Dettagli di instradamento per le connessioni alla rete in locale

Il peering privato FastConnect e la VPN da sito a sito forniscono alla rete on premise l'accesso privato a una VCN. Entrambi i tipi di connessioni terminano su un singolo DRG collegato alla VCN. Ricorda che la VPN da sito a sito può utilizzare il protocollo BGP (Border Gateway Protocol) o l'instradamento statico oppure una combinazione. FastConnect utilizza sempre BGP per gli annunci di instradamento.

Per i collegamenti ai circuiti virtuali e ai tunnel IPSec configurati per l'uso dell'instradamento dinamico, il gateway DRG pubblica tutti gli instradamenti contenuti nella tabella di instradamento DRG assegnata.

Se una VCN collegata utilizza l'instradamento in entrata per concedere l'accesso ai servizi Oracle tramite il gateway di servizi della VCN, è possibile osservare l'instradamento elencato come un singolo instradamento mnenomico utilizzando l'operazione API ListDrgRouteRules. Quando questo instradamento viene propagato a un altro DRG tramite un RPC o viene pubblicizzato nella rete in locale utilizzando BGP, viene visualizzato come un set di regole letterali. Per un elenco di questi intervalli, vedere Indirizzi IP pubblici per VCN e Oracle Services Network.

Questa sezione descrive in modo più dettagliato come utilizzare l'attributo AS_PATH BGP per influenzare la selezione dell'instradamento nel contesto di una singola tabella di instradamento DRG.

Se gli instradamenti per i diversi percorsi sono gli stessi, Oracle utilizza il percorso AS più breve quando invia il traffico alla rete in locale, indipendentemente dal percorso utilizzato per avviare la connessione a Oracle. Pertanto è consentito l'instradamento asimmetrico. L'instradamento asimmetrico qui indica che la risposta di Oracle a una richiesta può seguire un percorso diverso da quello della richiesta. Ad esempio, a seconda della configurazione del dispositivo perimetrale (denominato anche apparecchiatura locale del cliente o CPE), è possibile inviare una richiesta tramite una VPN da sito a sito, ma la risposta Oracle potrebbe tornare su FastConnect. Per forzare l'instradamento a essere simmetrico, si consiglia di utilizzare il percorso BGP e AS che precede gli instradamenti per influenzare il percorso utilizzato da Oracle durante la risposta e l'avvio delle connessioni.

Oracle implementa il percorso AS che precede per stabilire la preferenza su quale percorso utilizzare se il dispositivo edge pubblica gli stessi attributi di instradamento e instradamento su diversi tipi di connessione tra la rete in locale e la VCN. I dettagli sono descritti nella tabella riportata di seguito. A meno che non si stia influenzando il routing in un altro modo, quando lo stesso instradamento viene segnalato su diversi percorsi al DRG all'estremità Oracle delle connessioni, Oracle preferisce i percorsi nel seguente ordine:

La tabella precedente presuppone l'invio di un singolo numero di sistema autonomo nel percorso AS. Oracle rispetta il percorso AS completo che invii. Se si utilizza l'instradamento statico e si invia anche un percorso AS con "ASN in locale" più due o più altri ASN, può causare un funzionamento imprevisto perché la preferenza di instradamento di Oracle potrebbe cambiare.

Sebbene il comportamento dell'instradamento statico VPN basato su criteri sia documentato in precedenza, Oracle consiglia inoltre di utilizzare le connessioni FastConnect con il backup VPN, utilizzando il protocollo BGP sulla VPN basata su instradamento IPSec. Questa strategia offre il pieno controllo del comportamento di failover.

Puoi configurare un dispositivo perimetrale in modo che preferisca un percorso specifico durante l'invio del traffico dalla rete in locale a Oracle. Nella sezione seguente viene descritta una situazione particolare in cui è necessario garantire un percorso di traffico coerente se gli host in locale utilizzano i servizi Oracle.

La rete in locale può accedere ai servizi Oracle Services Network pubblici come Storage degli oggetti su diversi percorsi. È possibile utilizzare percorsi pubblici, come Internet o FastConnect peering pubblico. Con questi percorsi pubblici, gli host in locale comunicano con i servizi Oracle utilizzando indirizzi IP pubblici.

