Documentação do Oracle Cloud Infrastructure

Configuração do CPE

Este tópico destina-se a engenheiros de rede. Ele explica como configurar o dispositivo local (o equipamento local do cliente, ou CPE) na extremidade local da VPN Site a Site para que o tráfego possa fluir entre uma rede local e uma VCN (Virtual Cloud Network). Consulte os seguintes tópicos relacionados:

A figura abaixo mostra o layout básico da conexão IPSec da VPN Site a Site usando a internet. IPSec em FastConnect é semelhante, mas o tráfego só atravessa um circuito virtual privado.

Esta imagem resume o layout geral dos túneis e da conexão IPSec.

Requisitos e Pré-requisitos

Estes são os requisitos e pré-requisitos a serem observados antes de avançar.

Considerações sobre Roteamento

Para obter detalhes importantes sobre roteamento da VPN entre Sites, consulte Roteamento da VPN entre Sites.

A Oracle usa roteamento assimétrico em diversos túneis que compõem a conexão IPSec. Mesmo que você configure um túnel como principal e outro como backup, o tráfego de uma VCN para uma rede on-premises pode usar qualquer túnel que esteja "ativo" em um dispositivo. Configure firewalls conforme apropriado. Caso contrário, os testes de ping ou o tráfego de aplicativos na conexão não funcionarão de forma confiável.

Se você usar roteamento dinâmico de BGP com VPN de Site a Site, poderá configurar um roteamento para que a Oracle prefira um túnel do outro

Para usar IPSec em FastConnect, você não pode atualizar um objeto CPE para adicionar essa funcionalidade. Em vez disso, o suporte deve ser estabelecido na configuração inicial do CPE. Você também não pode ter os túneis IPSec e os circuitos virtuais para essa conexão usando as mesmas tabelas de roteamento do DRG.

Observe que a configuração baseada em política do Cisco ASA usa um túnel único.

Criação de Componentes de uma Rede na Nuvem

Você ou alguém na sua organização já deve ter usado a Console do Oracle para criar uma VCN e uma conexão IPSec, que consiste em dois ou mais túneis IPSec para redundância. Você deve reunir as seguintes informações sobre esses componentes:

  • OCID da VCN: o OCID da VCN é um identificador exclusivo do Oracle Cloud Infrastructure que contém um UUID. Você pode usar esse UUID ou qualquer outra string que o ajude a identificar essa VCN na configuração do dispositivo e que não entre em conflito com outros nomes de grupos de objetos ou de listas de acesso.
  • CIDR da VCN
  • Máscara de sub-rede do CIDR da VCN

  • Para cada túnel IPSec:

    • O endereço IP do ponto final do túnel Oracle IPSec (o headend da VPN)
    • O segredo compartilhado

Informações sobre o Dispositivo CPE Local

Também é necessário obter algumas informações básicas sobre as interfaces internas e externos do CPE (dispositivo local). Para obter uma lista das informações necessárias para um CPE específico, consulte os links desta lista: Dispositivos CPE Verificado.

Por padrão, o NAT-T é ativado em todos os túneis IPSec da VPN Site a Local. Recomendamos deixar a NAT-T ativada ao configurar a VPN Site a Site para o OCI.

Se o CPE estiver atrás de um dispositivo NAT, você poderá fornecer ao Oracle o identificador IKE do CPE. Para obter mais informações, consulte Visão Geral dos Componentes da VPN Site a Site.

Um único IP público do objeto CPE pode ter até 8 conexões IPSec.

Baseado em Rota Comparado ao IPSec Baseado em Política

Os head-ends da Oracle VPN usam túneis baseados em rota, mas podem funcionar com túneis baseados em política, com algumas limitações. Consulte Domínios de criptografia para túneis baseados em política para obter detalhes completos.

Melhores Práticas da VPN Site a Site

  • Configure todos os túneis para cada conexão IPSec: A Oracle implementa vários headends IPSec de modo a fornecer alta disponibilidade para cargas de Trabalho de missão crítica. A configuração de todos os túneis disponíveis é uma parte principal da filosofia "Design para Falhas". (Exceção: Configuração baseada em política do Cisco ASA, que usa um túnel único.)
  • Ter CPEs redundantes em locais on-premises: Recomendamos que cada site que se conecta com o IPSec ao Oracle Cloud Infrastructure tenha dispositivos CPE redundantes. Você adiciona cada CPE à Console do Oracle Cloud Infrastructure e cria uma conexão IPSec separada entre um Gateway de Roteamento Dinâmico (DRG) e cada CPE, Para cada conexão IPSec, o sistema Oracle provisiona dois túneis em headends IPSec redundantes geograficamente. A Oracle pode usar qualquer túnel que esteja "ativo" para enviar o tráfego de volta para uma rede local. Para obter mais informações, consulte Roteamento da VPN Site a Site.

  • Considere rotas agregadas de backup: Se você tiver vários sites conectados por meio da VPN Site a Site para o Oracle Cloud Infrastructure, e esses sites estiverem conectados a roteadores backbone locais, considere configurar as rotas de conexão IPSec com a rota agregada do site local e uma rota padrão.

    Observe que as rotas do DRG aprendidas nas conexões IPSec só são usadas pelo tráfego que você roteia de uma VCN para o DRG. A rota padrão só é usada pelo tráfego enviado ao DRG cujo endereço IP de destino é diferente das rotas mais específicas de qualquer um dos túneis.

Confirmando o Status da Conexão

Depois de configurar a conexão IPSec, você poderá testar a conexão criando uma instância do serviço Compute na VCN e, em seguida, fazendo ping dela em uma rede local. Para obter informações sobre como criar uma instância do serviço Compute, consulte Iniciando uma Instância. Para fazer solicitações de ping para a instância, as regras de segurança da VCN devem permitir tráfego de ping.

Você pode obter o status dos túneis IPSec na API ou no Console. Para obter instruções, consulte Obtendo Detalhes de um Túnel IPSec.

Configurações do Dispositivo

Para obter links referentes às informações de configuração específicas de cada dispositivo CPE verificado, consulte Dispositivos CPE Verificados.