Documentation Oracle Cloud Infrastructure

Configuration d'un VPN site à site

Cette rubrique donne des instructions sur la construction d'une connexion IPSec de VPN site à site entre un réseau sur site et votre réseau cloud virtuel. Pour obtenir des informations générales sur le VPN site à site, reportez-vous à Présentation du VPN site à site.

Avant de commencer

En guise de préparation, effectuez d'abord les opérations suivantes :

  • Lisez cette section : Routage du VPN site à site.

  • Répondez aux questions suivantes :

    Question Réponse
    Quel est le CIDR de votre réseau cloud virtuel ?  

    Quelle est l'adresse IP publique de votre dispositif CPE ? Si vous disposez de plusieurs dispositifs à des fins de redondance, obtenez l'adresse IP de chacun d'eux.

    Remarque : si votre appareil CPE se trouve derrière un appareil NAT, reportez-vous à Présentation des composants du VPN site à site et également à Exigences et prérequis.

    		  
    Allez-vous utiliser une opération PAT (Port Address Translation) entre chaque appareil CPE et votre réseau cloud virtuel ?  

    Quel type de routage pensez-vous utiliser ? Si vous voulez utiliser un routage dynamique BGP, répertoriez les adresses IP de session BGP à utiliser ainsi que le numéro ASN de votre réseau. Les adresses IP doivent faire partie du domaine de cryptage du VPN site à site.

    Si vous voulez un routage statique, quels sont les routages statiques de votre réseau sur site ? Reportez-vous à Routage du VPN site à site.

    Prévoyez-vous d'utiliser un routage basé sur une stratégie ou plusieurs domaines de cryptage ? Reportez-vous à Domaines de cryptage pour les tunnels basés sur une stratégie.

    		  

    Souhaitez-vous fournir la clé secrète partagée de chaque tunnel ou laisser Oracle les affecter ? Reportez-vous à Présentation des composants du VPN site à site.

    		  
  • Dessinez un diagramme de la disposition de votre réseau (pour obtenir des exemples, reportez-vous à la première tâche dans Exemple : configuration d'un VPN site à site d'étude de faisabilité). Identifiez les parties de votre réseau sur site qui doivent communiquer avec votre réseau cloud virtuel, et inversement. Mettez en correspondance les règles de routage et les règles de sécurité dont vous avez besoin pour votre réseau cloud virtuel.
Conseil

Si vous disposez d'un VPN site à site existant qui utilise le routage statique, vous pouvez modifier les tunnels pour qu'ils utilisent le routage dynamique BGP.

Les plages d'adresses IP locales de liaison suivantes ne peuvent pas être utilisées avec le VPN site à site dans des interfaces de tunnel :

  • 169.254.10.0-169.254.19.255
  • 169.254.100.0-169.254.109.255
  • 169.254.192.0-169.254.201.255

Processus global

Voici le processus global de configuration d'un VPN site à site :

  1. Exécutez les tâches répertoriées dans Avant de commencer.
  2. Configurez les composants du VPN site à site (reportez-vous aux instructions dans Exemple : configuration d'un VPN site à site d'étude de faisabilité) :
    1. Créez votre réseau cloud virtuel.
    2. Créez une passerelle de routage dynamique.
    3. Attachez la passerelle de routage dynamique à votre réseau cloud virtuel.
    4. Créez une table de routage et une règle de routage pour la passerelle de routage dynamique.
    5. Créez une liste de sécurité et les règles requises.
    6. Créez un sous-réseau dans le réseau cloud virtuel.
    7. Créez un objet CPE et indiquez l'adresse IP publique de votre dispositif CPE.
    8. Créez une connexion IPSec à l'objet CPE et fournissez les informations de routage requises.
  3. Utilisez l'application d'aide de configuration de CPE : l'ingénieur réseau doit configurer votre dispositif CPE avec les informations fournies par Oracle lors des étapes précédentes. L'application d'aide de configuration de CPE génère les informations nécessaires à l'ingénieur réseau. Pour plus d'informations, reportez-vous à Utilisation de l'application d'aide de configuration de CPE et à Configuration du CPE.
  4. Demandez à l'ingénieur réseau de configurer votre dispositif CPE.
  5. Validez la connectivité.

Si vous envisagez de configurer des connexions redondantes, reportez-vous au guide pour la redondance de la connectivité (PDF).

Exemple : configuration d'un VPN site à site d'étude de faisabilité

Conseil

Oracle offre un workflow de démarrage rapide qui facilite la configuration du VPN site à site. Pour plus d'informations, reportez-vous à Démarrage rapide du VPN site à site.

Cet exemple de scénario montre comment configurer un VPN site à site avec une disposition simple que vous pouvez utiliser comme étude de faisabilité. Il suit les tâches 1 et 2 du processus global et montre chaque composant de la disposition en cours de création. Vous trouverez pour chaque tâche une capture d'écran correspondante de la console, afin de vous aider à comprendre les informations nécessaires. Pour obtenir des dispositions plus complexes, reportez-vous à Exemple de disposition avec plusieurs zones géographiques ou à Exemple de disposition avec une opération PAT.

Tâche 1 : collecter les informations
Question Réponse
Quel est le CIDR de votre réseau cloud virtuel ? 172.16.0.0/16

Quelle est l'adresse IP publique de votre dispositif CPE ? Si vous disposez de plusieurs dispositifs à des fins de redondance, obtenez l'adresse IP de chacun d'eux.

Remarque : si votre appareil CPE se trouve derrière un appareil NAT, reportez-vous à Présentation des composants du VPN site à site et également à Exigences et prérequis.

 142.34.145.37
Allez-vous réaliser une opération PAT (Port Address Translation) entre chaque dispositif CPE et votre réseau cloud virtuel ? Non

Quel type de routage pensez-vous utiliser ? Trois choix s'excluent mutuellement :

Si vous envisagez d'utiliser un routage dynamique BGP, répertoriez les adresses IP de session BGP à utiliser ainsi que le numéro ASN de votre réseau.

Si vous envisagez d'utiliser un routage statique, répertoriez les routages statiques de votre réseau sur site. Reportez-vous à Routage du VPN site à site.

Si vous envisagez d'utiliser un routage basé sur une stratégie ou que vous avez besoin de plusieurs domaines de cryptage, répertoriez les blocs CIDR IPv4 ou de préfixes IPv6 employés à chaque extrémité de la connexion. Reportez-vous à Domaines de cryptage pour les tunnels basés sur une stratégie.

Exemple de routage dynamique BGP :

Tunnel 1 :

  • Interface de tunnel interne BGP - CPE : 10.0.0.16/31
  • Interface de tunnel interne BGP - Oracle : 10.0.0.17/31

Tunnel 2 :

  • Interface de tunnel interne BGP - CPE : 10.0.0.18/31
  • Interface de tunnel interne BGP - Oracle : 10.0.0.19/31

Numéro ASN du réseau : 12345

Exemple de routage statique :

Utilisez 10.0.0.0/16 pour le routage statique d'une étude de faisabilité simple.

Exemple de routage basé sur une stratégie :

Utilisez ??? pour une étude de faisabilité simple.
Souhaitez-vous fournir la clé secrète partagée de chaque tunnel ou laisser Oracle les affecter ? Reportez-vous à Présentation des composants du VPN site à site. Laisser Oracle réaliser l'affectation.

