Documentazione dell'infrastruttura Oracle Cloud

Panoramica della VPN da sito a sito

La VPN da sito a sito fornisce una connessione IPSec tra una rete in locale e una rete cloud virtuale (VCN). La suite di protocolli IPSec crittografa il traffico IP prima che i pacchetti vengano trasferiti dall'origine alla destinazione e decifra il traffico quando arriva. La VPN da sito a sito è stata precedentemente definita VPN Connect e IPSec VPN.

Altre soluzioni VPN sicure includono OpenVPN, una soluzione VPN client accessibile in Oracle Marketplace. OpenVPN connette singoli dispositivi a una VCN, ma non a interi siti o reti.

In questo argomento viene fornita una panoramica della VPN da sito a sito per una VCN. Per scenari che includono VPN da sito a sito, vedere Scenario B: subnet privata con una VPN e Scenario C: subnet pubbliche e private con una VPN.

Per informazioni relative ai limiti, vedere Limiti VPN da sito a sito e Richiesta di un aumento dei limiti del servizio.

Personale e conoscenze necessarie

In genere, i seguenti tipi di personale sono coinvolti nell'impostazione di una VPN da sito a sito con Oracle Cloud Infrastructure:

  • Membro del team Dev Ops (o funzione simile) che utilizza Oracle Cloud InfrastructureConsole per impostare i componenti cloud necessari per la rete virtuale e la VPN da sito a sito.
  • Network engineer (o funzione simile) che configura il dispositivo CPE (Customer-premise Equipment) con informazioni fornite dal membro del team Dev Ops.
Suggerimento

Il membro del team Dev Ops deve disporre dell'autorizzazione necessaria per creare e gestire i componenti cloud. Se la persona è l'amministratore predefinito per la tenancy Oracle Cloud Infrastructure o un membro del gruppo Amministratori, dispone dell'autorizzazione necessaria. Per informazioni sulla limitazione dell'accesso ai componenti di rete, vedere Controllo dell'accesso.

Il personale deve avere familiarità con i seguenti concetti e definizioni:

RISORSE CLOUD
Tutto ciò di cui esegui il provisioning su una piattaforma cloud. Ad esempio, con Oracle Cloud Infrastructure, una "risorsa cloud" può essere una VCN, un'istanza di computazione, un utente, un compartimento, un load balancer o qualsiasi altro componente di servizio sulla piattaforma.
IN LOCALE
Termine ampiamente utilizzato nelle tecnologie cloud che si riferisce agli ambienti di data center tradizionali. On-premise può significare uno scenario di colocation, uno spazio dedicato, un edificio dedicato per data center o un desktop in esecuzione sotto una scrivania.
IDENTIFICATIVO ORACLE CLOUD (OCID)
Identificativo univoco assegnato a ogni risorsa di cui si esegue il provisioning su Oracle Cloud Infrastructure. L'OCID è una stringa lunga generata automaticamente da Oracle. Non è possibile selezionare il valore per un OCID o modificare l'OCID di una risorsa. Per ulteriori informazioni, vedere Identificativi risorse.

Informazioni sulla connessione IPSec Oracle

In generale, è possibile configurare una connessione IPSec nelle seguenti modalità:

  • Modalità di trasporto: IPSec cifra e autentica solo il payload effettivo del pacchetto e le informazioni dell'intestazione rimangono intatte.
  • Modalità tunnel (supportata da Oracle): IPSec cifra e autentica l'intero pacchetto. Dopo la crittografia, il pacchetto viene quindi incapsulato per formare un nuovo pacchetto IP che ha diverse informazioni di intestazione.

Oracle Cloud Infrastructure supporta solo la modalità tunnel per le VPN IPSec.

Ogni connessione IPSec Oracle è costituita da diversi tunnel IPSec ridondanti. Per un tunnel specifico, puoi utilizzare l'instradamento dinamico BGP (Border Gateway Protocol) o l'instradamento statico per instradare il traffico di quel tunnel. Ulteriori dettagli sull'instradamento seguono.

I tunnel VPN da sito a sito IPSec offrono i seguenti vantaggi:

  • Le linee Internet pubbliche vengono utilizzate per inviare dati, quindi non sono necessarie linee di leasing dedicate e costose da un sito all'altro.
  • Gli indirizzi IP interni delle reti e dei nodi partecipanti sono nascosti agli utenti esterni.
  • L'intera comunicazione tra i siti di origine e di destinazione è crittografata, riducendo le possibilità di furto di informazioni.

Instradamento per la VPN da sito a sito

Quando si imposta la VPN da sito a sito, sono disponibili due tunnel IPSec ridondanti. Oracle ti incoraggia a configurare il dispositivo CPE in modo che utilizzi entrambi i tunnel (se il dispositivo lo supporta). In passato, Oracle ha creato connessioni IPSec con un massimo di quattro tunnel IPSec.

