Impostazione della VPN da sito a sito
In questo argomento vengono fornite istruzioni per creare una connessione VPN da sito a sito IPSec da una rete in locale a una VCN. Per informazioni generali sulla VPN da sito a sito, vedere Panoramica della VPN da sito a sito.
Operazioni preliminari
Per preparare, fai prima queste cose:
- Leggi questa sezione: Instradamento per VPN da sito a sito
-
Rispondere alle domande riportate di seguito.
Domanda Domanda Che cos'è il CIDR della VCN? Qual è l'indirizzo IP pubblico del dispositivo CPE? Se si dispone di diversi dispositivi per la ridondanza, ottenere l'indirizzo IP per ciascuno di essi.
Nota: se il dispositivo CPE si trova dietro un dispositivo NAT, vedere Panoramica dei componenti VPN da sito a sito e anche Requisiti e prerequisiti.
Utilizzare la conversione PAT (Port Address Translation) tra ogni dispositivo CPE e la VCN? Quale tipo di instradamento si prevede di utilizzare? Se si desidera l'instradamento dinamico BGP, elencare gli indirizzi IP della sessione BGP da utilizzare e l'ASN della rete in locale. Gli indirizzi IP devono far parte del dominio di cifratura VPN da sito a sito.
Se si desidera l'instradamento statico, quali sono gli instradamenti statici per la rete in locale? Vedere Instradamento per la VPN da sito a sito.
Si prevede di utilizzare l'instradamento basato su criteri o più domini di cifratura? Vedere Domini di cifratura per tunnel basati su criteri.
Fornire il segreto condiviso di ogni tunnel o lasciare che sia Oracle ad assegnarlo? Vedere Panoramica dei componenti VPN da sito a sito.
- Disegnare un diagramma del layout di rete (ad esempio, vedere il primo task nell'Esempio: impostazione di una VPN Site-to-Site Proof of Concept). Pensa a quali parti della rete on-premise devono comunicare con la VCN e viceversa. Eseguire il mapping in uscita delle regole di instradamento e di sicurezza necessarie per la VCN.
Se si dispone di una VPN da sito a sito esistente che utilizza l'instradamento statico, è possibile modificare i tunnel in modo che utilizzino invece l'instradamento dinamico BGP.
Gli intervalli IP locali di collegamento riportati di seguito non sono validi per l'uso con la VPN da sito a sito all'interno delle interfacce tunnel:
- Dal 169.254.10.0 al 169.254.19.255
- Dal 169.254.100.0 al 169.254.109.255
- Dal 169.254.192.0 al 169.254.201.255
Processo generale
Ecco il processo generale per l'impostazione della VPN da sito a sito:
- Completare i task elencati in Prima di iniziare.
- Impostare i componenti VPN da sito a sito (istruzioni nell'Esempio: impostazione di una VPN da sito a sito di prova pratica):
- Creare una VCN.
- Creare un DRG.
- Collegare il gateway DRG alla VCN.
- Creare una tabella e una regola di instradamento per il DRG.
- Creare una lista di sicurezza e le regole necessarie.
- Creare una subnet nella VCN.
- Creare un oggetto CPE e fornire l'indirizzo IP pubblico del dispositivo CPE.
- Creare una connessione IPSec all'oggetto CPE e fornire le informazioni di instradamento richieste.
- Utilizzare l'applicazione di supporto per la configurazione CPE: un tecnico di rete deve configurare il dispositivo CPE con le informazioni fornite da Oracle durante i passi precedenti. L'applicazione di supporto per la configurazione CPE genera le informazioni per il tecnico di rete. Per ulteriori informazioni, vedere Uso dell'applicazione di supporto per la configurazione CPE e anche Configurazione CPE.
- Chiedere a un tecnico di rete di configurare il dispositivo CPE.
- Convalida connettività.
Se prevedi di impostare connessioni ridondanti, consulta la guida alla ridondanza della connettività (PDF).
Esempio: impostazione di una VPN site-to-site di prova del concetto
Oracle offre un flusso di lavoro di avvio rapido per semplificare l'impostazione della VPN da sito a sito. Per ulteriori informazioni, vedere Procedura guidata VPN da sito a sito.
