Détails de routage pour les connexions au réseau sur site

L'appairage privé FastConnect et le VPN site à site fournissent au réseau sur site un accès privé à un VCN. Les deux types de connexions se terminent sur un seul DRG attaché au VCN. N'oubliez pas que le VPN site à site peut utiliser BGP (Border Gateway Protocol), le routage statique ou une combinaison des deux. FastConnect utilise toujours BGP pour les publications de routage.

Pour les attachements aux circuits virtuels et aux tunnels IPSec configurés pour utiliser le routage dynamique, le DRG publie tous les routages contenus dans la table de routage DRG affectée.

Si un VCN attaché utilise le routage entrant pour accorder l'accès aux services Oracle via la passerelle de service du VCN, vous pouvez observer le routage répertorié en tant que routage mnénomique unique à l'aide de l'opération d'API ListDrgRouteRules. Lorsque ce routage est propagé vers un autre DRG via un RPC ou publié sur le réseau sur site à l'aide de BGP, il apparaît sous la forme d'un ensemble de règles littérales. Pour obtenir la liste de ces plages, reportez-vous à Adresses IP publiques pour les réseaux cloud virtuels et Oracle Services Network.

Cette section décrit plus en détail comment l'attribut AS_PATH BGP peut être utilisé pour influencer la sélection de routage dans le contexte d'une table de routage de passerelle de routage dynamique unique.

Si les routages des différents chemins sont identiques, Oracle utilise le chemin AS le plus court lors de l'envoi du trafic vers le réseau sur site, quel que soit le chemin utilisé pour démarrer la connexion à Oracle. Par conséquent, le routage asymétrique est autorisé. Ici, le routage asymétrique signifie que la réponse d'Oracle à une demande peut suivre un chemin différent de celui de la demande. Par exemple, selon la configuration de l'appareil en périphérie (également appelé CPE), vous pouvez envoyer une demande sur le VPN site à site, mais la réponse d'Oracle peut revenir sur FastConnect. Pour forcer la symétrie du routage, nous vous recommandons d'utiliser le préfixe de chemin BGP et AS avec des routages afin d'influencer le chemin utilisé par Oracle lors de la réponse et du démarrage des connexions.

Oracle implémente le préfixe de chemin AS pour établir la préférence sur le chemin à utiliser si le périphérique en périphérie publie les mêmes attributs de routage et de routage sur plusieurs types de connexion différents entre le réseau sur site et le VCN. Les détails sont récapitulés dans le tableau ci-dessous. Sauf si vous influencez le routage d'une autre manière, lorsque le même routage est annoncé sur plusieurs chemins vers le DRG à l'extrémité Oracle des connexions, Oracle préfère les chemins dans l'ordre suivant :

Le tableau précédent suppose que vous envoyez un seul numéro de système autonome dans le chemin AS. Oracle respecte l'intégralité du chemin AS envoyé. Si vous utilisez le routage statique et que vous envoyez également un chemin AS comportant un numéro ASN sur site plus plusieurs autres numéros ASN, cela peut entraîner un comportement inattendu car la préférence de routage d'Oracle peut changer.

Si le comportement de routage statique du VPN basé sur une stratégie a été documenté précédemment, Oracle recommande également, si vous utilisez des connexions FastConnect avec la sauvegarde VPN, d'utiliser BGP sur le VPN basé sur un routage IPSec. Cette stratégie vous donne un contrôle total du comportement de basculement.

Vous pouvez configurer un dispositif en périphérie de sorte à préférer un chemin spécifique lors de l'envoi du trafic du réseau sur site vers Oracle. La section suivante décrit une situation particulière dans laquelle vous devez procéder à cette configuration pour vous assurer de la cohérence du chemin du trafic si les hôtes sur site utilisent les services Oracle.

Le réseau sur site peut accéder aux services Oracle Services Network publics tels qu'Object Storage sur plusieurs chemins. Vous pouvez utiliser des chemins publics, comme Internet ou FastConnect l'appairage public. Grâce à ces chemins publics, les hôtes sur site communiquent avec les services Oracle à l'aide d'adresses IP publiques.

