Création d'une connexion IPSec

Le service VPN site à site vous permet de créer une connexion IPSec contenant des tunnels IPSec qui connectent en toute sécurité Oracle Cloud Infrastructure à un réseau sur site.

Avant de créer une connexion IPSec pour un VPN site à site, consultez la section Configuration d'un VPN site à site et planifiez le VPN site à site. Consultez également Utilisation d'un VPN site à site.

  • Entrer les informations de connexion IPSec

    Cette section présente les informations de base relatives à la connexion IPSec. Les sections suivantes couvrent les spécificités qui dépendent des trois types de routage que vous sélectionnez pour ce tunnel.

    Vous pouvez considérer un objet de connexion IPSec comme contenant ses propres métadonnées et les informations de configuration des tunnels IPSec qu'il contient.

    1. Sur la page de liste VPN site à site, sélectionnez Créer une connexion IPSec. Si vous avez besoin d'aide pour trouver la page de liste, reportez-vous à Liste des connexions IPSec.
    2. Saisissez le nom descriptif de la connexion IPSec. Ce nom ne doit pas nécessairement être unique et peut être modifié ultérieurement. Evitez de saisir des informations confidentielles.
    3. Sélectionnez un compartiment pour la connexion IPSec. Par défaut, il s'agit du compartiment le plus récemment utilisé. Il s'agit probablement du même compartiment que le VCN contenant les ressources à mettre à la disposition du réseau sur site.
    4. Sélectionnez le compartiment contenant l'objet CPE à associer à la connexion IPSec, puis sélectionnez l'objet CPE.
      Si vous configurez IPSec sur FastConnect, le CPE que vous sélectionnez doit avoir un libellé confirmant que IPSec sur FastConnect est activé pour ce CPE. Le routage BGP est préféré pour les connexions qui utilisent IPSec sur FastConnect.
    5. Si le CPE est situé derrière un périphérique NAT, cochez la case appropriée.

      Si la case est cochée, fournissez les informations suivantes :

      • Type d'identificateur IKE CEPE : sélectionnez le type d'identificateur utilisé par IKE (Internet key exchange) pour identifier l'appareil CPE. Un nom de domaine qualifié complet ou une adresse IPv4 peut être un identificateur.
      • Identificateur IKE CEPE : saisissez les informations qu'IKE utilise pour identifier l'appareil CPE. Par défaut, Oracle utilise l'adresse IP publique du CPE. Si le CPE se trouve derrière un dispositif NAT, vous devrez peut-être saisir une autre valeur. Vous pouvez saisir la nouvelle valeur ici ou la modifier ultérieurement.
    6. Sélectionnez le compartiment contenant le DRG à associer à la connexion IPSec, puis sélectionnez le DRG. Ce DRG doit déjà être attaché au VCN que vous souhaitez mettre à la disposition d'un réseau sur site.
    7. (Facultatif) Si vous avez l'intention d'utiliser un routage statique pour l'un des tunnels, entrez au moins un routage dans le champ Routes vers votre réseau sur site. Sinon, ignorez cette option.
      Vous pouvez entrer jusqu'à 10 routages statiques et les modifier ultérieurement. Les routages correspondent aux CIDR VCN avec lesquels vous souhaitez que le réseau sur site se connecte.

    Configurez ensuite les deux tunnels IPSec. Si le périphérique CPE réel ne prend en charge qu'un seul tunnel IPSec par connexion, la configuration du tunnel 2 est facultative. La façon dont vous configurez les tunnels dépend de la méthode de routage que vous prévoyez d'utiliser. Sélectionnez donc la section correspondante.

    Configuration d'un tunnel pour le routage BGP

    Configuration d'un tunnel pour le routage BGP

    Entrez les informations suivantes dans la section appropriée pour le tunnel 1 et le tunnel 2.

