Configurando a VPN Site a Site
Este tópico fornece instruções para construir uma conexão IPSec da VPN Site a Site de uma rede on-premises para uma VCN. Para obter informações gerais sobre a VPN Site a Site, consulte Visão Geral da VPN Site a Site.
Antes de Iniciar
Para se preparar, faça o seguinte:
- Leia esta seção: Roteamento da VPN Site a Site
-
Responda estas perguntas:
Pergunta Resposta Qual é o CIDR da VCN? Qual é o endereço IP público do dispositivo CPE? Se você tiver vários dispositivos para redundância, obtenha o endereço IP de cada um.
Observação: Se o dispositivo CPE estiver atrás de um dispositivo NAT, consulte Visão Geral dos Componentes da VPN Site a Site e também Requisitos e Pré-requisitos.
Deseja usar a conversão de endereço de porta (PAT) entre cada dispositivo CPE e a VCN? Que tipo de roteamento você planeja usar? Se quiser usar o roteamento dinâmico BGP, liste os endereços IP de sessão BGP a serem usados e o ASN da rede local. Os endereços IP devem fazer parte do domínio de criptografia da VPN Site a Site.
Se quiser, quais são as rotas estáticas para a rede local? Consulte Roteamento da VPN Site a Site.
Você planeja usar o roteamento baseado em política ou diversos domínios de criptografia? Consulte Domínios de criptografia para túneis baseados em política
Deseja fornecer o segredo compartilhado de cada túnel ou prefere permitir que o sistema Oracle os designe? Consulte Visão Geral dos Componentes da VPN Site a Site.
- Faça um diagrama do layout de rede (para obter exemplos, consulte a primeira tarefa em Exemplo: Configurando uma VPN Site a Site de Prova de Conceito). Pense em quais partes da rede local precisam se comunicar com a VCN e o contrário. Mapeie as routing e as regras da segurança necessárias para a VCN.
Se você tiver uma VPN Site a Site que utilize roteamento estático, poderá alterar os túneis para usar o roteamento dinâmico do BGP.
As seguintes faixas de IP local de link não são válidas para uso com a VPN Site a Site dentro de interfaces de túnel:
- 169.254.10.0 a 169.254.19.255
- 169.254.100.0 a 169.254.109.255
- 169.254.192.0 a 169.254.201.255
Processo Geral
Este é o processo geral de configuração da VPN Site a Site:
- Conclua as tarefas listadas em Antes de Começar.
- Configure os componentes da VPN Site a Site (instruções em Exemplo: Configurando uma VPN Site a Site de Prova de Conceito):
- Criar uma VCN.
- Crie um DRG.
- Anexar o DRG à VCN.
- Crie uma tabela de roteamento e uma regra de roteamento para o DRG.
- Crie uma lista de segurança e as regras necessárias.
- Crie uma sub-rede na VCN.
- Crie um objeto CPE e forneça o endereço IP público do dispositivo CPE.
- Crie uma conexão IPSec com o objeto CPE e forneça as informações de roteamento necessárias.
- Use o Auxiliar de Configuração do CPE: Um engenheiro da rede deve configurar as informações do dispositivo CPE fornecidas pela Oracle ao longo das etapas anteriores. O Auxiliar de Configuração de CPE gera as informações do engenheiro de rede. Para obter mais informações, consulte Usando o Auxiliar de Configuração de CPE e também Configuração do CPE.
- Faça com que um engenheiro de rede configure o dispositivo CPE.
- Valide a conectividade.
Se você planeja configurar conexões redundantes, consulte o Connectivity redundancy guide (PDF).
Exemplo: Configurando uma VPN Site a Site de Prova de Conceito
A Oracle oferece um workflow de início rápido para facilitar a configuração da VPN Site a Site. Para obter mais informações, consulte Assistente da VPN Site a Site.
