Configuration du CPE

Cette rubrique concerne les ingénieurs réseau. Elle explique comment configurer l'appareil sur site (CPE, pour Customer-Premises Equipment) à votre extrémité du VPN site à site pour que le trafic puisse circuler entre votre réseau sur site et votre réseau cloud virtuel. Reportez-vous aux rubriques connexes suivantes :

Networking : pour obtenir des informations générales sur les parties d'un réseau cloud virtuel
VPN site à site : pour accéder à plusieurs rubriques sur les VPN IPSec
Dispositifs CPE vérifiés : pour obtenir la liste des dispositifs CPE vérifiés par Oracle

La figure suivante illustre la disposition de base de la connexion IPSec de VPN site à site à l'aide d'Internet. IPSec sur FastConnect est similaire, mais le trafic ne traverse qu'un circuit virtuel privé.

Cette image schématise la disposition générale des tunnels et de la connexion IPSec.

Exigences et prérequis

Vous devez prendre connaissance de quelques exigences et prérequis avant de continuer.

Remarques concernant le routage

Pour consulter des informations importantes sur le routage du VPN site à site, reportez-vous à Routage du VPN site à site.

Oracle utilise un routage asymétrique sur les différents tunnels qui constituent la connexion IPSec. Même si vous configurez un tunnel en tant que tunnel principal et un autre en tant que tunnel de sauvegarde, le trafic de votre réseau cloud virtuel vers votre réseau sur site peut utiliser n'importe quel tunnel démarré sur le dispositif. Configurez les pare-feu en conséquence. Sinon, les tests ping ou le trafic d'application sur la connexion ne fonctionneront pas de façon fiable.

Si vous utilisez un routage dynamique BGP avec votre VPN site à site, vous pouvez configurer le routage de sorte qu'Oracle préfère un tunnel à l'autre.

Si vous voulez utiliser IPSec sur FastConnect, vous ne pouvez pas mettre à jour un objet CPE pour ajouter cette fonctionnalité. La prise en charge doit être établie lors de la configuration initiale du CPE. Les tunnels IPsec et les circuits virtuels de cette connexion ne peuvent pas utiliser les mêmes tables de routage DRG.

La configuration basée sur une stratégie pour Cisco ASA utilise un seul tunnel.

Création de composants de réseau cloud

Vous ou une personne de votre organisation devez avoir déjà utilisé la console Oracle pour créer un réseau cloud virtuel et une connexion IPSec, laquelle comprend plusieurs tunnels IPSec à des fins de redondance. Vous devez collecter les informations suivantes sur ces composants :

OCID de réseau cloud virtuel : l'OCID de réseau cloud virtuel est un identificateur Oracle Cloud Infrastructure unique se terminant par un UUID. Vous pouvez utiliser cet UUID ou toute autre chaîne vous permettant d'identifier ce réseau cloud virtuel dans la configuration du dispositif et n'entrant pas en conflit avec d'autres noms object-group ou access-list.
CIDR de réseau cloud virtuel
Masque de sous-réseau CIDR de réseau cloud virtuel
Pour chaque tunnel IPSec :
- Adresse IP de l'adresse de tunnel IPSec Oracle (tête de réseau VPN)
- Clé secrète partagée

Informations relatives à votre dispositif CPE

Vous avez également besoin d'informations de base sur les interfaces interne et externe de votre dispositif sur site (CPE). Afin d'obtenir la liste des informations requises pour votre CPE, reportez-vous aux liens répertoriés dans cette liste : Dispositifs CPE vérifiés.

Par défaut, NAT-T est activé sur tous les tunnels IPSec de VPN site à site. Oracle recommande de laisser NAT-T activé lors de la configuration d'un VPN site à site vers OCI.

Si votre CPE se trouve derrière un dispositif NAT, vous pouvez fournir son identificateur IKE à Oracle. Pour plus d'informations, reportez-vous à Présentation des composants du VPN site à site.

Une adresse IP publique d'objet CPE unique peut comporter jusqu'à 8 connexions IPSec.

Configuration IPSec basée sur un routage ou sur une stratégie

Les têtes de réseau du VPN Oracle utilisent des tunnels basés sur un routage mais peuvent fonctionner avec des tunnels basés sur une stratégie, donnant lieu à des avertissements. Pour plus d'informations, reportez-vous à Domaines de cryptage pour les tunnels basés sur une stratégie.

Meilleures pratiques pour le VPN site à site

Configuration de tous les tunnels pour chaque connexion IPSec : Oracle déploie pour toutes vos connexions plusieurs têtes de réseau IPSec afin d'offrir une haute disponibilité à vos charges globales stratégiques. La configuration de tous les tunnels disponibles est une notion clé de la philosophie "Design for Failure". (Exception : la configuration basée sur une stratégie pour Cisco ASA, qui utilise un seul tunnel.)
Présence de CPE redondants dans les emplacements sur site : chacun de vos sites se connectant à Oracle Cloud Infrastructure via IPSec doit disposer de dispositifs CPE redondants. Vous ajoutez chaque CPE à la console Oracle Cloud Infrastructure et créez une connexion IPSec distincte entre votre passerelle de routage dynamique et chaque CPE. Pour chaque connexion IPSec, Oracle fournit deux tunnels sur des têtes de réseau IPSec géographiquement redondantes. Oracle peut utiliser n'importe quel tunnel démarré pour renvoyer le trafic sur votre réseau sur site. Pour plus d'informations, reportez-vous à Routage du VPN site à site.
Considération des routages d'agrégation de sauvegarde : si vous disposez de plusieurs sites connectés à Oracle Cloud Infrastructure via des VPN IPSec et que ces sites sont connectés à vos routeurs principaux sur site, envisagez de configurer vos routages de connexion IPSec avec le routage d'agrégation de site local et un routage par défaut.

Les routages de passerelle de routage dynamique appris à partir des connexions IPSec sont uniquement utilisés par le trafic acheminé de votre réseau cloud virtuel à votre passerelle de routage dynamique. Le routage par défaut sera utilisé uniquement par le trafic envoyé à la passerelle de routage dynamique dont l'adresse IP de destination ne correspond pas aux routages plus spécifiques de l'un de vos tunnels.

Vérification du statut de la connexion

Une fois que vous avez configuré la connexion IPSec, vous pouvez la tester en lançant une instance dans le réseau cloud virtuel et en envoyant à cette dernière une commande ping à partir du réseau sur site. Pour plus d'informations sur le lancement d'une instance, reportez-vous à Lancement d'une instance. Pour envoyer une commande ping à l'instance, les règles de sécurité du réseau cloud virtuel doivent autoriser le trafic ping.

Vous pouvez obtenir le statut des tunnels IPSec dans l'API ou la console. Pour obtenir des instructions, reportez-vous à Procédure d'affichage des informations de statut et de configuration des tunnels IPSec.

Configurations d'appareil

Pour obtenir des liens vers les informations de configuration propres à chaque dispositif CPE vérifié, reportez-vous à Dispositifs CPE vérifiés.

Documentation Oracle Cloud Infrastructure