    1. Entrez le nom descriptif du tunnel. Ce nom ne doit pas nécessairement être unique et peut être modifié ultérieurement. Evitez de saisir des informations confidentielles.
    2. (Facultatif) Cochez la case et entrez une clé secrète partagée personnalisée.
      Par défaut, Oracle indique la clé secrète partagée pour le tunnel. Pour le fournir vous-même, cochez cette case et entrez la clé secrète partagée. Vous pouvez modifier la clé secrète partagée ultérieurement.
    3. Sélectionnez la version IKE (Internet Key Exchange) à utiliser pour ce tunnel. Sélectionnez l'option IKEv2 uniquement si le CPE la prend en charge. Vous devez également configurer le CPE afin qu'il n'utilise qu'IKEv2 pour ce tunnel.
    4. Sélectionnez le type de routage Routage dynamique BGP.
    5. Si le CPE sélectionné précédemment prend en charge IPSec sur FastConnect, les paramètres suivants sont requis :
      • Adresse IP de la tête de réseau du tunnel Oracle : entrez l'adresse IP de l'adresse de tunnel Oracle IPSec (la tête de réseau du VPN). Oracle utilise l'adresse IP VPN en tant que routage d'hôte /32 à l'aide de la session BGP FastConnect. Si des adresses se chevauchent avec un routage VCN, cela est prioritaire en raison de la correspondance de préfixe la plus longue.
      • Circuit virtuel associé : sélectionnez un circuit virtuel qui a été activé pour IPSec sur FastConnect lors de sa création. Le tunnel est mis en correspondance avec le circuit virtuel choisi et l'adresse IP de tête de réseau définie n'est accessible qu'à partir de l'environnement sur site via le circuit virtuel associé.
      • Table de routage DRG : sélectionnez ou créez une table de routage DRG. Pour éviter tout problème de routage récursif, l'attachement de circuit virtuel et l'attachement de tunnel IPSec utilisés pour IPSec sur FastConnect doivent utiliser des tables de routage DRG différentes.
    6. Entrez le numéro ASN BGP du réseau sur site.
    7. Entrez l'adresse IPv4 BGP avec le masque de sous-réseau (/30 ou /31) pour l'extrémité CPE du tunnel (IPv4, interface de tunnel interne - CPE). Par exemple : 10.0.0.16/31. L'adresse IP doit Faire partie du domaine de cryptage du VPN site à site.
    8. Entrez l'adresse IPv4 BGP avec le masque de sous-réseau (/30 ou /31) pour l'extrémité Oracle du tunnel (interface IPv4 du tunnel interne - Oracle). Par exemple : 10.0.0.17/31. L'adresse IP doit Faire partie du domaine de cryptage du VPN site à site.
    9. (Facultatif) Si vous prévoyez d'utiliser IPv6 et IPv4, sélectionnez Activer IPv6 et entrez les détails suivants :
      • IPv6 Interface de tunnel interne - CPE : entrez l'adresse IPv6 BGP avec le masque du sous-réseau (/126) pour l'extrémité CPE du tunnel. Par exemple : 2001:db2::6/126. L'adresse IP doit Faire partie du domaine de cryptage du VPN site à site.
      • IPv6 Interface de tunnel interne - Oracle : entrez l'adresse IP BGP avec le masque du sous-réseau (/126) pour l'extrémité Oracle du tunnel. Par exemple : 2001:db2::7/126. L'adresse IP doit Faire partie du domaine de cryptage du VPN site à site.
    10. (Facultatif) Si vous sélectionnez Afficher des options avancées, vous pouvez modifier les paramètres suivants pour le tunnel :
      • Initiation Oracle IKE : ce paramètre indique si l'extrémité Oracle de la connexion IPSec peut démarrer le tunnel IPSec. La valeur par défaut est Initiateur ou répondeur. Vous pouvez également décider de définir l'extrémité Oracle en qualité de répondeur uniquement. L'appareil CPE doit alors démarrer le tunnel IPSec. Nous vous recommandons de conserver le paramétrage par défaut de cette option.
      • NAT-T activé : ce paramètre indique si l'appareil CPE est derrière un appareil NAT. La valeur par défaut est Auto. Les autres options sont Désactivé et Activé. Nous vous recommandons de conserver le paramétrage par défaut de cette option.
      • Activer le délai d'expiration de l'analyse DPD : lorsque vous sélectionnez cette option, vous pouvez vérifier régulièrement la stabilité de l'opération de connexion au CPE et détecter que le CPE est arrêté. Si vous sélectionnez cette option, vous pouvez également sélectionner l'intervalle le plus long devant s'écouler entre les messages d'état de l'appareil CPE pour que la connexion IPSec indique qu'elle a perdu le contact avec le CPE. La valeur par défaut est 20 secondes. Nous vous recommandons de conserver le paramétrage par défaut de cette option.
    11. (Facultatif) Si vous développez la section Configuration de la première phase (ISAKMP) et sélectionnez Définir des options personnalisées, vous pouvez définir les paramètres facultatifs suivants (vous devez sélectionner l'une de ces options) :
      • Algorithmes de cryptage personnalisés : vous pouvez sélectionner l'une des options du menu déroulant.
      • Algorithmes d'authentification personnalisés : vous pouvez sélectionner l'une des options du menu déroulant.
      • Groupes Diffie-Hellman : vous pouvez choisir entre les options fournies dans le menu déroulant.

