Palo Alto

Questo argomento fornisce informazioni sulla configurazione di un dispositivo Palo Alto. La configurazione è stata convalidata utilizzando PAN-OS versione 8.0.0.

È richiesta l'esperienza di Palo Alto.

Importante

Oracle fornisce istruzioni di configurazione per un set testato di fornitori e dispositivi. Utilizzare la configurazione corretta per il fornitore e la versione software.

Se la versione del dispositivo o del software utilizzata da Oracle per verificare la configurazione non corrisponde esattamente al dispositivo o al software, è comunque possibile creare la configurazione necessaria sul dispositivo. Consultare la documentazione del fornitore ed apportare le modifiche necessarie.

Se il dispositivo proviene da un fornitore non incluso nell'elenco dei fornitori e dei dispositivi verificati o se si ha già familiarità con la configurazione del dispositivo per IPSec, vedere l'elenco di parametri IPSec supportati e consultare la documentazione del fornitore per assistenza.

VPN da offersSite a sito Oracle Cloud Infrastructure, una connessione IPSec sicura tra una rete on premise e una rete cloud virtuale (VCN).

Il diagramma riportato di seguito mostra una connessione IPSec di base a Oracle Cloud Infrastructure con tunnel ridondanti. Gli indirizzi IP utilizzati in questo diagramma sono solo esempi.

Questa immagine riepiloga il layout generale di una rete in locale, dei tunnel IPSec di VPN Connect e della VCN.

Procedure ottimali

Questa sezione descrive le best practice generali e le considerazioni da tenere presenti per l'utilizzo della VPN da sito a sito.

Configura tutti i tunnel per ogni connessione IPSec

Oracle distribuisce due headend IPSec per le connessioni per fornire alta disponibilità per i carichi di lavoro mission-critical. Per quanto riguarda Oracle, questi due headend si trovano su router diversi a scopo di ridondanza. Si consiglia di configurare tutti i tunnel disponibili per la massima ridondanza. Questa è una parte fondamentale della filosofia "Design for Failure".

Disporre di CPE ridondanti nelle posizioni di rete in locale

Consigliamo a ogni sito che si connette con IPSec a Oracle Cloud Infrastructure di disporre di dispositivi edge ridondanti (noti anche come customer-premise equipment (CPE)). Ogni CPE viene aggiunto alla console Oracle e viene creata una connessione IPSec separata tra un gateway di instradamento dinamico (DRG) e ogni CPE. Per ogni connessione IPSec, Oracle esegue il provisioning di due tunnel in headend IPSec ridondanti a livello geografico. Per ulteriori informazioni, consulta la Guida alla ridondanza della connettività (PDF).

Considerazioni sul protocollo di instradamento

Quando si crea una connessione VPN da sito a sito IPSec, sono disponibili due tunnel IPSec ridondanti. Oracle ti consiglia di configurare il CPE in modo che utilizzi entrambi i tunnel (se il CPE lo supporta). In passato, Oracle ha creato connessioni IPSec con un massimo di quattro tunnel IPSec.

Sono disponibili i tre tipi di instradamento seguenti e si seleziona il tipo di instradamento separatamente per ogni tunnel nella VPN da sito a sito:

  • Instradamento dinamico BGP: gli instradamenti disponibili vengono acquisiti in modo dinamico tramite BGP. Il DRG apprende in modo dinamico gli instradamenti dalla rete in locale. Sul lato Oracle, il gateway DRG pubblica le subnet della VCN.
  • Instradamento statico: quando si imposta la connessione IPSec al DRG, si specificano gli instradamenti specifici alla rete in locale di cui si desidera che la VCN sia a conoscenza. Inoltre, devi configurare il dispositivo CPE con instradamenti statici alle subnet della VCN. Questi percorsi non vengono appresi in modo dinamico.
  • Instradamento basato su criteri: quando si imposta la connessione IPSec al DRG, si specificano gli instradamenti specifici alla rete in locale di cui si desidera che la VCN sia a conoscenza. Inoltre, devi configurare il dispositivo CPE con instradamenti statici alle subnet della VCN. Questi percorsi non vengono appresi in modo dinamico.

Per ulteriori informazioni sull'instradamento con VPN da sito a sito, inclusi i suggerimenti Oracle su come manipolare l'algoritmo di selezione del percorso migliore BGP, vedere Instradamento per VPN da sito a sito.