Este exemplo de cenário mostra como configurar uma VPN Site a Site com um layout que você pode usar para uma prova de conceito (POC). O exemplo segue as tarefas 1 e 2 em Processo Geral e mostra cada componente no layout que está sendo criado. Para layouts mais complexos, consulte Layout de Amostra com Diversas Áreas Geográficas ou Layout de Amostra com PAT.
| Pergunta | Resposta |
|---|---|
| Qual é o CIDR da VCN? | 172.16.0.0/16 |
|
Qual é o endereço IP público do dispositivo CPE? Se você tiver vários dispositivos para redundância, obtenha o endereço IP de cada um. Observação: Se o dispositivo CPE estiver atrás de um dispositivo NAT, consulte Visão Geral dos Componentes da VPN Site a Site e também Requisitos e Pré-requisitos. |
142.34.145.37 |
| Você está fazendo a conversão de endereço de porta (PAT) entre cada dispositivo CPE e a VCN? | Não |
|
Que tipo de roteamento você planeja usar? Há três opções mutuamente exclusivas: Se você planeja usar o roteamento dinâmico BGP, liste os endereços IP de sessão BGP a serem usados e o ASN da rede local. Se você planeja usar o roteamento estático, lista as rotas estáticas para a rede on-premises. Consulte Roteamento da VPN Site a Site. Se você planeja usar o roteamento baseado em política ou exigir vários domínios de criptografia, liste os blocos de prefixo IPv4 CIDR ou IPv6 usados em cada extremidade da conexão. Consulte Domínios de criptografia para túneis baseados em política |
Exemplo de roteamento dinâmico BGP: Túnel 1:
Túnel 2:
ASN da Rede: 12345 Exemplo de roteamento estático: Use 10.0.0.0/16 para a rota estática de um POC. |
| Deseja fornecer o segredo compartilhado de cada túnel ou prefere permitir que o sistema Oracle os designe? Consulte Visão Geral dos Componentes da VPN Site a Site. | Deixe que o sistema Oracle designe. |
Aqui está um exemplo de diagrama para a tarefa 1 que usa roteamento dinâmico BGP:
| CIDR de Destino | Destino da rota |
|---|---|
| 10.0.0.0/16 | DRG |
| CIDR de Destino | Permissão |
|---|---|
| 10.0.0.0/16 | Permitido |
| Callout | Função | IP |
|---|---|---|
| 3 | Endereço IP público do CPE | 142.34.145.37 |
| 4a | BGP do Túnel 1: Dentro da Interface de Túnel |
CPE - 10.0.0.16/31 Oracle - 10.0.0.17/31 |
| 4b | BGP do Túnel 2: Dentro da Interface de Túnel |
CPE - 10.0.0.18/31 Oracle - 10.0.0.19/31 |
| 5 |
Endereço IP da VPN da Oracle do Túnel 1: |
129.213.240.50 |
| 6 |
Endereço IP da VPN da Oracle do Túnel 2: |
129.213.240.53 |
Aqui está um exemplo de diagrama para a tarefa 1 que usa roteamento estático:
| CIDR de Destino | Destino da rota |
|---|---|
| 10.0.0.0/16 | DRG |
| CIDR de Destino | Permissão |
|---|---|
| 10.0.0.0/16 | Permitido |
| Callout | Função | IP |
|---|---|---|
| 3 | Endereço IP público do CPE | 142.34.145.37 |
| 4 | Rota estática para Conexão IPSec | 10.0.0.0/16 |
| 5 |
Endereço IP da VPN da Oracle do Túnel 1: |
129.213.240.50 |
| 6 |
Endereço IP da VPN da Oracle do Túnel 2: |
129.213.240.53 |
Se você já tiver uma VCN, passe para a próxima tarefa.
Ao usar a Console para criar uma VCN, você pode criar apenas a VCN ou pode criar a VCN com vários recursos relacionados. Essa tarefa só cria a VCN, e as próximas tarefas criam os outros recursos necessários.
Consulte Criando uma VCN para obter etapas detalhadas sobre a criação de uma VCN na Console.
Certifique-se de que a VCN tenha concluído o provisionamento antes de continuar. Neste exemplo, estamos usando 172.16.0.0/16 como o CIDR da VCN, mas o que você seleciona não importa, desde que seja consistente.
Consulte Criando um DRG para obter etapas detalhadas sobre como criar um DRG.
O DRG é criado e exibido na página. Antes de continuar, verifique se o provisionamento da VCN já acabou.
Você também pode usar esse DRG como gateway para o Oracle Cloud Infrastructure FastConnect, que é outra maneira de conectar uma rede local com uma VCN.
Consulte Anexando um DRG a uma VCN para obter etapas detalhadas de como anexar um DRG a uma VCN.
