Documentação do Oracle Cloud Infrastructure

Criando uma Conexão IPSec

O serviço de VPN Site a Site permite criar uma conexão IPSec contendo túneis IPSec que conectam com segurança o Oracle Cloud Infrastructure a uma rede on-premises.

Antes de criar uma conexão IPSec para VPN Site a Site, revise Configurando a VPN Site a Site e planeje a VPN Site a Site. Além disso, verifique Working with Site-to-Site VPN.

  • Especifique as Informações de Conexão IPSec

    Esta seção descreve informações básicas para a conexão IPSec. As seções a seguir abrangem detalhes que dependem de quais dos três tipos de roteamento você seleciona para esse túnel.

    Você pode pensar em um "objeto de conexão IPSec" como algo que contém seus próprios metadados e as informações de configuração dos túneis IPSec que ele contém.

    1. Na página de lista VPN Site a Site, selecione Criar conexão IPSec. Se precisar de ajuda para localizar a página da lista, consulte Listando Conexões IPSec.
    2. Informe um nome descritivo para a conexão IPSec. Esse nome não precisa ser exclusivo e você pode alterá-lo posteriormente. Evite digitar informações confidenciais.
    3. Selecione um compartimento para a conexão IPSec. O padrão é o compartimento usado mais recentemente e provavelmente será o mesmo compartimento da VCN que contém os recursos que você deseja disponibilizar para a rede on-premises.
    4. Selecione o compartimento que contém o objeto CPE a ser associado à conexão IPSec e, em seguida, selecione o objeto CPE.
      Se você estiver configurando IPSec em FastConnect, o CPE selecionado deverá ter um label confirmando que IPSec em FastConnect está ativado para esse CPE. O roteamento BGP é preferencial para conexões que usam IPSec em vez de FastConnect.
    5. Se o CPE estiver atrás de um dispositivo NAT, marque a caixa de seleção apropriada.

      Se a caixa de seleção estiver marcada, forneça as seguintes informações:

      • Tipo de Identificador IKE de CPE: Selecione o tipo de identificador que o IKA (Internet key exchange) usa para identificar o dispositivo CPE. Um FQDN ou um endereço IPv4 pode ser um identificador.
      • Identificador CPE IKE: Especifique as informações que IKE usa para identificar o dispositivo CPE. O sistema Oracle utiliza o endereço IP público do CPE como padrão. Se o CPE estiver atrás de um dispositivo NAT, talvez você precise digitar outro valor. Você pode informar o novo valor aqui ou pode alterar o valor posteriormente.
    6. Selecione o compartimento que contém o DRG a ser associado à conexão IPSec e selecione o DRG. Esse DRG já deve estar anexado à VCN que você deseja disponibilizar para uma rede local.
    7. (Opcional) Se você pretende usar o roteamento estático para qualquer um dos túneis, informe pelo menos uma rota no campo Rotas para a sua Rede local. Caso contrário, ignore esta opção.
      Você pode digitar até 10 rotas estáticas e poderá alterar as rotas estáticas posteriormente. As rotas correspondem aos CIDRs da VCN com os quais você deseja que a rede local se conecte.

    Em seguida, configure os dois túneis IPSec. Se o dispositivo CPE real suportar apenas um único túnel IPSec por conexão, a configuração do túnel 2 será opcional. Como você configura os túneis depende do método de roteamento que você planejou usar, então selecione a seção correspondente.

    Configurar um Túnel para Roteamento BGP

    Configurar um Túnel para Roteamento BGP

    Insira as seguintes informações na seção apropriada para o túnel 1 e o túnel 2.