Altre importanti configurazioni CPE

Assicurarsi che le liste di accesso nel CPE siano configurate correttamente per non bloccare il traffico necessario da o verso Oracle Cloud Infrastructure.

Se si dispone di più tunnel contemporaneamente, si potrebbe verificare l'instradamento asimmetrico. Per tenere conto dell'instradamento asimmetrico, assicurarsi che il CPE sia configurato per gestire il traffico proveniente dalla VCN in uno qualsiasi dei tunnel. Ad esempio, è necessario disabilitare l'ispezione ICMP, configurare il bypass dello stato TCP. Per ulteriori dettagli sulla configurazione appropriata, contattare il supporto del fornitore CPE. Per configurare l'instradamento in modo che sia simmetrico, vedere Instradamento per VPN da sito a sito.

Grotte e limitazioni

Questa sezione copre le caratteristiche e le limitazioni importanti generali di Site-to-Site VPN di cui essere a conoscenza. Per esaminare un elenco dei limiti applicabili e le istruzioni per richiedere un incremento del limite, consulta i limiti del servizio.

Instradamento asimmetrico

Oracle utilizza il routing asimmetrico tra i tunnel che compongono la connessione IPSec. Configurare i firewall tenendo presente questo aspetto. In caso contrario, i test di ping o il traffico dell'applicazione attraverso la connessione non funzionano in modo affidabile.

Quando utilizzi diversi tunnel per Oracle Cloud Infrastructure, ti consigliamo di configurare l'instradamento per instradare il traffico in modo deterministico attraverso il tunnel preferito. Per utilizzare un tunnel IPSec come primario e un altro come backup, configurare instradamenti più specifici per il tunnel primario (BGP) e instradamenti meno specifici (instradamento sintetico o predefinito) per il tunnel di backup (BGP/statico). In caso contrario, se si pubblica lo stesso instradamento (ad esempio, un instradamento predefinito) attraverso tutti i tunnel, restituire il traffico da una VCN a un instradamento di rete in locale a uno qualsiasi dei tunnel disponibili. Questo perché Oracle utilizza l'instradamento asimmetrico.

Per suggerimenti di instradamento Oracle specifici su come forzare l'instradamento simmetrico, vedere Instradamento per VPN da sito a sito.

VPN da sito a sito basata su instradamento o criteri

Il protocollo IPSec utilizza le associazioni di sicurezza (SA) per decidere come cifrare i pacchetti. All'interno di ogni SA, è possibile definire i domini di cifratura per mappare l'indirizzo IP di origine e destinazione di un pacchetto e il tipo di protocollo a una voce nel database SA per definire come cifrare o decifrare un pacchetto.

Nota

Altri fornitori o la documentazione del settore possono utilizzare il termine ID proxy, indice dei parametri di sicurezza (SPI) o selettore del traffico quando si fa riferimento a SA o domini di cifratura.

Esistono due metodi generali per l'implementazione dei tunnel IPSec:

  • Tunnel basati su instradamento: chiamato anche tunnel basati sul prossimo hop. La ricerca della tabella di instradamento viene eseguita sull'indirizzo IP di destinazione di un pacchetto. Se l'interfaccia di uscita di tale instradamento è un tunnel IPSec, il pacchetto viene cifrato e inviato all'altra estremità del tunnel.
  • Tunnel basati su criteri: l'indirizzo IP e il protocollo di origine e destinazione del pacchetto corrispondono a una lista di istruzioni dei criteri. Se viene trovata una corrispondenza, il pacchetto viene cifrato in base alle regole in tale istruzione di criterio.

I backend VPN da sito a sito Oracle utilizzano tunnel basati su instradamento, ma possono funzionare con tunnel basati su criteri con alcune avvertenze elencate nelle sezioni riportate di seguito.

Dominio di cifratura per tunnel basati su instradamento

Se il CPE supporta tunnel basati su instradamento, utilizzare tale metodo per configurare il tunnel. Questa è la configurazione più semplice con la massima interoperabilità con l'headend VPN di Oracle.

IPSec basato su instradamento utilizza un dominio di cifratura con i valori riportati di seguito.