      Si la case Définir des configurations personnalisées n'est pas cochée, les paramètres par défaut sont proposés. Vous pouvez toujours sélectionner la durée de vie de la clé de session IKE en secondes. La valeur par défaut est 28800, soit 8 heures.

      Pour mieux comprendre ces options, y compris les propositions par défaut, reportez-vous à Paramètres IPSec pris en charge.

    12. Si vous développez les options Configuration de la phase deux (IPSec) et sélectionnez Définir des options personnalisées, vous pouvez définir les paramètres facultatifs suivants pour le tunnel (vous devez sélectionner un algorithme de cryptage) :
      • Algorithmes de cryptage personnalisés : vous pouvez sélectionner l'une des options du menu déroulant. Si vous sélectionnez un algorithme de cryptage AES-CBC, vous devez également sélectionner un algorithme d'authentification.
      • Algorithmes d'authentification personnalisés : vous pouvez sélectionner l'une des options du menu déroulant. L'algorithme de cryptage choisi peut disposer d'une authentification intégrée, auquel cas aucune option n'est sélectionnable.

      Si la case Définir des configurations personnalisées n'est pas cochée, les paramètres par défaut sont proposés. Vous pouvez toujours modifier les paramètres suivants :

      • IPSec Durée de vie de l' clé de session en secondes : la date par défaut est 3600, ce qui équivaud à 1 heure.
      • Activer la confidentialité persistante : par défaut, cette option est activée. Il vous permet de sélectionner le groupe Diffie-Hellman de confidentialité persistante. Vous pouvez sélectionner l'une des options du menu déroulant. Si vous n'effectuez pas de sélection, GROUP5 est proposé.

      Pour toutes les options de la phase deux, la sélection d'une seule option remplace l'ensemble par défaut et constitue la seule option proposée au dispositif CPE.

    13. Pour Tunnel 2, vous pouvez utiliser les mêmes options qu'elles décrites pour Tunnel 1. Vous pouvez également sélectionner différentes options ou décider de ne pas configurer le tunnel car le périphérique CPE ne prend en charge qu'un seul tunnel.
    14. Lorsque vous avez terminé, sélectionnez Créer une connexion IPSec.
    15. Copiez l'adresse IP du VPN Oracle et la clé secrète partagée pour chaque tunnel vers un courriel ou dansun autre emplacement afin que vous puissiez les envoyer à l'ingénieur réseau qui configure l'appareil CPE.

      Vous pouvez consulter les informations de ce tunnel dans la console à tout moment.

    La connexion IPSec est créée et affichée sur la page. Elle présente l'état Provisionnement pendant une courte période.

    Les informations de tunnel affichées sont les suivantes :

    • Adresse IPv4 ou IPv6 du VPN Oracle (pour la tête de réseau du VPN Oracle).
    • Statut IPSec du tunnel (valeurs possibles : Démarré, Arrêté et Arrêté pour maintenance). A ce stade, le statut est Arrêté. L'ingénieur réseau doit configurer l'appareil CPE pour qu'un ou plusieurs tunnels puissent être établis.
    • Statut BGP du tunnel. A ce stade, le statut est Arrêté. L'ingénieur réseau doit configurer le périphérique CPE.

    Pour afficher la clé secrète commune du tunnel, cliquez sur celui-ci pour voir ses détails et cliquez surAfficher en regard de Clé secrète Partagée.

    Vous pouvez également sélectionner l'onglet Phase Details pour afficher les détails de la phase un (ISAKMP) et de la phase deux (IPSec) du tunnel.

    Vous avez créé tous les composants requis pour le VPN site à site. Ensuite, l'ingénieur réseau sur site doit configurer le dispositif CPE avant que le trafic réseau puisse circuler entre le réseau sur site et un VCN.