Voici un exemple de diagramme pour la tâche 1 qui utilise le routage dynamique BGP :

Cette image présente une disposition de VPN de base lors de l'utilisation du routage dynamique BGP.
Numéro 1 : table de routage de sous-réseau par défaut
CIDR de destination Cible du routage
10.0.0.0/16 Passerelle de routage dynamique
Numéro 2 : liste de sécurité
CIDR de destination Droit d'accès
10.0.0.0/16 Autorisé
Numéros 3 à 6
Numéro Fonction Adresse IP
3 Adresse IP publique du CPE 142.34.145.37
4a Tunnel 1 : interface de tunnel interne BGP

CPE - 10.0.0.16/31

Oracle - 10.0.0.17/31
4b Tunnel 2 : interface de tunnel interne BGP

CPE - 10.0.0.18/31

Oracle - 10.0.0.19/31
5

Tunnel 1 : adresse IP de VPN Oracle

129.213.240.50
6

Tunnel 2 : adresse IP de VPN Oracle

129.213.240.53

Voici un exemple de diagramme pour la tâche 1 qui utilise le routage statique :

Cette image présente une disposition de VPN de base lors de l'utilisation du routage statique.
Numéro 1 : table de routage de sous-réseau par défaut
CIDR de destination Cible du routage
10.0.0.0/16 Passerelle de routage dynamique
Numéro 2 : liste de sécurité
CIDR de destination Droit d'accès
10.0.0.0/16 Autorisé
Numéros 3 à 6
Numéro Fonction Adresse IP
3 Adresse IP publique du CPE 142.34.145.37
4 Routage statique de la connexion IPSec 10.0.0.0/16
5

Tunnel 1 : adresse IP de VPN Oracle

129.213.240.50
6

Tunnel 2 : adresse IP de VPN Oracle

129.213.240.53
Tâche 2a : créer le réseau cloud virtuel

Si vous disposez déjà d'un réseau cloud virtuel, passez à la tâche suivante.

Conseil

Lorsque vous utilisez la console pour créer un réseau cloud virtuel, vous pouvez créer uniquement un réseau, ou un réseau avec plusieurs ressources associées. Cette tâche crée uniquement un réseau cloud virtuel, et les tâches suivantes permettent de créer les autres ressources requises.
Cette image présente la création du réseau cloud virtuel
  1. Ouvrez le menu de navigation, cliquez sur Fonctions de réseau, puis sur Réseaux cloud virtuels.
  2. Sous Portée de la liste, sélectionnez un compartiment dans lequel vous êtes autorisé à travailler. La page est mise à jour pour afficher uniquement les ressources du compartiment. En cas de doute sur le compartiment à utiliser, contactez un administrateur. Pour plus d'informations, reportez-vous à Contrôle d'accès.
  3. Cliquez sur Créer un réseau cloud virtuel.

  4. Entrez les valeurs suivantes :

    • Créer dans le compartiment : à laisser tel quel.
    • Nom : nom descriptif du réseau cloud. Ce nom ne doit pas nécessairement être unique et ne peut pas être modifié ultérieurement dans la console (vous pouvez toutefois le modifier avec l'API). Evitez de saisir des informations confidentielles.
    • Bloc CIDR : bloc CIDR unique et contigu pour le réseau cloud (par exemple, 172.16.0.0/16). Vous ne pouvez pas modifier cette valeur ultérieurement. Reportez-vous à Taille de réseau cloud virtuel et plages d'adresses autorisées. Pour référence, utilisez un calculateur de CIDR.
    • Activer l'affectation d'adresse IPv6 : cette option est disponible uniquement si le réseau cloud virtuel est compatible IPv6. L'adressage IPv6 est pris en charge pour toutes les régions commerciales et gouvernementales. Pour plus d'informations, reportez-vous à Adresses IPv6.

  5. Vous pouvez indiquer des valeurs pour le reste des options, ou les ignorer :

    • Résolution DNS : Cette option est requise pour affecter des noms d'hôte DNS à des hôtes du VCN, et requise si vous prévoyez d'utiliser la fonctionnalité DNS par défaut du VCN (appelée Résolveur Internet et VCN). Si vous sélectionnez cette option, vous pouvez indiquer un libellé DNS pour le VCN. Vous pouvez également autoriser la console à en générer un pour vous. La boîte de dialogue affiche automatiquement le nom de domaine DNS correspondant au VCN (<VCN_DNS_label>.oraclevcn.com). Pour plus d'informations, reportez-vous à DNS dans votre réseau cloud virtuel.
    • Balises : si vous êtes autorisé à créer une ressource, vous disposez également des droits d'accès nécessaires pour lui appliquer des balises à format libre. Pour appliquer une balise définie, vous devez disposer de droits d'accès permettant d'utiliser l'espace de noms de balise. Pour plus d'informations sur le balisage, reportez-vous à Balises de ressource. Si vous n'êtes pas sûr d'appliquer des balises, ignorez cette option ou demandez à un administrateur. Vous pouvez appliquer des balises ultérieurement.
  6. Cliquez sur Créer un réseau cloud virtuel.

Le réseau cloud virtuel est créé et affiché sur la page. Assurez-vous que son provisionnement est terminé avant de continuer.

Tâche 2b : créer la passerelle de routage dynamique
Cette image présente la création de la passerelle de routage dynamique

  1. Ouvrez le menu de navigation et cliquez sur Fonctions de réseau. Sous Connexion client, cliquez sur Passerelle de routage dynamique.

  2. Cliquez sur Créer une passerelle de routage dynamique.
  3. Entrez les valeurs suivantes :
    • Créer dans le compartiment : conservez la valeur telle quelle (compartiment du réseau cloud virtuel).
    • Nom : nom descriptif de la passerelle de routage dynamique. Ce nom ne doit pas nécessairement être unique et ne peut pas être modifié ultérieurement dans la console (vous pouvez toutefois le modifier avec l'API). Evitez de saisir des informations confidentielles.
    • Balises : à laisser tel quel. Vous pouvez ajouter des balises ultérieurement si vous le voulez. Pour plus d'informations, reportez-vous à Balises de ressource.
  4. Cliquez sur Créer une passerelle de routage dynamique.

La passerelle de routage dynamique est créée et affichée sur la page. Assurez-vous que son provisionnement est terminé avant de continuer.

Conseil

Vous pouvez également utiliser cette passerelle de routage dynamique en tant que passerelle pour Oracle Cloud Infrastructure FastConnect, qui constitue un autre moyen de connecter votre réseau sur site à votre réseau cloud virtuel.
Tâche 2c : attacher la passerelle de routage dynamique au réseau cloud virtuel
Cette image présente l'attachement de la passerelle de routage dynamique au réseau cloud virtuel
  1. Cliquez sur le nom de la passerelle de routage dynamique que vous avez créée.
  2. Sous Ressources, cliquez sur Réseaux cloud virtuels.
  3. Cliquez sur Attacher au réseau cloud virtuel.
  4. Sélectionnez le réseau cloud virtuel. Ignorez la section relative aux options avancées. Elle ne concerne qu'un scénario de routage avancé non pertinent ici, appelé routage de transit.
  5. Cliquez sur Attacher.

Avant d'être prêt, l'attachement présente l'état Attachement pendant une courte période.

Tâche 2d : créer une table de routage et une règle de routage pour la passerelle de routage dynamique

Bien que le réseau cloud virtuel soit fourni avec une table de routage par défaut (sans aucune règle), au cours de cette tâche, vous en créez une personnalisée, qui contient une règle de routage pour la passerelle de routage dynamique. Dans cet exemple, votre réseau sur site est 10.0.0.0/16. Vous créez une règle de routage qui prend en charge le trafic destiné à 10.0.0.0/16 et l'achemine vers la passerelle de routage dynamique. Lorsque vous créez un sous-réseau dans la tâche 2f, vous associez cette table de routage personnalisée au sous-réseau.