Questo scenario di esempio mostra come impostare una VPN da sito a sito con un layout che si potrebbe utilizzare per una proof of concept (POC). Segue i task 1 e 2 in Processo globale e mostra ogni componente del layout in fase di creazione. Per layout più complessi, vedere Layout di esempio con più aree geografiche o Layout di esempio con PAT.
| Domanda | Domanda |
|---|---|
| Che cos'è il CIDR della VCN? | 172.16.0.0/16 |
|
Qual è l'indirizzo IP pubblico del dispositivo CPE? Se si dispone di diversi dispositivi per la ridondanza, ottenere l'indirizzo IP per ciascuno di essi. Nota: se il dispositivo CPE si trova dietro un dispositivo NAT, vedere Panoramica dei componenti VPN da sito a sito e anche Requisiti e prerequisiti. |
142.34.145.37 |
| Sarà in corso la conversione PAT (Port Address Translation) tra ogni dispositivo CPE e la VCN? | N |
|
Quale tipo di instradamento si prevede di utilizzare? Esistono tre opzioni che si escludono a vicenda: Se si prevede di utilizzare l'instradamento dinamico BGP, elencare gli indirizzi IP della sessione BGP da utilizzare e l'ASN della rete in locale. Se si prevede di utilizzare il routing statico, elencare gli instradamenti statici per la rete in locale. Vedere Instradamento per la VPN da sito a sito. Se si prevede di utilizzare l'instradamento basato su criteri o si richiedono più domini di cifratura, elencare i blocchi di prefissi IPv4 CIDR o IPv6 utilizzati su ciascuna estremità della connessione. Vedere Domini di cifratura per tunnel basati su criteri. |
Esempio di instradamento dinamico BGP: Tunnel 1:
Tunnel 2:
ASN di rete: 12345 Esempio di instradamento statico: Utilizzare 10.0.0.0/16 per l'instradamento statico per un POC. |
| Fornire il segreto condiviso di ogni tunnel o lasciare che sia Oracle ad assegnarlo? Vedere Panoramica dei componenti VPN da sito a sito. | Lasciare che Oracle assegni. |
Di seguito è riportato un diagramma di esempio per il task 1 che utilizza l'instradamento dinamico BGP.
| CIDR di destinazione | Destinazione instradamento |
|---|---|
| 10.0.0.0/16 | DRG |
| CIDR di destinazione | Autorizzazioni |
|---|---|
| 10.0.0.0/16 | Consentiti |
| Callout | Funzione | IP |
|---|---|---|
| 3 | Indirizzo IP pubblico CPE | 142.34.145.37 |
| 4a | BGP tunnel 1: interfaccia tunnel interna |
CPE - 10.0.0.16/31 Oracle - 10.0.0.17/31 |
| 4b | BGP tunnel 2: interfaccia tunnel interna |
CPE - 10.0.0.18/31 Oracle - 10.0.0.19/31 |
| 5 |
Indirizzo IP VPN Oracle Tunnel 1: |
129.213.240.50 |
| 6 |
Indirizzo IP VPN Oracle Tunnel 2: |
129.213.240.53 |
Di seguito è riportato un diagramma di esempio per il task 1 che utilizza il routing statico.
| CIDR di destinazione | Destinazione instradamento |
|---|---|
| 10.0.0.0/16 | DRG |
| CIDR di destinazione | Autorizzazioni |
|---|---|
| 10.0.0.0/16 | Consentiti |
| Callout | Funzione | IP |
|---|---|---|
| 3 | Indirizzo IP pubblico CPE | 142.34.145.37 |
| 4 | Percorso statico per la connessione IPSec | 10.0.0.0/16 |
| 5 |
Indirizzo IP VPN Oracle Tunnel 1: |
129.213.240.50 |
| 6 |
Indirizzo IP VPN Oracle Tunnel 2: |
129.213.240.53 |
Se si dispone già di una VCN, passare al task successivo.
Quando si utilizza la console per creare una VCN, è possibile creare solo la VCN oppure la VCN con diverse risorse correlate. Questo task crea solo la VCN e i task successivi creano le altre risorse necessarie.
Per informazioni dettagliate sulla creazione di una VCN nella console, vedere Creazione di una VCN.
Prima di continuare, assicurarsi che il provisioning della VCN venga completato. In questo esempio, stiamo utilizzando 172.16.0.0/16 come CIDR per la VCN, ma ciò che selezioni non è importante finché è coerente.
Per informazioni dettagliate sulla creazione di un DRG, vedere Creazione di un DRG.
Il DRG viene creato e visualizzato nella pagina. Assicurarsi che il provisioning sia stato eseguito prima di continuare.
Puoi anche utilizzare questo DRG come gateway per Oracle Cloud Infrastructure FastConnect, un altro modo per connettere una rete on premise a una VCN.