    1. Informe um nome descritivo para o túnel. Esse nome não precisa ser exclusivo e você pode alterá-lo posteriormente. Evite digitar informações confidenciais.
    2. (Opcional) Marque a caixa de seleção e informe um segredo compartilhado personalizado.
      Por padrão, a Oracle fornece o segredo compartilhado do túnel. Para fornecê-lo você mesmo, marque essa caixa de seleção e informe o segredo compartilhado. Você pode alterar o segredo compartilhado posteriormente.
    3. Selecione a versão IKE (Internet Key Exchange) a ser usada para este túnel. Selecione apenas IKEv2 se o CPE oferecer suporte a ele. Depois disso, você deve configurar o CPE para usar apenas o IKEv2 para esse túnel.
    4. Selecione Roteamento dinâmico BGP como o tipo de roteamento.
    5. Se o CPE selecionado anteriormente suportar IPSec por meio de FastConnect, as seguintes definições serão necessárias:
      • IP do headend do túnel Oracle: Informe o endereço IP do ponto final do túnel IPSec da Oracle (o headend da VPN). O sistema Oracle anuncia o IP da VPN como uma rota de host /32 usando a sessão BGP FastConnect. Se algum endereço se sobrepor a uma rota de VCN, isso terá precedência por causa da correspondência de prefixo mais longa.
      • Circuito virtual associado: Selecione um circuito virtual que foi ativado para IPSec em FastConnect quando ele foi criado. O túnel é mapeado para o circuito virtual escolhido e o IP de headend definido só pode ser acessado on-premises por meio do circuito virtual associado.
      • Tabela de roteamento DRG: Selecione ou crie uma tabela DRG de roteamento. Para evitar problemas com roteamento recursivo, o anexo de circuito virtual e o anexo de túnel IPSec usado para IPSec em FastConnect devem usar diferentes tabelas de roteamento do DRG.
    6. Informe o ASN do BGP da rede local.
    7. Digite o endereço IPv4 BGP com máscara de sub-rede ( /30 ou /31) para a extremidade CPE do túnel (o IPv4 dentro da interface do túnel - CPE). Por exemplo: 10.0.0.16/31. O endereço IP deve ser parte do domínio de criptografia da VPN Site a Site.
    8. Digite o endereço BGP IPv4 com máscara de sub-rede ( /30 ou /31) para a extremidade Oracle do túnel (o IPv4 dentro da interface do túnel - Oracle). Por exemplo: 10.0.0.17/31. O endereço IP deve ser parte do domínio de criptografia da VPN Site a Site.
    9. (Opcional) Se você planeja usar IPv6 e IPv4, selecione Ativar IPv6 e informe os seguintes detalhes:
      • IPv6 Dentro da Interface de Túnel - CPE: Informe o endereço IPv6 do BGP com máscara da sub-rede (/126) para a extremidade CPE do túnel. Por exemplo: 2001:db2::6/126. O endereço IP deve ser parte do domínio de criptografia da VPN Site a Site.
      • IPv6 Dentro da Interface do Túnel - Oracle: Informe o endereço IP BGP com máscara da sub-rede (/126) para a extremidade Oracle do túnel. Por exemplo: 2001:db2::7/126. O endereço IP deve ser parte do domínio de criptografia da VPN Site a Site.
    10. (Opcional) Se você selecionar Mostrar Opções Avançadas, poderá alterar as seguintes definições do túnel:
      • Iniciação do Oracle IKE: Essa definição indica se a extremidade Oracle da conexão IPSec pode inicializar o túnel IPSec. O padrão é Iniciador ou Respondedor. Você também pode decidir definir a extremidade Oracle como um respondedor apenas, o que exigiria o dispositivo CPE para iniciar o túnel IPSec. Recomendamos deixar essa opção na definição padrão.
      • NAT-T Ativado: Essa definição indica se o dispositivo CPE está atrás de um dispositivo NAT. O padrão é Automático. As outras opções são Desativado e Ativado. Recomendamos deixar essa opção na definição padrão.
      • Ativar Timeout de Detecção de Pares Inativos: Quando você seleciona esta opção, pode verificar periodicamente a estabilidade da conexão com o CPE e detectar que o CPE ficou inativo. Se você selecionar essa opção, também poderá selecionar o intervalo mais longo entre as mensagens de integridade do dispositivo CPE antes que a conexão IPSec indique que perdeu o contato com o CPE. O padrão é 20 segundos. Recomendamos deixar essa opção na definição padrão.
    11. (Opcional) Se você expandir a seção Configuração da Primeira Fase (ISAKMP) e selecionar Definir opções personalizadas, poderá definir as seguintes definições opcionais (você deve selecionar uma de cada opção):
      • Algoritmos de Criptografia Personalizadas: Você pode selecionar entre as opções fornecidas no menu pull-down.
      • Algoritmos de Autenticação Personalizados: Você pode selecionar entre as opções fornecidas no menu pull-down.
      • Grupos Difie-Hellman: Você pode selecionar entre as opções fornecidas no menu pull-down.

