Documentation Oracle Cloud Infrastructure

Présentation du VPN site à site

Le VPN site à site fournit une connexion IPSec entre un réseau sur site et un réseau cloud virtuel (VCN). La suite de protocoles IPSec crypte le trafic IP avant que les paquets ne soient transférés de la source vers la destination, et décrypte le trafic lorsqu'il arrive. Le VPN site à site était précédemment appelé VPN Connect et VPN IPSec.

Les autres solutions VPN sécurisées incluent OpenVPN, une solution VPN client accessible dans Oracle Marketplace. OpenVPN connecte des périphériques individuels à un VCN, mais pas des sites ou des réseaux entiers.

Cette rubrique présente le VPN site à site pour un VCN. Pour connaître les scénarios comprenant le VPN site à page, reportez-vous à la section Scénario B : sous-réseau privé avec un VPN et à la section Scénario C : sous-réseaux public et privé avec un VPN.

Pour obtenir des informations sur les limites, reportez-vous à Limites de VPN site à site et à Demande d'augmentation de limite de service.

Connaissances et personnel requis

En général, les personnes suivantes sont impliquées dans la configuration des VPN site à site avec Oracle Cloud Infrastructure :

  • Membre de l'équipe des opérations de développement (ou fonction similaire) qui utilise Oracle Cloud InfrastructureConsole pour configurer les composants cloud requis pour le réseau virtuel et le VPN site à site.
  • Ingénieur réseau (ou fonction similaire) qui configure le dispositif CPE (Customer-Premises Equipment) avec les informations fournies par le membre de l'équipe DevOps.
Conseil

Le membre de l'équipe DevOps doit disposer des droits d'accès requis pour créer et gérer les composants cloud. Si la personne est l'administrateur par défaut de la location Oracle Cloud Infrastructure ou un membre du groupe Administrateurs, elle dispose des droit d'accès requis. Pour plus d'informations sur la restriction de l'accès aux composants du réseau, reportez-vous à la section Access Control.

Le personnel doit connaître les définitions et les concepts suivants :

Ressources cloud
Tout élément que vous provisionnez sur une plate-forme cloud. Par exemple, avec Oracle Cloud Infrastructure, une "ressource cloud" peut être un VCN, une instance Compute, un utilisateur, un compartiment, un équilibreur de charge ou tout autre composant de service sur la plate-forme.
Sur site
Terme largement utilisé dans les technologies cloud et qui fait référence aux environnements traditionnels de centres de données. On-premise peut désigner un scénario d'emplacement en colocalisation, un espace au sol dédié, un bâtiment de centre de données dédié ou un bureau exécuté sous un ordinateur.
Identificateur Oracle Cloud (OCID)
Identificateur unique affecté à chaque ressource que vous provisionnez sur Oracle Cloud Infrastructure. L'OCID est une chaîne longue qu'Oracle génère automatiquement. Vous n'êtes pas autorisé à sélectionner la valeur d'un OCID ni à modifier l'OCID d'une ressource. Pour plus d'informations, reportez-vous à Identificateurs de ressource.

A propos de la connexion IPSec Oracle

En général, une connexion IPSec peut être configurée dans les modes suivants :

  • Mode Transport : IPSec crypte et authentifie uniquement la charge utile réelle du paquet. Les informations d'en-tête restent intactes.
  • Mode Tunnel (pris en charge par Oracle) : IPSec crypte et authentifie la totalité du paquet. Après le cryptage, le paquet est encapsulé pour former un nouveau paquet IP possédant des informations d'en-tête différentes.

Oracle Cloud Infrastructure ne prend en charge que le mode Tunnel pour les VPN IPSec.

Chaque connexion Oracle IPSec est composée de différents tunnels IPSec redondants. Pour un tunnel spécifique, vous pouvez utiliser un routage dynamique ou le routage statique BGP (Border Gateway Protocol) pour acheminer le trafic de ce tunnel. Vous trouverez plus d'informations sur le routage ci-après.

Les tunnels de VPN site à site IPSec offrent les avantages suivants :

  • Les lignes Internet publiques sont utilisées pour envoyer les données. Ainsi, les lignes de crédit-bail dédiées et dédiées d'un site à un autre ne sont pas nécessaires.
  • Les adresses IP internes des noeuds et des réseaux participants sont masquées pour les utilisateurs externes.
  • L'intégralité de la communication entre les sites source et de destination est cryptée ce qui réduit les risques de vol d'informations.

Routage du VPN site à site

Lorsque vous configurez un VPN site à site, ce dernier possède deux tunnels IPSec redondants. Oracle vous encourage à configurer le dispositif CPE de façon à ce qu'il utilise les deux tunnels (s'il prend en charge cette configuration). Par le passé, Oracle a créé des connexions IPSec comportant jusqu'à quatre tunnels IPSec.

