Documentazione dell'infrastruttura Oracle Cloud

Creazione di una connessione IPSec

Il servizio VPN da sito a sito consente di creare una connessione IPSec contenente tunnel IPSec che connettono in modo sicuro Oracle Cloud Infrastructure a una rete on premise.

Prima di creare una connessione IPSec per la VPN Site-to-Site, vedere Impostazione della VPN Site-to-Site e pianificare la VPN Site-to-Site. Inoltre, leggere Utilizzo della VPN da sito a sede.

  • Immettere le informazioni di connessione IPSec

    In questa sezione vengono illustrate le informazioni di base per la connessione IPSec. Le sezioni seguenti coprono le specifiche che dipendono dai tre tipi di instradamento selezionati per il tunnel.

    Si può pensare a un "oggetto di connessione IPSec" come a qualcosa che contiene i propri metadati e le informazioni di configurazione per i tunnel IPSec che contiene.

    1. Nella pagina di elenco VPN site-to-site selezionare Crea connessione IPSec. Se è necessaria assistenza per trovare la pagina dell'elenco, vedere Elenco delle connessioni IPSec.
    2. Immettere un nome descrittivo per la connessione IPSec. Non deve essere unico, e si può cambiare in seguito. Evitare di fornire informazioni riservate.
    3. Selezionare un compartimento per la connessione IPSec. L'impostazione predefinita è il compartimento utilizzato più di recente ed è probabile che sia lo stesso compartimento della VCN contenente le risorse che si desidera rendere disponibili per la rete in locale.
    4. Selezionare il compartimento contenente l'oggetto CPE da associare alla connessione IPSec, quindi selezionare l'oggetto CPE.
      Se si sta configurando IPSec su FastConnect, il CPE selezionato deve avere un'etichetta che confermi che IPSec su FastConnect è abilitato per tale CPE. L'instradamento BGP è preferibile per le connessioni che utilizzano IPSec su FastConnect.
    5. Se il CPE si trova dietro un dispositivo NAT, selezionare la casella di controllo appropriata.

      Se la casella di controllo è selezionata, fornire le informazioni riportate di seguito.

      • Tipo di identificativo CPE IKE: selezionare il tipo di identificativo utilizzato da IKE (Internet Key Exchange) per identificare il dispositivo CPE. Un nome FQDN o un indirizzo IPv4 può essere un identificativo.
      • Identificativo IKE CPE: immettere le informazioni utilizzate da IKE per identificare il dispositivo CPE. Per impostazione predefinita, Oracle utilizza l'indirizzo IP pubblico del CPE. Se il CPE si trova dietro un dispositivo NAT, potrebbe essere necessario immettere un valore diverso. È possibile immettere il nuovo valore in questo punto oppure modificare il valore in un secondo momento.
    6. Selezionare il compartimento contenente il DRG da associare alla connessione IPSec, quindi selezionare il DRG. Questo DRG deve essere già collegato alla VCN che si desidera rendere disponibile a una rete in locale.
    7. (Facoltativo) Se si intende utilizzare l'instradamento statico per uno qualsiasi dei tunnel, immettere almeno un instradamento nel campo Cicli alla rete in locale. In caso contrario, saltare questa opzione.
      È possibile immettere fino a 10 instradamenti statici e modificare gli instradamenti statici in un secondo momento. Gli instradamenti corrispondono ai CIDR VCN con cui si desidera che la rete in locale si connetta.

    Configurare quindi i due tunnel IPSec. Se il dispositivo CPE effettivo supporta solo un singolo tunnel IPSec per connessione, la configurazione del tunnel 2 è facoltativa. La modalità di configurazione dei tunnel dipende dal metodo di instradamento che si prevede di utilizzare, quindi selezionare la sezione corrispondente.

    Configura un tunnel per l'instradamento BGP

    Configura un tunnel per l'instradamento BGP

    Immettere le seguenti informazioni nella sezione appropriata per il tunnel 1 e il tunnel 2.