O anexo permanece no estado Anexando por um curto período antes de estar pronto.
Embora a VCN venha com uma tabela padrão de roteamento (sem regras), nesta tarefa você cria uma tabela personalizada de roteamento da VCN com uma regra de roteamento para o DRG como destino. Neste exemplo, a rede on-premises é 10.0.0.0/16. Você cria uma regra de roteamento que utiliza o tráfego destinado a 10.0.0.0/16 e o roteia para o DRG. Quando você cria uma sub-rede na tarefa 2f, essa tabela de roteamento personalizada é associada à sub-rede.
Se você já tiver uma VCN com uma sub-rede, não precisará criar uma tabela de roteamento ou uma sub-rede. Em vez disso, você pode atualizar a tabela de roteamento da sub-rede existente para incluir a regra de roteamento para o DRG.
| CIDR de Destino | Tabela de Roteamento |
|---|---|
| 10.0.0.0/16 | DRG |
Consulte Criando uma Tabela de Roteamento da VCN para obter etapas detalhadas sobre a criação de tabelas de roteamento da VCN na Console. Use as seguintes configurações para a regra de roteamento:
- Tipo de Destino: Gateway de Roteamento Dinâmico. O DRG anexado à VCN é selecionado automaticamente como alvo e você não precisa especificar o alvo.
- Bloco CIDR de Destino: o CIDR da rede local (10.0.0.0/16 nesse exemplo).
A tabela de roteamento é criada e exibida na página. No entanto, a tabela de roteamento não funcionará, a menos que você a associe a uma sub-rede durante a criação da sub-rede (consulte a tarefa 2f).
Por padrão, o tráfego de entrada para as instâncias de uma VCN é definido como DENY em todas as portas e todos os protocolos. Nessa tarefa, você configura duas regras de entrada e uma regra de saída para permitir o tráfego de rede básico necessário. Uma VCN tem uma lista de segurança padrão com um conjunto de regras padrão. No entanto, nessa tarefa, você criará uma lista de segurança separada com um conjunto mais restrita de regras dedicadas ao tráfego com uma rede local. Quando cria uma sub-rede na tarefa 2f, você associa essa lista de segurança à sub-rede.
As listas de Segurança são uma forma de controlar o tráfego dentro e fora dos recursos da VCN. Também é possível usar grupos de segurança de rede
| CIDR de Destino | Tabela de Roteamento |
|---|---|
| 10.0.0.0/16 | DRG |
| Entrada/Saída | CIDR | Protocolo: Porta |
|---|---|---|
| Entrada | 10.0.0.0/16 | TCP: 22 |
| Entrada | 10.0.0.0/16 | ICMP: Tudo |
| Saída | 10.0.0.0/16 | TCP: Tudo |
Certifique-se de que o CIDR local que você especifica nas regras da Lista de Segurança seja o mesmo (ou menor) que o CIDR que você especificou na regra de roteamento na tarefa anterior. Caso contrário, o tráfego é bloqueado pelas listas de segurança.
Consulte Criando uma Lista de Segurança para obter informações detalhadas sobre como criar uma lista de segurança em uma VCN usando a Console.
-
Adicione uma regra de entrada com os seguintes valores, que permita SSH de entrada na porta TCP 22 de uma rede local:
- Tipo de Origem: CIDR
- CIDR de Origem: o CIDR de uma rede local (10.0.0.0/16 nesse exemplo)
- Protocolo IP: TCP.
- Intervalo de Portas de Origem: deixe como está (o padrão é Todos).
- Intervalo de Portas de destino: 22 (para tráfego SSH).
- Descrição: Uma descrição opcional da regra.
-
Adicione uma regra de saída com os seguintes valores, que permita o tráfego TCP de saída em todas as portas a uma rede local:
- Tipo de Destino: CIDR
- CIDR de Destino: o CIDR de uma rede local (10.0.0.0/16 nesse exemplo).
- Protocolo IP: TCP.
- Intervalo de Portas de Origem: deixe como está (o padrão é Todos).
- Intervalo de Portas do Destino: Deixe como está (o padrão Tudo).
- Descrição: Uma descrição opcional da regra.
Quando a lista de segurança é criada, ela é exibida na página. No entanto, lista de segurança não funcionará, a menos que você a associe a uma sub-rede durante a criação da sub-rede (consulte a tarefa 2f).