    Pour plus d'informations, reportez-vous à Configuration du CPE.

    Configuration d'un tunnel pour le routage statique

    Configuration d'un tunnel pour le routage statique

    Remarque

    Nous vous recommandons d'utiliser des connexions IPSec basées sur un routage BGP pour IPSec sur FastConnect.

    Entrez les informations suivantes dans la section appropriée pour le tunnel 1 et le tunnel 2.

    1. Entrez le nom descriptif du tunnel. Ce nom ne doit pas nécessairement être unique et peut être modifié ultérieurement. Evitez de saisir des informations confidentielles.
    2. (Facultatif) Cochez la case et entrez une clé secrète partagée personnalisée.
      Par défaut, Oracle indique la clé secrète partagée pour le tunnel. Pour le fournir vous-même, cochez cette case et entrez la clé secrète partagée. Vous pouvez modifier la clé secrète partagée ultérieurement.
    3. Sélectionnez la version IKE (Internet Key Exchange) à utiliser pour ce tunnel. Sélectionnez l'option IKEv2 uniquement si le CPE la prend en charge. Vous devez également configurer le CPE afin qu'il n'utilise qu'IKEv2 pour ce tunnel.
    4. Sélectionnez le type de routage Routage statique.
    5. Entrez l'adresse IPv4 BGP avec le masque de sous-réseau (/30 ou /31) pour l'extrémité CPE du tunnel (IPv4, interface de tunnel interne - CPE). Par exemple : 10.0.0.16/31. L'adresse IP doit Faire partie du domaine de cryptage du VPN site à site.
    6. Entrez l'adresse IPv4 BGP avec le masque de sous-réseau (/30 ou /31) pour l'extrémité Oracle du tunnel (interface IPv4 du tunnel interne - Oracle). Par exemple : 10.0.0.17/31. L'adresse IP doit Faire partie du domaine de cryptage du VPN site à site.
    7. (Facultatif) Si vous prévoyez d'utiliser IPv6 et IPv4, sélectionnez Activer IPv6 et entrez les détails suivants :
      • IPv6 Interface de tunnel interne - CPE : entrez l'adresse IPv6 BGP avec le masque du sous-réseau (/126) pour l'extrémité CPE du tunnel. Par exemple : 2001:db2::6/126. L'adresse IP doit Faire partie du domaine de cryptage du VPN site à site.
      • IPv6 Interface de tunnel interne - Oracle : entrez l'adresse IP BGP avec le masque du sous-réseau (/126) pour l'extrémité Oracle du tunnel. Par exemple : 2001:db2::7/126. L'adresse IP doit Faire partie du domaine de cryptage du VPN site à site.
    8. (Facultatif) Si vous sélectionnez Afficher des options avancées, vous pouvez modifier les paramètres suivants pour le tunnel :
      • Initiation Oracle IKE : ce paramètre indique si l'extrémité Oracle de la connexion IPSec peut démarrer le tunnel IPSec. La valeur par défaut est Initiateur ou répondeur. Vous pouvez également décider de définir l'extrémité Oracle en qualité de répondeur uniquement. L'appareil CPE doit alors démarrer le tunnel IPSec. Nous vous recommandons de conserver le paramétrage par défaut de cette option.
      • NAT-T activé : ce paramètre indique si l'appareil CPE est derrière un appareil NAT. La valeur par défaut est Auto. Les autres options sont Désactivé et Activé. Nous vous recommandons de conserver le paramétrage par défaut de cette option.
      • Activer le délai d'expiration de l'analyse DPD : lorsque vous sélectionnez cette option, vous pouvez vérifier régulièrement la stabilité de l'opération de connexion au CPE et détecter que le CPE est arrêté. Si vous sélectionnez cette option, vous pouvez également sélectionner l'intervalle le plus long devant s'écouler entre les messages d'état de l'appareil CPE pour que la connexion IPSec indique qu'elle a perdu le contact avec le CPE. La valeur par défaut est 20 secondes. Nous vous recommandons de conserver le paramétrage par défaut de cette option.
    9. (Facultatif) Si vous développez la section Configuration de la première phase (ISAKMP) et sélectionnez Définir des options personnalisées, vous pouvez définir les paramètres facultatifs suivants (vous devez sélectionner l'une de ces options) :
      • Algorithmes de cryptage personnalisés : vous pouvez sélectionner l'une des options du menu déroulant.
      • Algorithmes d'authentification personnalisés : vous pouvez sélectionner l'une des options du menu déroulant.
      • Groupes Diffie-Hellman : vous pouvez choisir entre les options fournies dans le menu déroulant.

