Configurazione CPE

Ecco i requisiti e i prerequisiti di cui essere consapevoli prima di andare avanti.

Considerazioni sull'instradamento

Per dettagli importanti sull'instradamento per la VPN da sito a sede, vedere Instradamento per la VPN da sito a sede.

Oracle utilizza il routing asimmetrico tra i tunnel che compongono la connessione IPSec. Anche se configuri un tunnel come primario e un altro come backup, il traffico da una VCN a una rete in locale può utilizzare qualsiasi tunnel "attivo" su un dispositivo. Configurare i firewall in base alle esigenze. In caso contrario, i test di ping o il traffico delle applicazioni attraverso la connessione non funzionano in modo affidabile.

Se utilizzi l'instradamento dinamico BGP con la VPN da sito a sito, puoi configurare l'instradamento in modo che Oracle preferisca un tunnel rispetto all'altro.

Per utilizzare IPSec su FastConnect, non è possibile aggiornare un oggetto CPE per aggiungere tale funzionalità. È invece necessario stabilire il supporto all'impostazione iniziale del CPE. Inoltre, non è possibile che i tunnel IPSec e i circuiti virtuali per questa connessione utilizzino le stesse tabelle di instradamento DRG.

La configurazione basata su criteri Cisco ASA utilizza un singolo tunnel.

Creazione di componenti di rete cloud

L'utente o un utente dell'organizzazione deve aver già utilizzato la console Oracle per creare una VCN e una connessione IPSec, costituita da due o più tunnel IPSec per la ridondanza. È necessario raccogliere le seguenti informazioni su questi componenti:

• OCID VCN: OCID della VCN è un identificativo Oracle Cloud Infrastructure univoco che alla fine ha un UUID. È possibile utilizzare questo UUID o qualsiasi altra stringa che consenta di identificare questa VCN nella configurazione del dispositivo e non sia in conflitto con altri nomi di gruppi di oggetti o di elenchi di accesso.
• CIDR VCN
• Maschera di subnet CIDR VCN

• Per ogni tunnel IPSec:

  • Indirizzo IP dell'endpoint del tunnel IPSec Oracle (headend VPN)
  • Il segreto condiviso

Informazioni sul dispositivo CPE in locale

Hai anche bisogno di alcune informazioni di base sulle interfacce interne ed esterne del dispositivo on-premise (CPE). Per un elenco delle informazioni necessarie per un determinato CPE, vedere i collegamenti in questo elenco: Dispositivi CPE verificati.

Per impostazione predefinita, NAT-T è abilitato in tutti i tunnel IPSec VPN da sito a sito. Si consiglia di lasciare abilitato NAT-T durante la configurazione della VPN da sito a sito a OCI.

Se il CPE si trova dietro un dispositivo NAT, è possibile fornire a Oracle l'identificativo IKE del CPE. Per ulteriori informazioni, vedere Panoramica dei componenti VPN da sito a sito.

Un singolo IP pubblico dell'oggetto CPE può avere fino a 8 connessioni IPSec.

rispetto a IPSec basato su criteri

I headend VPN Oracle utilizzano tunnel basati su instradamento, ma possono funzionare con tunnel basati su criteri con alcuni avvisi. Per ulteriori informazioni, vedere Domini di cifratura per tunnel basati su criteri.

• Configura tutti i tunnel per ogni connessione IPSec: Oracle distribuisce diverse intestazioni IPSec per le connessioni per fornire alta disponibilità per carichi di lavoro mission-critical. La configurazione di tutti i tunnel disponibili è una parte fondamentale della filosofia "Design for Failure". Eccezione: configurazione basata su criteri di Cisco ASA, che utilizza un singolo tunnel.
• Disporre di CPE ridondanti nelle posizioni on-premise: si consiglia che ogni sito che si connette con IPSec a Oracle Cloud Infrastructure disponga di dispositivi CPE ridondanti. Puoi aggiungere ciascun CPE alla console di Oracle Cloud Infrastructure e creare una connessione IPSec separata tra un Dynamic Routing Gateway (DRG) e ciascun CPE. Per ogni connessione IPSec, Oracle esegue il provisioning di due tunnel nelle intestazioni IPSec ridondanti dal punto di vista geografico. Oracle potrebbe utilizzare qualsiasi tunnel "attivo" per inviare di nuovo il traffico a una rete on premise. Per ulteriori informazioni, vedere Routing for Site-to-Site VPN.

• Considera gli instradamenti aggregati di backup: se si dispone di più siti collegati tramite VPN da sito a sito a Oracle Cloud Infrastructure e tali siti sono connessi a router backbone on-premise, considera la possibilità di configurare gli instradamenti di connessione IPSec sia con l'instradamento aggregato del sito locale che con un instradamento predefinito.

  Tenere presente che gli instradamenti DRG acquisiti dalle connessioni IPSec vengono utilizzati solo dal traffico instradato da una VCN al DRG. L'instradamento predefinito viene utilizzato solo dal traffico inviato al DRG il cui indirizzo IP di destinazione non corrisponde agli instradamenti più specifici di uno qualsiasi dei tunnel.

Dopo aver configurato la connessione IPSec, puoi eseguire il test della connessione creando un'istanza di computazione nella VCN e quindi eseguendo il ping da una rete in locale. Per informazioni sulla creazione di un'istanza di computazione, vedere Avvio di un'istanza. Per eseguire il ping dell'istanza, le regole di sicurezza della VCN devono consentire il ping del traffico.

È possibile ottenere lo stato dei tunnel IPSec nell'API o nella console. Per istruzioni, vedere Ottenere i dettagli di un tunnel IPSec.

Per i collegamenti alle informazioni di configurazione specifiche per ciascun dispositivo CPE verificato, vedere Dispositivi CPE verificati.