Documentazione dell'infrastruttura Oracle Cloud

Punto di controllo: basato su percorso

Questo argomento fornisce una configurazione basata su instradamento per il punto di controllo CloudGuard. Le istruzioni sono state convalidate con Check Point CloudGuard versione R80.20.

Importante

Oracle fornisce istruzioni di configurazione per un set testato di fornitori e dispositivi. Utilizzare la configurazione corretta per il fornitore e la versione software.

Se la versione del dispositivo o del software utilizzata da Oracle per verificare la configurazione non corrisponde esattamente al dispositivo o al software, è comunque possibile creare la configurazione necessaria sul dispositivo. Consultare la documentazione del fornitore ed apportare le modifiche necessarie.

Se il dispositivo proviene da un fornitore non incluso nell'elenco dei fornitori e dei dispositivi verificati o se si ha già familiarità con la configurazione del dispositivo per IPSec, vedere l'elenco di parametri IPSec supportati e consultare la documentazione del fornitore per assistenza.

Questo argomento riguarda la configurazione basata su instradamento (basata su VTI). Se invece si desidera una configurazione basata su criteri, vedere Punto di controllo: basato su criteri. L'instradamento basato su criteri è menzionato di passaggio in questo articolo, si consiglia di comprendere entrambi i metodi.

L'esperienza punto di controllo è obbligatoria. Questo argomento non include come aggiungere il gateway di sicurezza Check Point CloudGuard al Security Manager Check Point CloudGuard. Per ulteriori informazioni sull'uso dei prodotti Check Point, consultare la documentazione Check Point.

Importante

Oracle fornisce istruzioni di configurazione per un set testato di fornitori e dispositivi. Utilizzare la configurazione corretta per il fornitore e la versione software.

Se la versione del dispositivo o del software utilizzata da Oracle per verificare la configurazione non corrisponde esattamente al dispositivo o al software, è comunque possibile creare la configurazione necessaria sul dispositivo. Consultare la documentazione del fornitore ed apportare le modifiche necessarie.

Se il dispositivo proviene da un fornitore non incluso nell'elenco dei fornitori e dei dispositivi verificati o se si ha già familiarità con la configurazione del dispositivo per IPSec, vedere l'elenco di parametri IPSec supportati e consultare la documentazione del fornitore per assistenza.

Oracle Cloud Infrastructure offre una VPN da sito a sito, una connessione IPSec sicura tra una rete on premise e una rete cloud virtuale (VCN).

Il diagramma riportato di seguito mostra una connessione IPSec di base a Oracle Cloud Infrastructure con tunnel ridondanti. Gli indirizzi IP utilizzati in questo diagramma sono solo a scopo di esempio.

Questa immagine riepiloga il layout generale di una rete in locale, dei tunnel IPSec di VPN Connect e della VCN.

Procedure ottimali

Questa sezione descrive le best practice generali e le considerazioni da tenere presenti per l'utilizzo della VPN da sito a sito.

Configura tutti i tunnel per ogni connessione IPSec

Oracle distribuisce due headend IPSec per le connessioni per fornire alta disponibilità per i carichi di lavoro mission-critical. Per quanto riguarda Oracle, questi due headend si trovano su router diversi a scopo di ridondanza. Si consiglia di configurare tutti i tunnel disponibili per la massima ridondanza. Questa è una parte fondamentale della filosofia "Design for Failure".

Disporre di CPE ridondanti nelle posizioni di rete in locale

Consigliamo a ogni sito che si connette con IPSec a Oracle Cloud Infrastructure di disporre di dispositivi edge ridondanti (noti anche come customer-premise equipment (CPE)). Ogni CPE viene aggiunto alla console Oracle e viene creata una connessione IPSec separata tra un gateway di instradamento dinamico (DRG) e ogni CPE. Per ogni connessione IPSec, Oracle esegue il provisioning di due tunnel in headend IPSec ridondanti a livello geografico. Per ulteriori informazioni, consulta la Guida alla ridondanza della connettività (PDF).