Sono disponibili i tre tipi di instradamento seguenti e si seleziona il tipo di instradamento separatamente per ogni tunnel IPSec nella VPN da sito a sito:

  • Instradamento dinamico BGP: gli instradamenti disponibili vengono acquisiti in modo dinamico tramite BGP. Il DRG apprende in modo dinamico gli instradamenti dalla rete in locale. Sul lato Oracle, il gateway DRG pubblica le subnet della VCN.
  • Instradamento statico: quando si imposta la connessione IPSec al DRG, si specificano gli instradamenti specifici alla rete in locale di cui si desidera che la VCN sia a conoscenza. Inoltre, devi configurare il dispositivo CPE con instradamenti statici alle subnet della VCN. Questi percorsi non vengono appresi in modo dinamico.
  • Instradamento basato su criteri: quando si imposta la connessione IPSec al DRG, si specificano gli instradamenti specifici alla rete in locale di cui si desidera che la VCN sia a conoscenza. Inoltre, devi configurare il dispositivo CPE con instradamenti statici alle subnet della VCN. Questi percorsi non vengono appresi in modo dinamico.

Dettagli di instradamento importanti per la VPN da sito a sito

Ecco alcuni dettagli importanti per comprendere l'instradamento per la VPN da sito a sito:

  • Scelte di instradamento:

    • Originariamente, la VPN da sito a sito supportava solo l'instradamento statico ed era necessario fornire almeno un instradamento statico per la connessione IPSec complessiva.
    • Ora sono disponibili due diversi tipi di instradamento (instradamento BGP e statico) e si configura il tipo di instradamento per tunnel. Per un tunnel specifico è supportato un solo tipo di instradamento alla volta.
    • In generale, si consiglia di utilizzare lo stesso tipo di instradamento per tutti i tunnel in una connessione IPSec. Un'eccezione è che se si sta eseguendo la transizione tra l'instradamento statico e BGP, un tunnel potrebbe comunque utilizzare temporaneamente l'instradamento statico mentre l'altro è già stato passato a BGP.
    • Quando si crea una connessione IPSec, l'instradamento statico è il tipo di instradamento predefinito per tutti i tunnel a meno che non si configuri in modo esplicito ogni tunnel per l'uso di BGP.

  • Informazioni sull'instradamento obbligatorie:

    • Se si seleziona BGP, per ogni tunnel è necessario fornire due indirizzi IP (uno per ciascuno dei due altoparlanti BGP nella sessione BGP del tunnel). Gli indirizzi devono trovarsi nel dominio di cifratura per la connessione IPSec. Devi anche fornire il numero di sistema autonomo BGP (BGP ASN) per la rete on-premise.
    • Se si seleziona l'instradamento statico, è necessario fornire almeno un instradamento statico (massimo 10). Gli instradamenti statici vengono configurati con la connessione IPSec globale, pertanto lo stesso set di instradamenti statici viene utilizzato per tutti i tunnel nella connessione IPSec configurati per utilizzare l'instradamento statico. È possibile modificare gli instradamenti statici in qualsiasi momento dopo aver creato la connessione IPSec. Se si sta eseguendo un PAT tra un dispositivo CPE e una VCN, l'instradamento statico per la connessione IPSec è l'indirizzo IP PAT. Vedere Layout di esempio con PAT.
    • Se si seleziona l'instradamento statico, è possibile fornire facoltativamente un indirizzo IP per ciascuna estremità del tunnel ai fini della risoluzione dei problemi o del monitoraggio del tunnel.
    • Se il tunnel è configurato per l'uso di BGP, gli instradamenti statici della connessione IPSec vengono ignorati. Tutti gli instradamenti statici associati alla connessione IPSec vengono utilizzati per instradare il traffico di un determinato tunnel solo se tale tunnel è configurato per utilizzare l'instradamento statico. Ciò è particolarmente rilevante se si dispone di una VPN da sito a sito che utilizza l'instradamento statico, ma si desidera passare all'uso di BGP.

  • Modifica del ciclo di produzione:

    • Per modificare un tunnel da BGP a instradamento statico, è innanzitutto necessario assicurarsi che alla connessione IPSec sia associato almeno un instradamento statico.
    • È possibile modificare il tipo di instradamento di un tunnel esistente in qualsiasi momento (a meno che il provisioning del tunnel non venga eseguito da Oracle). Quando si modifica l'instradamento, il tunnel rimane attivo (lo stato IPSec non cambia). Tuttavia, il traffico che attraversa il tunnel viene temporaneamente interrotto durante la riproposizione e durante la riconfigurazione del dispositivo CPE. Per informazioni sulla modifica della VPN da sito a sito, vedere Utilizzo della VPN da sito a sito.
    • Poiché si configura il tipo di instradamento separatamente per ogni tunnel, se si passa dalla VPN da sito a sito dall'instradamento statico a BGP, è preferibile eseguire un tunnel alla volta. In questo modo si evita che l'intera connessione IPSec sia inattiva. Per istruzioni, vedere Modifica dall'instradamento statico all'instradamento dinamico BGP.

