Assistant VPN site à site
L'assistant VPN site à site est le moyen le plus rapide de configurer un VPN site à site entre un réseau sur site et un réseau cloud virtuel (VCN) . L'assistant est un processus guidé étape par étapes dans la console qui configure le VPN ainsi que des composants de service Networking associés.
Les autres solutions VPN sécurisées incluent OpenVPN, une solution VPN client accessible dans Oracle Marketplace. OpenVPN connecte des périphériques individuels à un VCN, mais pas des sites ou des réseaux entiers.
Objectif de l'assistant
Le VPN site à site implique la configuration de plusieurs composants du service Networking. L'assistant configure ces composants pour vous. En général, l'assistant effectue les opérations suivantes :
- Il utilise un modèle avec des hypothèses qui vous aident à démarrer.
- Il vous demande des informations réseau de base.
- Il configure pour vous les composants du service Networking.
- Vous permet de générer du contenu de configuration que l'ingénieur réseau doit utiliser lors la configuration d'un périphérique CPE (Customer-Premises Equipment).
L'assistant est une tâche du processus global de configuration de VPN site à site, illustré dans le diagramme suivant. La zone grisée représente l'assistant.
Notez que le processus global inclut le travail d'un ingénieur réseau sur site. Ce dernier fournit des informations que vous devez ensuite indiquer pendant l'exécution de l'assistant. L'assistant renvoie des informations dont l'ingénieur réseaua besoin lors de la configuration de l'appareil CPE. Vous pouvez utiliser l'application d'aide de configuration du CPE pour fournir les informations nécessaires à l'ingénieur réseau.
Les courtes sections suivantes récapitulent chaque tâche.
- Adresse IP publique du dispositif CPE. (L'adresse doit être au format IPv4, mais le trafic IPv6 est pris en charge.)
- Fournisseur, modèle et version du CPE.
- Identificateur IKE CPE. Pour plus d'informations, reportez-vous à Présentation des composants du VPN site à site.
- Routages réseau sur site.
- Si vous utilisez un routage dynamique BGP avec le VPN :
- Numéro ASN BGP du réseau sur site
- Pour chacun des deux tunnels IPSec qui sont créés, paire d'adresses IP BGP (avec masque de sous-réseau) à utiliser pour les interfaces d'un tunnel interne aux extrémités de chaque tunnel. Par exemple :
- Tunnel 1 : interface de tunnel interne - CPE : 10.0.0.16/31
- Tunnel 1 : interface de tunnel interne - Oracle : 10.0.0.17/31
- Tunnel 2 : interface de tunnel interne - CPE : 10.0.0.8/31
- Tunnel 2 : interface de tunnel interne - Oracle : 10.0.0.9/31
Vous suivez l'assistant dans la console. Pour plus d'informations, reportez-vous aux sections suivantes :
L'application d'aide de configuration du CPE permet de générer les informations de configuration que l'ingénieur réseau peut utiliser pour configurer le CPE.
Le contenu inclut les éléments suivants :
- Adresse IP du VPN Oracle et clé secrète partagée pour chaque tunnel IPSec.
- Valeurs de paramètre IPSec prises en charge.
- Informations sur le réseau cloud virtuel.
- Informations de configuration propres au CPE.
L'ingénieur réseau utilise les informations que vous fournissez et configure le dispositif CPE.
L'ingénieur réseau et vous testez la connexion et vérifiez que le trafic circule.
Alternative à l'assistant
Si vous préférez, vous pouvez configurer manuellement le VPN site à site vous-même. Pour obtenir des instructions détaillées, reportez-vous à Configuration d'un VPN site à site.
