE 142.34.145.37
4a BGP Tunnel 1 : Interface de tunnel interne

CPE - 10.0.0.16/31

Oracle - 10.0.0.17/31

4b BGP Tunnel 2 : Interface de tunnel interne

CPE - 10.0.0.18/31

Oracle - 10.0.0.19/31

5

Tunnel 1 - Adresse IP du RPV d'Oracle :

129.213.240.50
6

Tunnel 2 - Adresse IP du RPV d'Oracle :

129.213.240.53
  1. Ouvrez le menu de navigation et cliquez sur Réseau. Sous Connectivité client, cliquez sur RPV site-à-site.
  2. Cliquez sur Créer une connexion IPSec.
  3. Entrez les valeurs suivantes :

    • Nom : entrez un nom descriptif pour la connexion IPSec. Il ne doit pas nécessairement être unique et vous pouvez le modifier ultérieurement. Évitez d'entrer des informations confidentielles.
    • Créer dans le compartiment : Laissez tel quel (le compartiment du réseau VCN).
    • Équipement local d'abonné : sélectionnez l'objet CPE créé précédemment. Si vous configurez IPSec sur FastConnect, l'équipement local d'abonné que vous choisissez doit avoir une étiquette confirmant que IPSec sur FastConnect est activé pour cet équipement local d'abonné. Le routage BGP est préféré pour les connexions qui utilisent IPSec sur FastConnect. Si nécessaire, cochez la case pour indiquer que l'équipement local d'abonné est derrière un appareil NAT. Si la case est cochée, fournissez les informations suivantes :
      • Type d'identificateur IKE de l'équipement local d'abonné : Sélectionnez le type d'identificateur utilisé par IKE (Internet Key Exchange) pour identifier l'appareil CPE. Un nom de domaine complet ou une adresse IPv4 peut être une identifier.Oracle par défaut utilisant l'adresse IP publique du CPE. Si votre équipement local d'abonné est derrière un appareil NAT, vous devrez peut-être entrer une valeur différente. Vous pouvez soit entrer la nouvelle valeur ici, soit modifier la valeur plus tard.
      • Identificateur IKE de l'équipement local d'abonné : Entrez les informations utilisées par IKE pour identifier le CPE.
    • Compartiment de la passerelle de routage dynamique : Laissez tel quel (le compartiment du VCN).
    • Passerelle de routage dynamique : Sélectionnez la passerelle DRG que vous avez créée précédemment.
    • Routes vers votre réseau sur place : Laissez ce champ vide, car cette connexion IPSec utilise un routage dynamique BGP. Vous allez configurer dans les étapes subséquentes les deux tunnels afin qu'ils utilisent BGP.
  4. Pour le tunnel 1 (obligatoire) :