      Se a caixa de seleção Definir configurações personalizadas não estiver marcada, as configurações padrão serão propostas. Você ainda pode selecionar a Vida Útil da Chave de Sessão IKE em Segundos. O padrão é 28800, que é igual a 8 horas.

      Para entender essas opções com mais detalhes, incluindo as propostas padrão, consulte Parâmetros IPSec Suportados.

    12. Se você expandir as opções de Configuração da Segunda Fase (IPSec) e selecionar Definir opções personalizadas, poderá definir as seguintes definições opcionais para o túnel (você deve selecionar um algoritmo de criptografia):
      • Algoritmos de Criptografia Personalizadas: Você pode selecionar entre as opções fornecidas no menu pull-down. Se você selecionar um algoritmo de criptografia AES-CBC, também deverá selecionar um algoritmo de autenticação.
      • Algoritmos de Autenticação Personalizados: Você pode selecionar entre as opções fornecidas no menu pull-down. O algoritmo de criptografia escolhido pode ter autenticação incorporada. Nesse caso, nenhuma opção selecionável está disponível.

      Se a caixa de seleção Definir configurações personalizadas não estiver marcada, as configurações padrão serão propostas. Você ainda pode alterar as seguintes configurações:

      • IPSec Vida Útil da Chave de Sessão em Segundos: O padrão é 3600, que é igual a 1 hora.
      • Ativar Segurança de Encaminhamento Perfeito: Por padrão, essa opção está ativada. Ele permite selecionar o Grupo Diffie-Hellman de Segredo a Termo Perfeito. Você pode selecionar entre as opções fornecidas no menu pull-down. Se você não fizer uma seleção, o GROUP5 será proposto.

      Para todas as opções da Fase Dois, selecionar uma única opção substitui o conjunto padrão e é a única opção proposta para o dispositivo CPE.

    13. Para Túnel 2, você pode usar as mesmas opções descritas para O Túnel 1. Você também pode selecionar diferentes opções ou decidir deixar o túnel desconfigurado porque o dispositivo CPE só suporta um único túnel.
    14. Quando terminar, selecione Criar Conexão IPSec.
    15. Copie o endereço IP e segredo compartilhado da VPN Oracle de cada túneis para um email ou outro local para que você possa entregá-lo ao engenheiro da rede que configura a unidade CPE.

      Você pode verificar essas informações sobre o túnel na Console a qualquer momento.

    A conexão IPSec é criada e exibida na página. Ela permanece no estado Provisionamento por um período curto.

    As informações exibidas sobre o túnel incluem:

    • O endereço IPv4 ou IPv6 da Oracle VPN (para o head-end da Oracle VPN).
    • O status do IPSec do túnel (os valores possíveis são Ativo, Inativo e Indisponível para Manutenção). Nesse ponto, o status é Inativo. O engenheiro de rede deve configurar os dispositivos CPE antes que o túnel ou os túneis possam ser estabelecidos.
    • O status do BGP do túnel. Nesse ponto, o status é Inativo. O engenheiro de rede deve configurar o dispositivo CPE.

    Para exibir o segredo compartilhado do túnel, selecione o túnel para exibir seus detalhes e, em seguida, selecione Mostrar ao lado do Segredo Compartilhado.

    Você também pode selecionar a guia Detalhes da Etapa para ver os detalhes da Primeira Fase (ISAKMP) e da Segunda Fase (IPSec) do túnel.