Conseil

Si vous disposez déjà d'un réseau cloud virtuel existant avec un sous-réseau, vous n'avez pas besoin de créer de table de routage ou de sous-réseau. Au lieu de cela, vous pouvez mettre à jour la table de routage du sous-réseau existant afin d'inclure la règle de routage pour la passerelle de routage dynamique.
Cette image présente la création de la table de routage et de la règle de routage pour la passerelle de routage dynamique
Numéro 1 : table de routage de réseau cloud virtuel MyExampleRouteTable
CIDR de destination Table de routage
10.0.0.0/16 Passerelle de routage dynamique
  1. Ouvrez le menu de navigation, cliquez sur Fonctions de réseau, puis sur Réseaux cloud virtuels.
  2. Cliquez sur votre réseau cloud virtuel.
  3. Cliquez sur Tables de routage pour afficher les tables de routage de votre réseau cloud virtuel.
  4. Cliquez sur Créer une table de routage.

  5. Entrez les valeurs suivantes :

    • Nom : nom descriptif de la table de routage (par exemple, MyExampleRouteTable). Le nom ne doit pas nécessairement être unique et ne peut pas être modifié ultérieurement dans la console (mais vous pouvez le modifier à l'aide de l'API). Evitez de saisir des informations confidentielles.
    • Créer dans le compartiment : à laisser tel quel.

    • Cliquez sur + Règle de routage supplémentaire, puis saisissez les éléments suivants :

      • Type de cible : passerelle de routage dynamique. La passerelle de routage dynamique attachée du réseau cloud virtuel est automatiquement sélectionnée en tant que cible. Vous n'avez pas besoin d'indiquer de cible.
      • Bloc CIDR de destination : CIDR de votre réseau sur site (ici, 10.0.0.0/16).
      • Description : description facultative de la règle.
    • Balises : conservez les informations de balise telles quelles.
  6. Cliquez sur Créer une table de routage.

La table de routage est créée et affichée sur la page. Toutefois, elle ne fonctionne que si vous l'associez à un sous-réseau lors de la création de celui-ci (reportez-vous à la tâche 2f).

Tâche 2e : créer une liste de sécurité

Par défaut, le trafic entrant vers les instances de votre réseau cloud virtuel est défini sur DENY sur tous les ports et tous les protocoles. Dans cette tâche, vous configurez deux règles entrantes et une règle sortante pour autoriser le trafic réseau requis de base. Votre réseau cloud virtuel est fourni avec une liste de sécurité par défaut comportant un ensemble de règles par défaut. Cependant, dans cette tâche, vous créez une liste de sécurité distincte avec un ensemble plus restrictif de règles centrées sur le trafic de votre réseau sur site. Lorsque vous créez un sous-réseau dans la tâche 2f, vous lui associez cette liste de sécurité.

Conseil

Les listes de sécurité constituent un moyen de contrôler le trafic entrant et sortant des ressources du réseau cloud virtuel. Vous pouvez également utiliser des groupes de sécurité réseau, afin d'appliquer un ensemble de règles de sécurité à un ensemble de ressources ayant toutes le même état de sécurité.
Cette image présente la création de la liste de sécurité
Numéro 1 : table de routage de réseau cloud virtuel MyExampleRouteTable
CIDR de destination Table de routage
10.0.0.0/16 Passerelle de routage dynamique
Numéro 2 : liste de sécurité MyExampleSecurityList
Entrant/Sortant CIDR Protocole : port
Entrant 10.0.0.0/16 TCP : 22
Entrant 10.0.0.0/16 ICMP : tous
Sortant 10.0.0.0/16 TCP : tous
Important

Dans la procédure suivante, assurez-vous que le CIDR sur site que vous indiquez dans les règles de liste de sécurité est identique (ou inférieur) au CIDR que vous avez spécifié dans la règle de routage de la tâche précédente. Dans le cas contraire, le trafic sera bloqué par les listes de sécurité.
  1. Lorsque vous visualisez encore votre réseau cloud virtuel, cliquez sur Listes de sécurité dans la partie gauche de la page.
  2. Cliquez sur Créer une liste de sécurité.

  3. Entrez les valeurs suivantes :

    • Nom : nom descriptif de la liste de sécurité. Le nom ne doit pas nécessairement être unique et ne peut pas être modifié ultérieurement dans la console (mais vous pouvez le modifier à l'aide de l'API). Evitez de saisir des informations confidentielles.
    • Créer dans le compartiment : à laisser tel quel.

  4. Dans la section Règles d'autorisation pour l'entrée, cliquez sur Ajouter une règle entrante et saisissez les valeurs suivantes pour la règle entrante, qui autorise le trafic SSH entrant sur le port TCP 22 à partir de votre réseau sur site :

    • Type de source : CIDR
    • CIDR source : CIDR de votre réseau sur site (ici, 10.0.0.0/16).
    • Protocole IP : TCP
    • Plage de ports source : conservez la valeur telle quelle (Tous).
    • Plage de ports de destination : 22 (pour le trafic SSH).
    • Description : description facultative de la règle.

  5. Dans la section Règles d'autorisation pour la sortie, cliquez sur Ajouter une règle sortante et saisissez les valeurs suivantes pour la règle sortante, qui autorise le trafic TCP sortant sur tous les ports vers votre réseau sur site :

    • Type de destination : CIDR
    • CIDR de destination : CIDR de votre réseau sur site (ici, 10.0.0.0/16).
    • Protocole IP : TCP
    • Plage de ports source : conservez la valeur telle quelle (Tous).
    • Plage de ports de destination : conservez la valeur telle que (Tous).
    • Description : description facultative de la règle.
  6. Conservez les informations de balise telles quelles.
  7. Cliquez sur Créer une liste de sécurité.

La liste de sécurité est créée et affichée sur la page. Toutefois, elle ne fonctionne que si vous l'associez à un sous-réseau lors de la création de celui-ci (reportez-vous à la tâche 2f).

Tâche 2f : créer un sous-réseau

Dans cette tâche, vous créez un sous-réseau dans le réseau cloud virtuel. En général, un sous-réseau dispose d'un bloc CIDR inférieur au CIDR du réseau cloud virtuel. Toutes les instances que vous créez dans ce sous-réseau ont accès à votre réseau sur site. Oracle recommande d'utiliser des sous-réseaux régionaux. Ici, vous créez un sous-réseau privé régional.

Cette image présente la création du sous-réseau
Numéro 1 : table de routage de réseau cloud virtuel MyExampleRouteTable
CIDR de destination Table de routage
10.0.0.0/16 Passerelle de routage dynamique
Numéro 2 : liste de sécurité MyExampleSecurityList
Entrant/Sortant CIDR Protocole : port
Entrant 10.0.0.0/16 TCP : 22
Entrant 10.0.0.0/16 ICMP : tous
Sortant 10.0.0.0/16 TCP : tous
  1. Lorsque vous visualisez encore votre réseau cloud virtuel, cliquez sur Sous-réseaux dans la partie gauche de la page.
  2. Cliquez sur Créer un sous-réseau.

  3. Entrez les valeurs suivantes :

    • Nom : nom descriptif du sous-réseau. Ce nom ne doit pas nécessairement être unique et ne peut pas être modifié ultérieurement dans la console (vous pouvez toutefois le modifier avec l'API). Evitez de saisir des informations confidentielles.
    • Sous-réseau régional ou propre à un domaine de disponibilité : sélectionnez le bouton radio Régional. Oracle recommande d'utiliser des sous-réseaux régionaux.
    • Bloc CIDR : bloc CIDR unique et contigu pour le sous-réseau (par exemple, 172.16.0.0/24). Il doit se trouver dans le bloc CIDR du réseau cloud et ne peut chevaucher aucun autre sous-réseau. Vous ne pouvez pas modifier cette valeur ultérieurement. Reportez-vous à Taille de réseau cloud virtuel et plages d'adresses autorisées. Pour référence, utilisez un calculateur de CIDR.
    • Activer l'affectation d'adresse IPv6 : cette option est disponible uniquement si le réseau cloud virtuel est déjà compatible IPv6. L'adressage IPv6 est pris en charge pour toutes les régions commerciales et gouvernementales. Pour plus d'informations, reportez-vous à Adresses IPv6.
    • Table de routage : table de routage créée précédemment.
    • Sous-réseau privé : sélectionnez cette option. Pour plus d'informations, reportez-vous à Accès à Internet.
    • Utiliser les noms d'hôte DNS dans ce sous-réseau : conservez la valeur telle quelle (sélectionnée).
    • Options DHCP : ensemble d'options DHCP à associer au sous-réseau. Sélectionnez l'ensemble d'options DHCP par défaut pour le réseau cloud virtuel.
    • Listes de sécurité : liste de sécurité créée précédemment.
    • Balises : à laisser tel quel. Vous pouvez ajouter des balises ultérieurement si vous le voulez. Pour plus d'informations, reportez-vous à Balises de ressource.
  4. Cliquez sur Créer un sous-réseau.