    1. Immettere un nome descrittivo per il tunnel. Non deve essere unico, e si può cambiare in seguito. Evitare di fornire informazioni riservate.
    2. (Facoltativo) Selezionare la casella di controllo e immettere un segreto condiviso personalizzato.
      Per impostazione predefinita, Oracle fornisce il segreto condiviso per il tunnel. Per fornirla personalmente, selezionare questa casella di controllo e immettere il segreto condiviso. È possibile modificare il segreto condiviso in un secondo momento.
    3. Selezionare la versione IKE (Internet Key Exchange) da utilizzare per questo tunnel. Selezionare IKEv2 solo se il CPE lo supporta. Inoltre, è necessario configurare il CPE in modo che utilizzi solo IKEv2 per questo tunnel.
    4. Selezionare Instradamento dinamico BGP come tipo di instradamento.
    5. Se il CPE selezionato in precedenza supporta IPSec su FastConnect, sono necessarie le impostazioni riportate di seguito.
      • IP di connessione tunnel Oracle: immettere l'indirizzo IP dell'endpoint del tunnel IPSec Oracle (headend VPN). Oracle pubblicizza l'IP VPN come instradamento host /32 utilizzando la sessione BGP FastConnect. Se gli indirizzi si sovrappongono a un instradamento VCN, ciò ha la precedenza a causa della corrispondenza del prefisso più lunga.
      • Circuito virtuale associato: selezionare un circuito virtuale abilitato per IPSec su FastConnect al momento della creazione. Il tunnel viene mappato al circuito virtuale scelto e l'IP headend definito è raggiungibile solo da ambienti in locale tramite il circuito virtuale associato.
      • Tabella di instradamento DRG: selezionare o creare una tabella di instradamento DRG. Per evitare problemi con l'instradamento ricorsivo, il collegamento del circuito virtuale e il collegamento del tunnel IPSec utilizzato per IPSec su FastConnect devono utilizzare tabelle di instradamento DRG diverse.
    6. Immettere l'ASN BGP della rete in locale.
    7. Immettere l'indirizzo IPv4 BGP con maschera di sottorete ( /30 o /31) per l'estremità CPE del tunnel (l'interfaccia tunnel interna IPv4 - CPE). Ad esempio: 10.0.0.16/31. L'indirizzo IP deve far parte del dominio di cifratura della VPN da sito a sito.
    8. Immettere l'indirizzo IPv4 BGP con maschera di sottorete ( /30 o /31) per l'estremità Oracle del tunnel (l'interfaccia tunnel interna IPv4 - Oracle). Ad esempio: 10.0.0.17/31. L'indirizzo IP deve far parte del dominio di cifratura della VPN da sito a sito.
    9. (Facoltativo) Se si prevede di utilizzare sia IPv6 che IPv4, selezionare Abilita IPv6 e immettere i seguenti dettagli:
      • IPv6 Inside Tunnel Interface - CPE: immettere l'indirizzo IPv6 BGP con subnet mask (/126) per l'estremità CPE del tunnel. Ad esempio: 2001:db2::6/126. L'indirizzo IP deve far parte del dominio di cifratura della VPN da sito a sito.
      • IPv6 Inside Tunnel Interface - Oracle: immettere l'indirizzo IP BGP con subnet mask (/126) per l'estremità Oracle del tunnel. Ad esempio: 2001:db2::7/126. L'indirizzo IP deve far parte del dominio di cifratura della VPN da sito a sito.
    10. (Facoltativo) Se si seleziona Mostra opzioni avanzate, è possibile modificare le seguenti impostazioni per il tunnel:
      • Avvio di Oracle IKE: questa impostazione indica se l'estremità Oracle della connessione IPSec può avviare il tunnel IPSec. Il valore predefinito è Responder o responsabile avvio. Puoi anche decidere di impostare l'estremità Oracle come rispondente solo per il quale il dispositivo CPE deve avviare il tunnel IPSec. Si consiglia di lasciare questa opzione all'impostazione predefinita.
      • NAT-T attivato: questa impostazione indica se il dispositivo CPE si trova dietro un dispositivo NAT. L'impostazione predefinita è Auto. Le altre opzioni sono Disabilitato e Abilitato. Si consiglia di lasciare questa opzione all'impostazione predefinita.
      • Abilita timeout Dead Peer Detection: quando si seleziona questa opzione, è possibile controllare periodicamente la stabilità della connessione al CPE e rilevare che il CPE è inattivo. Se si seleziona questa opzione, è anche possibile selezionare l'intervallo più lungo tra i messaggi di integrità del dispositivo CPE prima che la connessione IPSec indichi che ha perso il contatto con il CPE. Il valore predefinito è 20 secondi. Si consiglia di lasciare questa opzione all'impostazione predefinita.
    11. (Facoltativo) Se si espande la sezione Configurazione della fase uno (ISAKMP) e si seleziona Imposta opzioni personalizzate, è possibile impostare le seguenti impostazioni facoltative (è necessario selezionare una di ciascuna opzione):
      • Algoritmi di cifratura personalizzati: è possibile selezionare una delle opzioni disponibili nel menu a discesa.
      • Algoritmi di autenticazione personalizzati: è possibile selezionare una delle opzioni disponibili nel menu a discesa.
      • Gruppi Diffie-Hellman: è possibile selezionare una delle opzioni disponibili nel menu a discesa.