Considerazioni sul protocollo di instradamento

Quando si crea una connessione VPN da sito a sito IPSec, sono disponibili due tunnel IPSec ridondanti. Oracle ti consiglia di configurare il CPE in modo che utilizzi entrambi i tunnel (se il CPE lo supporta). In passato, Oracle ha creato connessioni IPSec con un massimo di quattro tunnel IPSec.

Sono disponibili i tre tipi di instradamento seguenti e si seleziona il tipo di instradamento separatamente per ogni tunnel nella VPN da sito a sito:

  • Instradamento dinamico BGP: gli instradamenti disponibili vengono acquisiti in modo dinamico tramite BGP. Il DRG apprende in modo dinamico gli instradamenti dalla rete in locale. Sul lato Oracle, il gateway DRG pubblica le subnet della VCN.
  • Instradamento statico: quando si imposta la connessione IPSec al DRG, si specificano gli instradamenti specifici alla rete in locale di cui si desidera che la VCN sia a conoscenza. Inoltre, devi configurare il dispositivo CPE con instradamenti statici alle subnet della VCN. Questi percorsi non vengono appresi in modo dinamico.
  • Instradamento basato su criteri: quando si imposta la connessione IPSec al DRG, si specificano gli instradamenti specifici alla rete in locale di cui si desidera che la VCN sia a conoscenza. Inoltre, devi configurare il dispositivo CPE con instradamenti statici alle subnet della VCN. Questi percorsi non vengono appresi in modo dinamico.

Per ulteriori informazioni sull'instradamento con VPN da sito a sito, inclusi i suggerimenti Oracle su come manipolare l'algoritmo di selezione del percorso migliore BGP, vedere Instradamento per VPN da sito a sito.

Altre importanti configurazioni CPE

Assicurarsi che le liste di accesso nel CPE siano configurate correttamente per non bloccare il traffico necessario da o verso Oracle Cloud Infrastructure.

Se si dispone di più tunnel contemporaneamente, si potrebbe verificare l'instradamento asimmetrico. Per tenere conto dell'instradamento asimmetrico, assicurarsi che il CPE sia configurato per gestire il traffico proveniente dalla VCN in uno qualsiasi dei tunnel. Ad esempio, è necessario disabilitare l'ispezione ICMP, configurare il bypass dello stato TCP. Per ulteriori dettagli sulla configurazione appropriata, contattare il supporto del fornitore CPE. Per configurare l'instradamento in modo che sia simmetrico, vedere Instradamento per VPN da sito a sito.

Grotte e limitazioni

Questa sezione copre le caratteristiche e le limitazioni importanti generali di Site-to-Site VPN di cui essere a conoscenza.

Per esaminare un elenco dei limiti applicabili e le istruzioni per richiedere un incremento del limite, consulta i limiti del servizio.

Instradamento asimmetrico

Oracle utilizza il routing asimmetrico tra i tunnel che compongono la connessione IPSec. Configurare i firewall tenendo presente questo aspetto. In caso contrario, i test di ping o il traffico dell'applicazione attraverso la connessione non funzionano in modo affidabile.

Quando utilizzi diversi tunnel per Oracle Cloud Infrastructure, ti consigliamo di configurare l'instradamento per instradare il traffico in modo deterministico attraverso il tunnel preferito. Per utilizzare un tunnel IPSec come primario e un altro come backup, configurare instradamenti più specifici per il tunnel primario (BGP) e instradamenti meno specifici (instradamento sintetico o predefinito) per il tunnel di backup (BGP/statico). In caso contrario, se si pubblica lo stesso instradamento (ad esempio, un instradamento predefinito) attraverso tutti i tunnel, restituire il traffico da una VCN a un instradamento di rete in locale a uno qualsiasi dei tunnel disponibili. Questo perché Oracle utilizza l'instradamento asimmetrico.

