Présentation du VPN site à site

Le VPN site à site fournit une connexion IPSec site à site entre votre réseau sur site et votre réseau cloud virtuel. La suite de protocoles IPSec crypte le trafic IP avant que les paquets ne soient transférés de la source vers la destination, et décrypte le trafic lorsqu'il arrive. Le VPN site à site était précédemment appelé VPN Connect et VPN IPSec.

Les autres solutions VPN sécurisées incluent OpenVPN, une solution VPN client accessible dans Oracle Marketplace. OpenVPN connecte des appareils à votre réseau cloud virtuel, mais pas à des sites ou à des réseaux entiers.

Cette rubrique offre un aperçu d'un VPN site à site pour le réseau cloud virtuel. Pour consulter des scénarios comprenant un VPN site à site, reportez-vous à Scénario B : sous-réseau privé avec un VPN et à Scénario C : sous-réseaux public et privé avec un VPN.

Pour obtenir des informations sur les limites, reportez-vous à Limites de VPN site à site et à Demande d'augmentation de limite de service.

Connaissances et personnel requis

En général, les personnes suivantes sont impliquées dans la configuration des VPN site à site avec Oracle Cloud Infrastructure :

Membre de l'équipe DevOps (ou fonction similaire) qui utilise la console Oracle Cloud Infrastructure afin de configurer les composants cloud requis pour le réseau virtuel et le VPN site à site.
Ingénieur réseau (ou fonction similaire) qui configure le dispositif CPE (Customer-Premises Equipment) avec les informations fournies par le membre de l'équipe DevOps.

Conseil

Le membre de l'équipe DevOps doit disposer des droits d'accès requis pour créer et gérer les composants cloud. Si la personne est l'administrateur par défaut de votre location Oracle Cloud Infrastructure ou un membre du groupe Administrateurs, elle dispose des droits d'accès requis. Pour plus d'informations sur la restriction de l'accès aux composants de fonctions de réseau, reportez-vous à Contrôle d'accès.

Le personnel doit connaître les définitions et les concepts suivants :

Principes de base d'Oracle Cloud Infrastructure décrits dans Bienvenue dans Oracle Cloud Infrastructure
Composants de base du service Networking
Fonctionnalités générales des tunnels IPSec

Ressources cloud: Tout élément que vous provisionnez sur une plate-forme cloud. Par exemple, avec Oracle Cloud Infrastructure, une ressource cloud peut faire référence à un réseau cloud virtuel, à une instance de calcul, à un utilisateur, à un compartiment, à un équilibreur de charge ou à tout autre composant de service sur la plate-forme.
Sur site: Terme largement utilisé dans les technologies cloud et qui fait référence aux environnements de centre de données classiques. "Sur site" peut faire référence à un scénario de colocalisation, à un espace au sol dédié, à une installation de centre de données dédiée ou à un bureau exécuté sur un ordinateur.
Identificateur Oracle Cloud (OCID): Identificateur unique affecté à chaque ressource que vous provisionnez sur Oracle Cloud Infrastructure. L'OCID est une chaîne longue qu'Oracle génère automatiquement. Vous ne pouvez pas choisir la valeur d'un OCID ni modifier l'OCID d'une ressource. Pour plus d'informations, reportez-vous à Identificateurs de ressource.

A propos de la connexion IPSec Oracle

En général, une connexion IPSec peut être configurée dans les modes suivants :

Mode Transport : IPSec crypte et authentifie uniquement la charge utile réelle du paquet. Les informations d'en-tête restent intactes.
Mode Tunnel (pris en charge par Oracle) : IPSec crypte et authentifie la totalité du paquet. Après le cryptage, le paquet est encapsulé pour former un nouveau paquet IP possédant des informations d'en-tête différentes.

Oracle Cloud Infrastructure prend uniquement en charge le mode Tunnel pour les VPN IPSec.

Chaque connexion IPSec Oracle est composée de plusieurs tunnels IPSec redondants. Pour acheminer le trafic d'un tunnel donné, vous pouvez utiliser le routage statique ou le routage dynamique BGP (Border Gateway Protocol). Vous trouverez plus d'informations sur le routage ci-après.

