Assistente de VPN site a site
O assistente de VPN Site a Site é a maneira mais rápida de configurar uma VPN site a local entre uma rede on-premises e uma VCN (virtual cloud network). O assistente é um processo guiado passo a passo na Console que configura a VPN e os componentes de serviço de Rede relacionados.
Outras soluções de VPN seguras incluem o OpenVPN, uma solução de VPN do Cliente que pode ser acessada no Oracle Marketplace. O OpenVPN conecta dispositivos individuais a uma VCN, mas não a sites ou redes inteiros.
Finalidade do Assistente
A VPN Site a Site envolve a definição e a configuração de vários componentes do serviço Networking. O assistente configura esses componentes para você. Em geral, o assistente faz o seguinte:
- Usa um modelo com suposições que ajuda você a começar.
- Solicita informações básicas sobre a rede.
- Define os componentes do serviço Networking para você.
- Permite gerar conteúdo de configuração para um engenheiro de rede usar ao configurar um dispositivo CPE (customer-premises equipment).
O assistente é uma tarefa do processo geral de configuração da VPN Site a Site, que é ilustrado no diagrama a seguir. O assistente é a caixa sombreada.
Observe que o processo geral inclui trabalho de um engenheiro de rede on-premises. Esse engenheiro fornece informações que você, por sua vez, deve especificar durante a execução do assistente. O assistente retorna informações de que o engenheiro de rede precisa durante a configuração do dispositivo CPE. Você pode usar o Auxiliar de Configuração de CPE para fornecer as informações necessárias ao engenheiro de rede.
As breves seções a seguir resumem cada tarefa.
- Endereço IP público do dispositivo CPE. (O endereço deve ser IPv4, mas há suporte para o tráfego IPv6)
- Fornecedor. modelo e versão do CPE
- Identificador IKE do CPE. Para obter mais informações, consulte Visão Geral dos Componentes da VPN Site a Site.
- Rotas de rede local.
- Se você usa roteamento dinâmico BGP com a VPN:
- O ASN do BGP da rede on-premises
- Para cada um dos dois túneis IPSec criados, o par de endereços IP BGP (com máscara da sub-rede) que você deseja usar para as interfaces internas do túnel nas extremidades de cada túnel. Por exemplo:
- Túnel 1: Interface de túnel interno - CPE: 10.0.0.16/31
- Túnel 1: Interface de túnel interno - Oracle: 10.0.0.17/31
- Túnel 2: Interface de túnel interno - CPE: 10.0.0.8/31
- Túnel 2: Interface de túnel interno - Oracle: 10.0.0.9/31
Você percorre o assistente na Console. Para obter mais informações, consulte estas seções:
Você usa o Ajudador de Configuração do CPE para gerar o conteúdo da configuração que o engenheiro da rede pode usar para configurar o CPE.
O conteúdo inclui estes itens:
- O endereço IP da Oracle VPN e o segredo compartilhado de cada túnel IPSec.
- Os valores suportados do parâmetro IPSec.
- Informações sobre a VCN.
- Informações de configuração específicas do CPE.
O engenheiro da rede obtém as informações que você fornece e configura o dispositivo CPE.
Você e o engenheiro da rede testam a conexão e confirmam se o tráfego está fluindo.
Alternativa ao Assistente
Se preferir, você mesmo poderá configurar manualmente a VPN Site a Site. Para obter instruções passo a passo, consulte Configurando a VPN Site a Site.
O que o Assistente Cria para Você
A maioria dos clientes Oracle que configuram a VPN Site a Site já tem uma VCN para estabelecer conexão com suas redes on-premises. Nesse caso, o assistente cria os componentes numerados no diagrama a seguir. A tabela descreve cada componente.
Número | Componente | Descrição | Usar um CPE Existente ou Criar um Novo CPE? | ||||
---|---|---|---|---|---|---|---|
1 | CPE | Um CPE é uma representação virtual do dispositivo CPE real. Essa representação virtual contém informações básicas, tais como o endereço IP público do dispositivo CPE. | Sim, você pode usar um CPE existente ou o assistente criará um novo. | ||||
2 | Túneis IPSec |
O assistente cria dois IPSec túneis, cada um com informações específicas de configuração que você deve fornecer a um engenheiro. Observação: O assistente usa IKEv1 ou IKEv2 para os túneis. Para obter mais informações sobre o IKEv2, consulte Usando o IKEv2. |
Não. O assistente cria os túneis automaticamente. | ||||
3 | Gateway de Roteamento Dinâmico (DRG) | Um DRG é uma representação virtual do roteador real na extremidade Oracle da VPN Site a Site. | Sim. | ||||
4 | Gateway de Internet |
Se a VCN que você selecionar ainda não tiver um Gateway da Internet, você poderá permitir que o assistente crie um para permitir a conectividade direta com a internet. |
Sim, você pode usar um gateway de internet existente ou deixar o assistente criar um novo. | ||||
5 | Tabela de Roteamento de Sub-rede |
|
Para criar qualquer novo recurso, o limite de serviço ainda não deve ter sido atingido. Depois que o limite de serviço de um tipo de recurso for atingido, você poderá remover recursos não utilizados desse tipo ou solicitar um limite de serviço.
Além disso, durante o assistente, você especifica quais sub-redes na VCN configurar com acesso à rede on-premises. O assistente atualiza a tabela de roteamento e as regras de segurança de cada sub-rede da seguinte forma:
- Regras da rota: O assistente adiciona uma ou mais regras para rotear tráfego da de VCN para uma rede on-premises por meio do DRG. É necessário fornecer uma regra por rota de rede on-premises no assistente. Se a VCN tiver um gateway da internet (ou se você criar um) e uma sub-rede pública estiver selecionada, o assistente também adicionará uma regra para enviar o tráfego restante (não destinado para a rede local) ao gateway da internet.
- Regras de Lista de Segurança: O assistente também adiciona uma ou mais regras para permitir todos os tipos de tráfego de uma rede on-premises. É necessário fornecer uma regra por rota de rede on-premises no assistente. Se a VCN tiver um gateway de internet (ou você criar um) e uma sub-rede pública for selecionada, o assistente também adicionará uma regra para permitir SSH pela porta 22 da internet.
Você pode editar as regras e adicionar mais, se desejar.
Após a conclusão do assistente, você poderá usar o Auxiliar de Configuração do CPE para gerar o conteúdo da configuração que o engenheiro da rede local pode usar para configurar o CPE.
Onde Acessar o Assistente na Console
Para acessar esse assistente na página Visão Geral do Serviço Networking:
- Abra o menu de navegação, selecione Rede e, em seguida, Visão Geral.
- Na seção Adicionar conectividade de internet e VPN Site a Local a uma VCN, selecione Assistente para Iniciar VCN.
Para acessar esse assistente na página de lista Redes virtuais na nuvem:
- Abra o menu de navegação , selecione Rede e selecione Redes virtuais na nuvem.
- Na página de lista Redes virtuais na nuvem, execute uma das seguintes ações, dependendo da opção que você vê:
- Selecione o botão Ações e Iniciar Assistente de VCN.
- Selecione Iniciar Assistente de VCN.
- Selecione Adicionar VPN Site a Site e Conectividade de Internet a uma VCN e Iniciar Assistente de VCN.
Para acessar esse assistente na página de lista VPN Site a Site:
- Abra o menu de navegação e selecione Rede. Em Conectividade do cliente, selecione VPN Site a Site.
- Selecione Iniciar Assistente de VPN.