Pubblicità del percorso e preferenze del percorso quando si hanno più connessioni

Quando si utilizza BGP, il gateway DRG collegato a una VCN comunica gli instradamenti al CPE.

Se si impostano diverse connessioni tra una rete in locale e una VCN, è necessario comprendere quali instradamenti vengono pubblicati dal DRG e come impostare le preferenze del percorso per utilizzare la connessione preferita.

Per informazioni importanti, vedere Dettagli di instradamento per le connessioni alla rete in locale.

Preferenza di un tunnel specifico nella VPN da sito a sito

All'interno della VPN da sito a sito, puoi influenzare il tunnel preferito. Di seguito sono riportati gli elementi che è possibile configurare.

  • Preferenza locale BGP del CPE: se si utilizza BGP, è possibile configurare l'attributo delle preferenze locali BGP sul dispositivo CPE per controllare quale tunnel è preferito per le connessioni avviate da una rete in locale a una VCN. Poiché Oracle utilizza l'instradamento asimmetrico, è necessario configurare altri attributi se si desidera che Oracle risponda allo stesso tunnel. Vedi i prossimi due elementi.
  • Instradamenti più specifici nel tunnel preferito: è possibile configurare un CPE per comunicare instradamenti più specifici per il tunnel che si desidera utilizzare. Oracle utilizza l'instradamento con la corrispondenza prefisso più lunga quando risponde o avvia le connessioni.
  • Percorso AS precedente: BGP preferisce il percorso AS più breve, quindi se si utilizza BGP, è possibile utilizzare il percorso AS precedente per controllare quale tunnel ha il percorso più breve per un instradamento specifico. Oracle utilizza il percorso AS più breve quando risponde alle connessioni o le avvia.

Panoramica dei componenti VPN da sito a sito

Se non si ha già familiarità con i componenti di base del servizio di rete, vedere Networking prima di continuare.

Quando si imposta la VPN da sito a sito per una VCN, è necessario creare diversi componenti di networking. È possibile creare i componenti con la console o l'API. Vedere il diagramma e la descrizione riportati di seguito dei componenti.

Questa immagine mostra i componenti della VPN da sito a sito
Callout 1: Tabella di instradamento VCN predefinita
CIDR di destinazione Destinazione instradamento
0.0.0.0/0 DRG
oggetto cpe
All'estremità on-premise della VPN da sito a sito si trova il dispositivo effettivo nella rete on-premise (hardware o software). Il termine apparecchiatura Customer premise (CPE) viene comunemente utilizzato in alcuni settori per questo tipo di apparecchiature on premise. Quando si imposta la VPN, è necessario creare una rappresentazione virtuale del dispositivo. Oracle chiama la rappresentazione virtuale un CPE, ma questa documentazione in genere utilizza il termine oggetto CPE per distinguere la rappresentazione virtuale dal dispositivo CPE effettivo. L'oggetto CPE contiene informazioni di base sul dispositivo di cui Oracle ha bisogno. Un singolo IP pubblico dell'oggetto CPE può avere fino a 8 connessioni IPSec.
Gateway di instradamento dinamico (DRG)
Alla fine di Oracle, la VPN da sito a sito è un router virtuale denominato gateway di instradamento dinamico, ovvero il gateway in una VCN dalla rete on premise. Sia che tu stia utilizzando la VPN da sito a sito o i circuiti virtuali privati di Oracle Cloud Infrastructure FastConnect per connettere la rete on premise e la VCN, il traffico passa attraverso il DRG. Per ulteriori informazioni, vedere Gateway di instradamento dinamico.
Un tecnico di rete potrebbe pensare al DRG come al headend VPN. Dopo aver creato un DRG, è necessario collegarlo a una VCN, utilizzando la console o l'API. È inoltre necessario aggiungere una o più regole di instradamento che instradano il traffico dalla VCN al DRG. Senza tale collegamento DRG e le regole di instradamento, il traffico non viene eseguito tra la VCN e la rete in locale. In qualsiasi momento, puoi scollegare il DRG da una VCN, ma mantenere tutti i componenti VPN rimanenti. Puoi quindi ricollegare il DRG o collegarlo a un'altra VCN.
connessione ipsec
Dopo aver creato l'oggetto CPE e il DRG, è possibile connetterli creando una connessione IPSec, che è possibile considerare come un oggetto padre che rappresenta la VPN da sito a sito. La connessione IPSec dispone di un proprio OCID . Quando si crea questo componente, è necessario configurare il tipo di instradamento da utilizzare per ogni tunnel IPSec e fornire le informazioni di instradamento correlate. Un singolo IP pubblico dell'oggetto CPE può avere fino a 8 connessioni IPSec.
TUNNEL
Viene utilizzato un tunnel IPSec per cifrare il traffico tra endpoint IPSec sicuri. Oracle crea due tunnel in ogni connessione IPSec per la ridondanza. Ogni tunnel ha il proprio OCID . Si consiglia di configurare il dispositivo CPE in modo che supporti entrambi i tunnel in caso di errore o che Oracle ne metta uno offline per manutenzione. Ogni tunnel dispone di informazioni di configurazione necessarie per un tecnico di rete durante la configurazione del dispositivo CPE. Queste informazioni includono un indirizzo IP e un segreto condiviso, nonché parametri ISAKMP e IPSec. È possibile utilizzare l'applicazione di supporto per la configurazione CPE per raccogliere le informazioni richieste dal tecnico di rete. Per ulteriori informazioni, vedere Parametri IPSec supportati e Dispositivi CPE verificati.

