Visão Geral da VPN Site a Site

A VPN Site a Site fornece um conexão IPSec entre uma rede on-premises e uma VCN (Rede Virtual na Nuvem). A suíte de protocolos IPSec criptografa o tráfego IP antes que os pacotes sejam transferidos da origem para o destino e decriptografa o tráfego quando ele chega. A VPN Site a Site era anteriormente chamada de VPN Connect e IPSec VPN.

Outras soluções de VPN seguras incluem o OpenVPN, uma solução de VPN do Cliente que pode ser acessada no Oracle Marketplace. O OpenVPN conecta dispositivos individuais a uma VCN, mas não a sites ou redes inteiros.

Este tópico dá uma visão geral da VPN Site a Site de uma VCN. Para cenários que incluem VPN Site a Local, consulte Cenário B: Sub-rede Privada com uma VPN e Cenário C: Sub-redes Públicas e Privadas com uma VPN.

Consulte Limites de VPN Site a Site e Solicitando um Aumento do Limite do Serviço para obter informações relacionadas a limites.

Profissionais e Conhecimentos Necessários

Em geral, os seguintes tipos de funcionários estão envolvidos na configuração de uma VPN Site a Site com o Oracle Cloud Infrastructure:

Membro da equipe de Operações de Desenvolvimento (ou função semelhante) que usa o Oracle Cloud InfrastructureConsole para configurar os componentes de nuvem necessários para a rede virtual e a VPN Site a Site.
Engenheiro de rede (ou função semelhante) que configura o dispositivo CPE (customer-premises Equipment) com informações fornecidas pelo membro da equipe de Operações de Desenvolvimento.

Dica

O membro da equipe de Operações de Desenvolvimento deve ter a permissão necessária para criar e gerenciar os componentes de nuvem. Se a pessoa for o administrador padrão da tenancy do Oracle Cloud Infrastructure ou um membro do grupo Administradores, ela terá a permissão necessária. Para obter informações sobre a restrição do acesso a componentes da rede, consulte Controle de Acesso.

O profissional deverá estar familiarizado com os seguintes conceitos e definições:

Os fundamentos do Oracle Cloud Infrastructure descritos em Bem-vindo ao Oracle Cloud Infrastructure
Os componentes básicos do serviço Networking
Funcionalidade geral do túnel IPSec

CLOUD RESOURCES: Tudo o que você provisionar em uma plataforma de nuvem. Por exemplo, com o Oracle Cloud Infrastructure, um "recurso de nuvem" pode ser uma VCN, uma instância do serviço Compute, um usuário, um compartimento, um Balanceador de Carga ou qualquer outro componente de serviço na plataforma.
ON-PREMISES: Um termo amplamente usado em tecnologias de nuvem que se refere a ambientes de data center tradicionais. On-premises pode significar um cenário de co-localização, um espaço dedicado, um edifício de data center dedicado ou um desktop executado sob uma mesa.
ORACLE CLOUD IDENTIFIER (OCID): Um identificador exclusivo designado a cada recurso provisionado no Oracle Cloud Infrastructure. O OCID é uma string longa que o sistema Oracle gera automaticamente. Você não pode selecionar o valor de um OCID ou alterar um OCID de recurso. Para obter mais informações, consulte: Identificadores de Recurso.

Sobre a Conexão IPSec da Oracle

Em geral, uma conexão IPSec pode ser configurado nos seguintes modos:

Modo de transporte: o IPSec criptografa e autentica somente o payload do pacote, e as informações do cabeçalho permanecem intactas.
Modo de túnel (suportado pelo sistema Oracle): o IPSec criptografa e autentica o pacote inteiro. Após a criptografia, o pacote é encapsulado para formar um novo pacote IP que tem diferentes informações de cabeçalho.

O Oracle Cloud Infrastructure suporta somente o modo de túnel para VPNs IPSec.

Cada conexão do Oracle IPSec consiste em diversos túneis IPSec redundantes. Para um túnel específico, você pode usar roteamento dinâmico BGP (Border Gateway Protocol) ou roteamento estático para rotear esse tráfego de túnel. A seguir, fornecemos mais detalhes sobre roteamento.

Os túneis IPSec da VPN Site a Site oferecem as seguintes vantagens:

As linhas públicas da Internet são utilizadas para enviar dados, portanto, não são necessárias linhas de leasing caras e dedicadas de um local para outro.
Os endereços IP internos das redes e nós participantes permanecem ocultos para usuários externos.
Toda a comunicação entre os sites de origem e destino é criptografada, diminuindo as chances de roubo de informações.