      Se la casella di controllo Imposta configurazioni personalizzate non è selezionata, vengono proposte le impostazioni predefinite. È comunque possibile selezionare la vita chiave della sessione IKE in secondi. L'impostazione predefinita è 28800, ovvero 8 ore.

      Per informazioni più dettagliate su queste opzioni, incluse le proposte predefinite, vedere Parametri IPSec supportati.

    12. Se si espandono le opzioni di configurazione della seconda fase (IPSec) e si seleziona Imposta opzioni personalizzate, è possibile impostare le seguenti impostazioni facoltative per il tunnel (è necessario selezionare un algoritmo di cifratura):
      • Algoritmi di cifratura personalizzati: è possibile selezionare una delle opzioni disponibili nel menu a discesa. Se si seleziona un algoritmo di cifratura AES-CBC, è necessario selezionare anche un algoritmo di autenticazione.
      • Algoritmi di autenticazione personalizzati: è possibile selezionare una delle opzioni disponibili nel menu a discesa. L'algoritmo di cifratura scelto potrebbe avere l'autenticazione integrata, nel qual caso non è disponibile alcuna opzione selezionabile.

      Se la casella di controllo Imposta configurazioni personalizzate non è selezionata, vengono proposte le impostazioni predefinite. È comunque possibile modificare le seguenti impostazioni:

      • IPSec Durata chiave sessione in secondi: l'impostazione predefinita è 3600, ovvero 1 ora.
      • Abilita Perfect Forward Secrecy: questa opzione è attiva per impostazione predefinita. Consente di selezionare il gruppo Diffie-Hellman Perfect Forward Secrecy. È possibile selezionare una delle opzioni disponibili nel menu a discesa. Se non si effettua una selezione, viene proposto il file GROUP5.

      Per tutte le opzioni della Fase Due, la selezione di una singola opzione sostituisce il set predefinito ed è l'unica opzione proposta al dispositivo CPE.

    13. Per il Tunnel 2 è possibile utilizzare le stesse opzioni descritte per il tunnel 1. Puoi anche selezionare opzioni diverse o decidere di lasciare il tunnel non configurato perché il dispositivo CPE supporta solo un singolo tunnel.
    14. Al termine, selezionare Crea connessione IPSec.
    15. Copiare l'indirizzo IP VPN Oracle e il segreto condiviso per ciascuno dei tunnel in un'e-mail o in un'altra posizione in modo da poterlo consegnare al tecnico di rete che configura il dispositivo CPE.

      È possibile visualizzare le informazioni di questo tunnel qui nella console in qualsiasi momento.

    La connessione IPSec viene creata e visualizzata nella pagina. Rimane nello stato di provisioning per un breve periodo.

    Le informazioni visualizzate sul tunnel includono:

    • L'indirizzo IPv4 o IPv6 di Oracle VPN (per l'headend Oracle VPN).
    • Lo stato IPSec del tunnel (i valori possibili sono Attivo, Inattivo e Inattivo per manutenzione). A questo punto, lo stato è Inattivo. Il tecnico di rete deve configurare il dispositivo CPE prima di poter stabilire il tunnel o i tunnel.
    • Stato BGP del tunnel. A questo punto, lo stato è Inattivo. Il tecnico di rete deve configurare il dispositivo CPE.

    Per visualizzare il segreto condiviso del tunnel, selezionare il tunnel per visualizzarne i dettagli, quindi selezionare Mostra accanto a Segreto condiviso.

    È inoltre possibile selezionare la scheda Dettagli fase per visualizzare i dettagli della fase uno (ISAKMP) e della fase due (IPSec) per il tunnel.