    • Nom : entrez un nom descriptif pour le tunnel. Il ne doit pas nécessairement être unique et vous pouvez le modifier ultérieurement. Évitez d'entrer des informations confidentielles.
    • Indiquer une clé secrète partagée personnalisée (facultatif) : par défaut, Oracle fournit le secret partagé du tunnel. Si vous souhaitez le définir, sélectionnez cette case à cocher et entrez le secret partagé. Vous pouvez modifier le secret partagé plus tard.
    • Version du protocole IKE :  version d'Internet Key Exchange (IKE) à utiliser pour ce tunnel. Sélectionnez IKEv2 seulement si votre équipement local d'abonné prend en charge ce type. Vous devez également configurer le CPE pour qu'il utilise uniquement IKEv2 pour ce tunnel.
    • Type d'acheminement : Sélectionnez Routage dynamique BGP.
    • Si votre équipement local d'abonné sélectionné prend en charge IPSec sur FastConnect, les paramètres suivants sont requis :
      • Adresse IP de tête de tunnel Oracle : Entrez l'adresse IP du point d'extrémité du tunnel Oracle IPSec (tête de réseau du RPV). Oracle utilisera l'adresse IP du RPV comme route d'hôte /32 au moyen de la session BGP FastConnect. S'il y a chevauchement d'adresses avec une route de VCN, cela aura priorité en raison de la correspondance de préfixe la plus longue.
      • Circuit virtuel associé : Sélectionnez un circuit virtuel qui a été activé pour IPSec sur FastConnect lors de sa création. Le tunnel sera mappé au circuit virtuel sélectionné et l'adresse IP de tête de réseau définie ne sera accessible que sur place au moyen du circuit virtuel associé.
      • Table de routage DRG : Sélectionnez ou créez une table de routage DRG. Pour éviter tout problème de routage récursif, l'attachement de circuit virtuel et l'attachement de tunnel IPSec utilisés pour IPsec sur FC doivent utiliser des tables de routage DRG différentes.
    • ASN BGP : entrez l'ASN de votre réseau.
    • Interface de tunnel interne IPv4 - CPE : Entrez l'adresse IPv4 BGP avec masque de sous-réseau (soit /30 ou /31) pour l'extrémité CPE du tunnel. Par exemple : 10.0.0.16/31. L'adresse IP doit faire partie du domaine de chiffrement du RPV site à site.
    • Interface de tunnel interne IPv4 - Oracle : Entrez l'adresse IPv4 BGP avec masque de sous-réseau (soit /30 ou /31) pour l'extrémité Oracle du tunnel. Par exemple : 10.0.0.17/31. L'adresse IP doit faire partie du domaine de chiffrement du RPV site à site.
    • Si vous prévoyez d'utiliser IPv6 et IPv4, cliquez sur Activer IPv6 et entrez les détails suivants :
      • Interface de tunnel interne IPv6 - CPE : Entrez l'adresse IPv6 BGP avec masque de sous-réseau (/126) pour l'extrémité CPE du tunnel. Par exemple : 2001:db2::6/126. L'adresse IP doit faire partie du domaine de chiffrement du RPV site à site.
      • Interface de tunnel interne IPv6 - Oracle : Entrez l'adresse IP BGP avec masque de sous-réseau (/126) pour l'extrémité Oracle du tunnel. Par exemple : 2001:db2::7/126. L'adresse IP doit faire partie du domaine de chiffrement du RPV site à site.
      • Si vous cliquez sur Afficher les options avancées, vous pouvez modifier les paramètres suivants pour Tunnel 1 :
        • Lancement par Oracle : Ce paramètre indique si l'extrémité Oracle de la connexion IPSec peut lancer le démarrage du tunnel IPSec. La valeur par défaut est Initiateur ou répondant. Vous pouvez également choisir de définir l'extrémité Oracle comme répondant seulement, ce qui nécessiterait que l'appareil CPE lance le tunnel IPSec. Oracle recommande de laisser cette option au paramètre par défaut.
        • NAT-T activé : Ce paramètre indique si l'appareil CPE est derrière un appareil NAT. La valeur par défaut est Automatique. Les autres options sont Désactivé et Activé. Oracle recommande de laisser cette option au paramètre par défaut.
        • Activer la temporisation de détection des homologues inactifs : Cliquez sur cette option pour vérifier périodiquement la stabilité de la connexion au CPE et détecter une panne de celui-ci. Si vous sélectionnez cette option, vous pouvez également choisir l'intervalle le plus long entre les messages d'état de l'appareil CPE avant que la connexion IPSec indique que le contact avec le CPE a été perdu. La valeur par défaut est 20  secondes. Oracle recommande de laisser cette option au paramètre par défaut.
      • Si vous développez la section Configuration de la phase 1 (ISAKMP) et cliquez sur Définir des configurations personnalisées, vous pouvez définir les paramètres facultatifs suivants (vous devez sélectionner une des options) :
        • Algorithmes de chiffrement personnalisés : Vous pouvez choisir parmi les options offertes dans le menu déroulant.
        • Algorithmes d'authentification personnalisés : Vous pouvez choisir parmi les options offertes dans le menu déroulant.
        • Groupes Diffie-Hellman : Vous pouvez choisir parmi les options offertes dans le menu déroulant.

        Si la case Définir des configurations personnalisées n'est pas cochée, les paramètres par défaut sont proposés.

        Pour comprendre ces options plus en détail, y compris les propositions par défaut, voir Paramètres IPSec pris en charge.