Les tunnels IPSec de VPN site à site offrent les avantages suivants :

Les lignes Internet publiques sont utilisées pour transmettre les données. Ainsi, les lignes spécialisées onéreuses et dédiées d'un site à un autre ne sont pas nécessaires.
Les adresses IP internes des noeuds et des réseaux participants sont masquées pour les utilisateurs externes.
L'intégralité de la communication entre les sites source et de destination est cryptée, ce qui réduit considérablement les risques de vol d'informations.

Routage du VPN site à site

Lorsque vous configurez un VPN site à site, ce dernier possède deux tunnels IPSec redondants. Oracle vous recommande de configurer le dispositif CPE de manière à ce qu'il utilise les deux tunnels (s'il prend en charge cette configuration). Par le passé, Oracle a créé des connexions IPSec comportant jusqu'à quatre tunnels IPSec.

Les trois types de routage suivants sont disponibles. Vous choisissez le type de routage de chaque tunnel IPSec du VPN site à site séparément :

Routage dynamique BGP : les routages disponibles sont appris dynamiquement via BGP. La passerelle de routage dynamique apprend dynamiquement les routages à partir du réseau sur site. Côté Oracle, la passerelle de routage dynamique publie les sous-réseaux du réseau cloud virtuel.
Routage statique : lorsque vous configurez la connexion IPSec à la passerelle de routage dynamique, vous indiquez les routages spécifiques vers le réseau sur site que le réseau cloud virtuel doit connaître. Vous devez également configurer votre dispositif CPE avec des routages statiques vers les sous-réseaux du réseau cloud virtuel. Ces routages ne sont pas appris dynamiquement.
Routage basé sur une stratégie : lorsque vous configurez la connexion IPSec à la passerelle de routage dynamique, vous indiquez les routages spécifiques vers le réseau sur site que le réseau cloud virtuel doit connaître. Vous devez également configurer votre dispositif CPE avec des routages statiques vers les sous-réseaux du réseau cloud virtuel. Ces routages ne sont pas appris dynamiquement.

Détails de routage importants pour un VPN site à site

Voici quelques informations importantes à comprendre sur le routage du VPN site à site :