Per informazioni dettagliate sul collegamento di un DRG a una VCN, vedere Come collegare un DRG a una VCN.
L'allegato è in stato di collegamento per un breve periodo prima che sia pronto.
Sebbene la VCN sia dotata di una tabella di instradamento predefinita (senza regole), in questo task si crea una tabella di instradamento VCN personalizzata con una regola di instradamento per il DRG come destinazione. In questo esempio, la rete in locale è 10.0.0.0/16. È possibile creare una regola di instradamento che prende tutto il traffico destinato a 10.0.0.0/16 e lo instrada al DRG. Quando si crea una subnet nel task 2f, si associa questa tabella di instradamento personalizzata alla subnet.
Se si dispone già di una VCN esistente con una subnet, non è necessario creare una tabella o una subnet di instradamento. È invece possibile aggiornare la tabella di instradamento della subnet esistente in modo da includere la regola di instradamento per il DRG.
| CIDR di destinazione | Tabella di instradamento |
|---|---|
| 10.0.0.0/16 | DRG |
Per informazioni dettagliate sulla creazione di tabelle di instradamento VCN nella console, vedere Creazione di una tabella di instradamento VCN. Utilizzare le impostazioni riportate di seguito per la regola di instradamento.
- Tipo di destinazione: gateway di instradamento dinamico. Il gateway DRG collegato della VCN viene selezionato automaticamente come destinazione e non è necessario specificare manualmente la destinazione.
- Blocco CIDR di destinazione: il CIDR per la rete in locale (10.0.0.0/16 in questo esempio).
La tabella di instradamento viene creata e visualizzata nella pagina. Tuttavia, la tabella di instradamento non esegue alcuna operazione a meno che non venga associata a una subnet durante la creazione della subnet (vedere il task 2f).
Per impostazione predefinita, il traffico in entrata verso le istanze in una VCN è impostato su DENY su tutte le porte e tutti i protocolli. In questo task è possibile impostare due regole di entrata e una regola di uscita per consentire il traffico di rete richiesto di base. Una VCN viene fornita con un elenco di sicurezza predefinito con un set di regole predefinite. Tuttavia, in questo task si crea una lista di sicurezza separata con un set di regole più restrittivo incentrato sul traffico con una rete in locale. Quando si crea una subnet nel task 2f, questa lista di sicurezza viene associata alla subnet.
Gli elenchi di sicurezza sono un modo per controllare il traffico in entrata e in uscita dalle risorse della VCN. È anche possibile utilizzare gruppi di sicurezza di rete
| CIDR di destinazione | Tabella di instradamento |
|---|---|
| 10.0.0.0/16 | DRG |
| In entrata/uscita | CIDR | Protocollo: porta |
|---|---|---|
| Ingresso | 10.0.0.0/16 | TCP: 22 |
| Ingresso | 10.0.0.0/16 | ICMP: tutto |
| Uscita | 10.0.0.0/16 | TCP: Tutti |
Assicurarsi che il CIDR in locale specificato nelle regole della lista di sicurezza sia lo stesso (o più piccolo) del CIDR specificato nella regola di instradamento nel task precedente. In caso contrario, il traffico è bloccato dalle liste di sicurezza.
Per informazioni dettagliate sulla creazione di una lista di sicurezza in una VCN mediante la console, vedere Creazione di una lista di sicurezza.
-
Aggiungere una regola di entrata con i valori seguenti, che consente l'accesso SSH in entrata sulla porta TCP 22 da una rete in locale:
- Tipo di origine: CIDR
- CIDR di origine: il CIDR per una rete in locale (10.0.0.0/16 in questo esempio)
- Protocollo IP: TCP.
- Intervallo porte di origine: lasciare invariato (l'impostazione predefinita è Tutto).
- Intervallo di porte di destinazione: 22 (per il traffico SSH).
- Descrizione: una descrizione facoltativa della regola.
-
Aggiungi una regola di uscita con i seguenti valori, che consente il traffico TCP in uscita su tutte le porte a una rete in locale:
- Tipo di destinazione: CIDR
- CIDR di destinazione: il CIDR per una rete in locale (10.0.0.0/16 in questo esempio).
- Protocollo IP: TCP.
- Intervallo porte di origine: lasciare invariato (l'impostazione predefinita è Tutto).
- Intervallo porte di destinazione: lasciare invariato (impostazione predefinita: Tutto).
- Descrizione: una descrizione facoltativa della regola.
