Configuration du RPV site à site
Cette rubrique fournit des instructions sur la construction d'une connexion RPV site à site IPSec à partir d'un réseau sur place vers un VCN. Pour des informations générales sur l'utilisation du RPV site à site, voir Aperçu du RPV site à site.
Avant de commencer
Pour vous préparer, effectuez d'abord les opérations suivantes :
- Lisez cette section : Routage pour RPV site à site
-
Répondez à ces questions :
Question Réponse Quel est le CIDR du VCN? Quelle est l'adresse IP publique de l'appareil CPE? Si vous disposez de plusieurs appareils aux fins de redondance, obtenez l'adresse IP de chacun.
Note : Si l'appareil CPE se trouve derrière un appareil NAT, voir Aperçu des composants de RPV site à site et Exigences et préalables.
Voulez-vous utiliser la traduction d'adresses de port (PAT) entre chaque équipement local d'abonné et le VCN? Quel type de routage voulez-vous utiliser? Si vous voulez le routage dynamique BGP, répertoriez les adresses IP de la session BGP à utiliser et le numéro ASN du réseau sur place. Les adresses IP doivent faire partie du domaine de chiffrement du RPV site à site.
Quelles sont les routes statiques du réseau sur place pour le routage statique? Voir Routage pour RPV site à site.
Prévoyez-vous d'utiliser le routage basé sur des politiques ou plusieurs domaines de chiffrement? Voir Domaines de chiffrement pour les tunnels basés sur des politiques
Voulez-vous définir la clé secrète partagée de chaque tunnel ou laisser Oracle l'affecter? Voir Aperçu des composants de RPV site à site.
- Dessinez un diagramme de la disposition réseau (par exemple, consultez la première tâche dans Exemple : Configuration d'un RPV site à site pour une démonstration de faisabilité). Réfléchissez aux parties du réseau sur place qui doivent communiquer avec le VCN, et inversement. Mappez le routage et les règles de sécurité dont vous avez besoin pour le réseau VCN.
Si un RPV site à site existant utilise un routage statique, vous pouvez modifier les tunnels afin qu'ils utilisent plutôt un routage dynamique BGP.
Les intervalles d'IP locaux de lien suivants ne sont pas valides pour une utilisation avec les interfaces de tunnel interne de RPV site à site :
- de 169.254.10.0 à 169.254.19.255
- de 169.254.100.0 à 169.254.109.255
- de 169.254.192.0 à 169.254.201.255
Processus global
Voici le processus global de configuration du RPV site à site :
- Effectuez les tâches figurant dans la liste Avant de commencer.
- Configurez les composants du RPV site à site (instructions dans Exemple : Configuration du RPV site à site pour une preuve de concept) :
- Créer un réseau VCN.
- Créez une passerelle DRG.
- Joignez la passerelle DRG au VCN.
- Créez une table et une règle de routage pour la passerelle DRG.
- Créez une liste de sécurité et les règles requises.
- Créez un sous-réseau dans le VCN.
- Créez un objet CPE et indiquez son adresse IP publique.
- Créez une connexion IPSec à l'objet CPE et fournissez les informations de routage requises.
- Utilisez l'application d'aide pour la configuration de l'ICP : Un ingénieur réseau doit configurer l'ICP à l'aide des informations fournies par Oracle dans les étapes précédentes. L'aide pour la configuration de l'équipement local d'abonné génère les informations destinées à l'ingénieur réseau. Pour plus d'informations, voir Utilisation de l'application d'aide pour la configuration de l'équipement local d'abonné et Configuration de l'équipement local d'abonné.
- Demandez à un ingénieur réseau de configurer le périphérique CPE.
- Validez la connectivité.
Si vous prévoyez configurer des connexions redondantes, consultez le guide sur la redondance de connectivité (PDF).
Exemple : Configuration du RPV site à site pour une démonstration de faisabilité
Oracle propose un flux de travail de démarrage rapide pour faciliter la configuration du RPV site à site. Pour plus d'informations, voir Assistant RPV site à site.