    Até agora, você criou todos os componentes necessários para a VPN Site a Site. Em seguida, o engenheiro de rede local deve configurar o dispositivo CPE para que o tráfego de rede possa fluir entre a rede local e uma VCN.

    Para obter mais informações, consulte Configuração do CPE.

    Configurar um Túnel para Roteamento Estático

    Configurar um Túnel para Roteamento Estático

    Observação

    Recomendamos que você use conexões IPSec baseadas em rota BGP para IPSec em FastConnect.

    Insira as seguintes informações na seção apropriada para o túnel 1 e o túnel 2.

    1. Informe um nome descritivo para o túnel. Esse nome não precisa ser exclusivo e você pode alterá-lo posteriormente. Evite inserir informações confidenciais.
    2. (Opcional) Marque a caixa de seleção e informe um segredo compartilhado personalizado.
      Por padrão, a Oracle fornece o segredo compartilhado do túnel. Para fornecê-lo você mesmo, marque essa caixa de seleção e informe o segredo compartilhado. Você pode alterar o segredo compartilhado posteriormente.
    3. Selecione a versão IKE (Internet Key Exchange) a ser usada para esse túnel. Selecione apenas IKEv2 se o CPE oferecer suporte a ele. Depois disso, você deve configurar o CPE para usar apenas o IKEv2 para esse túnel.
    4. Selecione Roteamento estático como o tipo de roteamento.
    5. Digite o endereço IPv4 BGP com máscara de sub-rede ( /30 ou /31) para a extremidade CPE do túnel (o IPv4 dentro da interface do túnel - CPE). Por exemplo: 10.0.0.16/31. O endereço IP deve ser parte do domínio de criptografia da VPN Site a Site.
    6. Digite o endereço BGP IPv4 com máscara de sub-rede ( /30 ou /31) para a extremidade Oracle do túnel (o IPv4 dentro da interface do túnel - Oracle). Por exemplo: 10.0.0.17/31. O endereço IP deve ser parte do domínio de criptografia da VPN Site a Site.
    7. (Opcional) Se você planeja usar IPv6 e IPv4, selecione Ativar IPv6 e informe os seguintes detalhes:
      • IPv6 Dentro da Interface de Túnel - CPE: Informe o endereço IPv6 do BGP com máscara da sub-rede (/126) para a extremidade CPE do túnel. Por exemplo: 2001:db2::6/126. O endereço IP deve ser parte do domínio de criptografia da VPN Site a Site.
      • IPv6 Dentro da Interface do Túnel - Oracle: Informe o endereço IP BGP com máscara da sub-rede (/126) para a extremidade Oracle do túnel. Por exemplo: 2001:db2::7/126. O endereço IP deve ser parte do domínio de criptografia da VPN Site a Site.
    8. (Opcional) Se você selecionar Mostrar Opções Avançadas, poderá alterar as seguintes definições do túnel:
      • Iniciação do Oracle IKE: Essa definição indica se a extremidade Oracle da conexão IPSec pode inicializar o túnel IPSec. O padrão é Iniciador ou Respondedor. Você também pode decidir definir a extremidade Oracle como um respondedor apenas, o que exigiria o dispositivo CPE para iniciar o túnel IPSec. Recomendamos deixar essa opção na definição padrão.
      • NAT-T Ativado: Essa definição indica se o dispositivo CPE está atrás de um dispositivo NAT. O padrão é Automático. As outras opções são Desativado e Ativado. Recomendamos deixar essa opção na definição padrão.
      • Ativar Timeout de Detecção de Pares Inativos: Quando você seleciona esta opção, pode verificar periodicamente a estabilidade da conexão com o CPE e detectar que o CPE ficou inativo. Se você selecionar essa opção, também poderá selecionar o intervalo mais longo entre as mensagens de integridade do dispositivo CPE antes que a conexão IPSec indique que perdeu o contato com o CPE. O padrão é 20 segundos. Recomendamos deixar essa opção na definição padrão.
    9. (Opcional) Se você expandir a seção Configuração da Primeira Fase (ISAKMP) e selecionar Definir opções personalizadas, poderá definir as seguintes definições opcionais (você deve selecionar uma de cada opção):
      • Algoritmos de Criptografia Personalizadas: Você pode selecionar entre as opções fornecidas no menu pull-down.
      • Algoritmos de Autenticação Personalizados: Você pode selecionar entre as opções fornecidas no menu pull-down.
      • Grupos Difie-Hellman: Você pode selecionar entre as opções fornecidas no menu pull-down.

