Démarrage rapide du VPN site à site
L'assistant VPN site à site est le moyen le plus rapide de configurer un VPN site à site entre votre réseau sur site et votre réseau cloud virtuel . Il s'agit d'un processus guidé étape par étape dans la console qui configure le VPN ainsi que les composants de service Networking associés.
Les autres solutions VPN sécurisées incluent OpenVPN, une solution VPN client accessible dans Oracle Marketplace. OpenVPN connecte des appareils à votre réseau cloud virtuel, mais pas à des sites ou à des réseaux entiers.
Objectif de l'assistant
Le VPN site à site implique la configuration de plusieurs composants du service Networking. L'assistant configure ces composants pour vous. En général, l'assistant effectue les opérations suivantes :
- Il utilise un modèle avec des hypothèses pour vous aider à démarrer.
- Il vous demande des informations réseau de base.
- Il configure les composants du service Networking à votre place.
- Il génère du contenu de configuration que l'ingénieur réseau doit utiliser lors de la configuration de votre CPE (Customer-Premises Equipment).
L'assistant est une tâche du processus global de configuration de VPN site à site, illustré dans le diagramme suivant. La zone grisée représente l'assistant.
Le processus global inclut le travail effectué par un ingénieur réseau de votre organisation. Ce dernier fournit des informations que vous devez ensuite indiquer pendant l'exécution de l'assistant. L'assistant renvoie des informations dont l'ingénieur réseau a besoin lors de la configuration de l'appareil CPE. Vous pouvez utiliser l'application d'aide de configuration de CPE pour regrouper les informations nécessaires dans un modèle organisé destiné à l'ingénieur réseau.
Les courtes sections suivantes récapitulent chaque tâche.
- Adresse IP publique du dispositif CPE. (L'adresse doit être au format IPv4, mais le trafic IPv6 est pris en charge.)
- Fournisseur, modèle et version du CPE.
- Identificateur IKE CPE. Pour plus d'informations, reportez-vous à Présentation des composants du VPN site à site.
- Routages réseau sur site.
- Si vous utilisez un routage dynamique BGP avec le VPN :
- Numéro ASN BGP de votre réseau.
- Pour chacun des deux tunnels IPSec qui seront créés, paire d'adresses IP BGP (avec masque de sous-réseau) à utiliser pour les interfaces de tunnel internes aux extrémités de chaque tunnel. Par exemple :
- Tunnel 1 : interface de tunnel interne - CPE : 10.0.0.16/31
- Tunnel 1 : interface de tunnel interne - Oracle : 10.0.0.17/31
- Tunnel 2 : interface de tunnel interne - CPE : 10.0.0.8/31
- Tunnel 2 : interface de tunnel interne - Oracle : 10.0.0.9/31
Vous suivez l'assistant dans la console. Pour plus d'informations, reportez-vous aux sections suivantes :
L'application d'aide de configuration de CPE permet de générer le contenu de configuration que l'ingénieur réseau peut utiliser pour configurer le CPE.
Le contenu inclut les éléments suivants :
- Adresse IP du VPN Oracle et clé secrète partagée pour chaque tunnel IPSec.
- Valeurs de paramètre IPSec prises en charge.
- Informations sur le réseau cloud virtuel.
- Informations de configuration propres au CPE.
L'ingénieur réseau utilise les informations que vous fournissez pour configurer votre dispositif CPE.
L'ingénieur réseau et vous testez la connexion et vérifiez que le trafic circule.
Alternative à l'assistant
Si vous préférez, vous pouvez configurer manuellement le VPN site à site vous-même. Pour obtenir des instructions détaillées, reportez-vous à Configuration d'un VPN site à site.