  • Indirizzo IP di origine: qualsiasi (0.0.0.0/0)
  • Indirizzo IP di destinazione: qualsiasi (0.0.0.0/0)
  • Protocollo: IPv4

Se è necessario essere più specifici, è possibile utilizzare un unico instradamento di riepilogo per i valori del dominio di cifratura anziché un instradamento predefinito.

Dominio di cifratura per tunnel basati su criteri

Quando si utilizzano i tunnel basati su criteri, ogni voce di criterio (un blocco CIDR su un lato della connessione IPSec) definita genera un'associazione di sicurezza (SA) IPSec con ogni voce idonea sull'altra estremità del tunnel. Questa coppia viene definita dominio di cifratura.

In questo diagramma, l'estremità DRG Oracle del tunnel IPSec contiene voci dei criteri per tre blocchi CIDRIPv4 CIDR IPv4 e un blocco CIDR IPv6. La fine CPE in locale del tunnel contiene le voci dei criteri due blocchi CIDRIPv4 CIDR IPv4 e due blocchi CIDR IPv6. Ogni voce genera un dominio di cifratura con tutte le voci possibili sull'altra estremità del tunnel. Entrambi i lati di una coppia SA devono utilizzare la stessa versione di IP. Il risultato è un totale di otto domini di cifratura.

Diagramma che mostra diversi domini di cifratura e come trovarne il numero.
Importante

Se il CPE supporta solo tunnel basati su criteri, tenere presenti le limitazioni riportate di seguito.

  • La VPN da sito a sito supporta più domini di cifratura, ma ha un limite massimo di 50 domini di cifratura.
  • Se si è verificata una situazione simile all'esempio precedente e sono stati configurati solo tre dei sei possibili domini di cifratura IPv4 sul lato CPE, il collegamento verrà elencato in uno stato "Partial UP" poiché tutti i possibili domini di cifratura vengono sempre creati sul lato DRG.
  • A seconda di quando è stato creato un tunnel, potrebbe non essere possibile modificare un tunnel esistente per utilizzare l'instradamento basato su criteri e potrebbe essere necessario sostituire il tunnel con un nuovo tunnel IPSec.
  • I blocchi CIDR utilizzati all'estremità del tunnel del DRG Oracle non possono sovrapporsi ai blocchi CIDR utilizzati all'estremità CPE in locale del tunnel.
  • Un dominio di cifratura deve sempre trovarsi tra due blocchi CIDR della stessa versione IP.

Se il CPE si trova dietro un dispositivo NAT

In generale, l'identificativo CPE IKE configurato all'estremità in locale della connessione deve corrispondere all'identificativo CPE IKE utilizzato da Oracle. Per impostazione predefinita, Oracle utilizza l'indirizzo IP pubblico del CPE, fornito quando si crea l'oggetto CPE nella console Oracle. Tuttavia, se un CPE si trova dietro un dispositivo NAT, l'identificativo CPE IKE configurato all'interno dell'ambiente on premise potrebbe essere l'indirizzo IP privato del CPE, come mostrato nel diagramma seguente.

Questa immagine mostra il CPE dietro un dispositivo NAT, gli indirizzi IP pubblici e privati e l'identificativo CPE IKE.
Nota

Alcune piattaforme CPE non consentono di modificare l'identificativo IKE locale. In caso contrario, è necessario modificare l'ID IKE remoto nella console Oracle per trovare la corrispondenza con l'ID IKE locale del CPE. È possibile fornire il valore quando si imposta la connessione IPSec o in un secondo momento modificando la connessione IPSec. Oracle prevede che il valore sia un indirizzo IP o un nome dominio completamente qualificato (FQDN), ad esempio cpe.example.com. Per istruzioni, consulta la sezione relativa alla modifica dell'identificativo CPE IKE utilizzato da Oracle.

Configurazione CPE

Importante

Le istruzioni di configurazione in questa sezione sono fornite da Oracle Cloud Infrastructure per questo CPE. Se hai bisogno di supporto o ulteriore assistenza, contatta direttamente il supporto del fornitore CPE.

La figura seguente mostra il layout di base della connessione IPSec.

Questa immagine riepiloga il layout generale della connessione e dei tunnel IPSec.