      Si la case Définir des configurations personnalisées n'est pas cochée, les paramètres par défaut sont proposés. Vous pouvez toujours sélectionner la durée de vie de la clé de session IKE en secondes. La valeur par défaut est 28800, soit 8 heures.

      Pour mieux comprendre ces options, y compris les propositions par défaut, reportez-vous à Paramètres IPSec pris en charge.

    10. Si vous développez les options Configuration de la phase deux (IPSec) et sélectionnez Définir des options personnalisées, vous pouvez définir les paramètres facultatifs suivants pour le tunnel (vous devez sélectionner un algorithme de cryptage) :
      • Algorithmes de cryptage personnalisés : vous pouvez sélectionner l'une des options du menu déroulant. Si vous sélectionnez un algorithme de cryptage AES-CBC, vous devez également sélectionner un algorithme d'authentification.
      • Algorithmes d'authentification personnalisés : vous pouvez sélectionner l'une des options du menu déroulant. L'algorithme de cryptage choisi peut disposer d'une authentification intégrée, auquel cas aucune option n'est sélectionnable.

      Si la case Définir des configurations personnalisées n'est pas cochée, les paramètres par défaut sont proposés. Vous pouvez toujours modifier les paramètres suivants :

      • IPSec Durée de vie de l' clé de session en secondes : la date par défaut est 3600, ce qui équivaud à 1 heure.
      • Activer la confidentialité persistante : par défaut, cette option est activée. Il vous permet de sélectionner le groupe Diffie-Hellman de confidentialité persistante. Vous pouvez sélectionner l'une des options du menu déroulant. Si vous n'effectuez pas de sélection, GROUP5 est proposé.

      Pour toutes les options de la phase deux, la sélection d'une seule option remplace l'ensemble par défaut et constitue la seule option proposée au dispositif CPE.

    11. Pour Tunnel 2, vous pouvez utiliser les mêmes options qu'elles décrites pour Tunnel 1. Vous pouvez également sélectionner différentes options ou décider de ne pas configurer le tunnel car le périphérique CPE ne prend en charge qu'un seul tunnel.
    12. Lorsque vous avez terminé, sélectionnez Créer une connexion IPSec.
    13. Copiez l'adresse IP du VPN Oracle et la clé secrète partagée pour chaque tunnel vers un courriel ou dansun autre emplacement afin que vous puissiez les envoyer à l'ingénieur réseau qui configure l'appareil CPE.

      Vous pouvez consulter les informations de ce tunnel dans la console à tout moment.

    La connexion IPSec est créée et affichée sur la page. Elle présente l'état Provisionnement pendant une courte période.

    Les informations de tunnel affichées sont les suivantes :

    • Adresse IP du VPN Oracle (pour la tête de réseau du VPN Oracle).
    • Statut IPSec du tunnel (valeurs possibles : Démarré, Arrêté et Arrêté pour maintenance). A ce stade, le statut est Arrêté. Un ingénieur réseau doit toujours configurer le périphérique CPE.

    Pour afficher la clé secrète commune du tunnel, cliquez sur celui-ci pour voir ses détails et cliquez surAfficher en regard de Clé secrète Partagée.

    Vous avez créé tous les composants requis pour le VPN site à site. Ensuite, l'ingénieur réseau sur site doit configurer le dispositif CPE avant que le trafic réseau puisse circuler entre le réseau sur site et un VCN.

    Pour plus d'informations, reportez-vous à Configuration du CPE.

    Configuration d'un tunnel pour le routage basé sur une stratégie

    Configuration d'un tunnel pour le routage basé sur une stratégie

    Remarque

    Nous vous recommandons d'utiliser des connexions IPSec basées sur un routage BGP pour IPSec sur FastConnect.
    Remarque

    L'option de routage basé sur des stratégies n'est pas disponible dans tous les AD et risque de nécessiter la création d'un tunnel IPSec.