Le sous-réseau est créé et affiché sur la page. Le réseau cloud virtuel de base de cet exemple est désormais configuré et vous êtes prêt à créer les composants restants pour le VPN site à site.

Tâche 2g : créer un objet CPE et fournir l'adresse IP publique de votre dispositif CPE

Dans cette tâche, vous créez l'objet CPE, qui est une représentation virtuelle de votre appareil CPE. L'objet CPE existe dans un compartiment de votre location. Lorsque vous configurez un VPN site à site, vous devez modifier la configuration de l'appareil en périphérie réel de votre réseau afin qu'elle corresponde à celle de l'objet CPE.

Cette image présente la création de l'objet CPE
Numéro 1 : table de routage de réseau cloud virtuel MyExampleRouteTable
CIDR de destination Table de routage
10.0.0.0/16 Passerelle de routage dynamique
Numéro 2 : liste de sécurité MyExampleSecurityList
Entrant/Sortant CIDR Protocole : port
Entrant 10.0.0.0/16 TCP : 22
Entrant 10.0.0.0/16 ICMP : tous
Sortant 10.0.0.0/16 TCP : tous

  1. Ouvrez le menu de navigation et cliquez sur Fonctions de réseau. Sous Connexion client, cliquez sur Equipement sur site client.

  2. Cliquez sur Créer un CPE (Customer-Premise Equipment).

  3. Entrez les valeurs suivantes :

    • Nom : nom descriptif de l'objet CPE. Ce nom ne doit pas nécessairement être unique et ne peut pas être modifié ultérieurement dans la console (vous pouvez toutefois le modifier avec l'API). Evitez de saisir des informations confidentielles.
    • Adresse IP : adresse IP publique de l'appareil CPE/en périphérie réel à votre extrémité du VPN (reportez-vous à la liste des informations à collecter dans Avant de commencer).
    • Activer IPSec sur FastConnect : (facultatif) cochez cette option uniquement lors de la configuration de la fonctionnalité IPSec sur FastConnect. Lorsque cette option est activée, l'étiquette du champ suivant devient Adresse IP car l'adresse IP utilisée comme identificateur IKE du CPE peut être publique ou privée. La sélection de cette option signale à Oracle que l'adresse IP du CPE ne sera pas accessible via Internet et sera accessible via un appairage privé uniquement.
    • Adresse IP publique : adresse IP publique de l'appareil CPE/en périphérie réel à votre extrémité du VPN (reportez-vous à la liste des informations à collecter dans avant de commencer).
    • Balises : à laisser tel quel. Vous pouvez ajouter des balises ultérieurement si vous le voulez. Pour plus d'informations, reportez-vous à Balises de ressource.
  4. Cliquez sur Créer un CPE.

L'objet CPE est créé et affiché sur la page.

Tâche 2h : créer une connexion IPSec à l'objet CPE

Dans cette tâche, vous créez les tunnels IPSec et configurez le type de routage pour ceux-ci (routage statique ou routage dynamique BGP).

Conseil

Si vous disposez d'un VPN site à site existant qui utilise le routage statique, vous pouvez modifier les tunnels pour qu'ils utilisent le routage dynamique BGP.
Pour le routage dynamique BGP
Remarque

Oracle recommande d'utiliser des connexions IPSec basées sur un routage BGP pour IPSec sur FastConnect.

Dans cet exemple, vous configurez les deux tunnels pour qu'ils utilisent le routage dynamique BGP.

Cette image présente une disposition de VPN de base lors de l'utilisation du routage dynamique BGP.
Numéro 1 : table de routage de sous-réseau par défaut
CIDR de destination Cible du routage
10.0.0.0/16 Passerelle de routage dynamique
Numéro 2 : liste de sécurité
CIDR de destination Droit d'accès
10.0.0.0/16 Autorisé
Numéros 3 à 6
Numéro Fonction Adresse IP
3 Adresse IP publique du CPE 142.34.145.37
4a Tunnel 1 : interface de tunnel interne BGP

CPE - 10.0.0.16/31

Oracle - 10.0.0.17/31
4b Tunnel 2 : interface de tunnel interne BGP

CPE - 10.0.0.18/31

Oracle - 10.0.0.19/31
5

Tunnel 1 : adresse IP de VPN Oracle

129.213.240.50
6

Tunnel 2 : adresse IP de VPN Oracle

129.213.240.53

  1. Ouvrez le menu de navigation et cliquez sur Fonctions de réseau. Sous Connexion client, cliquez sur VPN site à site.

  2. Cliquez sur Créer une connexion IPSec.

  3. Entrez les valeurs suivantes :

    • Nom : saisissez le nom descriptif de la connexion IPSec. Ce nom ne doit pas nécessairement être unique et peut être modifié ultérieurement. Evitez de saisir des informations confidentielles.
    • Créer dans le compartiment : conservez la valeur telle quelle (compartiment du réseau cloud virtuel).
    • CPE (Customer-Premise Equipment) : sélectionnez l'objet CPE que vous avez créé précédemment. Si vous configurez IPSec sur FastConnect, le CPE que vous choisissez doit disposer d'un libellé confirmant que IPSec sur FastConnect est activé pour ce CPE. Le routage BGP est recommandé pour les connexions qui utilisent IPSec plutôt que FastConnect. Si nécessaire, cochez la case pour indiquer que le CPE se trouve derrière un périphérique NAT. Si la case est cochée, fournissez les informations suivantes :
      • Type d'identificateur IKE CPE : sélectionnez le type d'identificateur utilisé par IKE (Internet Key Exchange) pour identifier l'appareil CPE. Un nom de domaine qualifié complet ou une adresse IPv4 peut être un identificateur. Oracle utilise par défaut l'adresse IP publique du CPE. Si le CPE se trouve derrière un appareil NAT, vous devrez peut-être saisir une autre valeur. Vous pouvez saisir la nouvelle valeur ici ou la modifier ultérieurement.
      • Identificateur IKE CPE : saisissez les informations utilisées par IKE pour identifier l'appareil CPE.
    • Compartiment de la passerelle de routage dynamique : conservez la valeur telle quelle (compartiment du réseau cloud virtuel).
    • Passerelle de routage dynamique : sélectionnez la passerelle de routage dynamique que vous avez créée précédemment.
    • Routages vers le réseau sur site : laissez ce champ vide car cette connexion IPSec utilise le routage dynamique BGP. Vous configurez les deux tunnels pour qu'ils utilisent BGP lors des étapes suivantes.