Per suggerimenti di instradamento Oracle specifici su come forzare l'instradamento simmetrico, vedere Instradamento per VPN da sito a sito.

Connessione IPSec basata su instradamento o criteri

Il protocollo IPSec utilizza le associazioni di sicurezza (SA) per decidere come cifrare i pacchetti. All'interno di ogni SA, è possibile definire i domini di cifratura per mappare l'indirizzo IP di origine e destinazione di un pacchetto e il tipo di protocollo a una voce nel database SA per definire come cifrare o decifrare un pacchetto.

Nota

Altri fornitori o la documentazione del settore possono utilizzare il termine ID proxy, indice dei parametri di sicurezza (SPI) o selettore del traffico quando si fa riferimento a SA o domini di cifratura.

Esistono due metodi generali per l'implementazione dei tunnel IPSec:

  • Tunnel basati su instradamento: chiamato anche tunnel basati sul prossimo hop. La ricerca della tabella di instradamento viene eseguita sull'indirizzo IP di destinazione di un pacchetto. Se l'interfaccia di uscita di tale instradamento è un tunnel IPSec, il pacchetto viene cifrato e inviato all'altra estremità del tunnel.
  • Tunnel basati su criteri: l'indirizzo IP e il protocollo di origine e destinazione del pacchetto corrispondono a una lista di istruzioni dei criteri. Se viene trovata una corrispondenza, il pacchetto viene cifrato in base alle regole in tale istruzione di criterio.

I backend VPN da sito a sito Oracle utilizzano tunnel basati su instradamento, ma possono funzionare con tunnel basati su criteri con alcune avvertenze elencate nelle sezioni riportate di seguito.

Dominio di cifratura per tunnel basati su instradamento

Se il CPE supporta tunnel basati su instradamento, utilizzare tale metodo per configurare il tunnel. Questa è la configurazione più semplice con la massima interoperabilità con l'headend VPN di Oracle.

IPSec basato su instradamento utilizza un dominio di cifratura con i valori riportati di seguito.

  • Indirizzo IP di origine: qualsiasi (0.0.0.0/0)
  • Indirizzo IP di destinazione: qualsiasi (0.0.0.0/0)
  • Protocollo: IPv4

Se è necessario essere più specifici, è possibile utilizzare un unico instradamento di riepilogo per i valori del dominio di cifratura anziché un instradamento predefinito.

Dominio di cifratura per tunnel basati su criteri

Quando si utilizzano i tunnel basati su criteri, ogni voce di criterio (un blocco CIDR su un lato della connessione IPSec) definita genera un'associazione di sicurezza (SA) IPSec con ogni voce idonea sull'altra estremità del tunnel. Questa coppia viene definita dominio di cifratura.

In questo diagramma, l'estremità DRG Oracle del tunnel IPSec contiene voci dei criteri per tre blocchi CIDRIPv4 CIDR IPv4 e un blocco CIDR IPv6. La fine CPE in locale del tunnel contiene le voci dei criteri due blocchi CIDRIPv4 CIDR IPv4 e due blocchi CIDR IPv6. Ogni voce genera un dominio di cifratura con tutte le voci possibili sull'altra estremità del tunnel. Entrambi i lati di una coppia SA devono utilizzare la stessa versione di IP. Il risultato è un totale di otto domini di cifratura.

Diagramma che mostra diversi domini di cifratura e come trovarne il numero.
Importante

Se il CPE supporta solo tunnel basati su criteri, tenere presenti le limitazioni riportate di seguito.