Puoi anche impostare la rete in locale con l'accesso privato ai servizi Oracle tramite il gateway di servizi della VCN. Un gateway di servizi consente agli host della rete in locale di utilizzare uno qualsiasi dei servizi elencati in Gateway di servizi: Servizi cloud supportati in Oracle Services Network e di comunicare con tali servizi Oracle da indirizzi IP privati.

Se la rete in locale è stata configurata con diversi percorsi di connessione ai servizi Oracle, il dispositivo perimetrale potrebbe ricevere la pubblicità di instradamento degli instradamenti degli indirizzi IP pubblici dei servizi Oracle su più percorsi. Di seguito sono riportati i possibili percorsi che è possibile utilizzare con la rete in locale.

• Percorsi di accesso pubblici:
  • Internet Service Provider (ISP)
  • Peering pubblico FastConnect
• Percorsi di accesso privato tramite il gateway DRG e di servizio della VCN:
  • FastConnect peering privato
  • VPN da sito a sito

Il dispositivo edge riceve annunci di instradamento dal DRG ed eventualmente dai router tramite percorsi pubblici. La maggior parte degli instradamenti per i servizi Oracle pubblicati dal DRG hanno un prefisso più lungo (più specifico) rispetto agli instradamenti per i servizi Oracle pubblicati sui percorsi di accesso pubblici. Pertanto, se si imposta la rete con accesso pubblico e privato ai servizi Oracle, è necessario configurare il dispositivo perimetrale in modo che preferisca il percorso di accesso privato al DRG per il traffico dalla rete in locale ai servizi Oracle. L'impostazione dell'accesso sia pubblico che privato garantisce un percorso coerente per l'accesso ai servizi Oracle.

Per un elenco degli intervalli IP pubblici pubblicati su un peering pubblico FastConnect, vedere FastConnect Instradamenti pubblicati peering pubblico.

Per un elenco degli intervalli IP pubblici regionali pubblicati sui percorsi privati (per una VCN con un gateway di servizi), vedere Indirizzi IP pubblici per VCN e Oracle Services Network.

Il filtro di instradamento consente di decidere quali instradamenti sono inclusi negli annunci BGP nella rete on premise. RFC 5291 fornisce informazioni più generali sul filtro degli instradamenti e sulla pubblicità BGP degli instradamenti.

I circuiti virtuali privati e la VPN da sito a sito non supportano il filtro degli instradamenti. I circuiti virtuali pubblici su FastConnect pubblicizzano gli instradamenti in base alle impostazioni di filtro degli instradamenti selezionate che definiscono l'ambito degli instradamenti condivisi. Sono disponibili le seguenti opzioni:

• Regionale: pubblica solo gli instradamenti pubblici disponibili utilizzati da intervalli di indirizzi IP effimeri, intervalli di indirizzi IP riservati e Oracle Services Network per l'area di questo circuito virtuale nella rete on premise.
• Market: pubblicizza gli instradamenti pubblici disponibili utilizzati da intervalli di indirizzi IP effimeri, intervalli di indirizzi IP riservati e OSN per l'area e gli instradamenti di questo circuito virtuale per altre aree della stessa parte del mondo alla rete on-premise. Questa è l'impostazione predefinita. Le aree disponibili in ciascuno dei quattro mercati vengono visualizzate nelle tabelle e su una mappa nell'articolo FastConnect Instradamenti pubblicati peering pubblico.
• Globale - Pubblica gli instradamenti pubblici disponibili utilizzati da intervalli di indirizzi IP effimeri, intervalli di indirizzi IP riservati e OSN per tutte le aree in tutti i mercati del cloud Oracle alla rete on-premise.
• Oracle Services Network: pubblica nella rete on premise solo gli instradamenti pubblici utilizzati dalle risorse OSN nell'area locale.

È possibile selezionare le opzioni di filtro di instradamento quando si imposta un circuito virtuale FastConnect. I dettagli variano a seconda che si stia utilizzando un partner FastConnect, un provider di terze parti o una colorazione.

Per ulteriori informazioni, vedere le seguenti risorse correlate:

• Guida alla ridondanza della connettività (PDF)
• Best practice VPN da sito a sito (IPSec) (PDF)
• Procedure ottimale per la ridondanza FastConnect