Dettagli importanti sulle istruzioni di configurazione

  • Commit: per consentire a PAN di attivare la configurazione, è necessario eseguire l'azione di commit dopo qualsiasi modifica alla configurazione.
  • Indirizzi IP di esempio: la configurazione di esempio utilizza indirizzi IP della classe A 10.0.0.0/8 (RFC1918) e 198.51.100.0/24 (RFC5735). Quando si esegue la configurazione sul CPE, utilizzare il piano di indirizzamento IP corretto per la topologia di rete.

La configurazione di esempio utilizza le variabili e i valori indicati di seguito.

  • Interno dell'interfaccia tunnel1: CPE: 198.51.100.1/30
  • Interno dell'interfaccia tunnel2: CPE: 198.51.100.5/30
  • Dentro l'interfaccia tunnel1 - Oracle: 198.51.100.2/30
  • Dentro l'interfaccia tunnel2 - Oracle: 198.51.100.6/30
  • CPE ASN: 64511
  • Rete in locale: 10.200.1.0/24
  • Blocco CIDR VCN: 10.200.0.0/24
  • Indirizzo IP pubblico CPE: 10.100.0.100/24
  • Indirizzo IP 1 DRG (Oracle VPN Headend): 10.150.128.1/32
  • Indirizzo IP 2 DRG (Oracle VPN Headend): 10.150.127.1/32
  • Tunnel numero 1: tunnel.1
  • Tunnel numero 2: tunnel.2
  • Interfaccia di uscita: ethernet1/1

Informazioni sull'utilizzo di IKEv2

Oracle supporta Internet Key Exchange versione 1 (IKEv1) e versione 2 (IKEv2). Se si configura la connessione IPSec nella console per utilizzare IKEv2, è necessario configurare il CPE in modo che utilizzi solo IKEv2 e i parametri di cifratura IKEv2 correlati supportati dal CPE. Per un elenco dei parametri supportati da Oracle per IKEv1 o IKEv2, vedere Parametri IPSec supportati.

Per utilizzare IKEv2, variazioni speciali di alcuni passaggi sono presentate nella sezione successiva. Di seguito viene fornito un riepilogo dei passi speciali.

Processo di configurazione

Il processo riportato di seguito include la configurazione BGP per la connessione IPSec. Se invece si desidera utilizzare il routing statico, eseguire i task da 1 a 5, quindi passare a Configurazione CPE.

Task 1: configurare il criterio di fase 1 di ISAKMP

In questo esempio, viene utilizzato lo stesso criterio ISAKMP per entrambi i tunnel.

  1. Andare a Rete, IKE Crypto e selezionare Aggiungi.
  2. Configurare i parametri come mostrato nello screenshot successivo. Per un elenco dei valori, vedere Parametri IPSec supportati. Se si sta configurando una VPN da sito a sito per Government Cloud, vedere Parametri VPN da sito a sito obbligatori per Government Cloud.

    Questa immagine mostra dove configurare il criterio ISAKMP.

    Lo screenshot successivo mostra il risultato finale di questa attività:

    Questa immagine mostra il risultato finale dopo la creazione del criterio ISAKMP.
Task 2: definire i pari livello ISAKMP
  1. Andare a Rete, a Gateway IKE, quindi selezionare Aggiungi.
  2. Per il peer 1, configurare i parametri come mostrato nelle schermate successive.

    1. Nella scheda Generale:

      • Versione: per IKEv1, selezionare Modalità solo IKEv1. Per utilizzare IKEv2, selezionare solo la modalità IKEv2. Si noti che se si utilizza IKEv2 in un secondo momento nel task 5 si aggiungono anche gli ID del proxy.
      • Interfaccia: l'interfaccia proprietaria dell'indirizzo IP pubblico nel CPE. Modificare ethernet1/1 impostando il valore specifico per la topologia di rete.
      • Indirizzi IP peer: l'indirizzo IP pubblico assegnato da Oracle all'headend Oracle del tunnel. Modificare il valore sull'indirizzo IP corretto per il primo tunnel.
      • Chiave precondivisa: segreto condiviso assegnato automaticamente da Oracle durante la creazione del tunnel IPSec. Se si desidera, è possibile specificare un valore diverso. Immettere lo stesso valore qui e nella console Oracle.
      • Identificazione locale e Identificazione peer: gli ID IKE. L'identificazione locale è l'indirizzo IP pubblico del CPE. L'identificazione remota è l'indirizzo IP headend VPN Oracle per il primo tunnel.
      Questa immagine mostra dove configurare i parametri per il primo peer.
    2. Nella scheda Opzioni avanzate, assicurarsi che i valori siano impostati per il primo peer in base allo screenshot seguente.