      Se a caixa de seleção Definir configurações personalizadas não estiver marcada, as configurações padrão serão propostas. Você ainda pode selecionar a Vida Útil da Chave de Sessão IKE em Segundos. O padrão é 28800, que é igual a 8 horas.

      Para entender essas opções com mais detalhes, incluindo as propostas padrão, consulte Parâmetros IPSec Suportados.

    10. Se você expandir as opções de Configuração da Segunda Fase (IPSec) e selecionar Definir opções personalizadas, poderá definir as seguintes definições opcionais para o túnel (você deve selecionar um algoritmo de criptografia):
      • Algoritmos de Criptografia Personalizadas: Você pode selecionar entre as opções fornecidas no menu pull-down. Se você selecionar um algoritmo de criptografia AES-CBC, também deverá selecionar um algoritmo de autenticação.
      • Algoritmos de Autenticação Personalizados: Você pode selecionar entre as opções fornecidas no menu pull-down. O algoritmo de criptografia escolhido pode ter autenticação incorporada. Nesse caso, nenhuma opção selecionável está disponível.

      Se a caixa de seleção Definir configurações personalizadas não estiver marcada, as configurações padrão serão propostas. Você ainda pode alterar as seguintes configurações:

      • IPSec Vida Útil da Chave de Sessão em Segundos: O padrão é 3600, que é igual a 1 hora.
      • Ativar Segurança de Encaminhamento Perfeito: Por padrão, essa opção está ativada. Ele permite selecionar o Grupo Diffie-Hellman de Segredo a Termo Perfeito. Você pode selecionar entre as opções fornecidas no menu pull-down. Se você não fizer uma seleção, o GROUP5 será proposto.

      Para todas as opções da Fase Dois, selecionar uma única opção substitui o conjunto padrão e é a única opção proposta para o dispositivo CPE.

    11. Para Túnel 2, você pode usar as mesmas opções descritas para O Túnel 1. Você também pode selecionar diferentes opções ou decidir deixar o túnel desconfigurado porque o dispositivo CPE só suporta um único túnel.
    12. Quando terminar, selecione Criar Conexão IPSec.
    13. Copie o endereço IP e segredo compartilhado da VPN Oracle de cada túneis para um email ou outro local para que você possa entregá-lo ao engenheiro da rede que configura a unidade CPE.

      Você pode verificar essas informações sobre o túnel na Console a qualquer momento.

    A conexão IPSec é criada e exibida na página. Ela permanece no estado Provisionamento por um período curto.

    As informações exibidas sobre o túnel incluem:

    • O endereço IP da Oracle VPN (para o headend da Oracle VPN).
    • O status do IPSec do túnel (os valores possíveis são Ativo, Inativo e Indisponível para Manutenção). Nesse ponto, o status é Inativo. Um engenheiro de rede ainda deve configurar o dispositivo CPE.

    Para exibir o segredo compartilhado do túnel, selecione o túnel para exibir seus detalhes e, em seguida, selecione Mostrar ao lado do Segredo Compartilhado.

    Até agora, você criou todos os componentes necessários para a VPN Site a Site. Em seguida, o engenheiro de rede local deve configurar o dispositivo CPE para que o tráfego de rede possa fluir entre a rede local e uma VCN.

    Para obter mais informações, consulte Configuração do CPE.

    Configurar um Túnel para Roteamento Baseado em Política

    Configurar um Túnel para Roteamento Baseado em Política

    Observação

    Recomendamos que você use conexões IPSec baseadas em rota BGP para IPSec em FastConnect.
    Observação

    A opção do roteamento baseado em políticas não está disponível em todos os ADs e talvez exija a criação de um novo túnel IPSec.