  4. Pour Tunnel 1 (requis) :

    • Nom : entrez le nom descriptif du tunnel. Ce nom ne doit pas nécessairement être unique et peut être modifié ultérieurement. Evitez de saisir des informations confidentielles.
    • Indiquer une clé secrète partagée personnalisée (facultatif) : par défaut, Oracle indique la clé secrète partagée pour le tunnel. Si vous souhaitez l'indiquer à la place, cochez cette case et saisissez la clé secrète partagée. Vous pouvez modifier la clé secrète partagée ultérieurement.
    • Version IKE : version IKE (Internet Key Exchange) à utiliser pour ce tunnel. Sélectionnez l'option IKEv2 uniquement si votre CPE la prend en charge. Vous devez également configurer le CPE afin qu'il n'utilise qu'IKEv2 pour ce tunnel.
    • Type de routage : sélectionnez Routage dynamique BGP.
    • Si le CPE sélectionné prend en charge IPSec sur FastConnect, les paramètres suivants sont requis :
      • Adresse IP de la tête de réseau du tunnel Oracle : entrez l'adresse IP de l'adresse de tunnel Oracle IPSec (tête de réseau VPN). Oracle utilisera l'adresse IP VPN en tant que routage d'hôte /32 via la session BGP FastConnect. S'il existe un chevauchement d'adresse avec un routage VCN, cela prévaudra en raison de la correspondance de préfixe la plus longue.
      • Circuit virtuel associé : sélectionnez un circuit virtuel qui a été activé pour IPSec sur FastConnect lors de sa création. Le tunnel sera mappé au circuit virtuel choisi et l'adresse IP de tête de réseau définie ne sera accessible qu'à partir d'un environnement sur site via le circuit virtuel associé.
      • Table de routage DRG : choisissez ou créez une table de routage DRG. Pour éviter tout problème de routage récursif, l'attachement de circuit virtuel et l'attachement de tunnel IPSec utilisés pour IPsec sur FC doivent utiliser des tables de routage DRG différentes.
    • Numéro ASN BGP : saisissez le numéro ASN de votre réseau.
    • Interface de tunnel interne IPv4 - CPE : entrez l'adresse IPv4 BGP avec un masque de sous-réseau (/30 ou /31) pour l'extrémité CPE du tunnel. Par exemple : 10.0.0.16/31. L'adresse IP doit faire partie du domaine de cryptage du VPN site à site.
    • Interface de tunnel interne IPv4 - Oracle : entrez l'adresse IPv4 BGP avec un masque de sous-réseau (/30 ou /31) pour l'extrémité Oracle du tunnel. Par exemple : 10.0.0.17/31. L'adresse IP doit faire partie du domaine de cryptage du VPN site à site.
    • Si vous prévoyez d'utiliser IPv6 et IPv4, cliquez sur Activer IPv6 et entrez les détails suivants :
      • Interface de tunnel interne IPv6 - CPE : entrez l'adresse IPv6 BGP avec un masque de sous-réseau (/126) pour l'extrémité CPE du tunnel. Par exemple : 2001:db2::6/126. L'adresse IP doit faire partie du domaine de cryptage du VPN site à site.
      • Interface de tunnel interne IPv6 - Oracle : entrez l'adresse IP BGP avec un masque de sous-réseau (/126) pour l'extrémité Oracle du tunnel. Par exemple : 2001:db2::7/126. L'adresse IP doit faire partie du domaine de cryptage du VPN site à site.
      • Si vous cliquez sur Afficher les options avancées, vous pouvez modifier les paramètres suivants pour le tunnel 1 :
        • Lancement par Oracle : ce paramètre indique si l'extrémité Oracle de la connexion IPSec peut lancer le démarrage du tunnel IPSec. La valeur par défaut est Initiateur ou répondeur. Vous pouvez également choisir de définir l'extrémité Oracle en tant que répondeur uniquement. L'appareil CPE doit alors lancer le tunnel IPSec. Oracle recommande de conserver le paramétrage par défaut de cette option.
        • NAT-T activé : ce paramètre indique si l'appareil CPE se trouve derrière un appareil NAT. Par défaut, il est défini sur Auto. Les autres options sont Désactivé et Activé. Oracle recommande de conserver le paramétrage par défaut de cette option.
        • Activer le délai d'expiration de la détection DPD : cliquez sur cette option pour vérifier régulièrement la stabilité de la connexion au CPE et détecter que ce dernier s'est arrêté. Si vous sélectionnez cette option, vous pouvez également sélectionner l'intervalle le plus long devant s'écouler entre les messages d'état de l'appareil CPE pour que la connexion IPSec indique qu'elle a perdu le contact avec le CPE. La valeur par défaut est 20 secondes. Oracle recommande de conserver le paramétrage par défaut de cette option.
      • Si vous développez la section Configuration de la phase 1 (ISAKMP) et cliquez sur Définir les options personnalisées, vous pouvez définir les paramètres facultatifs suivants (vous devez sélectionner une option pour chacun) :
        • Algorithmes de cryptage personnalisés : vous pouvez choisir l'une des options du menu déroulant.
        • Algorithmes d'authentification personnalisés : vous pouvez choisir l'une des options du menu déroulant.
        • Groupes Diffie-Hellman : vous pouvez choisir parmi les options fournies dans le menu déroulant.

        Si la case Définir des configurations personnalisées n'est pas cochée, les paramètres par défaut sont proposés.

        Pour mieux comprendre ces options, y compris les propositions par défaut, reportez-vous à Paramètres IPSec pris en charge.

      • Durée de vie de la clé de session IKE en secondes : la valeur par défaut est 28800, ce qui équivaut à 8 heures.
      • Si vous développez les options Configuration de la phase 2 (IPSec) et cliquez sur Définir les options personnalisées, vous pouvez définir les paramètres facultatifs suivants pour le tunnel 1 (vous devez sélectionner un algorithme de cryptage) :
        • Algorithmes de cryptage personnalisés : vous pouvez choisir l'une des options du menu déroulant. Si vous sélectionnez un algorithme de cryptage AES-CBC, vous devez également sélectionner un algorithme d'authentification.
        • Algorithmes d'authentification personnalisés : vous pouvez choisir l'une des options du menu déroulant. L'algorithme de cryptage choisi peut disposer d'une authentification intégrée, auquel cas aucune option n'est sélectionnable.

        Si la case Définir des configurations personnalisées n'est pas cochée, les paramètres par défaut sont proposés.

        Concernant toutes les options de phase 2, si vous sélectionnez une seule option, celle-ci remplace l'ensemble par défaut et est la seule option proposée à l'appareil CPE.

      • Durée de vie de la clé de session IPSec en secondes : la valeur par défaut est 3600, ce qui équivaut à 1 heure.
      • Activer la confidentialité persistante : par défaut, cette option est activée. Elle vous permet de choisir le groupe Diffie-Hellman de confidentialité persistante. Vous pouvez choisir l'une des options du menu déroulant. Si vous n'effectuez pas de sélection, GROUP5 est proposé.
  5. Dans l'onglet Tunnel 2, vous pouvez utiliser les mêmes options que celles décrites pour le tunnel 1. Vous pouvez également choisir des options différentes ou décider de ne pas configurer le tunnel, l'appareil CPE ne prenant en charge qu'un seul tunnel.
  6. Vous pouvez cliquer sur Afficher les options de balisage afin d'ajouter des balises pour la connexion IPSec maintenant ou les ajouter ultérieurement. Pour plus d'informations, reportez-vous à Balises de ressource.

  7. Cliquez sur Créer une connexion IPSec.

    La connexion IPSec est créée et affichée sur la page. Elle présente l'état Provisionnement pendant une courte période.

    Les informations de tunnel affichées sont les suivantes :

    • Adresse IPv4 ou IPv6 du VPN Oracle (pour la tête de réseau du VPN Oracle).
    • Statut IPSec du tunnel (valeurs possibles : Démarré, Arrêté et Arrêté pour maintenance). A ce stade, le statut est Arrêté. L'ingénieur réseau doit configurer l'appareil CPE pour que les tunnels puissent être établis.
    • Statut BGP du tunnel. A ce stade, le statut est Arrêté. L'ingénieur réseau doit configurer votre appareil CPE.