Roteamento da VPN Site a Site

Quando você configura uma VPN Site a Site, ela tem dois túneis IPSec redundantes. A Oracle recomenda que você configure o dispositivo CPE para usar os dois túneis (se o dispositivo suportar). Observe que, anteriormente, a Oracle criava conexões IPSec com até quatro túneis IPSec.

Os três tipos de roteamento a seguir estão disponíveis e você seleciona o tipo de roteamento separadamente para cada túnel IPSec na VPN Site a Site:

Roteamento dinâmico BGP: as rotas disponíveis são obtidas dinamicamente por meio de BGP. O DRG obtém dinamicamente as rotas provenientes da rede local. No lado Oracle, o DRG propaga as sub-redes da VCN.
roteamento estático: ao configurar a conexão IPSec com o DRG, você especifica para a rede local as rotas específicas que a VCN deverá saber. Você também deve configurar o dispositivo CPE com rotas estáticas para as sub-redes da VCN. Essas rotas não são aprendidas dinamicamente.
roteamento baseado em política: ao configurar a conexão IPSec com o DRG, você especifica para a rede local as rotas específicas que a VCN deverá saber. Você também deve configurar o dispositivo CPE com rotas estáticas para as sub-redes da VCN. Essas rotas não são aprendidas dinamicamente.

Detalhes Importantes de Roteamento da VPN Site a Site

Veja a seguir detalhes importantes para entender o roteamento da VPN Site-to-Site:

Opções de roteamento:
- Originalmente, a VPN Site a Site só suportava roteamento estático e você era obrigado a fornecer pelo menos uma rota estática para a conexão IPSec geral.
- Agora dois diferentes tipos de roteamento estão disponíveis (BGP e roteamento estático), e você configura o tipo de roteamento por túnel. Somente um tipo de roteamento por vez é suportado para um determinado túnel.
- Em geral, recomendamos que você use o mesmo tipo de roteamento para todos os túneis em uma conexão IPSec. Uma exceção é se você estiver no processo de transição entre roteamento estático e BGP, um túnel poderá ainda usar temporariamente roteamento estático enquanto o outro já tiver sido alternado para BGP.
- Quando você cria uma conexão IPSec, o roteamento estático é o tipo de roteamento padrão para todos os túneis, a menos que você configure explicitamente cada túnel para usar BGP.
Informações de roteamento necessárias:
- Se você selecionar BGP, para cada túnel, deverá fornecer dois endereços IP (um para cada um dos dois alto-falantes BGP na sessão BGP do túnel). Os endereços devem estar no domínio de criptografia da conexão IPSec. Você também deve fornecer o número de sistema autônomo BGP (ASN BGP) para a rede local.
- Se você selecionar o roteamento estático, deverá fornecer pelo menos uma rota estática (máximo 10). As rotas estáticas são configuradas com a conexão IPSec geral, de modo que o mesmo conjunto de rotas estáticas seja usado para todos os túneis na conexão IPSec configurada para usar o roteamento estático. Você poderá alterar as rotas estáticas a qualquer momento após criar a conexão IPSec. Se você estiver executando o PAT entre um dispositivo CPE e uma VCN, a rota estática da conexão IPSec será o endereço IP do PAT. Consulte Exemplo de Layout com a Conversão PAT.
- Se você selecionar roteamento estático, poderá fornecer opcionalmente um endereço IP para cada extremidade do túnel para fins de diagnóstico e solução de problemas de túnel ou monitoramento.
- Se o túnel estiver configurado para usar BGP, as rotas estáticas da conexão IPSec serão ignoradas. Todas as rotas estáticas associadas à conexão IPSec são usadas para rotear tráfego de um túnel específico somente se esse túnel for configurado para usar roteamento estático. Isso é especialmente relevante se você tiver uma VPN Site a Site que use roteamento estático, mas quiser alternar para o uso do BGP.
Alterando a rota:
- Para alterar um túnel de BGP para roteamento estático, primeiro você deve garantir que a própria conexão IPSec tenha pelo menos uma rota estática associada a ela.
- Você pode alterar um tipo de roteamento de túnel existente, a qualquer momento (a menos que o túnel esteja sendo provisionado pela Oracle). Enquanto você altera o roteamento, o túnel permanece ativo (o status IPSec não é alterado). No entanto, o tráfego que flui pelo túnel é temporariamente interrompido durante a reprovisionação e enquanto você reconfigura o dispositivo CPE. Para obter informações sobre como alterar a VPN entre Sites, consulte Como Trabalhar com a VPN entre Sites.
- Como você configura o tipo de roteamento separadamente para cada túnel, se você alternar a VPN Site-to-Site de roteamento estático para BGP, será melhor fazê-lo um túnel por vez. Isso evita que a conexão IPSec inteira seja desativada. Para obter instruções, consulte Alterando de Roteamento Estático para Roteamento Dinâmico BGP.