      Questa immagine mostra le opzioni avanzate del gateway IKE per il primo peer.

      Se invece si utilizza IKEv2, selezionare il profilo crittografico IKE associato al tunnel IKEv2.

      Questa immagine mostra l'impostazione del profilo crittografico IKEv2.
  3. Per il peer 2, configurare i parametri come mostrato nelle schermate successive.

    1. Nella scheda Generale:

      • Versione: per IKEv1, selezionare Modalità solo IKEv1. Per utilizzare IKEv2, selezionare la modalità solo IKEv2. Per IKEv2, indicare anche l'ID del proxy in una fase successiva della task 5.
      • Interfaccia: l'interfaccia proprietaria dell'indirizzo IP pubblico nel CPE. Modificare ethernet1/1 impostando il valore specifico per la topologia di rete.
      • Indirizzi IP peer: l'indirizzo IP pubblico assegnato da Oracle all'headend Oracle del tunnel. Modificare il valore impostando l'indirizzo IP corretto per il secondo tunnel.
      • Chiave precondivisa: segreto condiviso assegnato automaticamente da Oracle durante la creazione del tunnel IPSec. Se si desidera, è possibile specificare un valore diverso. Immettere lo stesso valore qui e nella console Oracle.
      • Identificazione locale e Identificazione peer: gli ID IKE. L'identificazione locale è l'indirizzo IP pubblico del CPE. L'identificazione remota è l'indirizzo IP headend VPN Oracle per il secondo tunnel.
      Questa immagine mostra dove configurare i parametri per il secondo peer.
    2. Nella scheda Opzioni avanzate, assicurarsi che i valori siano impostati per il secondo peer in base a questo screenshot:

      Questa immagine mostra le opzioni avanzate del gateway IKE per il secondo peer.

      Se invece si utilizza IKEv2, selezionare il profilo crittografico IKE associato al tunnel IKEv2.

      Questa immagine mostra l'impostazione del profilo crittografico IKEv2.

Lo screenshot successivo mostra il risultato finale di questa attività:

Questa immagine mostra il risultato finale dopo la definizione dei pari livello ISAKMP.
Task 3: definire il criterio IPSec Fase 2

In questo esempio, per entrambi i tunnel viene utilizzato lo stesso profilo crittografico IPSec.

  1. Andare a Rete, IPSec Crypto e selezionare Aggiungi.
  2. Configurare i parametri come mostrato nello screenshot successivo.

    Questa immagine mostra dove configurare il profilo crittografico IPSec.

    Lo screenshot successivo mostra il risultato finale di questa attività:

    Questa immagine mostra il risultato finale dopo la creazione del profilo crittografico IPSec.
Task 4: Configurare le interfacce del tunnel virtuale
  1. Andare a Rete, Interfacce, Tunnel, quindi selezionare Aggiungi.
  2. Per il peer 1, configurare i parametri come mostrato nelle schermate successive.

    1. Nella scheda Config assegnare l'interfaccia in base al router virtuale e alla configurazione della zona di sicurezza. In questo esempio vengono utilizzati il router virtuale predefinito e la zona di sicurezza ipsec_tunnel.

      Questa immagine mostra dove configurare i parametri dell'interfaccia del tunnel per il primo peer.
    2. Nella scheda IPv4, verificare che i valori siano impostati per il primo peer in base alla schermata seguente. In questo esempio, l'indirizzo IP dell'interfaccia del tunnel è ipsec_address_static1 = 198.51.100.1/30. Configurare l'indirizzo IP del tunnel in base al piano di indirizzamento IP di rete.

      Questa immagine mostra i parametri IPv4 dell'interfaccia del tunnel per il primo peer.
  3. Per il peer 2, configurare i parametri come mostrato nelle schermate successive.

    1. Nella scheda Config assegnare l'interfaccia in base al router virtuale e alla configurazione della zona di sicurezza. In questo esempio vengono utilizzati il router virtuale predefinito e la zona di sicurezza ipsec_tunnel.