Cet exemple de scénario montre comment configurer un RPV site à site avec une disposition que vous pouvez utiliser pour une preuve de concept (POC). Il suit les tâches 1 et 2 du processus global et décrit la création de chaque composant de la disposition. Pour des dispositions plus complexes, voir Exemple de disposition avec plusieurs zones géographiques ou Exemple de disposition avec PAT.
| Question | Réponse |
|---|---|
| Quel est le CIDR du VCN? | 172.16.0.0/16 |
|
Quelle est l'adresse IP publique de l'appareil CPE? Si vous disposez de plusieurs appareils aux fins de redondance, obtenez l'adresse IP de chacun. Note : Si l'appareil CPE se trouve derrière un appareil NAT, voir Aperçu des composants de RPV site à site et Exigences et préalables. |
142.34.145.37 |
| Allez-vous effectuer une traduction d'adresses de port (PAT) entre chaque appareil CPE et le VCN? | Non |
|
Quel type de routage voulez-vous utiliser? Il existe trois choix mutuellement exclusifs : Si vous envisagez d'utiliser le routage dynamique BGP, répertoriez les adresses IP de la session BGP à utiliser et le numéro ASN du réseau sur place. Si vous souhaitez utiliser un routage statique, répertoriez les routes statiques du réseau sur place. Voir Routage pour RPV site à site. Si vous prévoyez d'utiliser un routage basé sur des politiques ou si vous avez besoin de plusieurs domaines de chiffrement, répertoriez les blocs CIDR IPv4 ou de préfixe IPv6 utilisés à chaque extrémité de la connexion. Voir Domaines de chiffrement pour les tunnels basés sur des politiques |
Exemple de routage dynamique BGP : Tunnel 1 :
Tunnel 2 :
ASN de réseau : 12345 Exemple de routage statique : Utiliser 10.0.0.0/16 pour la route statique pour une démonstration de faisabilité. |
| Voulez-vous définir la clé secrète partagée de chaque tunnel ou laisser Oracle l'affecter? Voir Aperçu des composants de RPV site à site. | Laisser Oracle effectuer l'affectation. |
Voici un exemple de diagramme pour la tâche 1 avec le routage dynamique BGP :
| CIDR de destination | Cible de routage |
|---|---|
| 10.0.0.0/16 | DRG |
| CIDR de destination | Autorisation |
|---|---|
| 10.0.0.0/16 | Autorisé |
| Légende | Fonction | Adresse IP |
|---|---|---|
| 3 | Adresse IP publique du CPE | 142.34.145.37 |
| 4a | BGP Tunnel 1 : Interface de tunnel interne |
CPE - 10.0.0.16/31 Oracle - 10.0.0.17/31 |
| 4b | BGP Tunnel 2 : Interface de tunnel interne |
CPE - 10.0.0.18/31 Oracle - 10.0.0.19/31 |
| 5 |
Tunnel 1 - Adresse IP du RPV d'Oracle : |
129.213.240.50 |
| 6 |
Tunnel 2 - Adresse IP du RPV d'Oracle : |
129.213.240.53 |
Voici un exemple de diagramme pour la tâche 1 avec le routage statique :
| CIDR de destination | Cible de routage |
|---|---|
| 10.0.0.0/16 | DRG |
| CIDR de destination | Autorisation |
|---|---|
| 10.0.0.0/16 | Autorisé |
| Légende | Fonction | Adresse IP |
|---|---|---|
| 3 | Adresse IP publique du CPE | 142.34.145.37 |
| 4 | Route statique pour la connexion IPSec | 10.0.0.0/16 |
| 5 |
Tunnel 1 - Adresse IP du RPV d'Oracle : |
129.213.240.50 |
| 6 |
Tunnel 2 - Adresse IP du RPV d'Oracle : |
129.213.240.53 |
Si vous disposez déjà d'un réseau VCN, passez à la tâche suivante.
Lorsque vous utilisez la console pour créer un VCN, vous ne pouvez créer que le VCN ou le VCN avec plusieurs ressources connexes. Cette tâche crée uniquement le réseau VCN. Les tâches suivantes créent les autres ressources requises.
Voir Création d'un VCN pour des étapes détaillées sur la création d'un VCN dans la console.
Assurez-vous que le provisionnement du VCN est terminé avant de continuer. Dans cet exemple, nous utilisons 172.16.0.0/16 comme bloc CIDR pour le VCN, mais ce que vous sélectionnez n'a pas d'importance tant qu'il est cohérent.
Voir Création d'une passerelle DRG pour des étapes détaillées sur la création d'une passerelle DRG.
La passerelle DRG est créée et affichée dans la page. Assurez-vous que le provisionnement est terminé avant de continuer.
Vous pouvez également utiliser cette passerelle DRG comme passerelle pour Oracle Cloud Infrastructure FastConnect, autre moyen de connecter un réseau sur place à un réseau VCN.