      • Durée de vie de la clé de session IKE en secondes : La valeur par défaut est 28 800, ce qui équivaut à 8 heures.
      • Si vous développez la section Configuration de la phase 2 (IPSec) et cliquez sur Définir des configurations personnalisées, vous pouvez définir les paramètres facultatifs suivants pour Tunnel 1 (vous devez sélectionner un algorithme de chiffrement) :
        • Algorithmes de chiffrement personnalisés : Vous pouvez choisir parmi les options offertes dans le menu déroulant. Si vous sélectionnez un algorithme de chiffrement AES-CBC, vous devez également sélectionner un algorithme d'authentification.
        • Algorithmes d'authentification personnalisés : Vous pouvez choisir parmi les options offertes dans le menu déroulant. L'algorithme de chiffrement que vous avez choisi peut comporter une authentification intégrée, auquel cas il n'y a pas d'option sélectionnable.

        Si la case Définir des configurations personnalisées n'est pas cochée, les paramètres par défaut sont proposés.

        Pour toutes les options de la phase 2, si vous sélectionnez une seule option, celle-ci remplace le jeu par défaut et sera la seule option proposée au CPE.

      • Durée de vie de la clé de session IPSec en secondes : La valeur par défaut est 3 600, ce qui équivaut à une heure.
      • Activer la confidentialité persistante : Par défaut, cette option est activée. Elle vous permet de choisir l'option Groupe Diffie Hellman de confidentialité persistante. Vous pouvez choisir parmi les options offertes dans le menu déroulant. Si vous ne faites pas de sélection, GROUP5 est proposé.
  5. Dans l'onglet Tunnel 2, vous pouvez utiliser les mêmes options que celles décrites pour le tunnel 1. Vous pouvez également choisir d'autres options ou laisser le tunnel non configuré, car votre équipement local d'abonné ne prend en charge qu'un seul tunnel.
  6. Vous pouvez cliquer sur Afficher les options de marquage pour ajouter des marqueurs pour la connexion IPSec immédiatement, ou les ajouter plus tard. Pour plus d'informations, voir Marqueurs de ressource.
  7. Cliquez sur Créer une connexion IPSec.

    La connexion IPSec est créée et affichée dans la page. Elle est à l'état Provisionnement pour une courte période.

    Les informations sur le tunnel affiché sont les suivantes :

    • Adresse IPv4 ou IPv6 du RPV Oracle (pour la tête de réseau privé virtuel Oracle).
    • Statut IPSec du tunnel (valeurs possibles : Actif, Inactif et Arrêté pour maintenance). À ce stade, le statut est Inactif. L'ingénieur réseau doit configurer votre appareil CPE pour que le ou les tunnels puissent être établis.
    • Statut BGP du tunnel. À ce stade, le statut est Inactif. L'ingénieur réseau doit configurer votre appareil CPE.

    Pour afficher le secret partagé du tunnel, cliquez sur le tunnel pour voir ses détails, puis cliquez sur Afficher à côté de Secret partagé.

    Vous pouvez également cliquer sur l'onglet Détails de la phase pour voir les détails de la phase 1 (ISAKMP) et de la phase 2 (IPSec) du tunnel.

  8. Copiez l'adresse IP du RPV Oracle et la clé secrète partagée de chacun des tunnels dans un courriel ou ailleurs afin de les transmettre à l'ingénieur réseau qui configure votre appareil CPE.

    Vous pouvez voir ces informations de tunnel ici dans la console, à tout moment.

Vous avez maintenant créé tous les composants requis pour le RPV site à site. Votre ingénieur réseau doit ensuite configurer votre appareil CPE pour que le trafic réseau puisse circuler entre votre réseau sur place et votre VCN.