      Questa immagine mostra dove configurare i parametri dell'interfaccia del tunnel per il secondo peer.
    2. Nella scheda IPv4, verificare che i valori siano impostati per il secondo peer in base alla schermata seguente. In questo esempio, l'indirizzo IP dell'interfaccia del tunnel è ipsec_address_static2 = 198.51.100.5/30. Configurare l'indirizzo IP del tunnel in base al piano di indirizzamento IP di rete.

      Questa immagine mostra i parametri IPv4 dell'interfaccia del tunnel per il secondo peer.

Lo screenshot successivo mostra il risultato finale di questa attività:

Questa immagine mostra il risultato finale dopo l'aggiunta delle interfacce tunnel.
Task 5: configurare le sessioni IPSec
  1. Andare a Rete, IPSec Tunnel, quindi selezionare Aggiungi.
  2. Per il peer 1, configurare i parametri nella scheda Generale come mostrato nello screenshot successivo.

    Si noti che se si utilizza IKEv1, non è necessario aggiungere ID proxy specifici alla scheda ID proxy. Non sono necessari per una configurazione VPN basata sull'instradamento IKEv1.

    Tuttavia, per IKEv2, aggiungere gli ID proxy alla scheda ID proxy per una migliore interoperabilità. Assicurarsi inoltre di aver configurato il gateway IKE in modo che utilizzi IKEv2 in precedenza nel task 2.

    Questa immagine mostra dove configurare la sessione IPSec per il peer 1.
  3. Per il peer 2, configurare i parametri nella scheda Generale come mostrato nella schermata successiva.

    Se si utilizza IKEv2, aggiungere anche gli ID proxy nella scheda ID proxy.

    Questa immagine mostra dove configurare la sessione IPSec per il peer 2.
Task 6: configurare BGP su IPSec
Nota

Per utilizzare l'instradamento statico anziché BGP, saltare il task 6 e passare a Configurazione dell'instradamento statico.

Il protocollo BGP su IPSec richiede gli indirizzi IP sulle interfacce tunnel su entrambe le estremità.

Gli screenshot in questo esempio utilizzano le subnet riportate di seguito per le interfacce tunnel.

  • 198.51.100.0/30
    • CPE: 198.51.100.1/30
    • DRG: 198.51.100.2/30
  • 198.51.100.4/30
    • CPE: 198.51.100.5/30
    • DRG: 198.51.100.6/30

Sostituire i valori di esempio con gli indirizzi IP BGP specificati nella console Oracle per le interfacce tunnel interne.

Questo compito è composto da tre sottoattività, ognuna con diversi passaggi.

Task secondario 6-a: configurare i parametri BGP
  1. Andare a Rete, Router virtuali, predefinito, quindi a BGP. In questo esempio viene utilizzato il router virtuale predefinito. Nell'esempio viene inoltre utilizzato 10.200.1.10 per l'ID router e 64511 per l'ASN. Utilizzare il router virtuale corretto in base alla configurazione di rete e utilizzare l'ID router e l'ASN corretti per l'ambiente in uso.

    Questa immagine mostra l'inizio della configurazione BGP.
  2. Nella scheda Generale configurare i parametri come mostrato nello screenshot successivo.

    Questa immagine mostra la scheda Generale BGP.
  3. Nella scheda Avanzate, configurare i parametri come mostrato nello screenshot successivo.

    Questa immagine mostra la scheda Avanzate BGP.
  4. Nella scheda Gruppo di pari livello:

    1. Aggiungere il primo gruppo peer e, in Nome gruppo peer, aggiungere la prima sessione. Aggiungere la sessione BGP con il gateway DRG.
      Questa immagine mostra il gruppo peer BGP.
    2. Per il primo tunnel, nella scheda Indirizzamento, configurare i parametri come mostrato nello screenshot successivo. L'ASN BGP di Oracle per il cloud commerciale è 31898, ad eccezione dell'area centrale della Serbia (Jovanovac), che è 14544. Se si sta configurando la VPN da sito a sito per Government Cloud, vedere ASN BGP di Oracle.

      Questa immagine mostra la scheda Indirizzamento peer BGP.
    3. Nella scheda Opzioni di connessione configurare i parametri come mostrato nello screenshot successivo.

      Questa immagine mostra la scheda Opzioni di connessione peer BGP.
    4. Nella scheda Avanzate configurare i parametri come mostrato nello screenshot successivo.