Composants créés pour vous par l'assistant
La plupart des clients Oracle qui configurent un VPN site à site disposent déjà d'un VCN pour se connecter à leur réseau sur site. Dans ce cas, l'assistant crée les composants numérotés figurant dans le diagramme suivant. Le tableau décrit chaque composant.
| Numéro | Composant | Description | Possibilité d'utiliser un composant existant ou d'en créer un | ||||
|---|---|---|---|---|---|---|---|
| 1 | CPE | Un CPE est une représentation virtuelle de l'appareil CPE réel. Cette représentation virtuelle contient des informations de base telles que l'adresse IP publique du dispositif CPE. | Oui. Vous pouvez utiliser un CPE existant ou l'assistant peut en créer un. | ||||
| 2 | Tunnels IPSec |
L'assistant crée deux tunnels IPSec, chacun doté d'informations de configuration spécifiques que vous devez fournir à l'ingénieur réseau. Remarque : l'assistant utilise IKEv1 ou IKEv2 pour les tunnels. Pour plus d'informations sur IKEv2, reportez-vous à Utilisation d'IKEv2. |
Non. L'assistant crée automatiquement les tunnels. | ||||
| 3 | Passerelle de routage dynamique | Un DRG est une représentation virtuelle du routeur réel à l'extrémité Oracle du VPN site à site. | Oui. | ||||
| 4 | Passerelle Internet |
Si le VCN que vous sélectionnez ne dispose pas déjà d'une passerelle Internet, vous pouvez laisser l'assistant en créer une pour activer la connectivité directe à Internet. |
Oui. Vous pouvez utiliser une passerelle Internet existante ou laisser l'assistant en créer une. | ||||
| 5 | Table de routage de sous-réseau |
|
Pour que vous puissiez créer une ressource, la limite de service correspondante ne doit pas déjà être atteinte. Une fois la limite de service atteinte pour un type de ressource, vous pouvez enlever les ressources non utilisées de ce type ou demander une augmentation de limite de service.
En outre, au cours de l'assistant, vous spécifiez les sous-réseaux du VCN à configurer avec accès au réseau sur site. L'assistant met à jour la table de routage et les règles de sécurité de chaque sous-réseau comme suit :
- Règles de routage : l'assistant ajoute des règles pour acheminer le trafic VCN vers un réseau sur site via le DRG. Vous devez fournir une règle par routage réseau sur site dans l'assistant. Si le VCN dispose d'une passerelle Internet (ou si vous en créez une) et qu'un sous-réseau public est sélectionné, l'assistant ajoute également une règle pour envoyer le trafic restant (non destiné au réseau sur site) à la passerelle Internet.
- Règles d'une liste de protection : l'assistant ajoute également des règles pour autoriser tous les types de trafic provenant d'un réseau sur site. Vous devez fournir une règle par routage réseau sur site dans l'assistant. Si le VCN dispose d'une passerelle Internet (ou que vous en créez une) et qu'un sous-réseau public est sélectionné, l'assistant ajoute également une règle pour autoriser SSH via le port 22 à partir d'Internet.
Vous pouvez modifier les règles et en ajouter d'autres si vous le souhaitez.
Une fois l'assistant terminé, vous pouvez vous servir de l'application d'aide de configuration du CPE afin que l'ingénieur réseau sur site puisse utiliser pour configurer le CPE.
Accès à l'assistant dans la console
Pour accéder à cet assistant à partir de la page Présentation de Networking :
- Ouvrez le menu de navigation, sélectionnez Fonctions de réseau, puis Présentation.
- Dans la section Ajouter une connectivité Internet et un VPN site à site à un VCN, sélectionnez Démarrer l'assistant VCN.
Pour accéder à cet assistant à partir de la page de liste Réseaux cloud virtuels, procédez comme suit :
- Ouvrez le menu de navigation , sélectionnez Fonctions de réseau, puis Réseaux cloud virtuels.
- Sur la page de liste Réseaux cloud virtuels, effectuez l'une des actions suivantes en fonction de l'option qui s'affiche :
- Sélectionnez le bouton Actions, puis Démarrer l'assistant VCN.
- Sélectionnez Démarrer l'assistant VCN.
- Sélectionnez Ajouter un VPN site à site et une connectivité Internet à un VCN, puis Démarrer l'assistant VCN.
Pour accéder à cet assistant à partir de la page de liste VPN site-à-site :
- Ouvrez le menu de navigation et sélectionnez Fonctions de réseau. Sous Connectivité client, sélectionnez VPN site à site.
- Sélectionnez Assistant Démarrer le VPN.