  • La VPN da sito a sito supporta più domini di cifratura, ma ha un limite massimo di 50 domini di cifratura.
  • Se si è verificata una situazione simile all'esempio precedente e sono stati configurati solo tre dei sei possibili domini di cifratura IPv4 sul lato CPE, il collegamento verrà elencato in uno stato "Partial UP" poiché tutti i possibili domini di cifratura vengono sempre creati sul lato DRG.
  • A seconda di quando è stato creato un tunnel, potrebbe non essere possibile modificare un tunnel esistente per utilizzare l'instradamento basato su criteri e potrebbe essere necessario sostituire il tunnel con un nuovo tunnel IPSec.
  • I blocchi CIDR utilizzati all'estremità del tunnel del DRG Oracle non possono sovrapporsi ai blocchi CIDR utilizzati all'estremità CPE in locale del tunnel.
  • Un dominio di cifratura deve sempre trovarsi tra due blocchi CIDR della stessa versione IP.

Se il CPE si trova dietro un dispositivo NAT

In generale, l'identificativo CPE IKE configurato all'estremità in locale della connessione deve corrispondere all'identificativo CPE IKE utilizzato da Oracle. Per impostazione predefinita, Oracle utilizza l'indirizzo IP pubblico del CPE, fornito quando si crea l'oggetto CPE nella console Oracle. Tuttavia, se un CPE si trova dietro un dispositivo NAT, l'identificativo CPE IKE configurato all'interno dell'ambiente on premise potrebbe essere l'indirizzo IP privato del CPE, come mostrato nel diagramma seguente.

Questa immagine mostra il CPE dietro un dispositivo NAT, gli indirizzi IP pubblici e privati e l'identificativo CPE IKE.
Nota

Alcune piattaforme CPE non consentono di modificare l'identificativo IKE locale. In caso contrario, è necessario modificare l'ID IKE remoto nella console Oracle per trovare la corrispondenza con l'ID IKE locale del CPE. È possibile fornire il valore quando si imposta la connessione IPSec o in un secondo momento modificando la connessione IPSec. Oracle prevede che il valore sia un indirizzo IP o un nome dominio completamente qualificato (FQDN), ad esempio cpe.example.com. Per istruzioni, consulta la sezione relativa alla modifica dell'identificativo CPE IKE utilizzato da Oracle.

Configurazione CPE (basata su percorso)

Importante

Le istruzioni di configurazione in questa sezione sono fornite da Oracle Cloud Infrastructure per questo CPE. Se hai bisogno di supporto o ulteriore assistenza, contatta direttamente il supporto del fornitore CPE.

La figura seguente mostra il layout di base della connessione IPSec.

Questa immagine riepiloga il layout generale della connessione e dei tunnel IPSec.

Informazioni sull'utilizzo di IKEv2

Oracle supporta Internet Key Exchange versione 1 (IKEv1) e versione 2 (IKEv2). Se si configura la connessione IPSec nella console per utilizzare IKEv2, è necessario configurare il CPE in modo che utilizzi solo IKEv2 e i parametri di cifratura IKEv2 correlati supportati dal CPE. Per un elenco dei parametri supportati da Oracle per IKEv1 o IKEv2, vedere Parametri IPSec supportati.

Per utilizzare IKEv2, nella sezione successiva viene presentata una variazione di uno dei task. In task 4, durante la configurazione della cifratura, selezionare IKEv2 only per il metodo di cifratura.

Ridondanza con BGP su IPSec

Per la ridondanza, si consiglia di utilizzare BGP su IPSec. Per impostazione predefinita, se si dispone di due connessioni dello stesso tipo (ad esempio, due VPN IPSec che utilizzano entrambi BGP) e si pubblicizzano gli stessi instradamenti in entrambe le connessioni, Oracle preferisce l'instradamento stabilito più vecchio quando risponde alle richieste o avvia le connessioni. Per forzare l'instradamento a essere simmetrico, si consiglia di utilizzare il percorso BGP e AS prima degli instradamenti per influenzare il percorso utilizzato da Oracle durante la risposta e l'avvio delle connessioni. Per ulteriori informazioni, vedere Dettagli ciclo per connessioni alla rete in locale.

