Assistente de VPN site a site

O assistente de VPN Site a Site é a maneira mais rápida de configurar uma VPN site a local entre uma rede on-premises e uma VCN (virtual cloud network). O assistente é um processo guiado passo a passo na Console que configura a VPN e os componentes de serviço de Rede relacionados.

Outras soluções de VPN seguras incluem o OpenVPN, uma solução de VPN do Cliente que pode ser acessada no Oracle Marketplace. O OpenVPN conecta dispositivos individuais a uma VCN, mas não a sites ou redes inteiros.

Finalidade do Assistente

A VPN Site a Site envolve a definição e a configuração de vários componentes do serviço Networking. O assistente configura esses componentes para você. Em geral, o assistente faz o seguinte:

  • Usa um modelo com suposições que ajuda você a começar.
  • Solicita informações básicas sobre a rede.
  • Define os componentes do serviço Networking para você.
  • Permite gerar conteúdo de configuração para um engenheiro de rede usar ao configurar um dispositivo CPE (customer-premises equipment).

O assistente é uma tarefa do processo geral de configuração da VPN Site a Site, que é ilustrado no diagrama a seguir. O assistente é a caixa sombreada.

Esta imagem mostra um fluxograma do processo geral de configuração da VPN Site a Site.

Observe que o processo geral inclui trabalho de um engenheiro de rede on-premises. Esse engenheiro fornece informações que você, por sua vez, deve especificar durante a execução do assistente. O assistente retorna informações de que o engenheiro de rede precisa durante a configuração do dispositivo CPE. Você pode usar o Auxiliar de Configuração de CPE para fornecer as informações necessárias ao engenheiro de rede.

As breves seções a seguir resumem cada tarefa.

Tarefa 1: Informações da engenharia de rede para obter
  • Endereço IP público do dispositivo CPE. (O endereço deve ser IPv4, mas há suporte para o tráfego IPv6)
  • Fornecedor. modelo e versão do CPE
  • Identificador IKE do CPE. Para obter mais informações, consulte Visão Geral dos Componentes da VPN Site a Site.
  • Rotas de rede local.
  • Se você usa roteamento dinâmico BGP com a VPN:
    • O ASN do BGP da rede on-premises
    • Para cada um dos dois túneis IPSec criados, o par de endereços IP BGP (com máscara da sub-rede) que você deseja usar para as interfaces internas do túnel nas extremidades de cada túnel. Por exemplo:
      • Túnel 1: Interface de túnel interno - CPE: 10.0.0.16/31
      • Túnel 1: Interface de túnel interno - Oracle: 10.0.0.17/31
      • Túnel 2: Interface de túnel interno - CPE: 10.0.0.8/31
      • Túnel 2: Interface de túnel interno - Oracle: 10.0.0.9/31
Tarefa 2: Assistente

Você percorre o assistente na Console. Para obter mais informações, consulte estas seções:

Tarefa 3: Informações a serem fornecidas ao engenheiro de rede

Você usa o Ajudador de Configuração do CPE para gerar o conteúdo da configuração que o engenheiro da rede pode usar para configurar o CPE.

O conteúdo inclui estes itens:

  • O endereço IP da Oracle VPN e o segredo compartilhado de cada túnel IPSec.
  • Os valores suportados do parâmetro IPSec.
  • Informações sobre a VCN.
  • Informações de configuração específicas do CPE.
Tarefa 4: Configuração do CPE

O engenheiro da rede obtém as informações que você fornece e configura o dispositivo CPE.

Tarefa 5: Teste

Você e o engenheiro da rede testam a conexão e confirmam se o tráfego está fluindo.

Alternativa ao Assistente

Se preferir, você mesmo poderá configurar manualmente a VPN Site a Site. Para obter instruções passo a passo, consulte Configurando a VPN Site a Site.

O que o Assistente Cria para Você

A maioria dos clientes Oracle que configuram a VPN Site a Site já tem uma VCN para estabelecer conexão com suas redes on-premises. Nesse caso, o assistente cria os componentes numerados no diagrama a seguir. A tabela descreve cada componente.