    Ora hai creato tutti i componenti necessari per la VPN da sito a sito. Successivamente, il tecnico della rete in locale deve configurare il dispositivo CPE prima che il traffico di rete possa fluire tra la rete in locale e una VCN.

    Per maggiori informazioni, vedere Configurazione CPE.

    Configurare un tunnel per l'instradamento statico

    Configurare un tunnel per l'instradamento statico

    Nota

    Si consiglia di utilizzare le connessioni IPSec basate sull'instradamento BGP per IPSec su FastConnect.

    Immettere le seguenti informazioni nella sezione appropriata per il tunnel 1 e il tunnel 2.

    1. Immettere un nome descrittivo per il tunnel. Non deve essere unico, e si può cambiare in seguito. Evitare di fornire informazioni riservate.
    2. (Facoltativo) Selezionare la casella di controllo e immettere un segreto condiviso personalizzato.
      Per impostazione predefinita, Oracle fornisce il segreto condiviso per il tunnel. Per fornirla personalmente, selezionare questa casella di controllo e immettere il segreto condiviso. È possibile modificare il segreto condiviso in un secondo momento.
    3. Selezionare la versione IKE (Internet Key Exchange) da utilizzare per questo tunnel. Selezionare IKEv2 solo se il CPE lo supporta. Inoltre, è necessario configurare il CPE in modo che utilizzi solo IKEv2 per questo tunnel.
    4. Selezionare Instradamento statico come tipo di instradamento.
    5. Immettere l'indirizzo IPv4 BGP con maschera di sottorete ( /30 o /31) per l'estremità CPE del tunnel (l'interfaccia tunnel interna IPv4 - CPE). Ad esempio: 10.0.0.16/31. L'indirizzo IP deve far parte del dominio di cifratura della VPN da sito a sito.
    6. Immettere l'indirizzo IPv4 BGP con maschera di sottorete ( /30 o /31) per l'estremità Oracle del tunnel (l'interfaccia tunnel interna IPv4 - Oracle). Ad esempio: 10.0.0.17/31. L'indirizzo IP deve far parte del dominio di cifratura della VPN da sito a sito.
    7. (Facoltativo) Se si prevede di utilizzare sia IPv6 che IPv4, selezionare Abilita IPv6 e immettere i seguenti dettagli:
      • IPv6 Inside Tunnel Interface - CPE: immettere l'indirizzo IPv6 BGP con subnet mask (/126) per l'estremità CPE del tunnel. Ad esempio: 2001:db2::6/126. L'indirizzo IP deve far parte del dominio di cifratura della VPN da sito a sito.
      • IPv6 Inside Tunnel Interface - Oracle: immettere l'indirizzo IP BGP con subnet mask (/126) per l'estremità Oracle del tunnel. Ad esempio: 2001:db2::7/126. L'indirizzo IP deve far parte del dominio di cifratura della VPN da sito a sito.
    8. (Facoltativo) Se si seleziona Mostra opzioni avanzate, è possibile modificare le seguenti impostazioni per il tunnel:
      • Avvio di Oracle IKE: questa impostazione indica se l'estremità Oracle della connessione IPSec può avviare il tunnel IPSec. Il valore predefinito è Responder o responsabile avvio. Puoi anche decidere di impostare l'estremità Oracle come rispondente solo per il quale il dispositivo CPE deve avviare il tunnel IPSec. Si consiglia di lasciare questa opzione all'impostazione predefinita.
      • NAT-T attivato: questa impostazione indica se il dispositivo CPE si trova dietro un dispositivo NAT. L'impostazione predefinita è Auto. Le altre opzioni sono Disabilitato e Abilitato. Si consiglia di lasciare questa opzione all'impostazione predefinita.
      • Abilita timeout Dead Peer Detection: quando si seleziona questa opzione, è possibile controllare periodicamente la stabilità della connessione al CPE e rilevare che il CPE è inattivo. Se si seleziona questa opzione, è anche possibile selezionare l'intervallo più lungo tra i messaggi di integrità del dispositivo CPE prima che la connessione IPSec indichi che ha perso il contatto con il CPE. Il valore predefinito è 20 secondi. Si consiglia di lasciare questa opzione all'impostazione predefinita.
    9. (Facoltativo) Se si espande la sezione Configurazione della fase uno (ISAKMP) e si seleziona Imposta opzioni personalizzate, è possibile impostare le seguenti impostazioni facoltative (è necessario selezionare una di ciascuna opzione):
      • Algoritmi di cifratura personalizzati: è possibile selezionare una delle opzioni disponibili nel menu a discesa.
      • Algoritmi di autenticazione personalizzati: è possibile selezionare una delle opzioni disponibili nel menu a discesa.
      • Gruppi Diffie-Hellman: è possibile selezionare una delle opzioni disponibili nel menu a discesa.

