Nota:

Utilizzare il servizio VPN da sito a sito di Oracle Cloud Infrastructure in modalità HA con instradamento ECMP da Linux e Libreswan

Introduzione

Nel mondo interconnesso di oggi, è fondamentale garantire la disponibilità e la sicurezza dei dati trasmessi tra le reti. Per soddisfare questa esigenza fondamentale, Oracle Cloud offre efficaci funzionalità di networking, inclusa la possibilità di creare tunnel IPSec ad alta disponibilità. Questa esercitazione descrive il concetto di tunnel IPSec ad alta disponibilità e ti guiderà nel processo di impostazione di un'architettura di rete resiliente in Oracle Cloud mediante il protocollo ECMP (Equaal-cost Multi-path).

In questa esercitazione ci concentreremo sull'utilizzo di Oracle Linux, un sistema operativo potente e sicuro ottimizzato per gli ambienti Oracle Cloud, insieme a Libreswan, un client IPSec ben consolidato, per stabilire tunnel IPSec in modalità route-based. Sfrutteremo la funzionalità del gateway di instradamento dinamico (DRG) fornita da Oracle Cloud Infrastructure (OCI) per consentire failover e bilanciamento del carico trasparenti tra più tunnel IPSec.

Obiettivi

Fornire una guida completa per l'implementazione di tunnel IPSec in OCI utilizzando il protocollo di instradamento ECMP per il traffico di bilanciamento del carico lungoli nello scenario attivo/attivo.

Seguendo questa esercitazione, si avrà una conoscenza completa di IPSec in OCI. Potrai acquisire le competenze necessarie per interconnettere in modo efficace l'infrastruttura on premise con OCI tramite una connessione ridondante.

Prerequisiti

Nota: si consiglia di impostare un ambiente di test in OCI per provare le configurazioni di rete e IPSec prima di implementarle in un ambiente di produzione.

Che cos'è IPSec VPN

La sicurezza del protocollo Internet (IPSec) è una struttura di standard aperti che consente di garantire comunicazioni private e sicure su reti IP (Internet Protocol) utilizzando servizi di sicurezza crittografica. IPSec supporta l'integrità dei dati a livello di rete, la riservatezza dei dati, l'autenticazione dell'origine dei dati e la protezione della replica. Poiché IPSec è integrato a livello Internet (layer 3), garantisce la sicurezza per quasi tutti i protocolli nella suite TCP/IP e poiché IPSec è applicato in modo trasparente alle applicazioni, non è necessario configurare la sicurezza separata per ciascuna applicazione che utilizza TCP/IP.

IPSec aiuta a fornire una difesa approfondita contro gli attacchi basati sulla rete da computer non sicuri, attacchi che possono provocare la negazione del servizio di applicazioni, servizi o rete.

VPN da sito a sito

Una VPN IPSec (Internet Protocol Security) site-to-site, nota anche come VPN da rete a rete, stabilisce una connessione sicura e cifrata tra due o più reti tramite Internet. Consente la trasmissione sicura di dati tra siti distribuiti in varie aree geografiche, creando una rete privata virtuale (VPN) che estende la portata della rete oltre i suoi confini fisici.

In una rete IPSec VPN site-to-site, le reti partecipanti, solitamente appartenenti a organizzazioni diverse o rami remoti della stessa organizzazione, sono connesse tramite tunnel IPSec dedicati. Questi tunnel incapsulano e cifra il traffico di rete, garantendo la riservatezza, l'integrità e l'autenticità mentre attraversano reti non sicure, come Internet.

D'altra parte, una VPN point-to-site (P2S) stabilisce una connessione sicura tra i singoli dispositivi client e una rete remota. A differenza delle VPN site-to-site, che connettono le reti, le VPN P2S consentono l'accesso remoto sicuro per i singoli dispositivi per accedere alle risorse di rete. Le VPN P2S vengono in genere utilizzate per consentire l'accesso sicuro a dipendenti remoti, collaboratori esterni o utenti mobili che devono connettersi alla rete dell'organizzazione da sedi esterne.

Nota: questo ambito di esercitazione è limitato a IPSec VPN da sito a sito che è attualmente l'unico supportato in OCI DRGv2.

Concetti sui tunnel VPN IPSec

IPSec indica Internet Protocol Security o IP Security. IPSec è una suite di protocolli che cifra l'intero traffico IP prima che i pacchetti vengano trasferiti dal nodo di origine alla destinazione. IPSec può essere configurato in due modalità:

I tunnel site-to-site IPSec VPN offrono i seguenti vantaggi:

Nota: la VPN da sito a sito OCI supporta solo la modalità tunnel, pertanto sarà l'unica modalità disponibile in OCI.

Architettura

Architettura

OCI IPSec con ECMP è costituito da liste che includono:

Task 1: Configura impostazioni OCI

Per questa esercitazione, abbiamo creato un'istanza VM Oracle Linux 7 e installato Libreswan 3.25 su di essa. Per installare Libreswan in Linux, è possibile seguire la seguente documentazione Oracle: Accesso ad altri cloud con Libreswan. È possibile installare Libreswan nell'ambiente desiderato. Per questa esercitazione, abbiamo scelto un'altra area remota in OCI come client Libreswan e responsabile avvio del tunnel.

Dopo aver installato Libreswan (senza aver ancora configurato), prendere nota dell'IP pubblico della VM Linux 7 nonché dell'intervallo CIDRIPv4 CIDR IPv4 privato in cui è stato installato Libreswan.

Configurare le impostazioni OCI

Task 2: configurazione delle impostazioni Linux e Libreswan

Questa parte dell'esercitazione sarà incentrata sui passi di configurazione del sistema operativo Linux e di Libreswan. Il Libreswan installato in precedenza fungerà da responsabile avvio del tunnel da sito a sito e da DRG OCI come rispondente del tunnel.

Task 3: configurazione dell'instradamento IP e del traffico tunnel

Questa parte dell'esercitazione si concentrerà sull'instradamento IP e sul traffico tunnel.

Task 4: configurazione del bilanciamento del carico e della ridondanza ECMP

Questa parte dell'esercitazione si concentrerà sul bilanciamento del carico e sulla ridondanza ECMP.

Approvazioni

Autori - Luis Catalán Hernández (Esperto di rete cloud OCI e Multi Cloud), Antonio Gamir (Esperto di rete cloud OCI)

Altre risorse di apprendimento

Esplora altri laboratori su docs.oracle.com/learn o accedi a contenuti di formazione gratuiti sul canale YouTube di Oracle Learning. Inoltre, visitare education.oracle.com/learning-explorer per diventare Explorer di Oracle Learning.

Per la documentazione sul prodotto, visitare il sito Oracle Help Center.