    Pour afficher la clé secrète partagée du tunnel, cliquez sur ce dernier pour voir ses détails et cliquez sur Afficher en regard de Clé secrète partagée.

    Vous pouvez également cliquer sur l'onglet Détails de la phase pour afficher les détails de phase 1 (ISAKMP) et de phase 2 (IPSec) du tunnel.

  8. Copiez l'adresse IP du VPN Oracle et la clé secrète partagée pour chaque tunnel dans un courriel ou dans un autre emplacement afin de pouvoir les envoyer à l'ingénieur réseau qui configure votre appareil CPE.

    Vous pouvez consulter les informations de ce tunnel dans la console à tout moment.

Vous avez à présent créé tous les composants requis pour le VPN site à site. L'ingénieur réseau doit ensuite configurer l'appareil CPE pour que le trafic réseau puisse circuler entre votre réseau sur site et votre réseau cloud virtuel.

Pour le routage statique
Remarque

Oracle recommande d'utiliser des connexions IPSec basées sur un routage BGP pour IPSec sur FastConnect.
Cette image montre la création de la connexion IPSec avec un routage statique .Cliquez dessus pour agrandir
Numéro 1 : table de routage de réseau cloud virtuel MyExampleRouteTable
CIDR de destination Table de routage
10.0.0.0/16 Passerelle de routage dynamique
Numéro 2 : liste de sécurité MyExampleSecurityList
Entrant/Sortant CIDR Protocole : port
Entrant 10.0.0.0/16 TCP : 22
Entrant 10.0.0.0/16 ICMP : tous
Sortant 10.0.0.0/16 TCP : tous
Numéro 3 : détails de connexion IPSec avec le routage statique 10.0.0.0/16
Tunnel Adresse IP côté Oracle Adresse IP côté réseau sur site
Tunnel 1 10.0.0.17/31 10.0.0.16/31
Tunnel 2 10.0.0.19/31 10.0.0.18/31

  1. Ouvrez le menu de navigation et cliquez sur Fonctions de réseau. Sous Connexion client, cliquez sur VPN site à site.

  2. Cliquez sur Créer une connexion IPSec.

  3. Entrez les valeurs suivantes :

    • Créer dans le compartiment : conservez la valeur telle quelle (compartiment du réseau cloud virtuel).
    • Nom : saisissez le nom descriptif de la connexion IPSec. Ce nom ne doit pas nécessairement être unique et peut être modifié ultérieurement. Evitez de saisir des informations confidentielles.
    • Compartiment de CPE (Customer-Premises Equipment) : conservez la valeur telle quelle (compartiment du réseau cloud virtuel).
    • CPE (Customer-Premise Equipment) : sélectionnez l'objet CPE que vous avez créé précédemment. Si vous configurez IPSec sur FastConnect, le CPE que vous choisissez doit disposer d'un libellé confirmant que IPSec sur FastConnect est activé pour ce CPE. IPSec sur FastConnect est disponible pour les connexions qui utilisent le routage statique, mais n'est pas recommandé.
    • Compartiment de la passerelle de routage dynamique : conservez la valeur telle quelle (compartiment du réseau cloud virtuel).
    • Passerelle de routage dynamique : sélectionnez la passerelle de routage dynamique que vous avez créée précédemment.
    • CIDR de routage statique : saisissez au moins un CIDR de routage statique (reportez-vous à la liste des informations à collecter dans Avant de commencer). Pour cet exemple, saisissez 10.0.0.0/16. Vous pouvez entrer jusqu'à 10 routages statiques et les modifier ultérieurement.
  4. Cliquez sur Afficher les options avancées.
  5. Dans l'onglet Identificateur IKE CPE (facultatif) : Oracle utilise par défaut l'adresse IP publique du CPE. Si le CPE se trouve derrière un appareil NAT, vous devrez peut-être saisir une autre valeur. Vous pouvez saisir la nouvelle valeur ici ou la modifier ultérieurement.

  6. Dans l'onglet Tunnel 1 (facultatif) :

    • Nom du tunnel : entrez le nom descriptif du tunnel. Ce nom ne doit pas nécessairement être unique et peut être modifié ultérieurement. Evitez de saisir des informations confidentielles.
    • Indiquer une clé secrète partagée personnalisée (facultatif) : par défaut, Oracle indique la clé secrète partagée pour le tunnel. Si vous souhaitez l'indiquer à la place, cochez cette case et saisissez la clé secrète partagée. Vous pouvez modifier la clé secrète partagée ultérieurement.
    • Version IKE : version IKE (Internet Key Exchange) à utiliser pour ce tunnel. Sélectionnez l'option IKEv2 uniquement si votre CPE la prend en charge. Vous devez également configurer le CPE afin qu'il n'utilise qu'IKEv2 pour ce tunnel.
    • Type de routage : laissez le bouton radio Routage statique sélectionné.
    • Interface de tunnel interne - CPE (facultatif) : vous pouvez indiquer une adresse IP avec un masque de sous-réseau (/30 ou /31) pour l'extrémité CPE du tunnel à des fins de dépannage ou de surveillance de celui-ci. Par exemple : 10.0.0.16/31. L'adresse IP doit faire partie du domaine de cryptage du VPN site à site.
    • Interface de tunnel interne - Oracle (facultatif) : vous pouvez fournir une adresse IP avec un masque de sous-réseau (/30 ou /31) pour l'extrémité Oracle du tunnel à des fins de dépannage ou de surveillance de celui-ci. Par exemple : 10.0.0.17/31. L'adresse IP doit faire partie du domaine de cryptage du VPN site à site.

  7. Dans l'onglet Tunnel 2 (facultatif) :

    • Nom du tunnel : entrez le nom descriptif du tunnel. Ce nom ne doit pas nécessairement être unique et peut être modifié ultérieurement. Evitez de saisir des informations confidentielles.
    • Indiquer une clé secrète partagée personnalisée (facultatif) : par défaut, Oracle indique la clé secrète partagée pour le tunnel. Si vous souhaitez l'indiquer à la place, cochez cette case et saisissez la clé secrète partagée. Vous pouvez modifier la clé secrète partagée ultérieurement.
    • Version IKE : version IKE (Internet Key Exchange) à utiliser pour ce tunnel. Sélectionnez l'option IKEv2 uniquement si votre CPE la prend en charge. Vous devez également configurer le CPE afin qu'il n'utilise qu'IKEv2 pour ce tunnel.
    • Type de routage : laissez le bouton radio Routage statique sélectionné.
    • Interface de tunnel interne - CPE (facultatif) : vous pouvez indiquer une adresse IP avec un masque de sous-réseau (/30 ou /31) pour l'extrémité CPE du tunnel à des fins de dépannage ou de surveillance de celui-ci. Utilisez une adresse IP différente de celle du tunnel 1. Par exemple : 10.0.0.18/31. L'adresse IP doit faire partie du domaine de cryptage du VPN site à site.
    • Interface de tunnel interne - Oracle (facultatif) : vous pouvez fournir une adresse IP avec un masque de sous-réseau (/30 ou /31) pour l'extrémité Oracle du tunnel à des fins de dépannage ou de surveillance de celui-ci. Utilisez une adresse IP différente de celle du tunnel 1. Par exemple : 10.0.0.19/31. L'adresse IP doit faire partie du domaine de cryptage du VPN site à site.
  8. Balises : à laisser tel quel. Vous pouvez ajouter des balises ultérieurement si vous le voulez. Pour plus d'informations, reportez-vous à Balises de ressource.

  9. Cliquez sur Créer une connexion IPSec.

    La connexion IPSec est créée et affichée sur la page. Elle présentera l'état Provisionnement pendant une courte période.