    Insira as seguintes informações na seção apropriada para o túnel 1 e o túnel 2.

    1. Informe um nome descritivo para o túnel. Esse nome não precisa ser exclusivo e você pode alterá-lo posteriormente. Evite inserir informações confidenciais.
    2. (Opcional) Marque a caixa de seleção e informe um segredo compartilhado personalizado.
      Por padrão, a Oracle fornece o segredo compartilhado do túnel. Para fornecê-lo você mesmo, marque essa caixa de seleção e informe o segredo compartilhado. Você pode alterar o segredo compartilhado posteriormente.
    3. Selecione a versão IKE (Internet Key Exchange) a ser usada para esse túnel. Selecione apenas IKEv2 se o CPE oferecer suporte a ele. Depois disso, você deve configurar o CPE para usar apenas o IKEv2 para esse túnel.
    4. Selecione Roteamento baseado em política como o tipo de roteamento.
    5. Na seção Associações, digite as informações nos campos apropriados:
      • Blocos CIDR on-premises: Você pode fornecer vários blocos de prefixo IPv4 CIDR ou IPv6 usados por recursos na rede on-premises, com roteamento decidido pelas políticas de dispositivo CPE.
        Observação

        Consulte Domínios de criptografia para túneis baseados em política para saber as limitações sobre quantos blocos de prefixo IPv4 CIDR ou IPv6 podem ser usados.
      • Blocos CIDR do Oracle Cloud: Você pode fornecer vários blocos de prefixo IPv4 CIDR ou IPv6 usados por recursos em uma VCN.
        Observação

        Consulte Domínios de criptografia para túneis baseados em política para saber as limitações sobre quantos blocos de prefixo IPv4 CIDR ou IPv6 podem ser usados.
    6. (Opcional) Se desejar solucionar problemas ou monitorar, insira informações nos seguintes campos:
      • IPv4 dentro da interface de túnel - CPE: Você pode fornecer um endereço IP com máscara de sub-rede ( /30 ou /31) para a extremidade CPE do túnel. Por exemplo: 10.0.0.16/31.
      • Interface do Túnel Interior - Oracle : Você pode fornecer um endereço IP com máscara de sub-rede ( /30 ou /31) para a ponta Oracle do túnel. Por exemplo: 10.0.0.17/31.

      Esses endereços IP devem ser parte de um dos domínios de criptografia da VPN Site a Site.

    7. (Opcional) Se você selecionar Mostrar Opções Avançadas, poderá alterar as seguintes definições do túnel:
      • Iniciação do Oracle IKE: Essa definição indica se a extremidade Oracle da conexão IPSec pode inicializar o túnel IPSec. O padrão é Iniciador ou Respondedor. Você também pode decidir definir a extremidade Oracle como um respondedor apenas, o que exigiria o dispositivo CPE para iniciar o túnel IPSec. Recomendamos deixar essa opção na definição padrão.
      • NAT-T Ativado: Essa definição indica se o dispositivo CPE está atrás de um dispositivo NAT. O padrão é Automático. As outras opções são Desativado e Ativado. Recomendamos deixar essa opção na definição padrão.
      • Ativar Timeout de Detecção de Pares Inativos: Quando você seleciona esta opção, pode verificar periodicamente a estabilidade da conexão com o CPE e detectar que o CPE ficou inativo. Se você selecionar essa opção, também poderá selecionar o intervalo mais longo entre as mensagens de integridade do dispositivo CPE antes que a conexão IPSec indique que perdeu o contato com o CPE. O padrão é 20 segundos. Recomendamos deixar essa opção na definição padrão.
    8. (Opcional) Se você expandir a seção Configuração da Primeira Fase (ISAKMP) e selecionar Definir opções personalizadas, poderá definir as seguintes definições opcionais (você deve selecionar uma de cada opção):
      • Algoritmos de Criptografia Personalizadas: Você pode selecionar entre as opções fornecidas no menu pull-down.
      • Algoritmos de Autenticação Personalizados: Você pode selecionar entre as opções fornecidas no menu pull-down.
      • Grupos Difie-Hellman: Você pode selecionar entre as opções fornecidas no menu pull-down.