Pour le routage statique
Note

Oracle recommande d'utiliser des connexions IPSec basées sur une route BGP pour IPSec sur FastConnect.
Cette image présente la création de la connexion IPSec avec un routage statique. Cliquez pour agrandir
Légende 1 : Table de routage de VCN MyExampleRouteTable
CIDR de destination Table de routage
10.0.0.0/16 DRG
Légende 2 : Liste de sécurité MyExampleSecurityList
Trafic entrant/Trafic sortant CIDR Protocole : Port
Entrant 10.0.0.0/16 TCP : 22
Entrant 10.0.0.0/16 ICMP : Tous
Sortant 10.0.0.0/16 TCP : Tous
Légende 3 : Détails de la connexion IPSec avec la route statique 10.0.0.0/16
Tunnel Adresse IP côté Oracle Adresse IP côté sur place
Tunnel 1 10.0.0.17/31 10.0.0.16/31
Tunnel 2 10.0.0.19/31 10.0.0.18/31
  1. Ouvrez le menu de navigation et cliquez sur Réseau. Sous Connectivité client, cliquez sur RPV site-à-site.
  2. Cliquez sur Créer une connexion IPSec.
  3. Entrez les valeurs suivantes :

    • Créer dans le compartiment : Laissez tel quel (le compartiment du réseau VCN).
    • Nom : entrez un nom descriptif pour la connexion IPSec. Il ne doit pas nécessairement être unique et vous pouvez le modifier ultérieurement. Évitez d'entrer des informations confidentielles.
    • Compartiment de l'équipement local d'abonné : Laissez tel quel (le compartiment du VCN).
    • Équipement local d'abonné : sélectionnez l'objet CPE créé précédemment. Si vous configurez IPSec sur FastConnect, l'équipement local d'abonné que vous choisissez doit avoir une étiquette confirmant que IPSec sur FastConnect est activé pour cet équipement local d'abonné. IPSec sur FastConnect est disponible pour les connexions qui utilisent un routage statique, mais n'est pas recommandé.
    • Compartiment de la passerelle de routage dynamique : Laissez tel quel (le compartiment du VCN).
    • Passerelle de routage dynamique : Sélectionnez la passerelle DRG que vous avez créée précédemment.
    • CIDR de routage statique : entrez au moins un CIDR de routage statique (voir la liste des informations à collecter dans Avant de commencer). Dans cet exemple, entrez 10.0.0.0/16. Vous pouvez entrer jusqu'à 10 routes statiques et modifier les routes statiques ultérieurement.
  4. Cliquez sur Afficher les options avancées.
  5. Dans l'onglet Identificateur IKE de l'équipement local d'abonné (facultatif) : Oracle utilise par défaut l'adresse IP publique du CPE. Si votre équipement local d'abonné est derrière un appareil NAT, vous devrez peut-être entrer une valeur différente. Vous pouvez soit entrer la nouvelle valeur ici, soit modifier la valeur plus tard.
  6. Dans l'onglet Tunnel 1 (facultatif) :

    • Nom du tunnel : entrez un nom descriptif pour le tunnel. Il ne doit pas nécessairement être unique et vous pouvez le modifier ultérieurement. Évitez d'entrer des informations confidentielles.
    • Indiquer une clé secrète partagée personnalisée (facultatif) : par défaut, Oracle fournit le secret partagé du tunnel. Si vous souhaitez le définir, sélectionnez cette case à cocher et entrez le secret partagé. Vous pouvez modifier le secret partagé plus tard.
    • Version du protocole IKE :  version d'Internet Key Exchange (IKE) à utiliser pour ce tunnel. Sélectionnez IKEv2 seulement si votre équipement local d'abonné prend en charge ce type. Vous devez également configurer le CPE pour qu'il utilise uniquement IKEv2 pour ce tunnel.
    • Type d'acheminement : Laissez le bouton radio Routage statique sélectionné.
    • Interface de tunnel interne - CPE : Vous pouvez entrer une adresse IP avec masque de sous-réseau ( /30 ou /31) pour le côté CPE du tunnel aux fins de dépannage ou de surveillance du tunnel. Par exemple : 10.0.0.16/31. L'adresse IP doit faire partie du domaine de chiffrement du RPV site à site.
    • Interface de tunnel interne - CPE : Vous pouvez entrer une adresse IP avec masque de sous-réseau (/30 ou /31) pour l'extrémité Oracle du tunnel aux fins de dépannage ou de surveillance du tunnel. Par exemple : 10.0.0.17/31. L'adresse IP doit faire partie du domaine de chiffrement du RPV site à site.
  7. Dans l'onglet Tunnel 2 (facultatif) :

