Configuration du CPE
Cette rubrique concerne les ingénieurs réseau. Il explique comment configurer l'appareil sur site (l'équipement client sur site ou CPE) à l'extrémité sur site du VPN site à site afin que le trafic puisse circuler entre un réseau sur site et un réseau cloud virtuel (VCN). Reportez-vous aux rubriques connexes suivantes :
- Networking : pour obtenir des informations générales sur les parties d'un réseau cloud virtuel
- VPN site à site : pour accéder à plusieurs rubriques sur les VPN IPSec
- Dispositifs CPE vérifiés : pour obtenir la liste des dispositifs CPE vérifiés par Oracle
La figure suivante illustre la disposition de base de connexion IPSec de VPN site à site à l'aide d'Internet. IPSec sur FastConnect est similaire, mais le trafic ne traverse qu'un circuit virtuel privé.
Exigences et prérequis
Vous devez prendre connaissance de certaines exigences et prérequis avant de continuer.
Remarques concernant le routage
Pour consulter des détails importants sur le routage du VPN site-à-site, reportez-vous à Routage pour le VPN site-à-site.
Si vous utilisez le routage dynamique BGP avec un VPN site à site, vous pouvez configurer un routage de sorte qu'Oracle préfère un tunnel à l'autre.
Pour utiliser IPSec sur FastConnect, vous ne pouvez pas mettre à jour un objet CPE pour ajouter cette fonctionnalité. Au lieu de cela, le support doit être établi lors de la configuration initiale du CPE. Les tunnels IPSec et les circuits virtuels de cette connexion ne peuvent pas non plus utiliser les mêmes tables de routage DRG.
La configuration basée sur une stratégie pour Cisco ASA utilise un seul tunnel.
Création de composants de réseau cloud
Vous ou un membre de votre organisation devez déjà avoir utilisé la console Oracle pour créer un VCN et une connexion IPSec, qui consiste en au moins deux tunnels IPSec à des fins de redondance. Vous devez collecter les informations suivantes sur ces composants :
- OCID de VCN : l'OCID du VCN est un identificateur Oracle Cloud Infrastructure unique qui a un UUID à la fin. Vous pouvez utiliser cet UUID ou toute autre chaîne vous permettant d'identifier ce réseau cloud virtuel dans la configuration du dispositif et n'entrant pas en conflit avec d'autres noms object-group ou access-list.
- CIDR de réseau cloud virtuel
- Masque de sous-réseau CIDR de réseau cloud virtuel
-
Pour chaque tunnel IPSec :
- Adresse IP de l'adresse de tunnel IPSec Oracle (tête de réseau VPN)
- Clé secrète partagée
Informations sur le périphérique CPE sur site
Vous avez également besoin d'informations de base concernant les interfaces interne et externe de votre dispositif sur Site (CPE). Afin d'obtenir la liste des informations requises pour un CPE particulier, reportez-vous aux liens suivants dans cette liste : Dispositifs CPE vérifiés.
Par défaut, NAT-T est activé sur tous les tunnels IPSec de VPN site-à-site. Nous vous recommandons de laisser NAT-T activé lorsque vous configurez un VPN site à site vers OCI.
Si le CPE est situé derrière un dispositif NAT, vous pouvez fournir à Oracle son identificateur IKE. Pour plus d'informations, reportez-vous à Présentation des composants du VPN site à site.
Une adresse IP publique d'objet CPE unique peut comporter jusqu'à 8 connexions IPSec.
Par rapport à IPSec basé sur une stratégie
Les têtes de réseau du VPN Oracle utilisent des tunnels basés sur un routage mais peuvent fonctionner avec des tunnels basés sur une stratégie, donnant lieu à des avertissements. Pour plus d'informations, reportez-vous à Domaines de cryptage pour les tunnels basés sur une stratégie.
Meilleures pratiques pour le VPN site à site
- Configurer de tous les tunnels pour chaque connexion IPSec : Oracle déploie plusieurs têtes de réseau IPSec pour les connexions afin d'offrir une haute disponibilité à des charges globales stratégiques. La configuration de tous les tunnels disponibles est une notion clé de la philosophie "Design for Failure". (Exception : la configuration basée sur une stratégie pour Cisco ASA, qui utilise un seul tunnel.)
- Avoir des CPE redondants dans les emplacements sur site : nous recommandons que chaque site qui se connecte à IPSec avec Oracle Cloud Infrastructure dispose de dispositifs CPE redondants. Vous ajoutez chaque CPE à la console Oracle Cloud Infrastructure et créez une connexion IPSec distincte entre une passerelle de routage dynamique (DRG) et chaque CPE. Pour chaque connexion IPSec, Oracle fournit deux tunnels sur des têtes de réseau IPSec géographiquement redondantes. Oracle peut utiliser n'importe quel tunnel actif pour renvoyer le trafic vers un réseau sur site. Pour plus d'informations, reportez-vous à Routage du VPN site à site.
-
Envisagez des routages d'agrégation de sauvegarde : si plusieurs sites sont connectés via un VPN site à site à Oracle Cloud Infrastructure et que ces sites sont connectés à des routeurs dorsaux sur site, envisagez de configurer les routages de connexion IPSec avec le routage d'agrégation de site local et un routage par défaut.
Notez que les routages DRG appris à partir des connexions IPSec sont uniquement utilisés par le trafic que vous acheminez d'un VCN vers le DRG. La route par défaut est uniquement utilisée par le trafic envoyé au DRG dont l'adresse IP de destination ne correspond à aucune des routes plus spécifiques des tunnels.
Vérification du statut de la connexion
Après avoir configuré la connexion IPSec, vous pouvez tester la connexion en créant une instance Compute dans le VCN, puis en envoyant une commande ping à partir d'un réseau sur site. Pour plus d'informations sur la création d'une instance Compute, reportez-vous à Lancement d'une instance. Pour envoyer une commande ping à l'instance, les règles de sécurité du réseau cloud virtuel doivent autoriser le trafic ping.
Vous pouvez obtenir le statut des tunnels IPSec dans l'API ou la console. Pour obtenir des instructions, reportez-vous à Obtention des détails d'un tunnel IPSec.
Configurations d'appareil
Pour obtenir des liens vers les informations de configuration propres à chaque dispositif CPE vérifié, reportez-vous à Dispositifs CPE vérifiés.