      Questa immagine mostra la scheda Avanzate peer BGP.
    5. Nella scheda Gruppo di pari livello aggiungere il secondo gruppo di pari livello e, in Nome gruppo di pari livello, aggiungere la seconda sessione. Aggiungere la sessione BGP con il gateway DRG.

      Questa immagine mostra il gruppo peer BGP.
    6. Per il secondo tunnel, nella scheda Indirizzamento, configurare i parametri come mostrato nello screenshot successivo.

      Questa immagine mostra la scheda Indirizzamento peer BGP.
    7. Nella scheda Opzioni di connessione configurare i parametri come mostrato nello screenshot successivo.

      Questa immagine mostra la scheda Opzioni di connessione peer BGP.
    8. Nella scheda Avanzate configurare i parametri come mostrato nello screenshot successivo.

      Questa immagine mostra la scheda Avanzate peer BGP.

    Lo screenshot successivo mostra la configurazione finale del gruppo peer:

    Questa immagine mostra la configurazione finale del gruppo di peer.
  5. Nella scheda Importa configurare i parametri come illustrato negli screenshot successivi. Qui è possibile configurare tunnel.1 come primario e tunnel.2 come backup per l'instradamento della VCN ricevuto dal gateway DRG mediante BGP (10.200.0.0/24). Dal punto di vista del BGP, entrambi i tunnel sono nello stato stabilito.

    1. Per la prima regola, nella scheda Generale configurare i parametri come mostrato nello screenshot successivo.

      Questa immagine mostra la scheda Generale della regola di importazione.
    2. Nella scheda Corrispondenza configurare i parametri come mostrato nella schermata successiva.

      Questa immagine mostra la scheda Corrispondenza regola di importazione.
    3. Nella scheda Azione configurare i parametri come mostrato nello screenshot successivo.

      Questa immagine mostra la scheda Azione regola di importazione.
    4. Per la seconda regola, nella scheda Generale configurare i parametri come mostrato nello screenshot successivo.

      Questa immagine mostra la scheda Generale della regola di importazione.
    5. Nella scheda Corrispondenza configurare i parametri come mostrato nella schermata successiva.

      Questa immagine mostra la scheda Corrispondenza regola di importazione.
    6. Nella scheda Azione configurare i parametri come mostrato nello screenshot successivo.

      Questa immagine mostra la scheda Azione regola di importazione.
  6. Nella scheda Esporta configurare i parametri come illustrato negli screenshot successivi. Qui è possibile configurare un criterio per forzare il DRG a preferire tunnel.1 per il percorso di ritorno al CIDR di rete in locale (10.200.1.0/24).

    1. Nella scheda Generale configurare i parametri come mostrato nello screenshot successivo.

      Questa immagine mostra la scheda Esporta generale.
    2. Nella scheda Corrispondenza configurare i parametri come mostrato nello screenshot successivo.

      Questa immagine mostra la scheda Esporta corrispondenza.
    3. Nella scheda Azione configurare i parametri come illustrato nello screenshot successivo.

      Questa immagine mostra la scheda Azione esportazione.

    Lo screenshot successivo mostra la configurazione di esportazione finale:

    Questa immagine mostra la configurazione di esportazione finale.

    Si noti che non è richiesta alcuna configurazione per le schede Avanzate condizionale o Aggregato.

  7. Nella scheda Regole di ridefinizione configurare i parametri come illustrato nello screenshot successivo. Qui puoi annunciare il CIDR di rete on premise in BGP.

    Questa immagine mostra la scheda Ridistribuisci regole.
Task secondario 6-b: attendere che le sessioni BGP stabiliscano e quindi controllare lo stato BGP
  1. Andare a Rete, IPSec Tunnel, alla colonna Router virtuale, quindi fare clic su Mostra percorsi.

    Questa immagine mostra dove mostrare i percorsi per il router virtuale.
  2. Andare a BGP, quindi alla scheda Peer per verificare che la sessione BGP sia stata stabilita. Qualsiasi altro valore indica che la sessione BGP non è stata stabilita correttamente e lo scambio di instradamento non si verificherà.

    Questa immagine mostra dove visualizzare lo stato della sessione BGP.
  3. Nella scheda RIB locale: i prefissi vengono ricevuti dal DRG, con tunnel.1 preferito.