Quando viene creata, la lista di sicurezza viene visualizzata nella pagina. Tuttavia, l'elenco di sicurezza non esegue alcuna operazione a meno che non venga associato a una subnet durante la creazione della subnet (vedere il task 2f).
In questo task, puoi creare una subnet nella VCN. In genere, una subnet ha un blocco CIDR più piccolo del CIDR della VCN. Qualsiasi istanza creata in questa subnet ha accesso a una rete in locale. Si consiglia di utilizzare le subnet regionali. Qui è possibile creare una subnet privata regionale.
| CIDR di destinazione | Tabella di instradamento |
|---|---|
| 10.0.0.0/16 | DRG |
| In entrata/uscita | CIDR | Protocollo: porta |
|---|---|---|
| Ingresso | 10.0.0.0/16 | TCP: 22 |
| Ingresso | 10.0.0.0/16 | ICMP: tutto |
| Uscita | 10.0.0.0/16 | TCP: Tutti |
Per informazioni dettagliate sulla creazione di una subnet di una VCN mediante la console, vedere Creazione di una subnet. Utilizzare i valori riportati di seguito.
- Subnet regionale o specifica di AD: selezionare il pulsante di opzione per Regionale. Si consiglia di utilizzare le subnet regionali.
- Blocco CIDR: un singolo blocco CIDR contiguo per la subnet (ad esempio, 172.16.0.0/24). Deve essere all'interno del blocco CIDR della rete cloud e non può sovrapporsi ad altre subnet. Non è possibile modificare questo valore in un secondo momento. Vedere Intervalli di dimensioni e indirizzi VCN consentiti. Per riferimento, utilizzare una calcolatrice CIDR.
- Tabella di instradamento: la tabella di instradamento creata nel task 2d.
- Sottorete privata: selezionare questa opzione. Per ulteriori informazioni, vedere Accesso a Internet.
- Usa nomi host DNS in questa subnet: lasciare invariato (selezionato).
- Opzioni DHCP: set di opzioni DHCP da associare alla sottorete. Selezionare il set predefinito di opzioni DHCP per la VCN.
- Elenchi di sicurezza: la lista di sicurezza creata in precedenza.
La subnet viene creata e visualizzata nella pagina. La VCN di base in questo esempio è ora impostata e si è pronti a creare i componenti rimanenti per la VPN da sito a sito.
In questo task è possibile creare l'oggetto CPE, ovvero una rappresentazione virtuale di un dispositivo CPE effettivo. L'oggetto CPE esiste in un compartimento in una tenancy. Quando si configura la VPN da sito a sito, è necessario modificare la configurazione del dispositivo edge effettivo affinché la rete in locale corrisponda alla configurazione dell'oggetto CPE.
| CIDR di destinazione | Tabella di instradamento |
|---|---|
| 10.0.0.0/16 | DRG |
| In entrata/uscita | CIDR | Protocollo: porta |
|---|---|---|
| Ingresso | 10.0.0.0/16 | TCP: 22 |
| Ingresso | 10.0.0.0/16 | ICMP: tutto |
| Uscita | 10.0.0.0/16 | TCP: Tutti |
Per informazioni dettagliate sulla creazione di un oggetto CPE, vedere Creazione di un CPE. In questo esempio l'indirizzo IP più importante da fornire è 142.34.145.37, l'indirizzo IP pubblico o privato del dispositivo CPE fisico.
In questo task è possibile creare i tunnel IPSec e configurare il tipo di instradamento per essi (instradamento dinamico BGP, instradamento statico o instradamento basato su criteri). Per informazioni dettagliate, vedere Creazione di una connessione IPSec.
Se si dispone di una VPN da sito a sito esistente che utilizza l'instradamento statico, è possibile modificare i tunnel in modo che utilizzino invece l'instradamento dinamico BGP.
Utilizzare l'applicazione di supporto per la configurazione CPE per generare il contenuto della configurazione che il tecnico di rete può utilizzare per configurare il CPE.
Il contenuto include i seguenti elementi:
- Per ogni tunnel IPSec, l'indirizzo IP VPN Oracle e il segreto condiviso.
- I valori dei parametri IPSec supportati.
- Informazioni sulla VCN.
- Informazioni di configurazione specifiche CPE.
Per ulteriori informazioni, vedere Uso dell'applicazione di supporto per la configurazione CPE.
Fornire al tecnico di rete gli elementi riportati di seguito.
- Contenuto generato dall'applicazione di supporto per la configurazione CPE.
- I parametri IPSec generali supportati da Oracle.