    • Nom du tunnel : entrez un nom descriptif pour le tunnel. Il ne doit pas nécessairement être unique et vous pouvez le modifier ultérieurement. Évitez d'entrer des informations confidentielles.
    • Indiquer une clé secrète partagée personnalisée (facultatif) : par défaut, Oracle fournit le secret partagé du tunnel. Si vous souhaitez le définir, sélectionnez cette case à cocher et entrez le secret partagé. Vous pouvez modifier le secret partagé plus tard.
    • Version du protocole IKE :  version d'Internet Key Exchange (IKE) à utiliser pour ce tunnel. Sélectionnez IKEv2 seulement si votre équipement local d'abonné prend en charge ce type. Vous devez également configurer le CPE pour qu'il utilise uniquement IKEv2 pour ce tunnel.
    • Type d'acheminement : Laissez le bouton radio Routage statique sélectionné.
    • Interface de tunnel interne - CPE : Vous pouvez entrer une adresse IP avec masque de sous-réseau ( /30 ou /31) pour le côté CPE du tunnel aux fins de dépannage ou de surveillance du tunnel. Utilisez une adresse IP différente de celle du tunnel 1. Par exemple: 10.0.0.18/31. L'adresse IP doit faire partie du domaine de chiffrement du RPV site à site.
    • Interface de tunnel interne - CPE : Vous pouvez entrer une adresse IP avec masque de sous-réseau (/30 ou /31) pour l'extrémité Oracle du tunnel aux fins de dépannage ou de surveillance du tunnel. Utilisez une adresse IP différente de celle du tunnel 1. Par exemple : 10.0.0.19/31. L'adresse IP doit faire partie du domaine de chiffrement du RPV site à site.
  8. Marqueurs : Laissez tel quel. Vous pourrez ajouter des marqueurs ultérieurement si vous le souhaitez. Pour plus d'informations, voir Marqueurs de ressource.
  9. Cliquez sur Créer une connexion IPSec.

    La connexion IPSec est créée et affichée dans la page. Elle sera à l'état Provisionnement pendant une courte période.

    Les informations sur le tunnel affiché sont les suivantes :

    • Adresse IP du RPV d'Oracle (pour la tête du réseau privé virtuel Oracle).
    • Statut IPSec du tunnel (valeurs possibles : Actif, Inactif et Arrêté pour maintenance). À ce stade, le statut est Inactif. L'ingénieur réseau doit encore configurer votre appareil CPE.

    Pour afficher le secret partagé du tunnel, cliquez sur le tunnel pour voir ses détails, puis cliquez sur Afficher à côté de Secret partagé.

  10. Copiez l'adresse IP du RPV Oracle et la clé secrète partagée de chacun des tunnels dans un courriel ou ailleurs afin de les transmettre à l'ingénieur réseau qui configurera l'appareil CPE.

    Vous pouvez voir ces informations de tunnel ici dans la console, à tout moment.

Vous avez maintenant créé tous les composants requis pour le RPV site à site. Votre ingénieur réseau doit ensuite configurer l'appareil CPE pour que le trafic réseau puisse circuler entre votre réseau sur place et votre VCN.

Pour plus d'informations, voir Configuration de l'équipement local d'abonné.

Pour le routage basé sur des politiques
Note

Oracle recommande d'utiliser des connexions IPSec basées sur une route BGP pour IPSec sur FastConnect.
Note

L'option de routage basée sur des politiques n'est pas disponible dans tous les domaines de disponibilité et peut nécessiter la création d'un nouveau tunnel IPSec.
  1. Ouvrez le menu de navigation et cliquez sur Réseau. Sous Connectivité client, cliquez sur RPV site-à-site.
  2. Cliquez sur Créer une connexion IPSec.
  3. Entrez les valeurs suivantes :