      Se la casella di controllo Imposta configurazioni personalizzate non è selezionata, vengono proposte le impostazioni predefinite. È comunque possibile selezionare la vita chiave della sessione IKE in secondi. L'impostazione predefinita è 28800, ovvero 8 ore.

      Per informazioni più dettagliate su queste opzioni, incluse le proposte predefinite, vedere Parametri IPSec supportati.

    10. Se si espandono le opzioni di configurazione della seconda fase (IPSec) e si seleziona Imposta opzioni personalizzate, è possibile impostare le seguenti impostazioni facoltative per il tunnel (è necessario selezionare un algoritmo di cifratura):
      • Algoritmi di cifratura personalizzati: è possibile selezionare una delle opzioni disponibili nel menu a discesa. Se si seleziona un algoritmo di cifratura AES-CBC, è necessario selezionare anche un algoritmo di autenticazione.
      • Algoritmi di autenticazione personalizzati: è possibile selezionare una delle opzioni disponibili nel menu a discesa. L'algoritmo di cifratura scelto potrebbe avere l'autenticazione integrata, nel qual caso non è disponibile alcuna opzione selezionabile.

      Se la casella di controllo Imposta configurazioni personalizzate non è selezionata, vengono proposte le impostazioni predefinite. È comunque possibile modificare le seguenti impostazioni:

      • IPSec Durata chiave sessione in secondi: l'impostazione predefinita è 3600, ovvero 1 ora.
      • Abilita Perfect Forward Secrecy: questa opzione è attiva per impostazione predefinita. Consente di selezionare il gruppo Diffie-Hellman Perfect Forward Secrecy. È possibile selezionare una delle opzioni disponibili nel menu a discesa. Se non si effettua una selezione, viene proposto il file GROUP5.

      Per tutte le opzioni della Fase Due, la selezione di una singola opzione sostituisce il set predefinito ed è l'unica opzione proposta al dispositivo CPE.

    11. Per il Tunnel 2 è possibile utilizzare le stesse opzioni descritte per il tunnel 1. Puoi anche selezionare opzioni diverse o decidere di lasciare il tunnel non configurato perché il dispositivo CPE supporta solo un singolo tunnel.
    12. Al termine, selezionare Crea connessione IPSec.
    13. Copiare l'indirizzo IP VPN Oracle e il segreto condiviso per ciascuno dei tunnel in un'e-mail o in un'altra posizione in modo da poterlo consegnare al tecnico di rete che configura il dispositivo CPE.

      È possibile visualizzare le informazioni di questo tunnel qui nella console in qualsiasi momento.

    La connessione IPSec viene creata e visualizzata nella pagina. Rimane nello stato di provisioning per un breve periodo.

    Le informazioni visualizzate sul tunnel includono:

    • L'indirizzo IP VPN Oracle (per l'headend VPN Oracle).
    • Lo stato IPSec del tunnel (i valori possibili sono Attivo, Inattivo e Inattivo per manutenzione). A questo punto, lo stato è Inattivo. Un tecnico di rete deve ancora configurare il dispositivo CPE.

    Per visualizzare il segreto condiviso del tunnel, selezionare il tunnel per visualizzarne i dettagli, quindi selezionare Mostra accanto a Segreto condiviso.

    Ora hai creato tutti i componenti necessari per la VPN da sito a sito. Successivamente, il tecnico della rete in locale deve configurare il dispositivo CPE prima che il traffico di rete possa fluire tra la rete in locale e una VCN.

    Per ulteriori informazioni, vedere Configurazione CPE.

    Configurare un tunnel per l'instradamento basato su criteri

    Configurare un tunnel per l'instradamento basato su criteri

    Nota

    Si consiglia di utilizzare le connessioni IPSec basate sull'instradamento BGP per IPSec su FastConnect.
    Nota

    L'opzione di instradamento basato su criteri non è disponibile in tutti i domini AD e potrebbe richiedere la creazione di un nuovo tunnel IPSec.