Options de routage :
- Initialement, le VPN site à site ne prenait en charge que le routage statique et vous deviez fournir au moins un routage statique pour la connexion IPSec globale.
- Il existe maintenant deux types de routage différents (BGP et routage statique). La configuration du type de routage se fait par tunnel. Un seul type de routage est pris en charge à la fois pour un tunnel donné.
- En général, Oracle vous encourage à utiliser le même type de routage pour tous les tunnels de la connexion IPSec. Exception : si vous êtes en train de passer d'un routage statique à un routage BGP, il est possible qu'un tunnel utilise encore le routage statique de façon temporaire alors que l'autre a déjà basculé vers BGP.
- Lorsque vous créez une connexion IPSec, le routage statique est le type de routage par défaut pour tous les tunnels, à moins que vous ne configuriez explicitement chaque tunnel pour utiliser BGP.
Informations de routage requises :
- Si vous choisissez BGP, vous devez fournir pour chaque tunnel deux adresses IP (une pour chaque routeur BGP de la session BGP du tunnel). Les adresses doivent se trouver dans le domaine de cryptage de la connexion IPSec. Vous devez également fournir le numéro de système autonome BGP (numéro ASN BGP) du réseau.
- Si vous choisissez le routage statique, vous devez indiquer au moins un routage (10 au maximum). Les routages statiques sont configurés avec la connexion IPSec globale. Le même ensemble de routages statiques est donc employé pour tous les tunnels de la connexion IPSec qui sont configurés en vue de l'utilisation du routage statique. Vous pouvez changer les routages statiques à tout moment après la création de la connexion IPSec. Si vous effectuez une opération PAT entre votre dispositif CPE et votre réseau cloud virtuel, le routage statique de la connexion IPSec correspond à l'adresse IP PAT. Reportez-vous à Exemple de disposition avec une opération PAT.
- Si vous choisissez le routage statique, vous pouvez éventuellement indiquer une adresse IP pour chaque extrémité du tunnel à des fins de dépannage ou de surveillance de celui-ci.
- Si le tunnel est configuré pour utiliser BGP, les routages statiques de la connexion IPSec sont ignorés. Les éventuels routages statiques associés à la connexion IPSec sont utilisés afin d'acheminer le trafic d'un tunnel donné uniquement si ce dernier est configuré pour utiliser le routage statique. Cela est particulièrement pertinent si vous disposez d'un VPN site à site qui utilise un routage statique, mais que vous souhaitez passer à BGP.
Modification du routage :
- Pour transformer un tunnel de type BGP en tunnel avec un routage statique, vous devez d'abord vous assurer qu'au moins un routage statique est associé à la connexion IPSec.
- Vous pouvez modifier le type de routage d'un tunnel existant à tout moment (sauf si le tunnel est en cours de provisionnement par Oracle). Pendant que vous modifiez le routage, le tunnel reste fonctionnel (son statut IPSec ne change pas). Cependant, le trafic passant par le tunnel est interrompu temporairement pendant le reprovisionnement et lors de la reconfiguration du dispositif CPE. Pour plus d'informations sur l'apport de modifications au VPN site à site, reportez-vous à Utilisation d'un VPN site à site.
- Dans la mesure où vous configurez le type de routage séparément pour chaque tunnel, si vous souhaitez passer votre VPN site à site d'un routage statique à un routage BGP, vous pouvez le faire tunnel par tunnel. Cela permet d'éviter l'arrêt de l'ensemble de la connexion IPSec. Pour obtenir des instructions, reportez-vous à Passage d'un routage statique à un routage dynamique BGP.

Publications de routage et préférences de chemin en cas de connexions multiples

Lorsque vous utilisez BGP, la passerelle de routage dynamique attachée à votre réseau cloud virtuel publie les routages vers le CPE.

Si vous configurez plusieurs connexions entre votre réseau sur site et votre réseau cloud virtuel, vous devez comprendre quels sont les routages publiés par la passerelle de routage dynamique ainsi que le mode de définition des préférences de chemin pour utiliser la connexion voulue.

Pour obtenir des informations importantes, reportez-vous à Détails de routage pour les connexions au réseau sur site.

Préférence pour un tunnel spécifique dans le VPN site à site

Dans un VPN site à site, vous pouvez déterminer le tunnel préféré. Vous pouvez configurer les éléments suivants :

Préférence locale BGP de votre CPE : si vous utilisez BGP, vous pouvez configurer l'attribut de préférence locale BGP sur le dispositif CPE afin de déterminer le tunnel préféré pour les connexions lancées du réseau sur site vers le réseau cloud virtuel. Dans la mesure où Oracle utilise généralement un routage asymétrique, vous devez configurer d'autres attributs si vous souhaitez qu'Oracle réponde sur ce même tunnel. Reportez-vous aux deux éléments suivants.
Routages plus spécifiques sur le tunnel préféré : vous pouvez configurer votre CPE afin qu'il publie des routages plus spécifiques pour le tunnel à privilégier. Oracle utilise le routage dont la correspondance de préfixe est la plus longue pour répondre aux connexions ou les lancer.
Ajout de préfixe de chemin AS : BGP préfère le chemin AS le plus court. Par conséquent, si vous utilisez BGP, vous pouvez employer l'ajout de préfixe de chemin AS afin de déterminer quel tunnel possède le chemin le plus court pour un routage donné. Oracle utilise le chemin AS le plus court pour répondre aux connexions ou les lancer.

Présentation des composants du VPN site à site

Si vous ne connaissez pas bien les composants de base du service Networking, reportez-vous à Networking avant de continuer.

Lorsque vous configurez un VPN site à site pour votre réseau cloud virtuel, vous devez créer plusieurs composants de service Networking. Vous pouvez les créer via la console ou l'API. Reportez-vous au diagramme et à la description des composants qui suivent.