Voir Attachement d'une passerelle DRG à un VCN pour des étapes détaillées sur l'attachement d'une passerelle DRG à un VCN.
L'attachement est à l'état Attachement pendant une courte période avant d'être prêt.
Bien que le VCN soit fourni avec une table de routage par défaut (sans règles), dans cette tâche, vous allez créer une table de routage de VCN personnalisée avec une règle de routage pour la passerelle DRG en tant que cible. Dans cet exemple, le réseau sur place est 10.0.0.0/16. Vous créez une règle de routage qui accepte tout le trafic destiné à 10.0.0.0/16 et qui l'achemine vers la passerelle DRG. Lorsque vous créerez un sous-réseau dans la tâche 2f, vous lui associerez cette table de routage personnalisée.
Si vous disposez déjà d'un réseau VCN avec un sous-réseau, vous n'avez pas besoin de créer de table de routage ni de sous-réseau. Mettez plutôt à jour la table de routage du sous-réseau afin qu'elle inclue la règle de routage pour la passerelle DRG.
| CIDR de destination | Table de routage |
|---|---|
| 10.0.0.0/16 | DRG |
Voir Création d'une table de routage de VCN pour des étapes détaillées sur la création de tables de routage de VCN dans la console. Utilisez les paramètres suivants pour la règle de routage :
- Type de cible : Passerelle de routage dynamique. La passerelle DRG attachée au réseau VCN est automatiquement sélectionnée en tant que cible et vous n'avez pas besoin de définir cette dernière.
- Bloc CIDR de destination : CIDR du réseau sur place (10.0.0.0/16 dans cet exemple).
La table de routage est créée et affichée sur la page. Cependant, elle ne sert à rien tant que vous ne l'avez pas associée à un sous-réseau lors de la création de ce dernier (voir tâche 2f).
Par défaut, le trafic entrant vers les instances d'un VCN est réglé à Refuser sur tous les ports et tous les protocoles. Dans cette tâche, vous configurez deux règles de trafic entrant et une règle de trafic sortant pour autoriser le trafic réseau requis de base. Un VCN est accompagné d'une liste de sécurité par défaut avec un jeu de règles par défaut. Toutefois, pour cette tâche, vous créez une liste de sécurité distincte contenant un jeu de règles plus restreint pour le trafic sur un réseau sur place. Lorsque vous créerez un sous-réseau dans la tâche 2f, vous lui associerez cette liste de sécurité.
Les listes de sécurité sont un moyen de contrôler le trafic entrant et sortant des ressources du réseau VCN. Vous pouvez également utiliser des groupes de sécurité de réseau
| CIDR de destination | Table de routage |
|---|---|
| 10.0.0.0/16 | DRG |
| Trafic entrant/Trafic sortant | CIDR | Protocole : Port |
|---|---|---|
| Entrant | 10.0.0.0/16 | TCP : 22 |
| Entrant | 10.0.0.0/16 | ICMP : Tous |
| Sortant | 10.0.0.0/16 | TCP : Tous |
Assurez-vous que le CIDR sur place que vous spécifiez dans les règles de liste de sécurité est identique au CIDR que vous avez spécifié dans la règle de routage de la tâche précédente, ou plus restreint. Sinon, le trafic est bloqué par les listes de sécurité.
Voir Création d'une liste de sécurité pour des informations détaillées sur la création d'une liste de sécurité dans un réseau VCN à l'aide de la console.
-
Ajoutez une règle de trafic entrant avec les valeurs suivantes, qui autorise le SSH entrant sur le port TCP 22 à partir d'un réseau sur place :
- Type de source : CIDR
- CIDR source : CIDR d'un réseau sur place (10.0.0.0/16 dans cet exemple)
- Protocole IP : TCP.
- Intervalle de ports sources : Laissez tel quel (par défaut, Tout).
- Intervalle de ports de destination : 22 (pour le trafic SSH).
- Description : Description facultative de la règle.
-
Ajoutez une règle de trafic sortant avec les valeurs suivantes, qui autorise le trafic TCP sortant sur tous les ports vers un réseau sur place :
- Type de destination : CIDR
- CIDR de destination : CIDR d'un réseau sur place (10.0.0.0/16 dans cet exemple).
- Protocole IP : TCP.
- Intervalle de ports sources : Laissez tel quel (par défaut, Tout).
- Intervalle de ports de destination : Laissez tel quel (par défaut, Tout).
- Description : Description facultative de la règle.