Les trois types de routage suivants sont disponibles. Vous sélectionnez le type de routage de chaque tunnel IPSec du VPN site à site séparément :

  • Routage dynamique BGP : les routages disponibles sont appris dynamiquement via BGP. Le DRG apprend dynamiquement les routages à partir du réseau sur site. Côté Oracle, la passerelle de routage dynamique publie les sous-réseaux du réseau cloud virtuel.
  • Routage statique : lorsque vous configurez la connexion IPSec au DRG, vous spécifiez les routages particuliers vers le réseau sur site que vous souhaitez que le VCN connaisse. Vous devez également configurer le dispositif CPE avec des routages statiques vers les sous-réseaux du VCN. Ces routes ne sont pas apprises dynamiquement.
  • Routage basé sur une stratégie : lorsque vous configurez la connexion IPSec au DRG, vous indiquez les routages spécifiques au réseau sur site que le VCN doit connaître. Vous devez également configurer le dispositif CPE avec des routages statiques vers les sous-réseaux du VCN. Ces routes ne sont pas apprises dynamiquement.

Détails de routage importants pour un VPN site à site

Voici quelques détails importants à comprendre sur le routage du VPN site à site :

  • Options de routage :

    • Initialement, le VPN site à site ne prenait en charge que le routage statique et vous deviez fournir au moins un routage statique pour la connexion IPSec globale.
    • Il existe maintenant deux types de routage différents (BGP et routage statique). La configuration du type de routage se fait par tunnel. Un seul type de routage à La fois est pris en charge pour un tunnel particulier.
    • En général, nous vous recommandons d'utiliser le même type de routage pour tous les tunnels de la connexion IPSec. Une exception est que si vous êtes en train de passer d'un routage statique àun routage BGP, il est probable qu'un tunnel utilise encore un routage statique de manière temporaire alors que l'autre a déjà basculé vers BGP.
    • Lorsque vous créez une connexion IPSec, le routage statique est le type de routage par défaut pour tous les tunnels, à moins que vous ne configuriez explicitement chaque tunnel pour utiliser BGP.

  • Informations de routage requises :

    • Si vous sélectionnez BGP, vous devez fournir pour chaque tunnel deux adresses IP (une pour chaque rouateur BGP de la session BGP du tunnel). Les adresses doivent se trouver dans le domaine de cryptage de la connexion IPSec. Vous devez également fournir le numéro du système autonome BGP (numéro ASN B GP) du réseau sur site.
    • Si vous sélectionnez le routage statique, vous devez indiquer au moins un routage statique (10 au minimum). Les routages statiques sont configurés avec la connexion IPSec globale. Le même ensemble de routages statiques est donc employé pour tous les tunnels de la connexion IPSec qui sont configurés en vue de l'utilisation du routage statique. Vous pouvez changer les routages statiques à tout moment après la création de la connexion IPSec. Si vous effectuez une opération PAT entre un périphérique CPE et un VCN, la route statique pour la connexion IPSec est l'adresse IP PAT. Reportez-vous à Exemple de disposition avec une opération PAT.
    • Si vous sélectionnez le routage statique, vous avez la possibilité d'indiquer une adresse IP pour chaque extrémité du tunnel, à des fins de dépannage ou de surveillance.
    • Si le tunnel est configuré pour utiliser BGP, les routages statiques de la connexion IPSec sont ignorés. Les éventuels routages statiques associés à la connexion IPSec sont utilisés uniquement si ce tunnel est configuré pour utiliser le routage statique pour acheminer le trafic d'un tunnel donné. Cela est particulièrement pertinent si vous disposez d'un VPN site à site qui utilise un routage statique, mais que Vous souhaitez passer à BGP.

  • Modification du routage :

    • Pour transformer un tunnel de types BGP en routage statique, vous devez d'abord vous assurer qu'au moins un routage statique est associé à cette connexion IPSec.
    • Vous pouvez modifier le type de routage d'un tunnel existant à tout moment (sauf Si le tunnel est en cours de provisionnement par Oracle). Pendant que vous modifiez le routage, le tunnel reste fonctionnel (son statut IPSec ne change rien). Cependant, le trafic passant par le tunnel est interrompu temporairement pendant la reprovisionnement et lors de la reconfiguration de l'appareil CPE. Pour plus d'information sur la modification d'un VPN site à page, reportez-vous à Utilisation d'un VPN site à page.
    • Etant donné que vous configurez le type de routage séparément pour chaque tunnel, si vous passez d'un VPN site à site au routage statique à BGP, il est préférable de le faire un tunnel à la fois. Cela permet d'éviter l'arrêt de l'ensemble de la connexion IPSec. Pour obtenir des instructions, reportez-vous à Passage d'un routage statique à un routage dynamique BGP.