    • Créer dans le compartiment : Laissez tel quel (le compartiment du réseau VCN).
    • Nom : entrez un nom descriptif pour la connexion IPSec. Il ne doit pas nécessairement être unique et vous pouvez le modifier ultérieurement. Évitez d'entrer des informations confidentielles.
    • Compartiment de l'équipement local d'abonné : Laissez tel quel (le compartiment du VCN).
    • Équipement local d'abonné : sélectionnez l'objet CPE créé précédemment. Si vous configurez IPSec sur FastConnect, l'équipement local d'abonné que vous choisissez doit avoir une étiquette confirmant que IPSec sur FastConnect est activé pour cet équipement local d'abonné. IPSec sur FastConnect est disponible pour les connexions qui utilisent un routage basé sur une politique, mais n'est pas recommandé.
    • Compartiment de la passerelle de routage dynamique : Laissez tel quel (le compartiment du VCN).
    • Passerelle de routage dynamique : Sélectionnez la passerelle DRG que vous avez créée précédemment.
    • CIDR de routage statique : entrez au moins un CIDR de routage statique (voir la liste des informations à collecter dans Avant de commencer). Dans cet exemple, entrez 10.0.0.0/16. Vous pouvez entrer jusqu'à 10 routes statiques et modifier les routes statiques ultérieurement.
  4. Cliquez sur Afficher les options avancées.
  5. Dans l'onglet Identificateur IKE de l'équipement local d'abonné (facultatif) : Oracle utilise par défaut l'adresse IP publique du CPE. Si votre équipement local d'abonné est derrière un appareil NAT, vous devrez peut-être entrer une valeur différente. Vous pouvez soit entrer la nouvelle valeur ici, soit modifier la valeur plus tard.
  6. Dans l'onglet Tunnel 1 (facultatif) :

    • Nom du tunnel : entrez un nom descriptif pour le tunnel. Il ne doit pas nécessairement être unique et vous pouvez le modifier ultérieurement. Évitez d'entrer des informations confidentielles.
    • Indiquer une clé secrète partagée personnalisée (facultatif) : par défaut, Oracle fournit le secret partagé du tunnel. Si vous souhaitez le définir, sélectionnez cette case à cocher et entrez le secret partagé. Vous pouvez modifier le secret partagé plus tard.
    • Version du protocole IKE :  version d'Internet Key Exchange (IKE) à utiliser pour ce tunnel. Sélectionnez IKEv2 seulement si votre équipement local d'abonné prend en charge ce type. Vous devez également configurer le CPE pour qu'il utilise uniquement IKEv2 pour ce tunnel.
    • Type d'acheminement : Sélectionnez le bouton radio Routage basé sur des politiques.
    • Sur place : Vous pouvez fournir plusieurs blocs CIDR IPv4 CIDR ou de préfixe IPv6 utilisés par les ressources de votre réseau sur place, avec l'acheminement déterminé par les politiques d'équipement local d'abonné.
      Note

      Voir Domaines de chiffrement pour les tunnels basés sur des politiques pour connaître les limites sur le nombre de blocs CIDR IPv4 ou de préfixe IPv6 à utiliser.
    • Oracle Cloud : Vous pouvez fournir plusieurs blocs CIDR IPv4 ou de préfixe IPv6 utilisés par les ressources de votre VCN.
      Note

      Voir Domaines de chiffrement pour les tunnels basés sur des politiques pour connaître les limites sur le nombre de blocs CIDR IPv4 ou de préfixe IPv6 à utiliser.
    • Interface de tunnel interne - CPE : Vous pouvez entrer une adresse IP avec masque de sous-réseau ( /30 ou /31) pour le côté CPE du tunnel aux fins de dépannage ou de surveillance du tunnel. Par exemple : 10.0.0.16/31. L'adresse IP doit faire partie de l'un des domaines de chiffrement du RPV site à site.
    • Interface de tunnel interne - CPE : Vous pouvez entrer une adresse IP avec masque de sous-réseau (/30 ou /31) pour l'extrémité Oracle du tunnel aux fins de dépannage ou de surveillance du tunnel. Par exemple : 10.0.0.17/31. L'adresse IP doit faire partie de l'un des domaines de chiffrement du RPV site à site.
  7. Dans l'onglet Tunnel 2 (facultatif) :