Lorsque la liste de sécurité est créée, elle s'affiche dans la page. Cependant, elle ne sert à rien tant que vous ne l'avez pas associée à un sous-réseau lors de la création de ce dernier (voir tâche 2f).
Dans cette tâche, vous créez un sous-réseau dans le VCN. En général, un sous-réseau comprend un bloc CIDR plus petit que celui du VCN. Toutes les instances que vous créez dans ce sous-réseau ont accès à un réseau sur place. Nous recommandons d'utiliser des sous-réseaux régionaux. Ici, vous créez un sous-réseau privé régional.
| CIDR de destination | Table de routage |
|---|---|
| 10.0.0.0/16 | DRG |
| Trafic entrant/Trafic sortant | CIDR | Protocole : Port |
|---|---|---|
| Entrant | 10.0.0.0/16 | TCP : 22 |
| Entrant | 10.0.0.0/16 | ICMP : Tous |
| Sortant | 10.0.0.0/16 | TCP : Tous |
See Creating a Subnet for detailed information on creating a subnet a VCN using the Console. Utilisez les valeurs suivantes :
- Sous-réseau régional ou spécifique à un domaine de disponibilité : sélectionnez le bouton radio Régional. Nous recommandons d'utiliser des sous-réseaux régionaux.
- Bloc CIDR : bloc CIDR contigu unique pour le sous-réseau (par exemple, 172.16.0.0/24). Il doit être compris dans le bloc CIDR du réseau en nuage, mais ses adresses ne doivent pas chevaucher celles des autres sous-réseaux. Vous ne pouvez pas modifier cette valeur ultérieurement. Voir Taille et intervalles d'adresses de réseau VCN autorisés. Pour référence, utilisez un calculateur CIDR.
- Table de routage : La table de routage que vous avez créée dans la tâche 2d.
- Private Subnet (sous-réseau privé) : : sélectionnez cette option. Pour plus d'informations, voir Accès à Internet.
- Utiliser les noms d'hôte DNS dans ce sous-réseau : Laissez tel quel (sélectionné).
- Options DHCP : jeu d'options DHCP à associer au sous-réseau. Sélectionnez le jeu d'options DHCP par défaut pour le VCN.
- Listes de sécurité : La liste de sécurité que vous avez créée précédemment.
Le sous-réseau est créé et affiché dans la page. Le VCN de base de cet exemple est maintenant configuré et vous pouvez maintenant créer les composants restants pour le RPV site à site.
Dans cette tâche, vous créez l'objet CPE, représentation virtuelle d'un appareil CPE réel. L'objet CPE existe dans un compartiment d'une location. Lorsque vous configurez un RPV site à site, vous devez modifier la configuration de l'appareil en périphérie de réseau réel pour le réseau sur place afin qu'il réponde à la configuration de l'objet CPE.
| CIDR de destination | Table de routage |
|---|---|
| 10.0.0.0/16 | DRG |
| Trafic entrant/Trafic sortant | CIDR | Protocole : Port |
|---|---|---|
| Entrant | 10.0.0.0/16 | TCP : 22 |
| Entrant | 10.0.0.0/16 | ICMP : Tous |
| Sortant | 10.0.0.0/16 | TCP : Tous |
Voir Création d'un équipement local d'abonné pour des étapes détaillées sur la création d'un objet CPE. Dans cet exemple, l'adresse IP la plus importante à fournir est 142.34.145.37, l'adresse IP publique ou privée de l'appareil CPE physique.
Dans cette tâche, vous créez les tunnels IPSec et configurez pour eux le type de routage (acheminement dynamique BGP, routage statique ou routage basé sur des politiques). Voir Création d'une connexion IPSec pour des étapes détaillées.
Si un RPV site à site existant utilise un routage statique, vous pouvez modifier les tunnels afin qu'ils utilisent plutôt un routage dynamique BGP.
Utilisez l'application d'aide pour la configuration de l'équipement local d'abonné pour générer un contenu de configuration que l'ingénieur réseau pourra utiliser pour configurer le CPE.
Ce contenu inclut les éléments suivants :
- Pour chaque tunnel IPSec, l'adresse IP RPV Oracle et le secret partagé.
- Les valeurs de paramètre IPSec prises en charge.
- Informations sur le VCN.
- Informations de configuration propres au CPE.
Pour plus d'informations, voir Utilisation de l'application d'aide pour la configuration de l'équipement local d'abonné.
Fournissez à l'ingénieur réseau les éléments suivants :
- Contenu généré par l'application d'aide pour la configuration de l'équipement local d'abonné.