Publications de routage et préférences de chemin en cas de connexions

Lorsque vous utilisez BGP, le DRG attaché à un VCN publie les routages vers le CPE.

Si vous configurez plusieurs connexions entre un réseau sur site et le VCN, vous devez comprendre quels routages le DRG annonce et comment définir les préférences de chemin pour utiliser la connexion préférée.

Pour obtenir des informations importantes, reportez-vous à Détails de routage pour les connexions au réseau sur site.

Préférence pour un tunnel spécifique dans le VPN site à site

Dans un VPN site à site, vous pouvez déterminer le tunnel préféré. Vous pouvez configurer les éléments suivants :

  • Préférence locale BGP du CPE : si vous utilisez BGP, vous pouvez configurer l'attribut de préférence locale BGP sur le dispositif CPE afin de contrôler le tunnel préféré pour les connexions démarrées à partir d'un réseau sur site vers un VCN. Etant donné qu'Oracle utilise un routage asymétrique, vous devez configurer d'autres attributs si vous souhaitez qu'Oracle réponde sur ce même tunnel. Reportez-vous aux deux éléments suivants.
  • Routages spécifiques sur le tunnel préféré : vous pouvez configurer un CPE afin qu'il publie des routages plus spécifiques pour le tunnel à privilégier. Oracle utilise le routage dont la correspondance du préfixe le plus long pour répondre aux connexions ou les démarrer.
  • Ajout d'un chemin d'AS : BGP préfère le chemin d'AS le plus court. Par conséquent, si vous utilisez BGP, vous pouvez employer l'ajout d'un chemin d'AS afin de contrôler quel tunnel possède le chemin du plus court pour un routage spécifique. Oracle utilise le chemin AS Le plus court pour répondre aux connexions ou les démarrer.

Présentation des composants du VPN site à site

Si vous ne connaissez pas bien les composants de base du service Networking, reportez-vous à Networking avant de continuer.

Lorsque vous configurez un VPN site à site pour un VCN, vous devez créer plusieurs composants de mise en réseau. Vous pouvez créer les composants avec la console ou l'API. Reportez-vous au diagramme et à la description des composants qui suivent.

Cette image montre les composants d'un VPN site à site.
Numéro 1 : table de routage de réseau cloud virtuel par défaut
CIDR de destination Cible du routage
0.0.0.0/0 Passerelle de routage dynamique
Objet CPE
A votre extrémité du VPN site à site sur site se trouve l'appareil réel sur le réseau on-premise (matériel ou logiciel). Le terme CPE (Customer-Premise Equipment) est couramment utilisé dans certains secteurs pour ce type d'équipement sur site. Lors de la configuration du VPN, vous devez créer une représentation virtuelle du dispositif. Oracle appelle cette représentation virtuelle un CPE, mais cette documentation utilise généralement le terme objet CPE pour mieux distinguer la représentation virtuelle du dispositif CPE réel. L'objet CPE contient des informations de base concernant le dispositif dont Oracle a besoin. Une adresse IP publique d'objet CPE unique peut comporter jusqu'à 8 connexions IPSec.
Passerelle de routage dynamique
A la fin du VPN site à site d'Oracle se trouve un routeur virtuel appelé passerelle de routage dynamique, qui est la passerelle vers un VCN à partir du réseau sur site. Que vous utilisiez un VPN site à site ou des circuits virtuels privés Oracle Cloud Infrastructure FastConnect pour connecter le réseau sur site et le VCN, le trafic passe par le DRG. Pour plus d'informations, reportez-vous à Passerelles d'acheminement dynamique.
Les ingénieurs réseau peuvent envisager la passerelle de routage dynamique comme la tête de réseau VPN. Après avoir créé un DRG, vous devez le attacher à un VCN, à l'aide de la console ou de l'API. Vous devez également ajouter des règles de routage qui acheminent le trafic du réseau cloud virtuel vers la passerelle de routage dynamique. Sans cet attachement DRG et les règles de routage, le trafic ne circule pas entre le VCN et le réseau sur site. A tout moment, vous pouvez détacher le DRG d'un VCN tout en conservant tous les composants VPN restants. Vous pouvez ensuite attacher de nouveau la passerelle de routage dynamique ou l'attacher à un autre réseau cloud virtuel.
Connexion IPSec
Après avoir créé l'objet CPE et le DRG, connectez-les en créant une connexion IPSec, que vous pouvez considérer comme un objet parent qui représente le VPN site à site. La connexion IPSec a son propre OCID . Lors de la création de ce composant, vous configurez le type de routage à utiliser pour chaque tunnel IPSec et fournissez les informations de routage correspondantes. Une adresse IP publique d'objet CPE unique peut comporter jusqu'à 8 connexions IPSec.
Tunnel
Un tunnel IPSec permet de crypter le trafic entre des adresses IPSec sécurisées. Oracle crée deux tunnels dans chaque connexion IPSec afin d'assurer la redondance. Chaque tunnel possède son propre OCID . Nous vous recommandons de configurer le dispositif CPE de manière à prendre en charge les deux tunnels au cas où l'un d'entre eux tomberait en panne ou où Oracle en mettait un hors ligne pour des fins de maintenance. Chaque tunnel dispose d'informations de configuration dont a besoin un ingénieur réseau lors de la configuration du dispositif CPE. Ces informations comprennent une adresse IP et un secret partagé, ainsi que les paramètres ISAKMP et IPSec. Vous pouvez utiliser l'application d'aide de configuration de CPE pour collecter les informations dont a besoin l'ingénieur réseau. Pour plus d'informations, reportez-vous à Paramètres IPSec pris en charge et à Dispositifs CPE vérifiés.