      Se a caixa de seleção Definir configurações personalizadas não estiver marcada, as configurações padrão serão propostas. Você ainda pode selecionar a Vida Útil da Chave de Sessão IKE em Segundos. O padrão é 28800, que é igual a 8 horas.

      Para entender essas opções com mais detalhes, incluindo as propostas padrão, consulte Parâmetros IPSec Suportados.

    9. Se você expandir as opções de Configuração da Segunda Fase (IPSec) e selecionar Definir opções personalizadas, poderá definir as seguintes definições opcionais para o túnel (você deve selecionar um algoritmo de criptografia):
      • Algoritmos de Criptografia Personalizadas: Você pode selecionar entre as opções fornecidas no menu pull-down. Se você selecionar um algoritmo de criptografia AES-CBC, também deverá selecionar um algoritmo de autenticação.
      • Algoritmos de Autenticação Personalizados: Você pode selecionar entre as opções fornecidas no menu pull-down. O algoritmo de criptografia escolhido pode ter autenticação incorporada. Nesse caso, nenhuma opção selecionável está disponível.

      Se a caixa de seleção Definir configurações personalizadas não estiver marcada, as configurações padrão serão propostas. Você ainda pode alterar as seguintes configurações:

      • IPSec Vida Útil da Chave de Sessão em Segundos: O padrão é 3600, que é igual a 1 hora.
      • Ativar Segurança de Encaminhamento Perfeito: Por padrão, essa opção está ativada. Ele permite selecionar o Grupo Diffie-Hellman de Segredo a Termo Perfeito. Você pode selecionar entre as opções fornecidas no menu pull-down. Se você não fizer uma seleção, o GROUP5 será proposto.

      Para todas as opções da Fase Dois, selecionar uma única opção substitui o conjunto padrão e é a única opção proposta para o dispositivo CPE.

    10. Para Túnel 2, você pode usar as mesmas opções descritas para O Túnel 1. Você também pode selecionar diferentes opções ou decidir deixar o túnel desconfigurado porque o dispositivo CPE só suporta um único túnel.
    11. Quando terminar, selecione Criar Conexão IPSec.
    12. Copie o endereço IP e segredo compartilhado da VPN Oracle de cada túneis para um email ou outro local para que você possa entregá-lo ao engenheiro da rede que configura a unidade CPE.

      Você pode verificar essas informações sobre o túnel na Console a qualquer momento.

    A conexão IPSec é criada e exibida na página. Ela permanece no estado Provisionamento por um período curto.

    As informações exibidas sobre o túnel incluem:

    • O endereço IP da Oracle VPN (para o headend da Oracle VPN).
    • O status do IPSec do túnel (os valores possíveis são Ativo, Inativo e Indisponível para Manutenção). Nesse ponto, o status é Inativo. O engenheiro de rede deve configurar o dispositivo CPE para que o status possa ser alterado.

    Para exibir o segredo compartilhado do túnel, selecione o túnel para exibir seus detalhes e, em seguida, selecione Mostrar ao lado do Segredo Compartilhado.

    Até agora, você criou todos os componentes necessários para a VPN Site a Site. Em seguida, o engenheiro de rede local deve configurar o dispositivo CPE para que o tráfego de rede possa fluir entre a rede local e uma VCN.

    Para obter mais informações, consulte Configuração do CPE.

  • Use o comando network ip-sec-connection create e os parâmetros necessários para criar uma conexão do IPSec:

    oci network ip-sec-connection create --compartment-id compartment-ocid --cpe-id cpe-ocid --drg-id drg-ocid  --static-routes complex type ... [OPTIONS]

    A opção --static-routes só é necessária quando o roteamento estático é usado.

    Para obter uma lista completa de parâmetros e valores para comandos da CLI, consulte a Referência de Comandos da CLI.

  • Execute a operação CreateIPSecConnection para criar uma conexão IPSec.