    Questa immagine mostra la scheda RIB locale BGP.
  4. Nella scheda RIB Out: il CIDR di rete on-premise viene inviato tramite BGP a DRG1 con as_path di 64511 e per DRG2, con un as_path di 64511, 64511. In questo modo, in base all'algoritmo di percorso migliore BGP, l'instradamento preferito dal DRG per raggiungere il CIDR di rete in locale utilizza la connessione tramite tunnel.1.

    Questa immagine mostra la scheda BGP - RIB - Uscita.
Task secondario 6-c: verificare che gli instradamenti BGP siano stati inseriti nella tabella di instradamento

Per visualizzare gli instradamenti, andare a Instradamento, quindi alla scheda Tabella di instradamento.

Questa immagine mostra gli instradamenti inseriti nella tabella di instradamento.

Configurazione dell'instradamento statico

Utilizzare le istruzioni qui se il CPE non supporta BGP su IPSec o se non si desidera utilizzare BGP su IPSec.

In questo task è possibile configurare gli instradamenti statici per indirizzare il traffico tramite le interfacce tunnel in modo da raggiungere il gateway DRG e, infine, gli host VCN.

  1. Effettuare le operazioni descritte dal punto 1 al 5 nella sezione precedente.
  2. Configurare gli instradamenti statici:
    1. Passare a Network, Virtual Routers, default, Static Routes e selezionare Add.
    2. Per la Route 1, configurare i parametri come mostrato nell'immagine successiva.

      Questa immagine mostra le impostazioni di instradamento statico per il percorso 1.
    3. Per la Route 2, configurare i parametri come mostrato nell'immagine successiva.

      Questa immagine mostra le impostazioni di instradamento statico per il percorso 2.
  3. (Consigliato) Abilitare ECMP per il traffico inviato attraverso i due tunnel. La metrica per entrambi gli instradamenti è impostata su 10. Ecco alcune note importanti sull'abilitazione dell'ECMP:

    • Prima controllare se la progettazione di rete supporta ECMP.
    • L'abilitazione o la disabilitazione di ECMP su un router virtuale esistente fa sì che il sistema riavvii il router virtuale. Il riavvio potrebbe causare l'interruzione delle sessioni esistenti.
    • In questo esempio viene utilizzato il router virtuale predefinito. Utilizzare il router virtuale corretto per questo ambiente di rete.

    Per abilitare ECMP, andare a Network, Virtual Router, default, Impostazioni del router, ECMP e selezionare Enable.

    In questa immagine vengono mostrate le impostazioni ECMP.

Di seguito sono riportate le schermate che mostrano la configurazione finale dopo il completamento di questa attività:

Questa immagine mostra la configurazione finale nella scheda IPv4 dopo aver configurato gli instradamenti statici.
Questa immagine mostra la configurazione finale dopo la configurazione degli instradamenti statici.

Modifica dell'identificativo IKE

Se il CPE si trova dietro un dispositivo NAT con un indirizzo IP privato nell'interfaccia di uscita che le interfacce tunnel utilizzano come origine, è necessario specificare l'indirizzo IP pubblico del dispositivo NAT come ID IKE locale. Per eseguire questa operazione, impostare il valore Identificazione locale nella configurazione di IKE Gateway:

Questa immagine mostra dove modificare l'identificativo IKE del CPE.

Verifica

Per verificare lo stato del tunnel IPSec:

Questa immagine mostra dove verificare lo stato del tunnel IPSec.

Utilizzare questo comando per verificare IKE SA:

show vpn ike-sa

Utilizzare questo comando per verificare la configurazione del tunnel IPSec:

show vpn tunnel name <tunnel_name>

Per verificare lo stato BGP, cercare Stabilito:

Questa immagine mostra dove verificare lo stato BGP.

Per verificare lo stato BGP dalla riga di comando:

show routing protocol bgp peer peer-name <name>

Per verificare che gli instradamenti siano installati nella tabella di instradamento:

show routing route

Un servizio di monitoraggio è disponibile anche da Oracle Cloud Infrastructure per monitorare attivamente e passivamente le risorse cloud. Per informazioni sul monitoraggio di una VPN da sito a sito, vedere Metriche VPN da sito a sito.

In caso di problemi, vedere Risoluzione dei problemi delle VPN da sito a sito.