Anúncios de Rota e Preferências de Caminho Quando Você Tem Diversas Conexões

Quando você usa BGP, o DRG anexado a uma VCN divulga rotas para o CPE.

Se você configurar diversas conexões entre uma rede on-premises e a VCN, deverá entender quais rotas o DRG anuncia e como definir preferências de caminho para usar a conexão preferencial.

Para obter informações importantes, consulte Detalhes de Roteamento para Conexões com a Rede On-premises.

Como Preferir um Túnel Específico na VPN Site a Site

Na VPN Site a Site, você pode influenciar qual túnel será o preferencial. Estes são os itens que você pode configurar:

A preferência local BGP do CPE: Se você usar BGP, poderá configurar o atributo preferência local BGP no dispositivo CPE para controlar qual túnel é preferencial para conexões iniciadas de uma rede on-premises para uma VCN. Como a Oracle usa roteamento assimétrico, você deverá configurar outros atributos se quiser que a Oracle responda nesse mesmo túnel. Consulte os dois próximos itens.
Rotas Mais específicas no túnel preferencial: Você pode configurar um CPE para propagar rotas mais específicas para o túnel que deseja preferir. O sistema Oracle usa a rota com a correspondência mais longa de prefixo ao responder ou iniciar conexões.
Anexação do caminho do AS: O BGP prefere o caminho do AS mais curto, portanto, se você usar o BGP, poderá usar o caminho do AS que antecede para controlar qual túnel tem o caminho mais curto para uma rota específica. O sistema Oracle usa o caminho AS mais curto ao responder ou começar conexões.

Visão Geral dos Componentes da VPN Site a Site

Se você ainda não estiver familiarizado com os componentes básicos do serviço Networking, consulte Rede antes de continuar.

Quando você configura a VPN Site a Site para uma VCN, deve criar vários componentes de Rede. Você pode criar os componentes com a Console ou a API. Consulte o diagrama e a descrição dos componentes a seguir.

Esta imagem mostra os componentes da VPN Site a Site

Callout 1: Tabela de roteamento de VCN padrão
CIDR de Destino	Destino da rota
0.0.0.0/0	DRG

objeto cpe: Na extremidade on-premises da VPN Site a Site está o dispositivo real na rede on-premises (independentemente de hardware ou software). O termo customer-premises equipment (CPE) é comumente usado em alguns setores para esse tipo de equipamento on-premises Ao configurar a VPN, você deverá criar uma representação virtual do dispositivo. A Oracle considera a representação virtual um CPE, mas essa documentação geralmente usa o termo objeto CPE para ajudar a distinguir a representação virtual do próprio dispositivo CPE. O objeto CPE contém informações básicas sobre o dispositivo necessário pelo sistema Oracle. Um único IP público do objeto CPE pode ter até 8 conexões IPSec.
Gateway de Roteamento Dinâmico (DRG): No final da Oracle, a VPN Site a Site é um roteador virtual chamado gateway de roteamento dinâmico, que é o gateway para uma VCN da rede local. Se você estiver usando VPN Site a Site ou circuitos virtuais privados do Oracle Cloud Infrastructure FastConnect para conectar a rede local e VCN, o tráfego passará pelo DRG. Para obter mais informações, consulte Gateways de Roteamento Dinâmico.; Um engenheiro de rede pode considerar o DRG como o headend da VPN. Após criar um DRG, você deverá anexá-lo a uma VCN, usando a Console ou uma API. Você também deverá adicionar uma ou mais regras de roteamento que roteiam o tráfego da VCN para o DRG. Sem esse anexo do DRG e as regras de roteamento, o tráfego não flui entre a VCN e a rede on-premises. A qualquer momento, você pode desanexar o DRG de uma VCN, mas manter todos os componentes de VPN restantes. Depois, você poderá reanexar o DRG ou anexá-lo a outra VCN.
conexão ipsec: Depois de criar o objeto CPE e o DRG, você os conecta criando uma conexão IPSec, que pode ser considerada como objeto principal que representa a VPN Site a Site. A conexão IPSec tem seu próprio OCID. Ao criar esse componente, você configura o tipo de roteamento a ser usado para cada túnel IPSec e fornece as informações de roteamento relacionadas. Um único IP público do objeto CPE pode ter até 8 conexões IPSec.
TUNNEL: Um túnel IPSec é usado para criptografar o tráfego entre pontos finais IPSec seguros. O sistema Oracle cria dois túneis em cada conexão IPSec para fins de redundância. Cada túnel tem seu próprio OCID. Recomendamos que você configure o dispositivo CPE para dar suporte a ambos os túneis, caso haja uma falha ou a Oracle coloque uma off-line para manutenção. Cada túnel tem informações de configuração que um engenheiro de rede precisa ao configurar seu dispositivo CPE. Essas informações incluem um endereço IP e um segredo compartilhado e também parâmetros ISAKMP e IPSec. Você pode usar o Auxiliar de Configuração de CPE para reunir as informações de que o engenheiro de rede precisa. Para obter mais informações, consulte Parâmetros IPSec Suportados e Dispositivos CPE Verificados.