Nessa tarefa, você cria uma sub-rede na VCN. Em geral, uma sub-rede tem um bloco CIDR menor que o CIDR da VCN. As instâncias criadas nessa sub-rede têm acesso a uma rede local. Recomendamos o uso de sub-redes regionais. Nessa tarefa você cria uma sub-rede privada regional.
| CIDR de Destino | Tabela de Roteamento |
|---|---|
| 10.0.0.0/16 | DRG |
| Entrada/Saída | CIDR | Protocolo: Porta |
|---|---|---|
| Entrada | 10.0.0.0/16 | TCP: 22 |
| Entrada | 10.0.0.0/16 | ICMP: Tudo |
| Saída | 10.0.0.0/16 | TCP: Tudo |
Consulte Criando uma Sub-rede para obter informações detalhadas sobre como criar uma sub-rede em uma VCN usando a Console. Use os seguintes valores:
- Sub-rede regional ou específica do AD: Selecione o botão de opção Regional. Recomendamos o uso de sub-redes regionais.
- Bloco CIDR: um único bloco CIDR contíguo para a sub-rede (por exemplo, 172.16.0.0/24). A sub-rede deve estar dentro do bloco CIDR da rede na nuvem e não pode ter sobreposição com qualquer outra sub-rede. Você não pode alterar esse valor mais tarde. Consulte Tamanho da VCN e Intervalos de Endereços Permitidos. Para referência, use a calculadora de CIDR.
- Tabela de Roteamento: a tabela de roteamento criada na tarefa 2d.
- Sub-rede Privada: selecione essa opção. Para obter mais informações, consulte Acesso à Internet.
- Usar Nomes de Host DNS nesta Sub-rede: deixe como está (selecionado).
- Opções de DHCP: o conjunto de opções de DHCP a serem associadas à sub-rede. Selecione o conjunto padrão de opções de DHCP para a VCN.
- Listas de Segurança: a lista de segurança criada anteriormente.
A sub-rede é criada e exibida na página. A VCN básica nesse exemplo agora está configurada, e você está pronto para criar os componentes restantes da VPN Site-to-Site.
Nesta tarefa, você cria o objeto CPE, que é uma representação virtual de um dispositivo CPE real. O objeto CPE existe em um compartimento em uma tenancy. Quando você configura a VPN Site a Site, é necessário alterar a configuração do dispositivo real de borda da rede local para corresponder à configuração do objeto CPE.
| CIDR de Destino | Tabela de Roteamento |
|---|---|
| 10.0.0.0/16 | DRG |
| Entrada/Saída | CIDR | Protocolo: Porta |
|---|---|---|
| Entrada | 10.0.0.0/16 | TCP: 22 |
| Entrada | 10.0.0.0/16 | ICMP: Tudo |
| Saída | 10.0.0.0/16 | TCP: Tudo |
Consulte Criando um CPE para obter etapas detalhadas sobre a criação de um objeto CPE. Neste exemplo, o endereço IP mais importante a ser fornecido é 142.34.145.37, o endereço IP público ou privado do dispositivo CPE físico.
Nesta tarefa, você cria os túneis IPSec e configura o tipo de roteamento para eles (roteamento dinâmico BGP, roteamento estático ou roteamento baseado em política). Consulte Criando uma Conexão IPSec para obter etapas detalhadas.
Se você tiver uma VPN Site a Site que utilize roteamento estático, poderá alterar os túneis para usar o roteamento dinâmico do BGP.
Use o Auxiliar de Configuração de CPE para gerar conteúdo de configuração que o engenheiro de rede pode usar para configurar o CPE.
O conteúdo inclui estes itens:
- Para cada túnel IPSec, o endereço IP da Oracle VPN e o segredo compartilhado.
- Os valores suportados do parâmetro IPSec.
- Informações sobre a VCN.
- Informações de configuração específicas do CPE.
Para obter mais informações, consulte Usando o Auxiliar de Configuração de CPE.
Forneça ao engenheiro de rede os seguintes itens:
- O conteúdo gerado pelo Auxiliar de Configuração de CPE.
- Os parâmetros gerais de IPSec que o sistema Oracle suporta.