Vous pouvez également configurer le réseau sur site avec un accès privé aux services Oracle via la passerelle de service du VCN. Une passerelle de service permet aux hôtes du réseau sur site d'utiliser l'un des services répertoriés dans Passerelle de service : services cloud pris en charge dans Oracle Services Network et de communiquer avec ces services Oracle à partir d'adresses IP privées.

Si vous avez configuré le réseau sur site avec plusieurs chemins de connexion aux services Oracle, le périphérique en périphérie peut recevoir une publication de routage des routages d'adresse IP publique des services Oracle sur plusieurs chemins. Voici les chemins que vous pouvez utiliser avec le réseau sur site :

• Chemins d'accès publics :
  • Fournisseur de services Internet
  • FastConnect appairage public
• Chemins d'accès privés via la passerelle de routage dynamique et la passerelle de service du réseau cloud virtuel :
  • FastConnect appairage privé
  • VPN site à site

Le périphérique en périphérie reçoit des annonces de routage du DRG et éventuellement des routeurs sur des chemins publics. La plupart des acheminements pour les services Oracle publiés par DRG ont un préfixe plus long (ils sont plus spécifiques) que les acheminements pour les services Oracle publiés sur les chemins d'accès publics. Par conséquent, si vous configurez le réseau avec un accès public et un accès privé aux services Oracle, vous devez configurer le périphérique en périphérie de manière à préférer le chemin d'accès privé au DRG pour le trafic du réseau sur site vers les services Oracle. La configuration de l'accès public et privé garantit un chemin cohérent pour l'accès aux services Oracle.

Pour consulter la liste des plages d'adresses IP publiques publiées sur l'appareillage public FastConnect, reportez-vous àRoutages publiés via l'appairage public FastConnect.

Pour obtenir la liste des plages d'adresses IP publiques régionales publiées sur les chemins privés (pour un réseau cloud virtuel avec une passerelle de service), reportez-vous à Adresses IP publiques pour les réseaux cloud virtuels et Oracle Services Network.

Le filtrage de routage vous permet de décider quels routages sont inclus dans les annonces BGP vers le réseau sur site. Le document RFC 5291 fournit des informations plus générales sur le filtrage de routage et la publication BGP des routages.

Les circuits virtuels privés et le VPN site à site ne prennent pas en charge le filtrage de routage. Les circuits virtuels publics sur FastConnect publient les routages en fonction des paramètres de filtrage de routage sélectionnés, qui définissent la portée des routages partagés. Les options disponibles sont les suivantes :

• Régional : publie uniquement les routages publics disponibles utilisés par les plages d'adresses IP éphémères, les plages d'adresses IP réservées et Oracle Services Network pour la région de ce circuit virtuel sur le réseau sur site.
• Market : publie les routages publics disponibles utilisés par les plages d'adresses IP éphémères, les plages d'adresses IP réservées et OSN pour la région de ce circuit virtuel, ainsi que les routages vers le réseau sur site d'autres régions de la même partie du monde. Il s'agit du paramètre par défaut. Les régions disponibles dans chacun des quatre marchés sont présentées dans des tableaux et sur une carte dans l'article Routages publiés via l'appairage public FastConnect.
• Global : publie les routages publics disponibles utilisés par les plages d'adresses IP éphémères, les plages d'adresses IP réservées et OSN pour toutes les régions de tous les marchés du cloud Oracle vers le réseau sur site.
• Oracle Services Network : publie uniquement les routages publics utilisés par les ressources OSN de la région locale vers le réseau sur site.

Vous pouvez sélectionner des options de filtrage de routage lorsque vous configurez un circuit virtuel FastConnect. Les détails varient selon que vous utilisez un partenaire FastConnect, un fournisseur tiers ou une colocalisation.

Pour plus d'informations, reportez-vous aux ressources suivantes :

• Guide pour la redondance de la connectivité (PDF)
• Bonnes pratiques pour le VPN site à site (IPSec) (PDF)
• Meilleures pratiques pour la redondance FastConnect