    • Nom du tunnel : entrez un nom descriptif pour le tunnel. Il ne doit pas nécessairement être unique et vous pouvez le modifier ultérieurement. Évitez d'entrer des informations confidentielles.
    • Indiquer une clé secrète partagée personnalisée (facultatif) : par défaut, Oracle fournit le secret partagé du tunnel. Si vous souhaitez le définir, sélectionnez cette case à cocher et entrez le secret partagé. Vous pouvez modifier le secret partagé plus tard.
    • Version du protocole IKE :  version d'Internet Key Exchange (IKE) à utiliser pour ce tunnel. Sélectionnez IKEv2 seulement si votre équipement local d'abonné prend en charge ce type. Vous devez également configurer le CPE pour qu'il utilise uniquement IKEv2 pour ce tunnel.
    • Type d'acheminement : Sélectionnez le bouton radio Routage basé sur des politiques.
    • Sur place : Vous pouvez fournir plusieurs blocs CIDR IPv4 CIDR ou de préfixe IPv6 utilisés par les ressources de votre réseau sur place, avec l'acheminement déterminé par les politiques d'équipement local d'abonné.
    • Oracle Cloud : Vous pouvez fournir plusieurs blocs CIDR IPv4 ou de préfixe IPv6 utilisés par les ressources de votre VCN.
    • Interface de tunnel interne - CPE : Vous pouvez entrer une adresse IP avec masque de sous-réseau ( /30 ou /31) pour le côté CPE du tunnel aux fins de dépannage ou de surveillance du tunnel. Par exemple : 10.0.0.16/31. L'adresse IP doit faire partie de l'un des domaines de chiffrement du RPV site à site.
    • Interface de tunnel interne - CPE : Vous pouvez entrer une adresse IP avec masque de sous-réseau (/30 ou /31) pour l'extrémité Oracle du tunnel aux fins de dépannage ou de surveillance du tunnel. Par exemple : 10.0.0.17/31. L'adresse IP doit faire partie de l'un des domaines de chiffrement du RPV site à site.
  8. Marqueurs : Laissez tel quel. Vous pourrez ajouter des marqueurs ultérieurement si vous le souhaitez. Pour plus d'informations, voir Marqueurs de ressource.
  9. Cliquez sur Créer une connexion IPSec.

    La connexion IPSec est créée et affichée dans la page. Elle sera à l'état Provisionnement pendant une courte période.

    Les informations sur le tunnel affiché sont les suivantes :

    • Adresse IP du RPV d'Oracle (pour la tête du réseau privé virtuel Oracle).
    • Statut IPSec du tunnel (valeurs possibles : Actif, Inactif et Arrêté pour maintenance). À ce stade, le statut est Inactif. L'ingénieur réseau doit encore configurer votre appareil CPE.

    Pour afficher le secret partagé du tunnel, cliquez sur le tunnel pour voir ses détails, puis cliquez sur Afficher à côté de Secret partagé.

  10. Copiez l'adresse IP du RPV Oracle et la clé secrète partagée de chacun des tunnels dans un courriel ou ailleurs, puis transmettez-les à l'ingénieur réseau qui configure votre appareil CPE.

    Vous pouvez voir ces informations de tunnel ici dans la console, à tout moment.

Vous avez maintenant créé tous les composants requis pour le RPV site à site. Votre ingénieur réseau doit ensuite configurer l'appareil CPE pour que le trafic réseau puisse circuler entre votre réseau sur place et votre VCN.

Pour plus d'informations, voir Configuration de l'équipement local d'abonné.

Tâche 3 : Utiliser l'application d'aide pour la configuration de l'équipement local d'abonné

Utilisez l'application d'aide pour la configuration de l'équipement local d'abonné pour générer un contenu de configuration que votre ingénieur réseau pourra utiliser pour configurer le CPE.

Ce contenu inclut les éléments suivants :

  • Pour chaque tunnel IPSec, l'adresse IP RPV Oracle et le secret partagé.
  • Les valeurs de paramètre IPSec prises en charge.
  • Informations sur le VCN.
  • Informations de configuration propres au CPE.

Pour plus d'informations, voir Utilisation de l'application d'aide pour la configuration de l'équipement local d'abonné.