Cette image montre les composants d'un VPN site à site.

Numéro 1 : table de routage de réseau cloud virtuel par défaut
CIDR de destination	Cible du routage
0.0.0.0/0	Passerelle de routage dynamique

Objet CPE: A votre extrémité du VPN site à site se trouve l'appareil réel sur votre réseau sur site (matériel ou logiciel). Le terme CPE (Customer-Premises Equipment) est couramment utilisé dans certains secteurs pour faire référence à ce type d'équipement sur site. Lors de la configuration du VPN, vous devez créer une représentation virtuelle du dispositif. Oracle appelle cette représentation virtuelle un CPE, mais cette documentation utilise généralement le terme objet CPE pour mieux distinguer la représentation virtuelle du dispositif CPE réel. L'objet CPE contient des informations de base concernant le dispositif dont Oracle a besoin. Une adresse IP publique d'objet CPE unique peut comporter jusqu'à 8 connexions IPSec.
Passerelle de routage dynamique: A l'extrémité Oracle du VPN site à site se trouve un routeur virtuel appelé passerelle de routage dynamique. Il s'agit de la passerelle menant à votre réseau cloud virtuel à partir de votre réseau sur site. Que vous utilisiez un VPN site à site ou des circuits virtuels privés Oracle Cloud Infrastructure FastConnect pour connecter votre réseau sur site et votre réseau cloud virtuel, le trafic passe par la passerelle de routage dynamique. Pour plus d'informations, reportez-vous à la section Dynamic Routing Gateways.; Les ingénieurs réseau peuvent envisager la passerelle de routage dynamique comme la tête de réseau VPN. Après avoir créé une passerelle de routage dynamique, vous devez l'attacher au réseau cloud virtuel, à l'aide de la console ou de l'API. Vous devez également ajouter des règles de routage qui acheminent le trafic du réseau cloud virtuel vers la passerelle de routage dynamique. Sans l'attachement de la passerelle de routage dynamique et sans règle de routage, le trafic ne circule pas entre votre réseau cloud virtuel et votre réseau sur site. A tout moment, vous pouvez détacher la passerelle de routage dynamique de votre réseau cloud virtuel, tout en conservant l'ensemble des composants de VPN restants. Vous pouvez ensuite attacher de nouveau la passerelle de routage dynamique ou l'attacher à un autre réseau cloud virtuel.
Connexion IPSec: Après avoir créé l'objet CPE et la passerelle de routage dynamique, vous les connectez en créant une connexion IPSec, que vous pouvez envisager comme un objet parent représentant le VPN site à site. La connexion IPSec a son propre OCID . Lors de la création de ce composant, vous configurez le type de routage à utiliser pour chaque tunnel IPSec et fournissez les informations de routage correspondantes. Une adresse IP publique d'objet CPE unique peut comporter jusqu'à 8 connexions IPSec.
Tunnel: Un tunnel IPSec permet de crypter le trafic entre des adresses IPSec sécurisées. Oracle crée deux tunnels dans chaque connexion IPSec afin d'assurer la redondance. Chaque tunnel possède son propre OCID . Oracle recommande de configurer votre dispositif CPE de sorte qu'il prenne en charge les deux tunnels au cas où l'un d'eux tomberait en panne ou qu'Oracle en mettrait un hors ligne à des fins de maintenance. Chaque tunnel dispose d'informations de configuration dont l'ingénieur réseau a besoin lors de la configuration du dispositif CPE. Ces informations comprennent une adresse IP et une clé secrète partagée, ainsi que des paramètres ISAKMP et IPSec. Vous pouvez utiliser l'application d'aide de configuration de CPE pour collecter les informations dont a besoin l'ingénieur réseau. Pour plus d'informations, reportez-vous à Paramètres IPSec pris en charge et à Dispositifs CPE vérifiés.