Esta imagem mostra os componentes do serviço Networking criados para você.
Número Componente Descrição Usar um CPE Existente ou Criar um Novo CPE?
1 CPE Um CPE é uma representação virtual do dispositivo CPE real. Essa representação virtual contém informações básicas, tais como o endereço IP público do dispositivo CPE. Sim, você pode usar um CPE existente ou o assistente criará um novo.
2 Túneis IPSec

O assistente cria dois IPSec túneis, cada um com informações específicas de configuração que você deve fornecer a um engenheiro.

Observação: O assistente usa IKEv1 ou IKEv2 para os túneis. Para obter mais informações sobre o IKEv2, consulte Usando o IKEv2.

Não. O assistente cria os túneis automaticamente.
3 Gateway de Roteamento Dinâmico (DRG) Um DRG é uma representação virtual do roteador real na extremidade Oracle da VPN Site a Site. Sim.
4 Gateway de Internet

Se a VCN que você selecionar ainda não tiver um Gateway da Internet, você poderá permitir que o assistente crie um para permitir a conectividade direta com a internet.

Sim, você pode usar um gateway de internet existente ou deixar o assistente criar um novo.
5 Tabela de Roteamento de Sub-rede
CIDR de Destino Destino da Rota
10.0.0.0/16 DRG
Observação

Para criar qualquer novo recurso, o limite de serviço ainda não deve ter sido atingido. Depois que o limite de serviço de um tipo de recurso for atingido, você poderá remover recursos não utilizados desse tipo ou solicitar um limite de serviço.

Além disso, durante o assistente, você especifica quais sub-redes na VCN configurar com acesso à rede on-premises. O assistente atualiza a tabela de roteamento e as regras de segurança de cada sub-rede da seguinte forma:

  • Regras da rota: O assistente adiciona uma ou mais regras para rotear tráfego da de VCN para uma rede on-premises por meio do DRG. É necessário fornecer uma regra por rota de rede on-premises no assistente. Se a VCN tiver um gateway da internet (ou se você criar um) e uma sub-rede pública estiver selecionada, o assistente também adicionará uma regra para enviar o tráfego restante (não destinado para a rede local) ao gateway da internet.
  • Regras de Lista de Segurança: O assistente também adiciona uma ou mais regras para permitir todos os tipos de tráfego de uma rede on-premises. É necessário fornecer uma regra por rota de rede on-premises no assistente. Se a VCN tiver um gateway de internet (ou você criar um) e uma sub-rede pública for selecionada, o assistente também adicionará uma regra para permitir SSH pela porta 22 da internet.

Você pode editar as regras e adicionar mais, se desejar.

Após a conclusão do assistente, você poderá usar o Auxiliar de Configuração do CPE para gerar o conteúdo da configuração que o engenheiro da rede local pode usar para configurar o CPE.

Onde Acessar o Assistente na Console

Para acessar esse assistente na página Visão Geral do Serviço Networking:

  1. Abra o menu de navegação, selecione Rede e, em seguida, Visão Geral.
  2. Na seção Adicionar conectividade de internet e VPN Site a Local a uma VCN, selecione Assistente para Iniciar VCN.

Para acessar esse assistente na página de lista Redes virtuais na nuvem:

  1. Abra o menu de navegação , selecione Rede e selecione Redes virtuais na nuvem.
  2. Na página de lista Redes virtuais na nuvem, execute uma das seguintes ações, dependendo da opção que você vê:
    • Selecione o botão Ações e Iniciar Assistente de VCN.
    • Selecione Iniciar Assistente de VCN.
  3. Selecione Adicionar VPN Site a Site e Conectividade de Internet a uma VCN e Iniciar Assistente de VCN.

Para acessar esse assistente na página de lista VPN Site a Site:

  1. Abra o menu de navegação e selecione Rede. Em Conectividade do cliente, selecione VPN Site a Site.
  2. Selecione Iniciar Assistente de VPN.