Controle de Acesso dos Componentes

Para fins de controle de acesso, ao configurar a VPN Site a Local, você deve especificar o compartimento no qual deseja que cada um dos componentes resida. Se você não tiver certeza sobre qual compartimento usar, coloque todos os componentes no mesmo compartimento que a VCN. Observe que os túneis IPSec sempre residem no mesmo compartimento que conexão IPSec principal. Para obter informações sobre compartimentos e restringir o acesso a componentes de rede, consulte Controle de Acesso.

Nomes e Identificadores de Componentes

Opcionalmente, você pode designar um nome descritivo a cada um dos componentes ao criá-los. Esses nomes não precisam ser exclusivos, embora seja de boa prática usar nomes exclusivos em uma tenancy. Evite inserir informações confidenciais. O sistema Oracle designa automaticamente um OCID a cada componente. Para obter mais informações, consulte: Identificadores de Recurso.

Se o CPE estiver por trás de um dispositivo NAT

Em geral, o identificador IKE de CPE configurado na extremidade local da conexão deve corresponder ao identificador IKE de CPE que o sistema Oracle está usando. Por padrão, o sistema Oracle usa o endereço IP público do CPE, que você fornece ao criar o objeto CPE na Console do sistema Oracle. No entanto, se um CPE estiver atrás de um dispositivo NAT, o identificador IKE do CPE configurado na extremidade local poderá ser o endereço IP privado do CPE, conforme mostrado no diagrama a seguir.

Esta imagem mostra o CPE atrás de um dispositivo NAT, os endereços IP público e privado e o identificador IKE do CPE.

Observação

Algumas plataformas CPE não permitem que você altere o identificador IKE local. Se não puder alterar, altere o ID de IKE remoto na Console do sistema Oracle para corresponder ao ID de IKE local do CPE. Você pode fornecer o valor quando configurar a conexão IPSec ou posteriormente, editando a conexão IPSec. O sistema Oracle espera que o valor seja um endereço IP ou um nome de domínio totalmente qualificado (FQDN), como cpe.example.com. Para obter instruções, consulte Alterando o Identificador IKE do CPE Usado pelo Sistema Oracle.

Sobre o segredo compartilhado do túnel

Cada túnel tem um segredo compartilhado. Por padrão, o sistema Oracle designa o segredo compartilhado ao túnel, a menos que você forneça um segredo compartilhado. Você pode fornecer um segredo compartilhado para cada túnel ao criar a conexão IPSec ou quando quiser após criá-los. Para o segredo compartilhado, só são permitidos letras, números e espaços. Se você alterar um segredo compartilhado de túnel existente, o túnel ficará inativo enquanto está sendo reprovisionado.

Para obter instruções, consulte Alterando o Segredo Compartilhado Usado por um Túnel IPSec.

Recursos para Configurar o CPE

Um engenheiro da rede deve configurar o CPE na extremidade local da conexão IPSec. Para facilitar, o sistema Oracle oferece estes recursos:

Auxiliar de Configuração do CPE: Uma ferramenta na Console do Oracle que gera um conjunto de conteúdo que o engenheiro da rede pode usar ao configurar o CPE.
Uma lista de dispositivos CPE verificados: Para cada dispositivo, o sistema Oracle fornece instruções de configuração.
Uma lista de parâmetros IPSec suportados: Se o CPE não está na lista de dispositivos verificados, você pode usar essa lista de parâmetros para configurar o CPE.

Para obter mais informações, consulte também Configuração do CPE.

Monitorando a Conexão

Você pode monitorar a integridade, a capacidade e o desempenho dos recursos do Oracle Cloud Infrastructure usando métricas, alarmes e notificações. Para obter mais informações, consulte os serviços Monitoring e Notifications.

Para obter informações sobre como monitorar a conexão, Métricas da VPN Site a Local.

O Que Vem a Seguir?

Consulte os seguintes tópicos relacionados:

Documentação do Oracle Cloud Infrastructure