1. Connecter votre réseau on-premise à l'aide d'un VPN
  2. Connexion sur site à l'aide d'un VPN

Connexion sur site à l'aide d'un VPN

Un réseau cloud virtuel Oracle Cloud Infrastructure (VCN) est une version virtualisée de couche 3 d'un réseau traditionnel qui vous offre le contrôle des adresses IP privées, des sous-réseaux, des routeurs et des pare-feu. Une location unique peut comporter plusieurs réseaux cloud virtuels, séparés ou combinés.

Vous pouvez créer une extension VCN de votre réseau on-premise à l'aide d'une connexion VPN. A cette fin, Oracle Cloud Infrastructure fournit la connexion VPN, qui est un VPN IPSec.

L'utilisation d'un VPN pour étendre votre réseau on-premise offre les avantages suivants :

  • Vous pouvez utiliser des lignes Internet publiques lorsque les lignes spécialisées ne sont pas requises.

  • Les espaces d'adresses IP impliqués sont privés et ne sont pas exposés au monde externe.

  • La communication entre les réseaux est chiffrée.

  • Un VPN site-à-site permet à plusieurs utilisateurs d'accéder aux ressources cloud via une connexion unique au lieu de plusieurs connexions, ce qui réduit le temps système de gestion.

Architecture

Cette architecture de référence indique comment configurer VPC Connect pour connecter votre réseau on-premise et VCN.

Le diagramme suivant illustre cette architecture.

Description de vpn-redundancy.eps
Description de l'illustration vpn-redundancy.eps
Cette architecture comporte les composants suivants :
  • Réseau on-premise

    Le réseau local utilisé par votre organisation.

  • VCN

    Réseau privé virtuel que vous configurez dans les centres de données Oracle.

  • Sous-réseaux

    Subdivisions que vous définissez dans un système VCN. Un sous-réseau dispose d'une plage contiguë d'adresses IP qui ne se chevauchent pas avec les autres sous-réseaux de VCN.

  • Listes de sécurité

    Règles de sécurité spécifiant la source, la destination et le type de trafic autorisés (entrée et sortie d'un sous-réseau).

  • Tables de routage

    Règles de routage qui permettent le mappage du trafic sortant de VCN.

  • Passerelle de routage dynamique (DRG)

    Routeur virtuel que vous pouvez ajouter à VCN pour fournir un chemin pour le trafic de réseau privé entre votre réseau VCN et votre réseau local (routage de transit).

  • Connexion VPN

    Fonction permettant de gérer les connexions VPN IPSec à votre location.

  • CPE (Customer-premises en oeuvre Equipment)

    Objet représentant la ressource réseau qui réside dans le réseau sur site et établit la connexion VPN. La plupart des pare-feu de bordure fonctionnent en tant que CPE, mais un dispositif distinct (comme un appareil ou un serveur) peut être un CPE.

  • IPv4 et IPv6

    Modèles d'adresse utilisés pour les réseaux. IPv6 est pris en charge uniquement dans US Government Cloud.

  • Sécurité de protocole Internet (IPSec)

    Suite de protocoles qui chiffre le trafic IP avant que les paquets soient transférés de la source vers la destination.

  • Tunnel

    Chaque connexion entre le CPE et Oracle Cloud Infrastructure.

  • Routage BGP (Border Gateway Protocol)

    Permet d'analyser dynamiquement les acheminements. DRG identifie dynamiquement les routes de votre réseau on-premise. Côté Oracle, DRG utilise les sous-réseaux de VCN.

  • Routage statique

    Lorsque vous créez une connexion VPN, vous informez les réseaux existants de chaque côté. Les modifications ne sont pas détectées de manière dynamique.

Recommandations

Vos exigences peuvent être différentes de l'architecture décrite ici. Utilisez les recommandations suivantes comme point de départ.

  • VCN

    Lorsque vous créez le VCN, déterminez combien d'adresses IP vos ressources cloud dans chaque sous-réseau requièrent. Avec la notation CIDR (Classless Inter-Domain Routing), indiquez un masque de sous-réseau et une plage d'adresses réseau suffisamment étendue pour les adresses IP requises. Utilisez un espace d'adressage qui est compris dans les blocs d'adresses IP privées standard.

    Choisissez une plage d'adresses qui ne chevauche pas votre réseau on-premise, au cas où vous auriez besoin de configurer une connexion entre VCN et votre réseau on-premise ultérieurement.

    Une fois VCN créé, vous ne pouvez plus modifier la plage d'adresses.

    Lorsque vous concevez les sous-réseaux, prenez en compte les fonctions et exigences de sécurité. Toutes les instances de calcul d'un même niveau ou rôle doivent se trouver dans le même sous-réseau, qui peut être une limite de sécurité.

  • Listes de sécurité

    Utilisez les listes de sécurité pour définir les règles entrantes et sortantes qui s'appliquent à l'ensemble du sous-réseau.

    Dans le CPE, définissez le jeu d'autorisations d'accès approprié. Les droits d'accès peuvent avoir un nom différent dans le CPE, comme la liste d'accès.

  • CPE

    Certaines UC ont des exigences spécifiques pour le fonctionnement de certaines fonctionnalités, comme le routage basé sur des stratégies (sur des pare-feu CheckPoint et Cisco ASA). Assurez-vous que la version logicielle du CPE répond à ces exigences.

Remarques

  • Coût

    Les réseaux cloud virtuels, les sous-réseaux, les groupes dynamiques, les listes de sécurité et les tables de routage n'ont pas de coût supplémentaire. La machine virtuelle de test du déploiement est définie de façon à utiliser la forme du niveau libre. Si vous utilisez les instances de niveau libre, définissez la machine virtuelle de test comme instances de forme régulière.

  • Sécurité

    Par défaut, le port SSH est ouvert sur 0.0.0.0/0 dans la liste de sécurité par défaut. Ajustez la liste de sécurité pour qu'elle corresponde uniquement aux hôtes et aux réseaux qui doivent disposer d'un accès SSH à votre infrastructure.

    Ce déploiement place tous les composants dans le même compartiment.

    Le sous-réseau déployé est public pour autoriser l'accès à l'instance de test à partir d'Internet jusqu'au fonctionnement du VPN. Si les machines virtuelles ne fournissent aucun service public, envisagez de supprimer des ressources ou même l'ensemble du sous-réseau public.

  • Evolutivité

    Chaque location est limitée à cinq DRG.

    Chaque région peut disposer de quatre connexions VPN.

  • Performances

    Chaque connexion peut atteindre 250 Mbps.

    Le débit maximal DRG est de 10 Gbits/s.

    Les connexions VPN utilisant des lignes Internet publiques, les acteurs externes peuvent affecter les performances de ces lignes.

  • Disponibilité et redondance

    Les passerelles de routage dynamique sont redondants et basculent automatiquement.

    Chaque connexion peut avoir plusieurs tunnels.

    Envisagez d'utiliser plusieurs liens Internet à partir de différents fournisseurs sur des environnements de production.

  • Utilisabilité

    Ce déploiement vous donne la liste de tous les composants présentés dans le diagramme. Vous devez informer l'adresse IP publique du CPE.

    La machine virtuelle incluse illustre et teste la connectivité de base.

Informations supplémentaires

Présentation de la connexion VPN