    Les informations de tunnel affichées sont les suivantes :

    • Adresse IP du VPN Oracle (pour la tête de réseau du VPN Oracle).
    • Statut IPSec du tunnel (valeurs possibles : Démarré, Arrêté et Arrêté pour maintenance). A ce stade, le statut est Arrêté. L'ingénieur réseau doit toujours configurer votre dispositif CPE.

    Pour afficher la clé secrète partagée du tunnel, cliquez sur ce dernier pour voir ses détails et cliquez sur Afficher en regard de Clé secrète partagée.

  10. Copiez l'adresse IP du VPN Oracle et la clé secrète partagée pour chaque tunnel dans un courriel ou dans un autre emplacement afin de pouvoir les envoyer à l'ingénieur réseau qui configurera le dispositif CPE.

    Vous pouvez consulter les informations de ce tunnel dans la console à tout moment.

Vous avez à présent créé tous les composants requis pour le VPN site à site. L'ingénieur réseau doit ensuite configurer l'appareil CPE pour que le trafic réseau puisse circuler entre votre réseau sur site et votre réseau cloud virtuel.

Pour plus d'informations, reportez-vous à Configuration du CPE.

Pour un routage basé sur une stratégie
Remarque

Oracle recommande d'utiliser des connexions IPSec basées sur un routage BGP pour IPSec sur FastConnect.
Remarque

L'option de routage basé sur une stratégie n'est pas disponible dans tous les domaines de disponibilité et peut nécessiter la création d'un tunnel IPSec.

  1. Ouvrez le menu de navigation et cliquez sur Fonctions de réseau. Sous Connexion client, cliquez sur VPN site à site.

  2. Cliquez sur Créer une connexion IPSec.

  3. Entrez les valeurs suivantes :

    • Créer dans le compartiment : conservez la valeur telle quelle (compartiment du réseau cloud virtuel).
    • Nom : saisissez le nom descriptif de la connexion IPSec. Ce nom ne doit pas nécessairement être unique et peut être modifié ultérieurement. Evitez de saisir des informations confidentielles.
    • Compartiment de CPE (Customer-Premises Equipment) : conservez la valeur telle quelle (compartiment du réseau cloud virtuel).
    • CPE (Customer-Premise Equipment) : sélectionnez l'objet CPE que vous avez créé précédemment. Si vous configurez IPSec sur FastConnect, le CPE que vous choisissez doit disposer d'un libellé confirmant que IPSec sur FastConnect est activé pour ce CPE. IPSec sur FastConnect est disponible pour les connexions qui utilisent un routage basé sur une stratégie, mais n'est pas recommandé.
    • Compartiment de la passerelle de routage dynamique : conservez la valeur telle quelle (compartiment du réseau cloud virtuel).
    • Passerelle de routage dynamique : sélectionnez la passerelle de routage dynamique que vous avez créée précédemment.
    • CIDR de routage statique : saisissez au moins un CIDR de routage statique (reportez-vous à la liste des informations à collecter dans Avant de commencer). Pour cet exemple, saisissez 10.0.0.0/16. Vous pouvez entrer jusqu'à 10 routages statiques et les modifier ultérieurement.
  4. Cliquez sur Afficher les options avancées.
  5. Dans l'onglet Identificateur IKE CPE (facultatif) : Oracle utilise par défaut l'adresse IP publique du CPE. Si le CPE se trouve derrière un appareil NAT, vous devrez peut-être saisir une autre valeur. Vous pouvez saisir la nouvelle valeur ici ou la modifier ultérieurement.

  6. Dans l'onglet Tunnel 1 (facultatif) :

    • Nom du tunnel : entrez le nom descriptif du tunnel. Ce nom ne doit pas nécessairement être unique et peut être modifié ultérieurement. Evitez de saisir des informations confidentielles.
    • Indiquer une clé secrète partagée personnalisée (facultatif) : par défaut, Oracle indique la clé secrète partagée pour le tunnel. Si vous souhaitez l'indiquer à la place, cochez cette case et saisissez la clé secrète partagée. Vous pouvez modifier la clé secrète partagée ultérieurement.
    • Version IKE : version IKE (Internet Key Exchange) à utiliser pour ce tunnel. Sélectionnez l'option IKEv2 uniquement si votre CPE la prend en charge. Vous devez également configurer le CPE afin qu'il n'utilise qu'IKEv2 pour ce tunnel.
    • Type de routage : sélectionnez le bouton radio du routage basé sur une stratégie.
    • Sur site : vous pouvez fournir plusieurs blocs CIDR IPv4 ou de préfixes IPv6 utilisés par des ressources du réseau sur site, le routage étant déterminé par les stratégies d'appareil CPE.
      Remarque

      Reportez-vous à Domaines de cryptage pour les tunnels basés sur une stratégie afin de connaître les limites qui s'appliquent au nombre de blocs CIDR IPv4 ou de préfixes IPv6 utilisés.
    • Oracle Cloud : vous pouvez fournir plusieurs blocs CIDR IPv4 ou de préfixes IPv6 utilisés par des ressources du réseau cloud virtuel.
      Remarque

      Reportez-vous à Domaines de cryptage pour les tunnels basés sur une stratégie afin de connaître les limites qui s'appliquent au nombre de blocs CIDR IPv4 ou de préfixes IPv6 utilisés.
    • Interface de tunnel interne - CPE (facultatif) : vous pouvez indiquer une adresse IP avec un masque de sous-réseau (/30 ou /31) pour l'extrémité CPE du tunnel à des fins de dépannage ou de surveillance de celui-ci. Par exemple : 10.0.0.16/31. L'adresse IP doit faire partie de l'un des domaines de cryptage du VPN site à site.
    • Interface de tunnel interne - Oracle (facultatif) : vous pouvez fournir une adresse IP avec un masque de sous-réseau (/30 ou /31) pour l'extrémité Oracle du tunnel à des fins de dépannage ou de surveillance de celui-ci. Par exemple : 10.0.0.17/31. L'adresse IP doit faire partie de l'un des domaines de cryptage du VPN site à site.

  7. Dans l'onglet Tunnel 2 (facultatif) :

    • Nom du tunnel : entrez le nom descriptif du tunnel. Ce nom ne doit pas nécessairement être unique et peut être modifié ultérieurement. Evitez de saisir des informations confidentielles.
    • Indiquer une clé secrète partagée personnalisée (facultatif) : par défaut, Oracle indique la clé secrète partagée pour le tunnel. Si vous souhaitez l'indiquer à la place, cochez cette case et saisissez la clé secrète partagée. Vous pouvez modifier la clé secrète partagée ultérieurement.
    • Version IKE : version IKE (Internet Key Exchange) à utiliser pour ce tunnel. Sélectionnez l'option IKEv2 uniquement si votre CPE la prend en charge. Vous devez également configurer le CPE afin qu'il n'utilise qu'IKEv2 pour ce tunnel.
    • Type de routage : sélectionnez le bouton radio du routage basé sur une stratégie.
    • Sur site : vous pouvez fournir plusieurs blocs CIDR IPv4 ou de préfixes IPv6 utilisés par des ressources du réseau sur site, le routage étant déterminé par les stratégies d'appareil CPE.
      Remarque

      Afin de connaître les limites, reportez-vous à Domaines de cryptage pour les tunnels basés sur une stratégie.
    • Oracle Cloud : vous pouvez fournir plusieurs blocs CIDR IPv4 ou de préfixes IPv6 utilisés par des ressources du réseau cloud virtuel.
      Remarque

      Afin de connaître les limites, reportez-vous à Domaines de cryptage pour les tunnels basés sur une stratégie.
    • Interface de tunnel interne - CPE (facultatif) : vous pouvez indiquer une adresse IP avec un masque de sous-réseau (/30 ou /31) pour l'extrémité CPE du tunnel à des fins de dépannage ou de surveillance de celui-ci. Par exemple : 10.0.0.16/31. L'adresse IP doit faire partie de l'un des domaines de cryptage du VPN site à site.
    • Interface de tunnel interne - Oracle (facultatif) : vous pouvez fournir une adresse IP avec un masque de sous-réseau (/30 ou /31) pour l'extrémité Oracle du tunnel à des fins de dépannage ou de surveillance de celui-ci. Par exemple : 10.0.0.17/31. L'adresse IP doit faire partie de l'un des domaines de cryptage du VPN site à site.
  8. Balises : à laisser tel quel. Vous pouvez ajouter des balises ultérieurement si vous le voulez. Pour plus d'informations, reportez-vous à Balises de ressource.