    Entrez les informations suivantes dans la section appropriée pour le tunnel 1 et le tunnel 2.

    1. Entrez le nom descriptif du tunnel. Ce nom ne doit pas nécessairement être unique et peut être modifié ultérieurement. Evitez de saisir des informations confidentielles.
    2. (Facultatif) Cochez la case et entrez une clé secrète partagée personnalisée.
      Par défaut, Oracle indique la clé secrète partagée pour le tunnel. Pour le fournir vous-même, cochez cette case et entrez la clé secrète partagée. Vous pouvez modifier la clé secrète partagée ultérieurement.
    3. Sélectionnez la version IKE (Internet Key Exchange) à utiliser pour ce tunnel. Sélectionnez l'option IKEv2 uniquement si le CPE la prend en charge. Vous devez également configurer le CPE afin qu'il n'utilise qu'IKEv2 pour ce tunnel.
    4. Sélectionnez le type de routage Routage basé sur une stratégie.
    5. Dans la section Associations, entrez les informations dans les champs appropriés :
      • Blocs CIDR sur site : vous pouvez fournir plusieurs blocs de préfixe IPv4 CIDR ou IPv6 utilisés par les ressources du réseau sur site, le routage étant déterminé par les stratégies de dispositif CPE.
        Remarque

        Reportez-vous à Domaines de cryptage pour les tunnels basés sur une stratégie afin de connaître les limites qui s'appliquent au nombre de blocs CIDR IPv4 ou de préfixes IPv6 utilisés.
      • Blocs CIDR Oracle Cloud : vous pouvez fournir plusieurs blocs CIDRIPv4 CIDR ou préfixes IPv4 IPv6 utilisés par les ressources dans un VCN.
        Remarque

        Reportez-vous à Domaines de cryptage pour les tunnels basés sur une stratégie afin de connaître les limites qui s'appliquent au nombre de blocs CIDR IPv4 ou de préfixes IPv6 utilisés.
    6. (Facultatif) Si vous le souhaitez pour le dépannage ou la surveillance, entrez les informations dans les champs suivants :
      • IPv4, interface de tunnel interne - CPE : vous pouvez indiquer une adresse IP avec un masque de sous-réseau (/30 ou /31) pour l'extrémité CPE du tunnel. Par exemple : 10.0.0.16/31.
      • Interface de tunnel externe - Oracle (facultatif) : vous pouvez fournir une adresse IP avec le masque de sous-réseau (/30 ou /31) pour l'extrémité Oracle du tunnel. Par exemple : 10.0.0.17/31.

      Ces adresses IP doivent être intégrées à l'un des domaines de cryptage du VPN site à site.

    7. (Facultatif) Si vous sélectionnez Afficher des options avancées, vous pouvez modifier les paramètres suivants pour le tunnel :
      • Initiation Oracle IKE : ce paramètre indique si l'extrémité Oracle de la connexion IPSec peut démarrer le tunnel IPSec. La valeur par défaut est Initiateur ou répondeur. Vous pouvez également décider de définir l'extrémité Oracle en qualité de répondeur uniquement. L'appareil CPE doit alors démarrer le tunnel IPSec. Nous vous recommandons de conserver le paramétrage par défaut de cette option.
      • NAT-T activé : ce paramètre indique si l'appareil CPE est derrière un appareil NAT. La valeur par défaut est Auto. Les autres options sont Désactivé et Activé. Nous vous recommandons de conserver le paramétrage par défaut de cette option.
      • Activer le délai d'expiration de l'analyse DPD : lorsque vous sélectionnez cette option, vous pouvez vérifier régulièrement la stabilité de l'opération de connexion au CPE et détecter que le CPE est arrêté. Si vous sélectionnez cette option, vous pouvez également sélectionner l'intervalle le plus long devant s'écouler entre les messages d'état de l'appareil CPE pour que la connexion IPSec indique qu'elle a perdu le contact avec le CPE. La valeur par défaut est 20 secondes. Nous vous recommandons de conserver le paramétrage par défaut de cette option.
    8. (Facultatif) Si vous développez la section Configuration de la première phase (ISAKMP) et sélectionnez Définir des options personnalisées, vous pouvez définir les paramètres facultatifs suivants (vous devez sélectionner l'une de ces options) :
      • Algorithmes de cryptage personnalisés : vous pouvez sélectionner l'une des options du menu déroulant.
      • Algorithmes d'authentification personnalisés : vous pouvez sélectionner l'une des options du menu déroulant.
      • Groupes Diffie-Hellman : vous pouvez choisir entre les options fournies dans le menu déroulant.