Contrôle d'accès des composants

Dans le cadre du contrôle d'accès, lorsque vous configurez un VPN site à site, vous devez spécifier le compartiment dans lequel chacun des composants doivent résider. En cas de doute sur le compartiment à utiliser, placez tous les composants dans le même compartiment que le réseau cloud virtuel. Les tunnels IPSec résident toujours dans le même compartiment que la connexion IPSec parent. Pour plus d'informations sur ces compartiments et la restriction de l'accès aux composants réseau, reportez-vous à la section Contrôle d'accès.

Noms et identificateurs de composant

Vous pouvez éventuellement affecter un nom descriptif à chacun des composants lorsque vous les créez. Ces noms ne peuvent pas nécessairement être uniques, bien qu'il soit recommandé d'utiliser des noms uniques dans une location. Evitez de saisir des informations confidentielles. Oracle affecte automatiquement un OCID à chaque composant. Pour plus d'informations, reportez-vous à Identificateurs de ressource.

Si le CPE se trouve derrière un périphérique NAT

En général, l'identificateur IKE CPE configuré sur l'extrémité sur site de la connexion doit correspondre à celui utilisé par Oracle. Par défaut, Oracle utilise l'adresse IP publique du CPE, que vous fournissez lors de la création de l'objet CPE dans la console Oracle. Toutefois, si un CPE se trouve derrière un dispositif NAT, l'identificateur IKE CPE configuré sur l'extrémité sur site peut être l'adresse IP privée du CPE, comme indiqué dans le diagramme suivant.

Cette image montre le CPE derrière un dispositif NAT, les adresses IP publique et privée, et l'identificateur IKE CPE.
Remarque

Certaines plates-formes de CPE ne vous permettent pas de modifier l'identificateur IKE local. Si ce n'est pas le cas, vous devez modifier l'ID IKE distant dans la console Oracle pour correspondre à l'ID IKE local du CPE. Vous pouvez fournir cette valeur lors de la configuration de la connexion IPSec ou ultérieurement en modifiant cette dernière. Oracle s'attend à ce que la valeur soit une adresse IP ou un nom de domaine qualifié complet tel que cpe.example.com. Pour obtenir des instructions, reportez-vous à Modification de l'identificateur IKE CPE utilisé par Oracle.

A propos de la clé secrète partagée de tunnel

Chaque tunnel comporte une clé secrète partagée. Par défaut, Oracle affecte la clé secrète partagée au tunnel, sauf si vous en fournissez une vous-même. Vous pouvez fournir une clé secrète partagée pour chaque tunnel lorsque vous créez la connexion IPSec, ou ultérieurement, une fois les tunnels créés. Pour la clé secrète partagée, seuls les chiffres, les lettres et les espaces sont autorisés. Si vous modifiez une clé secrète partagée d'un tunnel existant, celui-ci s'arrête pendant qu'il a été reprovisionné.

Pour obtenir des instructions, reportez-vous à Modification de la clé secrète partagée utilisée par un tunnel IPSec.

Ressources de configuration du CPE

L'ingénieur réseau doit configurer le CPE à l'extrémité de la connexion IPSec sur site. Pour simplifier la tâche, Oracle fournit les ressources suivantes :

Pour plus d'informations, reportez-vous également à Configuration du CPE.

Surveiller la connexion

Vous pouvez surveiller l'état, la capacité et les performances des ressources Oracle Cloud Infrastructure à l'aide de mesures, d'alarmes et de notifications. Pour plus d'informations, reportez-vous à Monitoring et à Notifications.

Pour plus d'informations sur la surveillance de la connexion, reportez-vous à Mesures de VPN site à page.