Tâche 4 : Demander à votre ingénieur réseau de configurer votre équipement local d'abonné

Fournissez à votre ingénieur réseau les éléments suivants :

Important

N'oubliez pas de demander à votre ingénieur réseau de configurer votre appareil CPE afin qu'il prenne en charge les deux tunnels en cas de panne de l'un d'entre eux ou de sa mise hors ligne par Oracle pour maintenance. Si vous utilisez BGP, voir Routage pour RPV site à site.
Tâche 5 : Valider la connectivité

Après que l'ingénieur réseau configure votre appareil CPE, vous pouvez confirmer que le statut IPSec du tunnel est Actif et vert. Vous pouvez ensuite créer une instance Linux dans le sous-réseau de votre VCN. Vous devriez pouvoir utiliser SSH pour vous connecter à l'adresse IP privée de l'instance à partir d'un hôte sur votre réseau sur place. Pour plus d'informations, voir Création d'une instance.

Exemple de disposition avec plusieurs zones géographiques

Le diagramme suivant présente un exemple de cette configuration :

  • Deux réseaux dans des zones géographiques distinctes qui se connectent à votre VCN
  • Un seul appareil CPE dans chaque zone
  • Deux RPV IPSec (un pour chaque appareil CPE)

Notez que chaque RPV site à site est associé à deux routes : une pour le sous-réseau de la zone géographique particulière et une route 0.0.0.0/0 par défaut. Oracle apprend quelles sont les routes disponibles pour chaque tunnel, soit par BGP (si les tunnels utilisent BGP), soit parce que vous les avez définies comme routes statiques pour la connexion IPSec (si les tunnels utilisent un routage statique).

Cette image présente une disposition comportant deux zones géographiques et deux routeurs
Légende 1 : Table de routage de VCN
CIDR de destination Cible de routage
10.20.0.0/16 DRG
10.40.0.0/16 DRG

Exemples de situations dans lesquelles la route 0.0.0.0/0 permet une certaine flexibilité :

  • Supposons que l'appareil CPE 1 soit arrêté (voir le diagramme suivant). Si le sous-réseau 1 et le sous-réseau 2 peuvent communiquer entre eux, votre VCN pourrait toujours accéder aux systèmes du sous-réseau 1 grâce à la route 0.0.0.0/0 qui va vers le CPE 2.

    Cette image présente une disposition où l'un des routeurs CPE tombe en panne
    Légende 1 : Table de routage de VCN
    CIDR de destination Cible de routage
    10.20.0.0/16 DRG
    10.40.0.0/16 DRG
  • Supposons que votre organisation ajoute une nouvelle zone géographique avec un sous-réseau 3 et la connecte initialement au sous-réseau 2 (voir le diagramme suivant). Si vous avez ajouté une règle de routage à la table de routage de votre VCN pour le sous-réseau 3, le VCN pourrait accéder à des systèmes de ce dernier grâce à la route 0.0.0.0/0 qui va vers le CPE 2.

    Cette image présente une disposition avec un nouveau sous-réseau
    Légende 1 : Table de routage de VCN
    CIDR de destination Cible de routage
    10.20.0.0/16 DRG
    10.40.0.0/16 DRG
    10.60.0.0/16 DRG

Exemple de disposition avec PAT

Le diagramme suivant présente un exemple de cette configuration :

  • Deux réseaux dans des zones géographiques distinctes qui se connectent à votre VCN
  • Appareils CPE redondants (deux dans chaque zone géographique)
  • Quatre RPV IPSec (un pour chaque appareil CPE)
  • Traduction d'adresses de port (PAT) pour chaque appareil CPE

Pour chacune des quatre connexions, Oracle doit connaître l'adresse IP PAT de l'appareil CPE spécifique. Oracle l'apprend pour chaque tunnel par BGP (si les tunnels utilisent BGP) ou parce que vous avez défini l'adresse pertinente comme route statique pour la connexion IPSec (si les tunnels utilisent le routage statique).

Lorsque vous configurez les règles de routage pour le VCN, vous spécifiez une règle pour chaque adresse IP PAT (ou un CIDR agrégé qui les couvre toutes) avec la passerelle DRG comme cible de la règle.

Cette image présente un scénario comportant plusieurs RPV IPSec, routeurs et PAT
Légende 1 : Table de routage de VCN
CIDR de destination Cible de routage
PAT IP 1 DRG
PAT IP 2 DRG
PAT IP 3 DRG
PAT IP 4 DRG