Contrôle d'accès des composants

Dans le cadre du contrôle d'accès, lorsque vous configurez le VPN site à site, vous devez spécifier le compartiment dans lequel chacun des composants doit résider. En cas de doute sur le compartiment à utiliser, placez tous les composants dans le même compartiment que le réseau cloud virtuel. Les tunnels IPSec résident toujours dans le même compartiment que la connexion IPSec parent. Pour plus d'informations sur les compartiments et la restriction de l'accès aux composants de fonctions de réseau, reportez-vous à Contrôle d'accès.

Noms et identificateurs de composant

Vous pouvez éventuellement affecter un nom descriptif à chacun des composants lorsque vous les créez. Ces noms ne doivent pas nécessairement être uniques, bien qu'il soit recommandé d'utiliser des noms uniques dans votre location. Evitez de saisir des informations confidentielles. Oracle affecte automatiquement un OCID à chaque composant. Pour plus d'informations, reportez-vous à Identificateurs de ressource.

Si le CPE est derrière un dispositif NAT

En général, l'identificateur IKE CPE configuré au niveau de votre extrémité de la connexion doit correspondre à celui utilisé par Oracle. Par défaut, Oracle utilise l'adresse IP publique du CPE, que vous fournissez lors de la création de l'objet CPE dans la console Oracle. Toutefois, si le CPE se trouve derrière un dispositif NAT, l'identificateur IKE CPE configuré de votre côté peut être l'adresse IP privée du CPE, comme indiqué dans le diagramme suivant.

Cette image montre le CPE derrière un dispositif NAT, les adresses IP publique et privée, et l'identificateur IKE CPE.

Remarque

Certaines plates-formes CPE ne vous autorisent pas à modifier l'identificateur IKE local. Si c'est le cas, vous devez modifier l'ID IKE distant dans la console Oracle pour qu'il corresponde à l'ID IKE local de votre CPE. Vous pouvez fournir cette valeur lors de la configuration de la connexion IPSec ou ultérieurement en modifiant cette dernière. Oracle s'attend à ce que la valeur soit une adresse IP ou un nom de domaine qualifié complet tel que cpe.example.com. Pour obtenir des instructions, reportez-vous à Modification de l'identificateur IKE CPE utilisé par Oracle.

A propos de la clé secrète partagée de tunnel

Chaque tunnel comporte une clé secrète partagée. Par défaut, Oracle affecte la clé secrète partagée au tunnel, sauf si vous en fournissez une vous-même. Vous pouvez fournir une clé secrète partagée pour chaque tunnel lorsque vous créez la connexion IPSec, ou ultérieurement, une fois les tunnels créés. Pour la clé secrète partagée, seuls les chiffres, les lettres et les espaces sont autorisés. Si vous modifiez la clé secrète partagée d'un tunnel existant, celui-ci est arrêté pendant qu'il est reprovisionné.

Pour obtenir des instructions, reportez-vous à Modification de la clé secrète partagée utilisée par un tunnel IPSec.

Ressources de configuration du CPE

L'ingénieur réseau doit configurer le CPE à votre extrémité de la connexion IPSec. Pour simplifier la tâche, Oracle fournit les ressources suivantes :

Application d'aide de configuration de CPE : outil de la console Oracle qui génère du contenu que l'ingénieur réseau peut utiliser lors de la configuration du CPE.
Liste des dispositifs CPE vérifiés : pour chaque dispositif, Oracle fournit des instructions de configuration.
Liste des paramètres IPSec pris en charge : si le CPE ne figure pas sur la liste des dispositifs vérifiés, vous pouvez utiliser cette liste de paramètres pour configurer le CPE.

Pour plus d'informations, reportez-vous également à Configuration du CPE.

Surveillance de votre connexion

Vous pouvez surveiller l'état, la capacité et les performances de vos ressources Oracle Cloud Infrastructure à l'aide de mesures, d'alarmes et de notifications. Pour plus d'informations, reportez-vous à Monitoring et à Notifications.

Pour plus d'informations sur la surveillance de votre connexion, reportez-vous à Mesures de VPN Connect.

Etapes suivantes

Reportez-vous aux rubriques connexes suivantes :

Documentation Oracle Cloud Infrastructure