DRG Oracle utilizza /30 o /31 come subnet per configurare gli indirizzi IP nei tunnel di interfaccia. Ricorda che l'indirizzo IP deve far parte del dominio di crittografia VPN da sito a sito e deve essere consentito nel criterio firewall per raggiungere la VPN peer attraverso il tunnel dell'interfaccia. Potrebbe essere necessario implementare un instradamento statico tramite l'interfaccia tunnel per l'indirizzo IP peer.

L'ASN BGP di Oracle per il cloud commerciale è 31898, ad eccezione dell'area centrale della Serbia (Jovanovac), che è 14544. Se si sta configurando una VPN da sito a sito per Government Cloud, vedere Parametri VPN da sito a sito obbligatori per Government Cloud e anche ASN BGP di Oracle.

Per il lato on-premise, puoi utilizzare un ASN privato. Gli ASN privati sono compresi tra 64512 e 65534.

Task 1: VPN InstallSite-to-Site sul gateway di sicurezza del checkpoint CloudGuard
Prerequisito: prima dell'avvio, aggiungere il checkpoint CloudGuard Security Gateway al checkpoint CloudGuard Security Manager. Stabilisci anche la Secure Internal Communication (SIC) in modo da poter configurare il tunnel IPSec utilizzando la Check Point Smart Console. Per istruzioni su come aggiungere il gateway di sicurezza a CloudGuard o stabilire il SIC, consultare la documentazione del punto di controllo.
Questa immagine illustra il prerequisito.

  1. Installare il modulo IPSec VPN. Si consiglia di installare anche il modulo di monitoraggio per l'analisi del traffico.

    Questa immagine mostra dove abilitare il modulo IPSec VPN.

  2. Per salvare le modifiche, selezionare OK.
Task 2: Creare l'interfaccia VTI da GAIA

In questa procedura, si configura un'interfaccia VTI che passa il traffico utilizzando le regole di instradamento dall'interfaccia VTI al nuovo tunnel IPSec creato.

  1. Accedi al portale GAIA utilizzando l'indirizzo IP pubblico o privato del gateway di sicurezza Check Point CloudGuard.
  2. Nel portale GAIA, selezionare la vista Avanzate.
  3. In Gestione di rete, andare a Interfacce di rete.

  4. Selezionare Aggiungi, quindi Tunnel VPN.

    Questa immagine mostra dove aggiungere un tunnel VPN nel portale GAIA.

  5. Specificare gli elementi riportati di seguito:

    • ID tunnel VPN: un numero che viene aggiunto all'interfaccia VTI chiamata vpnt*, dove l'asterisco è il numero ID tunnel VPN specificato. Per l'ID tunnel VPN = 1, l'interfaccia è denominata vpnt1.

    • Peer: il nome del dispositivo interoperabile creato in precedenza per il tunnel IPSec. In questo caso, il nome è OCI-VPN_BGP1.

      Importante

      Se il nome specificato qui non corrisponde al nome del dispositivo interoperabile, il traffico non passa attraverso il tunnel IPSec.
    • Numero: selezionare Numero per creare un'interfaccia numerata.
    • Indirizzo locale: l'indirizzo IP locale specificato nella console Oracle come Interfaccia tunnel interna - CPE.
    • Indirizzo remoto: l'indirizzo IP remoto specificato nella console Oracle come Interfaccia tunnel interna - Oracle.
    Questa immagine mostra i parametri del tunnel VPN da configurare nel portale GAIA.

  6. Selezionare OK.

  7. In Gestione rete, accedere a IPv4 Static Routes.

  8. Specificare gli elementi riportati di seguito:

    • Instradamento statico per l'indirizzo IP Oracle: aggiungere un indirizzo IP con maschera /32 per l'indirizzo IP remoto specificato nella console Oracle come Interfaccia tunnel interna - Oracle.
    • Instradamenti statici alle subnet VCN: se si utilizza l'instradamento statico per questa connessione IPSec a Oracle, aggiungere almeno una subnet per la VCN Oracle da raggiungere tramite il tunnel IPSec. Lo screenshot riportato di seguito mostra un percorso statico per 172.31.2.0/26. Se si utilizza il protocollo BGP per questa connessione IPSec a Oracle, saltare questo elemento poiché gli instradamenti vengono acquisiti tramite il protocollo BGP (vedere la sezione successiva).
    Questa immagine mostra gli instradamenti statici da configurare nel portale GAIA.