Composants créés pour vous par l'assistant
La plupart des clients Oracle qui configurent un VPN site à site disposent déjà d'un réseau cloud virtuel à connecter à leur réseau sur site. Dans ce cas, l'assistant crée les composants numérotés figurant dans le diagramme suivant. Le tableau décrit chaque composant.
| Numéro | Composant | Description | Possibilité d'utiliser un composant existant ou d'en créer un | ||||
|---|---|---|---|---|---|---|---|
| 1 | CPE | Un CPE est une représentation virtuelle de votre dispositif CPE réel. Cette représentation virtuelle contient des informations de base telles que l'adresse IP publique du dispositif CPE. | Oui. Vous pouvez utiliser un CPE existant ou l'assistant peut en créer un. | ||||
| 2 | Tunnels IPSec |
L'assistant crée deux tunnels IPSec, chacun doté d'informations de configuration spécifiques que vous devez fournir à l'ingénieur réseau. Remarque : l'assistant utilise IKEv1 ou IKEv2 pour les tunnels. Pour plus d'informations sur IKEv2, reportez-vous à Utilisation d'IKEv2. |
Non. L'assistant crée automatiquement les tunnels. | ||||
| 3 | Passerelle de routage dynamique | Une passerelle de routage dynamique est une représentation virtuelle du routeur réel à l'extrémité Oracle du VPN site à site. | Oui. | ||||
| 4 | Passerelle Internet |
Si le réseau cloud virtuel que vous sélectionnez ne possède pas encore de passerelle Internet, vous pouvez choisir de laisser l'assistant en créer une pour permettre la connectivité directe à Internet. |
Oui. Vous pouvez utiliser une passerelle Internet existante ou choisir de laisser l'assistant en créer une. | ||||
| 5 | Table de routage de sous-réseau |
|
Pour que vous puissiez créer une ressource, la limite de service correspondante ne doit pas déjà être atteinte. Une fois la limite de service atteinte pour un type de ressource, vous pouvez enlever les ressources non utilisées de ce type ou demander une augmentation de limite de service.
En outre, lors de l'exécution de l'assistant, vous indiquez les sous-réseaux de votre réseau cloud virtuel qui doivent être configurés avec un accès au réseau sur site. L'assistant met à jour la table de routage et les règles de sécurité de chaque sous-réseau comme suit :
- Règles de routage : l'assistant ajoute des règles pour acheminer le trafic de réseau cloud virtuel vers votre réseau sur site par le biais de la passerelle de routage dynamique. Il existe une règle par routage réseau sur site que vous fournissez dans l'assistant. Si le réseau cloud virtuel dispose d'une passerelle Internet (ou que vous choisissez d'en créer une) et qu'un sous-réseau public est sélectionné, l'assistant ajoute également une règle pour envoyer le trafic restant (non destiné au réseau sur site) vers la passerelle Internet.
- Règles de liste de sécurité : l'assistant ajoute également des règles pour autoriser tous les types de trafic provenant de votre réseau sur site. Il existe une règle par routage réseau sur site que vous fournissez dans l'assistant. Si le réseau cloud virtuel dispose d'une passerelle Internet (ou que vous choisissez d'en créer une) et qu'un sous-réseau public est sélectionné, l'assistant ajoute également une règle pour autoriser le trafic SSH sur le port 22 à partir d'Internet.
Vous pouvez modifier les règles et en ajouter d'autres si vous le souhaitez.
Une fois l'assistant terminé, vous pouvez vous servir de l'application d'aide de configuration de CPE afin de générer le contenu de configuration que l'ingénieur réseau peut utiliser pour configurer le CPE.
Accès à l'assistant dans la console
Option 1 :
- Dans le menu de navigation, cliquez sur Fonctions de réseau, puis sur Présentation.
- Cliquez sur le bouton Lancer l'assistant VPN.
Option 2 :
- Ouvrez le menu de navigation, cliquez sur Fonctions de réseau, puis sur Réseaux cloud virtuels.
- Cliquez sur Lancer l'assistant de réseau cloud virtuel.
- Sélectionnez Ajouter une connectivité Internet et un VPN site à site à un réseau cloud virtuel, puis cliquez sur Lancer l'assistant de réseau cloud virtuel.
Option 3 :
-
- Cliquez sur Lancer l'assistant VPN.
Rubriques connexes
- Présentation du VPN site à site
- Configuration d'un VPN site à site
- Paramètres IPSec pris en charge
- Configuration du CPE
- Dispositifs CPE vérifiés
- Utilisation de l'application d'aide de configuration de CPE
- Utilisation d'un VPN site à site
- FAQ sur le VPN site à site
- Utilisation de l'API pour le VPN site à site