Controllo accesso per i componenti

Ai fini del controllo dell'accesso, quando si imposta la VPN da sito a sito, è necessario specificare il compartimento in cui si desidera che risieda ciascuno dei componenti. In caso di dubbi su quale compartimento utilizzare, inserire tutti i componenti nello stesso compartimento della VCN. Si noti che i tunnel IPSec risiedono sempre nello stesso compartimento della connessione IPSec padre. Per informazioni sui compartimenti e sulla limitazione dell'accesso ai componenti di rete, vedere Controllo dell'accesso.

Nomi e identificativi componente

Facoltativamente, è possibile assegnare un nome descrittivo a ciascuno dei componenti quando vengono creati. Questi nomi non devono essere univoci, anche se è consigliabile utilizzare nomi univoci in una tenancy. Evitare di fornire informazioni riservate. Oracle assegna automaticamente a ciascun componente un OCID. Per ulteriori informazioni, vedere Identificativi risorse.

Se il CPE si trova dietro un dispositivo NAT

In generale, l'identificativo CPE IKE configurato all'estremità in locale della connessione deve corrispondere all'identificativo CPE IKE utilizzato da Oracle. Per impostazione predefinita, Oracle utilizza l'indirizzo IP pubblico del CPE, fornito quando si crea l'oggetto CPE nella console Oracle. Tuttavia, se un CPE si trova dietro un dispositivo NAT, l'identificativo CPE IKE configurato all'interno dell'ambiente on premise potrebbe essere l'indirizzo IP privato del CPE, come mostrato nel diagramma seguente.

Questa immagine mostra il CPE dietro un dispositivo NAT, gli indirizzi IP pubblici e privati e l'identificativo IKE CPE.
Nota

Alcune piattaforme CPE non consentono di modificare l'identificativo IKE locale. In caso contrario, è necessario modificare l'ID IKE remoto nella console Oracle per trovare la corrispondenza con l'ID IKE locale del CPE. È possibile fornire il valore quando si imposta la connessione IPSec o in un secondo momento modificando la connessione IPSec. Oracle prevede che il valore sia un indirizzo IP o un nome dominio completamente qualificato (FQDN), ad esempio cpe.example.com. Per istruzioni, consulta la sezione relativa alla modifica dell'identificativo CPE IKE utilizzato da Oracle.

Informazioni sul segreto condiviso del tunnel

Ogni tunnel ha un segreto condiviso. Per impostazione predefinita, Oracle assegna il segreto condiviso al tunnel a meno che non si fornisca personalmente un segreto condiviso. È possibile fornire un segreto condiviso per ogni tunnel quando si crea la connessione IPSec o in un secondo momento dopo la creazione dei tunnel. Per il segreto condiviso, sono consentiti solo lettere, numeri e spazi. Se si modifica il segreto condiviso di un tunnel esistente, il tunnel viene disattivato durante il processo di provisioning.

Per istruzioni, vedere Modifica del segreto condiviso utilizzato da un tunnel IPSec.

Risorse per la configurazione del CPE

Un tecnico di rete deve configurare il CPE all'estremità in locale della connessione IPSec. Per semplificarlo, Oracle fornisce le seguenti risorse:

Per ulteriori informazioni, vedere anche Configurazione CPE.

Monitoraggio della connessione

Puoi monitorare lo stato, la capacità e le prestazioni delle risorse Oracle Cloud Infrastructure utilizzando metriche, allarmi e notifiche. Per ulteriori informazioni vedere Monitoraggio e Notifiche.

Per informazioni sul monitoraggio della connessione, vedere Metriche VPN da sito a sito.