Configurazione CPE
Questo argomento è dedicato ai tecnici di rete. Spiega come configurare il dispositivo on-premise (l'apparecchiatura on-premise del cliente o CPE) alla fine della VPN da sito a sito in modo che il traffico possa fluire tra la rete on-premise e la rete cloud virtuale (VCN). Vedere gli argomenti correlati riportati di seguito.
- Networking: per informazioni generali sulle parti di una rete VCN
- VPN site-to-site: per vari argomenti sulle VPN IPSec
- Dispositivi CPE verificati: per un elenco di dispositivi CPE verificati da Oracle
La figura seguente mostra il layout di base della connessione IPSec della VPN da sito a sito tramite Internet. IPSec su FastConnect è simile, ma il traffico attraverserà solo un circuito virtuale privato.
Requisiti e prerequisiti
Ci sono diversi requisiti e prerequisiti di cui essere a conoscenza prima di andare avanti.
Considerazioni sull'instradamento
Per dettagli importanti sull'instradamento per la VPN da sito a sito, vedere Instradamento per la VPN da sito a sito.
Se utilizzi l'instradamento dinamico BGP con la VPN da sito a sito, puoi configurare l'instradamento in modo che Oracle preferisca un tunnel rispetto all'altro.
Se si desidera utilizzare IPSec su FastConnect, non è possibile aggiornare un oggetto CPE per aggiungere tale funzionalità; il supporto deve essere stabilito durante l'impostazione iniziale del CPE. Inoltre, non è possibile che i tunnel IPsec e i circuiti virtuali per questa connessione utilizzino le stesse tabelle di instradamento DRG.
La configurazione basata su criteri Cisco ASA utilizza un singolo tunnel.
Creazione di componenti di rete cloud
L'utente o un altro membro dell'organizzazione deve aver già utilizzato la console Oracle per creare una VCN e una connessione IPSec, costituita da più tunnel IPSec per la ridondanza. È necessario acquisire le seguenti informazioni sui componenti:
- OCID VCN: OCID della VCN è un identificativo Oracle Cloud Infrastructure univoco che alla fine ha un UUID. È possibile utilizzare questo UUID o qualsiasi altra stringa che consenta di identificare questa VCN nella configurazione del dispositivo e non sia in conflitto con altri nomi di gruppi di oggetti o di elenchi di accesso.
- CIDR VCN
- Maschera di subnet CIDR VCN
-
Per ogni tunnel IPSec:
- Indirizzo IP dell'endpoint del tunnel IPSec Oracle (headend VPN)
- Il segreto condiviso
Informazioni sul dispositivo CPE
Hai anche bisogno di alcune informazioni di base sulle interfacce interne ed esterne del tuo dispositivo on-premise (il tuo CPE). Per un elenco delle informazioni necessarie per il CPE specifico, vedere i collegamenti in questo elenco: Dispositivi CPE verificati.
Per impostazione predefinita, NAT-T è abilitato in tutti i tunnel VPN da sito a sito IPSec. Oracle consiglia di lasciare NAT-T abilitato durante la configurazione della VPN da sito a sito in OCI.
Se il tuo CPE si trova dietro un dispositivo NAT, puoi fornire a Oracle l'identificativo IKE del tuo CPE. Per ulteriori informazioni, vedere Panoramica dei componenti VPN da sito a sito.
Un singolo IP pubblico dell'oggetto CPE può avere fino a 8 connessioni IPSec.
IPSec basato su instradamento e basato su criteri
I headend VPN Oracle utilizzano tunnel basati su instradamento, ma possono funzionare con tunnel basati su criteri con alcuni avvisi. Per ulteriori informazioni, vedere Domini di cifratura per tunnel basati su criteri.
Best practice VPN da sito a sito
- Configura tutti i tunnel per ogni connessione IPSec: Oracle distribuisce più headend IPSec per tutte le connessioni in modo da fornire alta disponibilità per i carichi di lavoro mission-critical. La configurazione di tutti i tunnel disponibili è una parte fondamentale della filosofia "Design for Failure". Eccezione: configurazione basata su criteri Cisco ASA, che utilizza un singolo tunnel.
- Hai CPE ridondanti nelle tue posizioni on-premise: Ognuno dei tuoi siti che si connettono con IPSec a Oracle Cloud Infrastructure dovrebbe avere dispositivi CPE ridondanti. Puoi aggiungere ogni CPE alla console di Oracle Cloud Infrastructure e creare una connessione IPSec separata tra il tuo gateway di instradamento dinamico (DRG) e ogni CPE. Per ogni connessione IPSec, Oracle esegue il provisioning di due tunnel in headend IPSec ridondanti a livello geografico. Oracle può utilizzare qualsiasi tunnel "attivo" per inviare il traffico alla rete on premise. Per ulteriori informazioni, vedere Instradamento per la VPN da sito a sito.
-
Considerare gli instradamenti aggregati di backup: se più siti sono connessi tramite le VPN IPSec a Oracle Cloud Infrastructure e tali siti sono connessi ai router di backbone on premise, considerare la possibilità di configurare gli instradamenti di connessione IPSec sia con l'instradamento aggregato del sito locale che con un instradamento predefinito.
Tenere presente che gli instradamenti DRG appresi dalle connessioni IPSec vengono utilizzati solo dal traffico instradato dalla VCN al gateway DRG. L'instradamento predefinito verrà utilizzato solo dal traffico inviato al DRG il cui indirizzo IP di destinazione non corrisponde agli instradamenti più specifici di uno qualsiasi dei tunnel.
Conferma dello stato della connessione
Dopo aver configurato la connessione IPSec, è possibile eseguire il test della connessione avviando un'istanza nella VCN e quindi eseguendone il ping dalla rete in locale. Per informazioni sull'avvio di un'istanza, vedere Avvio di un'istanza. Per eseguire il ping dell'istanza, le regole di sicurezza della VCN devono consentire il ping del traffico.
Puoi ottenere lo stato dei tunnel IPSec nell'API o nella console. Per istruzioni, vedere Per visualizzare le informazioni sullo stato e la configurazione per i tunnel IPSec.
Configurazioni dispositivi
Per i collegamenti alle informazioni di configurazione specifiche per ciascun dispositivo CPE verificato, vedere Dispositivi CPE verificati.