      Si la case Définir des configurations personnalisées n'est pas cochée, les paramètres par défaut sont proposés. Vous pouvez toujours sélectionner la durée de vie de la clé de session IKE en secondes. La valeur par défaut est 28800, soit 8 heures.

      Pour mieux comprendre ces options, y compris les propositions par défaut, reportez-vous à Paramètres IPSec pris en charge.

    9. Si vous développez les options Configuration de la phase deux (IPSec) et sélectionnez Définir des options personnalisées, vous pouvez définir les paramètres facultatifs suivants pour le tunnel (vous devez sélectionner un algorithme de cryptage) :
      • Algorithmes de cryptage personnalisés : vous pouvez sélectionner l'une des options du menu déroulant. Si vous sélectionnez un algorithme de cryptage AES-CBC, vous devez également sélectionner un algorithme d'authentification.
      • Algorithmes d'authentification personnalisés : vous pouvez sélectionner l'une des options du menu déroulant. L'algorithme de cryptage choisi peut disposer d'une authentification intégrée, auquel cas aucune option n'est sélectionnable.

      Si la case Définir des configurations personnalisées n'est pas cochée, les paramètres par défaut sont proposés. Vous pouvez toujours modifier les paramètres suivants :

      • IPSec Durée de vie de l' clé de session en secondes : la date par défaut est 3600, ce qui équivaud à 1 heure.
      • Activer la confidentialité persistante : par défaut, cette option est activée. Il vous permet de sélectionner le groupe Diffie-Hellman de confidentialité persistante. Vous pouvez sélectionner l'une des options du menu déroulant. Si vous n'effectuez pas de sélection, GROUP5 est proposé.

      Pour toutes les options de la phase deux, la sélection d'une seule option remplace l'ensemble par défaut et constitue la seule option proposée au dispositif CPE.

    10. Pour Tunnel 2, vous pouvez utiliser les mêmes options qu'elles décrites pour Tunnel 1. Vous pouvez également sélectionner différentes options ou décider de ne pas configurer le tunnel car le périphérique CPE ne prend en charge qu'un seul tunnel.
    11. Lorsque vous avez terminé, sélectionnez Créer une connexion IPSec.
    12. Copiez l'adresse IP du VPN Oracle et la clé secrète partagée pour chaque tunnel vers un courriel ou dansun autre emplacement afin que vous puissiez les envoyer à l'ingénieur réseau qui configure l'appareil CPE.

      Vous pouvez consulter les informations de ce tunnel dans la console à tout moment.

    La connexion IPSec est créée et affichée sur la page. Elle présente l'état Provisionnement pendant une courte période.

    Les informations de tunnel affichées sont les suivantes :

    • Adresse IP du VPN Oracle (pour la tête de réseau du VPN Oracle).
    • Statut IPSec du tunnel (valeurs possibles : Démarré, Arrêté et Arrêté pour maintenance). A ce stade, le statut est Arrêté. L'ingénieur réseau doit configurer le périphérique CPE pour que le statut puisse changer.

    Pour afficher la clé secrète commune du tunnel, cliquez sur celui-ci pour voir ses détails et cliquez surAfficher en regard de Clé secrète Partagée.

    Vous avez créé tous les composants requis pour le VPN site à site. Ensuite, l'ingénieur réseau sur site doit configurer le dispositif CPE avant que le trafic réseau puisse circuler entre le réseau sur site et un VCN.

    Pour plus d'informations, reportez-vous à Configuration du CPE.

  • Utilisez la commande network ip-sec-connection create et les paramètres requis pour créer une connexion IPSec :

    oci network ip-sec-connection create --compartment-id compartment-ocid --cpe-id cpe-ocid --drg-id drg-ocid  --static-routes complex type ... [OPTIONS]

    L'option --static-routes est uniquement requise lors de l'utilisation du routage statique.

    Pour obtenir la liste complète des paramètres et des valeurs des commandes de la CLI, reportez-vous à Référence des commandes de la CLI.

  • Exécutez l'opération CreateIPSecConnection pour créer une connexion IPSec.