    Ora tutto il traffico con una destinazione specifica appreso da un percorso statico passa attraverso il tunnel IPSec appena creato.

  9. Recupera le interfacce e verifica che il tunnel VPN sia nella lista:

    1. Nella Smart Console, andare a Gateway e server.
    2. Selezionare Check Point Security Gateways e quindi effettuare una doppia selezione.

    3. In Proprietà generali, nella pagina Gestione rete, selezionare Recupera interfacce.

      L'interfaccia del tunnel VPN dovrebbe apparire nell'elenco.

  10. Per forzare la priorità di una VPN basata su instradamento, crea un gruppo vuoto e assegnalo al dominio VPN:
    1. Nella pagina Dominio VPN, selezionare Definizione manuale, quindi selezionare Crea gruppo vuoto.
    2. Selezionare Nuovo, selezionare Gruppo e quindi Gruppo semplice.

    3. Immettere un valore in Nome oggetto, quindi selezionare OK. Non assegnare oggetti a questo gruppo vuoto.

      Questa immagine mostra il gruppo vuoto per il dominio VPN.
Task 3: Creare un dispositivo interoperabile

Successivamente, crei una community VPN. Prima di poterlo fare, è necessario creare un dispositivo interoperabile che venga utilizzato in Check Point CloudGuard Security Gateway per definire il DRG Oracle.

  1. Creare il nuovo dispositivo interoperabile.

    Questa immagine mostra dove creare un nuovo dispositivo interoperabile.

  2. Nella pagina Proprietà generali del nuovo dispositivo interoperabile, aggiungere un nome per identificare il tunnel IPSec. Immettere l'indirizzo IP assegnato da Oracle per l'estremità Oracle del tunnel durante la creazione della connessione IPSec.

    Questa immagine mostra dove configurare il dispositivo interoperabile.

  3. Per forzare la priorità della VPN basata su instradamento, è necessario creare un gruppo vuoto e assegnarlo al dominio VPN. A tale scopo, nella pagina Topologia, nella sezione Dominio VPN, selezionare Definito manualmente e selezionare il gruppo vuoto.

  4. Nella pagina IPSec VPN è possibile aggiungere facoltativamente il nuovo dispositivo interoperabile a una community VPN esistente. Puoi saltare questo passaggio se non hai ancora creato alcuna community VPN.

    Si noti che si salta la configurazione della modalità tradizionale, perché si definiscono tutti i parametri di fase 1 e fase 2 nella community VPN in un passo successivo. La community VPN applica tali parametri a tutti i dispositivi interoperabili che appartengono alla community VPN.

    Questa immagine mostra dove aggiungere il dispositivo interoperabile a una comunità VPN.

  5. Nella pagina Selezione collegamenti, in Usa sempre questo indirizzo IP, selezionare Indirizzo principale, ovvero l'indirizzo specificato durante la creazione del dispositivo interoperabile. È possibile utilizzare un indirizzo IP specifico come ID IKE.

    Questa immagine mostra dove specificare l'indirizzo da utilizzare per il dispositivo interoperabile.

  6. Nella pagina VPN Advanced, selezionare Usa le impostazioni della community, che applica tutte le opzioni e i valori nella community VPN, inclusi i parametri Fase 1 e Fase 2.

    Questa immagine mostra dove specificare le impostazioni VPN avanzate.
  7. Per salvare le modifiche, selezionare OK.
Task 4: Creare una comunità VPN
  1. Vai a Policy di sicurezza, quindi in Strumenti di accesso, seleziona Comunità VPN.