    Immettere le seguenti informazioni nella sezione appropriata per il tunnel 1 e il tunnel 2.

    1. Immettere un nome descrittivo per il tunnel. Non deve essere unico, e si può cambiare in seguito. Evitare di fornire informazioni riservate.
    2. (Facoltativo) Selezionare la casella di controllo e immettere un segreto condiviso personalizzato.
      Per impostazione predefinita, Oracle fornisce il segreto condiviso per il tunnel. Per fornirla personalmente, selezionare questa casella di controllo e immettere il segreto condiviso. È possibile modificare il segreto condiviso in un secondo momento.
    3. Selezionare la versione IKE (Internet Key Exchange) da utilizzare per questo tunnel. Selezionare IKEv2 solo se il CPE lo supporta. Inoltre, è necessario configurare il CPE in modo che utilizzi solo IKEv2 per questo tunnel.
    4. Selezionare Instradamento basato su criteri come tipo di instradamento.
    5. Nella sezione Associazioni immettere le informazioni nei campi appropriati.
      • On-premises CIDR blocks: You can provide several IPv4 CIDR or IPv6 prefix blocks used by resources in the on-premises network, with routing decided by the CPE device policies.
        Nota

        Per informazioni sulle limitazioni relative al numero di blocchi di prefissi IPv4 CIDR o IPv6, vedere Domini di cifratura per i tunnel basati su criteri.
      • Oracle Cloud CIDR blocks: You can provide several IPv4 CIDR or IPv6 prefix blocks used by resources in a VCN.
        Nota

        Per informazioni sulle limitazioni relative al numero di blocchi di prefissi IPv4 CIDR o IPv6, vedere Domini di cifratura per i tunnel basati su criteri.
    6. (Facoltativo) Per la risoluzione dei problemi o il monitoraggio, immettere le informazioni nei seguenti campi:
      • IPv4 inside tunnel interface - CPE: è possibile fornire un indirizzo IP con subnet mask (o /30 o /31) per l'estremità CPE del tunnel. Ad esempio: 10.0.0.16/31.
      • Interfaccia tunnel interna - Oracle : è possibile fornire un indirizzo IP con maschera di sottorete ( /30 o /31) per l'estremità Oracle del tunnel. Ad esempio: 10.0.0.17/31.

      Questi indirizzi IP devono far parte di uno dei domini di cifratura della VPN da sito a sito.

    7. (Facoltativo) Se si seleziona Mostra opzioni avanzate, è possibile modificare le seguenti impostazioni per il tunnel:
      • Avvio di Oracle IKE: questa impostazione indica se l'estremità Oracle della connessione IPSec può avviare il tunnel IPSec. Il valore predefinito è Responder o responsabile avvio. Puoi anche decidere di impostare l'estremità Oracle come rispondente solo per il quale il dispositivo CPE deve avviare il tunnel IPSec. Si consiglia di lasciare questa opzione all'impostazione predefinita.
      • NAT-T attivato: questa impostazione indica se il dispositivo CPE si trova dietro un dispositivo NAT. L'impostazione predefinita è Auto. Le altre opzioni sono Disabilitato e Abilitato. Si consiglia di lasciare questa opzione all'impostazione predefinita.
      • Abilita timeout Dead Peer Detection: quando si seleziona questa opzione, è possibile controllare periodicamente la stabilità della connessione al CPE e rilevare che il CPE è inattivo. Se si seleziona questa opzione, è anche possibile selezionare l'intervallo più lungo tra i messaggi di integrità del dispositivo CPE prima che la connessione IPSec indichi che ha perso il contatto con il CPE. Il valore predefinito è 20 secondi. Si consiglia di lasciare questa opzione all'impostazione predefinita.
    8. (Facoltativo) Se si espande la sezione Configurazione della fase uno (ISAKMP) e si seleziona Imposta opzioni personalizzate, è possibile impostare le seguenti impostazioni facoltative (è necessario selezionare una di ciascuna opzione):
      • Algoritmi di cifratura personalizzati: è possibile selezionare una delle opzioni disponibili nel menu a discesa.
      • Algoritmi di autenticazione personalizzati: è possibile selezionare una delle opzioni disponibili nel menu a discesa.
      • Gruppi Diffie-Hellman: è possibile selezionare una delle opzioni disponibili nel menu a discesa.