Certifique-se de que o engenheiro da rede configure um dispositivo CPE para suportar os dois túneis no caso de um deles falhar ou o sistema Oracle indisponibilizar um deles para manutenção. Se você estiver usando o BGP, consulte Roteamento da VPN Site a Site.
Após o engenheiro de rede configurar o dispositivo CPE, você poderá confirmar se o status do IPSec do túnel é Ativo e está verde. Em seguida, você poderá criar uma instância Linux na sub-rede de uma VCN. Em seguida, use SSH para estabelecer conexão com o endereço IP privado da instância de um host na rede local. Para obter mais informações, consulte Criando uma Instância.
Exemplo de Layout com Várias Áreas Geográficas
O diagrama a seguir mostra um exemplo diferente com a seguinte configuração:
- Duas redes em áreas geográficas separadas que se conectam com uma VCN
- Um único dispositivo CPE em cada área
- Duas VPNs IPSec (uma para cada dispositivo CPE)
Lembre-se de que cada VPN Site a Site tem duas rotas associadas: uma para a sub-rede da área geográfica específica e uma rota 0.0.0.0/0 padrão. O sistema Oracle obtém as rotas disponíveis para cada túnel por meio de BGP (se os túneis usarem BGP) ou porque você as define como rotas estáticas para a conexão IPSec (se os túneis usarem roteamento estático).
| CIDR de Destino | Destino da rota |
|---|---|
| 10.20.0.0/16 | DRG |
| 0.0.0.0/0 | DRG |
| CIDR de Destino | Destino da rota |
|---|---|
| 10.40.0.0/16 | DRG |
| 0.0.0.0/0 | DRG |
Estes são alguns exemplos de situações em que a rota 0.0.0.0/0 pode proporcionar flexibilidade:
- Suponha que o dispositivo CPE 1 permaneça inativo (verifique o próximo diagrama). Se a Sub-rede 1 e a Sub-rede 2 puderem se comunicar entre si, a VCN ainda poderá acessar os sistemas na Sub-rede 1 por causa da rota 0.0.0.0/0 direcionada para CPE 2.
-
Se uma organização adicionar uma nova área geográfica com a Sub-rede 3 e inicialmente conectá-la à Sub-rede 2 (consulte o próximo diagrama). Se você tiver adicionado uma regra de roteamento à tabela de roteamento da VCN para a Sub-rede 3, a VCN poderá acessar sistemas na Sub-rede 3 por causa da rota 0.0.0.0/0 direcionada para CPE 2.
Callout 1: Tabela de roteamento da VCN CIDR de Destino Destino da rota 10.20.0.0/16 DRG 10.40.0.0/16 DRG 10.60.0.0/16 DRG
Exemplo de Layout com PAT
O seguinte diagrama mostra um exemplo com essa configuração:
- Duas redes em áreas geográficas separadas que se conectam com uma VCN
- Dispositivos CPE redundantes (dois em cada área geográfica)
- Quatro VPNs IPSec (uma para cada dispositivo CPE)
- Conversão de endereço de porta (PAT) para cada dispositivo CPE
Para cada uma das quatro conexões, a rota que o sistema Oracle precisa conhecer é o endereço IP PAT do dispositivo CPE específico. O sistema Oracle aprende sobre a rota de endereço IP PAT de cada túnel por meio de BGP (se os túneis usarem BGP) ou porque você define o endereço relevante como uma rota estática para a conexão IPSec (se os túneis usarem roteamento estático).
Ao configurar as regras de roteamento da VCN, você especifica uma regra para cada endereço IP PAT (ou um CIDR agregado) com o DRG como alvo da regra.
| CIDR de Destino | Destino da rota |
|---|---|
| PAT IP 1 | DRG |
| PAT IP 2 | DRG |
| PAT IP 3 | DRG |
| PAT IP 4 | DRG |
O Que Vem a Seguir?
Consulte estes tópicos e procedimentos relacionados:
- Assistente de VPN site a site
- Configuração do CPE
- Dispositivos CPE Verificados
- Usando o Auxiliar de Configuração de CPE
- Alterando de Roteamento Estático para Roteamento Dinâmico BGP
- Trabalhando com a VPN Site a Site
- Perguntas mais Frequentes sobre a VPN Site a Site
- Métricas da VPN Site a Site
- Solução de Problemas da VPN Site a Site