  2. Crea una comunità Star.

    Questa immagine mostra dove creare una community VPN.

  3. Per la community di stelle, aggiungere un nome.

  4. Nella pagina Gateway selezionare i valori per Gateway centrali e Gateway satellitari. Questa community stellare funge da modello di impostazioni per i dispositivi interoperabili specificati in Center Gateways e Satellite Gateways.

    • Gateway centrale: per il gateway di sicurezza CloudGuard del punto di controllo.
    • Gateway satellite: per il CPE che si connette al DRG Oracle per ogni tunnel IPSec.
    Questa immagine mostra dove configurare i gateway per la community VPN.

  5. Per consentire il traffico, andare a Proprietà globali, quindi a VPN e infine a Avanzate.

    Questa immagine mostra dove trovare le proprietà globali.
    Questa immagine mostra dove trovare le proprietà avanzate VPN per consentire il traffico.

  6. Selezionare Abilita corrispondenza direzionale VPN in colonna VPN. Successivamente si crea un criterio di sicurezza che utilizza una condizione di corrispondenza direzionale per consentire il passaggio del traffico in base alle regole di instradamento.

  7. Selezionare OK.

  8. Nella pagina Cifratura configurare i parametri della fase 1 e della fase 2 supportati da Oracle. Per un elenco di tali valori, vedere Parametri IPSec supportati.

    Se si sta configurando una VPN da sito a sito per Government Cloud, vedere Parametri VPN da sito a sito obbligatori per Government Cloud.

    Si noti che per utilizzare IKEv2, per il metodo di cifratura, selezionare IKEv2 solo.

    Questa immagine mostra dove è possibile configurare i parametri della fase 1 e della fase 2.

  9. Nella pagina Gestione tunnel selezionare Imposta tunnel permanenti. Si consiglia di:

    • Selezionare Su tutti i tunnel della community per mantenere sempre attivi tutti i tunnel Oracle IPSec.
    • Nella sezione Condivisione tunnel VPN selezionare Un tunnel VPN per coppia di gateway.

    Quest'ultima opzione genera solo una coppia di associazioni di sicurezza (SA) IPSec e ogni SA con un solo indice di parametri di sicurezza (SPI) (unidirezionale).

    Quando si utilizzano i tunnel basati su criteri, ogni voce di criterio genera una coppia di SA IPSec (denominati anche dominio di cifratura).

    Importante

    L'headend VPN di Oracle può supportare più domini di cifratura, entro limiti. Per informazioni dettagliate, vedere Domini di cifratura per i tunnel basati su criteri.

    Oracle crea una connessione IPSec basata su instradamento, il che significa che tutto viene instradato tramite un dominio di cifratura che dispone di 0.0.0.0/0 (qualsiasi) per il traffico locale e 0.0.0.0/0 (qualsiasi) per il traffico remoto. Per ulteriori informazioni, vedere Dominio di cifratura o ID proxy supportati.

    Questa immagine mostra dove è possibile configurare le opzioni di gestione dei tunnel.

  10. Nella pagina Segreto condiviso, selezionare Usa solo segreto condiviso per tutti i membri esterni e aggiungere il segreto condiviso generato da Oracle per il tunnel durante la creazione della connessione IPSec.

    Oracle supporta solo chiavi segrete condivise. Tenere presente che è possibile modificare il segreto condiviso nella console di Oracle.

    Questa immagine mostra dove è possibile specificare il segreto condiviso per il tunnel.
  11. Per salvare le modifiche, selezionare OK.
Task 5: Creare un criterio di sicurezza

  1. Andare a Controllo accesso, quindi alla scheda Criterio. Creare criteri di sicurezza specifici utilizzando la condizione di corrispondenza diretta, che consente il passaggio del traffico in base alle tabelle di instradamento. Impostare la condizione con le seguenti impostazioni:

    • Internal_Clear > Comunità VPN creata
    • Comunità VPN creata > Comunità VPN creata
    • Comunità VPN creata > Internal_Clear

    In questo caso, la comunità VPN è OCI-DRG-BGP e il Internal_Clear è predefinito da Check Point.