  9. Cliquez sur Créer une connexion IPSec.

    La connexion IPSec est créée et affichée sur la page. Elle présentera l'état Provisionnement pendant une courte période.

    Les informations de tunnel affichées sont les suivantes :

    • Adresse IP du VPN Oracle (pour la tête de réseau du VPN Oracle).
    • Statut IPSec du tunnel (valeurs possibles : Démarré, Arrêté et Arrêté pour maintenance). A ce stade, le statut est Arrêté. L'ingénieur réseau doit toujours configurer votre dispositif CPE.

    Pour afficher la clé secrète partagée du tunnel, cliquez sur ce dernier pour voir ses détails et cliquez sur Afficher en regard de Clé secrète partagée.

  10. Copiez l'adresse IP du VPN Oracle et la clé secrète partagée pour chaque tunnel dans un courriel ou dans un autre emplacement, puis envoyez-les à l'ingénieur réseau qui configure l'appareil CPE.

    Vous pouvez consulter les informations de ce tunnel dans la console à tout moment.

Vous avez à présent créé tous les composants requis pour le VPN site à site. L'ingénieur réseau doit ensuite configurer l'appareil CPE pour que le trafic réseau puisse circuler entre votre réseau sur site et votre réseau cloud virtuel.

Pour plus d'informations, reportez-vous à Configuration du CPE.

Tâche 3 : utiliser l'application d'aide de configuration de CPE

Servez-vous de l'application d'aide de configuration de CPE afin de générer le contenu de configuration que l'ingénieur réseau peut utiliser pour configurer le CPE.

Le contenu inclut les éléments suivants :

  • Pour chaque tunnel IPSec, adresse IP VPN Oracle et clé secrète partagée.
  • Valeurs de paramètre IPSec prises en charge.
  • Informations sur le réseau cloud virtuel.
  • Informations de configuration propres au CPE.

Pour plus d'informations, reportez-vous à Utilisation de l'application d'aide de configuration de CPE.

Tâche 4 : demander à l'ingénieur réseau de configurer le CPE

Fournissez les éléments suivants à l'ingénieur réseau :

Important

Assurez-vous que l'ingénieur réseau configure votre dispositif CPE de sorte qu'il prenne en charge les deux tunnels au cas où l'un d'eux tomberait en panne ou qu'Oracle en arrêterait un à des fins de maintenance. Si vous utilisez BGP, reportez-vous à Routage du VPN site à site.
Tâche 5 : valider la connectivité

Une fois que l'ingénieur réseau a configuré le dispositif CPE, vous pouvez vérifier que le statut IPSec du tunnel est Démarré et de couleur verte. Vous pouvez ensuite créer une instance Linux dans le sous-réseau de votre réseau cloud virtuel. Vous devez ensuite pouvoir utiliser SSH pour vous connecter à l'adresse IP privée de l'instance à partir d'un hôte de votre réseau sur site. Pour plus d'informations, reportez-vous à Création d'une instance.

Exemple de disposition avec plusieurs zones géographiques

Le diagramme suivant présente un exemple avec la configuration ci-après :

  • Deux réseaux dans des zones géographiques distinctes, chacun connecté à votre réseau cloud virtuel
  • Un seul dispositif CPE dans chaque zone
  • Deux VPN IPSec (un pour chaque dispositif CPE)

Chaque VPN site à site a deux routages associés : un routage pour le sous-réseau de la zone géographique spécifique et un routage 0.0.0.0/0 par défaut. Oracle apprend les routages disponibles pour chaque tunnel via BGP (si les tunnels utilisent BGP), ou parce que vous les avez définis en tant que routages statiques pour la connexion IPSec (si les tunnels utilisent le routage statique).

Cette image présente une disposition comportant deux zones géographiques et deux routeurs
Numéro 1 : table de routage de réseau cloud virtuel
CIDR de destination Cible du routage
10.20.0.0/16 Passerelle de routage dynamique
10.40.0.0/16 Passerelle de routage dynamique

Voici quelques exemples de situations dans lesquelles le routage 0.0.0.0/0 peut offrir de la flexibilité :

  • Supposons que le dispositif CPE 1 soit arrêté (reportez-vous au diagramme suivant). Si le sous-réseau 1 et le sous-réseau 2 peuvent communiquer entre eux, le réseau cloud virtuel peut toujours atteindre les systèmes du sous-réseau 1 grâce au routage 0.0.0.0/0 qui mène à CPE 2.

    Cette image présente une disposition dans laquelle l'un des routeurs CPE est arrêté
    Numéro 1 : table de routage de réseau cloud virtuel
    CIDR de destination Cible du routage
    10.20.0.0/16 Passerelle de routage dynamique
    10.40.0.0/16 Passerelle de routage dynamique

  • Supposons que votre organisation ajoute une nouvelle zone géographique avec le sous-réseau 3 et la connecte initialement au sous-réseau 2 uniquement (reportez-vous au diagramme suivant). Si vous avez ajouté une règle de routage à la table de routage de votre réseau cloud virtuel pour le sous-réseau 3, le réseau cloud virtuel peut atteindre les systèmes du sous-réseau 3 grâce au routage 0.0.0.0/0 qui mène à CPE 2.

    Cette image présente une disposition avec un nouveau sous-réseau
    Numéro 1 : table de routage de réseau cloud virtuel
    CIDR de destination Cible du routage
    10.20.0.0/16 Passerelle de routage dynamique
    10.40.0.0/16 Passerelle de routage dynamique
    10.60.0.0/16 Passerelle de routage dynamique

Exemple de disposition avec une opération PAT

Le diagramme suivant présente un exemple avec la configuration ci-après :

  • Deux réseaux dans des zones géographiques distinctes, chacun connecté à votre réseau cloud virtuel
  • Dispositifs CPE redondants (deux dans chaque zone géographique)
  • Quatre VPN IPSec (un pour chaque dispositif CPE)
  • Opération PAT (Port Address Translation) pour chaque dispositif CPE

Pour chacune des quatre connexions, le routage qu'Oracle doit connaître est l'adresse IP PAT pour l'appareil CPE spécifique. Oracle apprend le routage d'adresse IP PAT pour chaque tunnel via BGP (si les tunnels utilisent BGP), ou parce que vous avez défini l'adresse appropriée comme routage statique pour la connexion IPSec (si les tunnels utilisent un routage statique).

Lorsque vous configurez les règles de routage pour le réseau cloud virtuel, vous spécifiez une règle pour chaque adresse IP PAT (ou un CIDR d'agrégation qui les couvre toutes) avec votre passerelle de routage dynamique en tant que cible.

Cette image présente un scénario avec des VPN IPSec, des routeurs et une opération PAT
Numéro 1 : table de routage de réseau cloud virtuel
CIDR de destination Cible du routage
Adresse IP PAT 1 Passerelle de routage dynamique
Adresse IP PAT 2 Passerelle de routage dynamique
Adresse IP PAT 3 Passerelle de routage dynamique
Adresse IP PAT 4 Passerelle de routage dynamique