      Se la casella di controllo Imposta configurazioni personalizzate non è selezionata, vengono proposte le impostazioni predefinite. È comunque possibile selezionare la vita chiave della sessione IKE in secondi. L'impostazione predefinita è 28800, ovvero 8 ore.

      Per informazioni più dettagliate su queste opzioni, incluse le proposte predefinite, vedere Parametri IPSec supportati.

    9. Se si espandono le opzioni di configurazione della seconda fase (IPSec) e si seleziona Imposta opzioni personalizzate, è possibile impostare le seguenti impostazioni facoltative per il tunnel (è necessario selezionare un algoritmo di cifratura):
      • Algoritmi di cifratura personalizzati: è possibile selezionare una delle opzioni disponibili nel menu a discesa. Se si seleziona un algoritmo di cifratura AES-CBC, è necessario selezionare anche un algoritmo di autenticazione.
      • Algoritmi di autenticazione personalizzati: è possibile selezionare una delle opzioni disponibili nel menu a discesa. L'algoritmo di cifratura scelto potrebbe avere l'autenticazione integrata, nel qual caso non è disponibile alcuna opzione selezionabile.

      Se la casella di controllo Imposta configurazioni personalizzate non è selezionata, vengono proposte le impostazioni predefinite. È comunque possibile modificare le seguenti impostazioni:

      • IPSec Durata chiave sessione in secondi: l'impostazione predefinita è 3600, ovvero 1 ora.
      • Abilita Perfect Forward Secrecy: questa opzione è attiva per impostazione predefinita. Consente di selezionare il gruppo Diffie-Hellman Perfect Forward Secrecy. È possibile selezionare una delle opzioni disponibili nel menu a discesa. Se non si effettua una selezione, viene proposto il file GROUP5.

      Per tutte le opzioni della Fase Due, la selezione di una singola opzione sostituisce il set predefinito ed è l'unica opzione proposta al dispositivo CPE.

    10. Per il Tunnel 2 è possibile utilizzare le stesse opzioni descritte per il tunnel 1. Puoi anche selezionare opzioni diverse o decidere di lasciare il tunnel non configurato perché il dispositivo CPE supporta solo un singolo tunnel.
    11. Al termine, selezionare Crea connessione IPSec.
    12. Copiare l'indirizzo IP VPN Oracle e il segreto condiviso per ciascuno dei tunnel in un'e-mail o in un'altra posizione in modo da poterlo consegnare al tecnico di rete che configura il dispositivo CPE.

      È possibile visualizzare le informazioni di questo tunnel qui nella console in qualsiasi momento.

    La connessione IPSec viene creata e visualizzata nella pagina. Rimane nello stato di provisioning per un breve periodo.

    Le informazioni visualizzate sul tunnel includono:

    • L'indirizzo IP VPN Oracle (per l'headend VPN Oracle).
    • Lo stato IPSec del tunnel (i valori possibili sono Attivo, Inattivo e Inattivo per manutenzione). A questo punto, lo stato è Inattivo. Il tecnico di rete deve configurare il dispositivo CPE prima che lo stato possa cambiare.

    Per visualizzare il segreto condiviso del tunnel, selezionare il tunnel per visualizzarne i dettagli, quindi selezionare Mostra accanto a Segreto condiviso.

    Ora hai creato tutti i componenti necessari per la VPN da sito a sito. Successivamente, il tecnico della rete in locale deve configurare il dispositivo CPE prima che il traffico di rete possa fluire tra la rete in locale e una VCN.

    Per ulteriori informazioni, vedere Configurazione CPE.

  • Utilizzare il comando network ip-sec-connection create e i parametri richiesti per creare una connessione IPSec:

    oci network ip-sec-connection create --compartment-id compartment-ocid --cpe-id cpe-ocid --drg-id drg-ocid  --static-routes complex type ... [OPTIONS]

    L'opzione --static-routes è richiesta solo quando si utilizza il routing statico.

    Per un elenco completo dei parametri e dei valori per i comandi CLI, consultare il manuale CLI Command Reference.

  • Eseguire l'operazione CreateIPSecConnection per creare una connessione IPSec.