    Questa immagine mostra come configurare la condizione di corrispondenza direzionale dei criteri di sicurezza.
  2. Per salvare le modifiche, selezionare OK.

  3. Selezionare Criterio di installazione per applicare la configurazione.

    Questa immagine mostra dove selezionare il criterio di installazione.
Task 6: Abilita BGP

Eseguire i passi riportati di seguito per ogni tunnel.

  1. Andare a Instradamento avanzato, quindi a BGP.

  2. In Impostazioni globali BGP, selezionare Modifica impostazioni globali, quindi aggiungere un ID router e un ASN locale.

    Questa immagine mostra dove modificare le impostazioni globali BGP.
  3. Selezionare Salva.
Task 7: Ridistribuire le rotte in BGP
  1. Andare a Instradamento avanzato, quindi a Distribuzione percorso.

  2. Selezionare Aggiungi ridistribuzione da, quindi selezionare Interfaccia per l'aggiunta di tutte le subnet connesse.

    Questa immagine mostra dove configurare la distribuzione instradamenti.

  3. Nella finestra di dialogo Aggiungi ridistribuzione dall'interfaccia, configurare i seguenti elementi:

    • Protocollo - A: selezionare BGP AS 31898. L'ASN BGP di Oracle per il cloud commerciale è 31898, ad eccezione dell'area centrale della Serbia (Jovanovac), che è 14544. Se si sta configurando la VPN da sito a sito per Government Cloud, vedere ASN BGP di Oracle.
    • Interfaccia: selezionare tutte per comunicare tutte le subnet connesse.
    Questa immagine mostra la finestra di dialogo Aggiungi ridistribuzione dall'interfaccia.
  4. Selezionare Salva.

Ora la sessione BGP dovrebbe essere attiva e fare pubblicità e ricevere subnet.

Verifica

Il comando CLI riportato di seguito verifica i peer e l'instradamento BGP.

show bgp peers

Il comando seguente verifica che l'utente stia ricevendo gli instradamenti BGP.

show route bgp

Il comando seguente verifica i percorsi dichiarati. In questo esempio, sostituire <remote_IP_address> con l'indirizzo IP remoto specificato nella console Oracle come Interfaccia tunnel interna - Oracle

show bgp peer <remote_IP_address> advertise

Il comando seguente verifica gli instradamenti ricevuti.

show bgp peer <remote_IP_address> received

Utilizzare le opzioni 2 e 4 nel comando riportato di seguito per verificare le associazioni di sicurezza (SA).


vpn tunnelutil


**********     Select Option     **********


(1)                List all IKE SAs
(2)              * List all IPsec SAs
(3)                List all IKE SAs for a given peer (GW) or user (Client)
(4)              * List all IPsec SAs for a given peer (GW) or user (Client)
(5)                Delete all IPsec SAs for a given peer (GW)
(6)                Delete all IPsec SAs for a given User (Client)
(7)                Delete all IPsec+IKE SAs for a given peer (GW)
(8)                Delete all IPsec+IKE SAs for a given User (Client)
(9)                Delete all IPsec SAs for ALL peers and users
(0)                Delete all IPsec+IKE SAs for ALL peers and users


* To list data for a specific CoreXL instance, append "-i <instance number>" to your selection.


(Q)               Quit


*******************************************

Un servizio di monitoraggio è disponibile anche da Oracle Cloud Infrastructure per monitorare attivamente e passivamente le risorse cloud. Per informazioni sul monitoraggio di una VPN da sito a sito, vedere Metriche VPN da sito a sito.

In caso di problemi, vedere Risoluzione dei problemi delle VPN da sito a sito.