Assicurarsi che il tecnico di rete configuri un dispositivo CPE per supportare entrambi i tunnel in caso di guasto o guasto di Oracle per la manutenzione. Se si utilizza BGP, vedere Instradamento per la VPN da sito a sito.
Dopo aver configurato il dispositivo CPE, il tecnico di rete può confermare che lo stato IPSec del tunnel è Attivo e verde. Successivamente, puoi creare un'istanza Linux nella subnet in una VCN. Quindi, utilizza SSH per connettersi all'indirizzo IP privato dell'istanza da un host nella rete in locale. Per ulteriori informazioni, vedere Creazione di un'istanza.
Layout di esempio con diverse aree geografiche
Il diagramma riportato di seguito mostra un esempio diverso con la seguente configurazione:
- Due reti in aree geografiche separate che si connettono ciascuna a una VCN
- Un singolo dispositivo CPE in ogni area
- Due VPN IPSec (una per ogni dispositivo CPE)
Tenere presente che a ogni VPN da sito a sito sono associati due percorsi: uno per la subnet dell'area geografica specifica e un instradamento 0.0.0.0/0 predefinito. Oracle viene a conoscenza degli instradamenti disponibili per ogni tunnel tramite BGP (se i tunnel utilizzano BGP) o perché vengono impostati come instradamenti statici per la connessione IPSec (se i tunnel utilizzano l'instradamento statico).
| CIDR di destinazione | Destinazione instradamento |
|---|---|
| 10.20.0.0/16 | DRG |
| 0.0.0.0/0 | DRG |
| CIDR di destinazione | Destinazione instradamento |
|---|---|
| 10.40.0.0/16 | DRG |
| 0.0.0.0/0 | DRG |
Di seguito sono riportati alcuni esempi di situazioni in cui il percorso 0.0.0.0/0 può fornire flessibilità:
- Si supponga che il dispositivo CPE 1 sia inattivo (vedere il diagramma successivo). Se la subnet 1 e la subnet 2 possono comunicare tra loro, la VCN potrebbe comunque raggiungere i sistemi nella subnet 1 a causa dell'instradamento 0.0.0.0/0 che va a CPE 2.
-
Se un'organizzazione aggiunge una nuova area geografica con la subnet 3 e la collega inizialmente alla subnet 2 (vedere il diagramma successivo). Se hai aggiunto una regola di instradamento alla tabella di instradamento della VCN per la subnet 3, la VCN potrebbe raggiungere i sistemi nella subnet 3 a causa dell'instradamento 0.0.0.0/0 che va a CPE 2.
Callout 1: tabella di instradamento VCN CIDR di destinazione Destinazione instradamento 10.20.0.0/16 DRG 10.40.0.0/16 DRG 10.60.0.0/16 DRG
Layout di esempio con PAT
Il diagramma riportato di seguito mostra un esempio di questa configurazione.
- Due reti in aree geografiche separate che si connettono ciascuna a una VCN
- Dispositivi CPE ridondanti (due in ciascuna area geografica)
- Quattro VPN IPSec (una per ogni dispositivo CPE)
- Traduzione dell'indirizzo di porta (PAT) per ogni dispositivo CPE
Per ciascuna delle quattro connessioni, il percorso che Oracle deve conoscere è l'indirizzo IP PAT per il dispositivo CPE specifico. Oracle viene a conoscenza dell'instradamento dell'indirizzo IP PAT per ogni tunnel tramite BGP (se i tunnel utilizzano BGP) o perché l'indirizzo pertinente viene impostato come instradamento statico per la connessione IPSec (se i tunnel utilizzano l'instradamento statico).
Quando imposti le regole di instradamento per la VCN, specifichi una regola per ogni indirizzo IP PAT (o un CIDR aggregato che le copre tutte) con il DRG come destinazione della regola.
| CIDR di destinazione | Destinazione instradamento |
|---|---|
| PAT IP 1 | DRG |
| PAT IP 2 | DRG |
| PAT IP 3 | DRG |
| PAT IP 4 | DRG |
Operazioni successive
Vedere gli argomenti e le procedure correlati riportati di seguito.
- Procedura guidata VPN da sito a sito
- Configurazione CPE
- Dispositivi CPE verificati
- Uso dell'applicazione di supporto per la configurazione CPE
- Passaggio dall'instradamento statico all'instradamento dinamico BGP
- Utilizzo della VPN da sito a sito
- Domande frequenti sulla VPN da sito a sito
- Metriche VPN da sito a sito
- Risoluzione dei problemi della VPN da sito a sito