- Paramètres généraux d'IPSec pris en charge par Oracle.
N'oubliez pas de demander à l'ingénieur réseau de configurer un équipement local d'abonné afin qu'il prenne en charge les deux tunnels en cas de panne de l'un d'entre eux ou de sa mise hors service par Oracle pour maintenance. Si vous utilisez BGP, voir Routage pour RPV site à site.
Après que l'ingénieur réseau configure le périphérique CPE, vous pouvez confirmer que le statut IPSec du tunnel est Actif et vert. Ensuite, vous pouvez créer une instance Linux dans le sous-réseau d'un VCN. Utilisez ensuite SSH pour vous connecter à l'adresse IP privée de l'instance à partir d'un hôte dans le réseau sur place. Pour plus d'informations, voir Création d'une instance.
Exemple de disposition avec plusieurs zones géographiques
Le diagramme suivant présente un autre exemple avec la configuration suivante :
- Deux réseaux dans des zones géographiques distinctes qui se connectent à un VCN
- Un seul appareil CPE dans chaque zone
- Deux RPV IPSec (un pour chaque appareil CPE)
Notez que deux routes sont associées à chaque RPV site à site : une pour le sous-réseau de la zone géographique particulière et une route 0.0.0.0/0 par défaut. Oracle apprend quelles sont les routes disponibles pour chaque tunnel, soit par BGP (si les tunnels utilisent BGP), ou parce que vous les définissez comme routes statiques pour la connexion IPSec (si les tunnels utilisent un routage statique).
| CIDR de destination | Cible de routage |
|---|---|
| 10.20.0.0/16 | DRG |
| 0.0.0.0/0 | DRG |
| CIDR de destination | Cible de routage |
|---|---|
| 10.40.0.0/16 | DRG |
| 0.0.0.0/0 | DRG |
Exemples de situations dans lesquelles la route 0.0.0.0/0 permet une certaine flexibilité :
- Supposons que l'appareil CPE 1 soit arrêté (voir le diagramme suivant). Si les sous-réseaux 1 et 2 peuvent communiquer les uns avec les autres, le VCN peut toujours accéder aux systèmes du sous-réseau 1 grâce à la route 0.0.0.0/0 qui va vers le CPE 2.
-
Si une organisation ajoute une nouvelle zone géographique avec un sous-réseau 3 et la connecte initialement au sous-réseau 2 (voir le diagramme suivant). Si vous avez ajouté une règle de routage à la table de routage du VCN pour le sous-réseau 3, le VCN peut accéder aux systèmes du sous-réseau 3 à cause de la route 0.0.0.0/0 qui va vers le CPE 2.
Légende 1 : Table de routage de VCN CIDR de destination Cible de routage 10.20.0.0/16 DRG 10.40.0.0/16 DRG 10.60.0.0/16 DRG
Exemple de disposition avec PAT
Le diagramme suivant présente un exemple de cette configuration :
- Deux réseaux dans des zones géographiques distinctes qui se connectent à un VCN
- Appareils CPE redondants (deux dans chaque zone géographique)
- Quatre RPV IPSec (un pour chaque appareil CPE)
- Traduction d'adresses de port (PAT) pour chaque appareil CPE
Pour chacune des quatre connexions, Oracle doit connaître l'adresse IP PAT de l'appareil CPE spécifique. Oracle apprend la route d'adresses IP PAT pour chaque tunnel par BGP (si les tunnels utilisent BGP) ou parce que vous définissez l'adresse pertinente comme route statique pour la connexion IPSec (si les tunnels utilisent le routage statique).
Lorsque vous configurez les règles de routage pour le VCN, vous spécifiez une règle pour chaque adresse IP PAT (ou un CIDR agrégé qui les couvre toutes) avec la passerelle DRG comme cible de la règle.
| CIDR de destination | Cible de routage |
|---|---|
| PAT IP 1 | DRG |
| PAT IP 2 | DRG |
| PAT IP 3 | DRG |
| PAT IP 4 | DRG |
Étape suivante
Voir les rubriques et procédures connexes :
- Assistant RPV site à site
- Configuration de l'équipement local d'abonné
- Équipements locaux d'abonné vérifiés
- Utilisation de l'application d'aide pour la configuration de l'équipement local d'abonné
- Passage du routage statique au routage dynamique BGP
- Utilisation du RPV site à site
- RPV site à site - FAQ
- Mesures du RPV site à site
- Dépannage du RPV site à site