Observação:

Use o serviço VPN Site a Site do Oracle Cloud Infrastructure no modo HA com roteamento ECMP do Linux e do Libreswan

Introdução

No mundo interconectado de hoje, é fundamental garantir a disponibilidade e a segurança dos dados transmitidos através de redes. Para atender a essa necessidade crítica, o Oracle Cloud oferece recursos de rede robustos, incluindo a capacidade de estabelecer túneis IPSec de alta disponibilidade. Neste tutorial, vamos explorar o conceito de túneis IPSec de alta disponibilidade e orientá-lo durante o processo de configuração de uma arquitetura de rede resiliente no Oracle Cloud usando o protocolo ECMP (equal-cost multi-path).

Neste tutorial, vamos nos concentrar em utilizar o Oracle Linux, um sistema operacional poderoso e seguro otimizado para ambientes do Oracle Cloud, juntamente com o Libreswan, um cliente IPSec bem estabelecido, para estabelecer túneis IPSec no modo baseado em rota. Vamos utilizar a funcionalidade DRG (Dynamic Routing Gateway) fornecida pelo OCI (Oracle Cloud Infrastructure) para permitir failover e balanceamento de carga contínuos entre diversos túneis IPSec.

Objetivos

Forneça um guia abrangente para implementar Túneis IPSec no OCI usando o protocolo de roteamento ECMP para tráfego de balanceamento de carga junto a eles no cenário ativo/ativo.

Seguindo este tutorial, você obterá uma compreensão abrangente de IPSec no OCI. Você adquirirá as habilidades necessárias para efetivamente interconectar sua infraestrutura local com o OCI por meio de uma conexão redundante.

Pré-requisitos

Observação: É recomendável que você tenha um ambiente de teste configurado no OCI para experimentar as configurações de rede e IPSec antes de implementá-las em um ambiente de Produção.

O que é IPSec VPN

Internet Protocol security (IPSec) é uma estrutura de padrões abertos que ajuda a garantir comunicações privadas e seguras através de redes IP (Internet Protocol) através do uso de serviços de segurança criptográfica. O IPSec suporta integridade de dados em nível de rede, confidencialidade e autenticação da origem de dados e proteção de repetição. Como o IPSec está integrado na camada da Internet (camada 3), ele fornece segurança para quase todos os protocolos na suíte TCP/IP e como o IPSec é aplicado de forma transparente aos aplicativos, não há necessidade de configurar uma segurança separada para cada aplicativo que usa TCP/IP.

O IPSec ajuda a fornecer defesa em profundidade contra ataques baseados em rede de computadores não confiáveis, ataques que podem resultar na negação de serviço de aplicativos, serviços ou a rede.

VPN Site a Site

Uma VPN IPSec (Internet Protocol Security) site a site, também conhecida como VPN rede a rede, estabelece uma conexão segura e criptografada entre duas ou mais redes pela internet. Ele permite a transmissão segura de dados entre sites distribuídos geograficamente, criando uma rede privada virtual (VPN) que amplia o alcance da rede além de seus limites físicos.

Em um IPSec VPN site a site, as redes participantes, geralmente pertencentes a diferentes organizações ou ramificações remotas da mesma organização, são conectadas por meio de túneis IPSec dedicados. Esses túneis encapsulam e criptografam o tráfego de rede, garantindo sua confidencialidade, integridade e autenticidade, percorrendo redes não confiáveis, como a internet.

Por outro lado, uma VPN ponto a site (P2S) estabelece uma conexão segura entre dispositivos cliente individuais e uma rede remota. Ao contrário das VPNs site a site, que conectam redes, as VPNs P2S permitem o acesso remoto seguro para dispositivos individuais para acessar os recursos de rede. P2S VPNs geralmente são usadas para permitir acesso seguro para funcionários remotos, contratados ou usuários móveis que precisam se conectar à rede da organização de locais externos.

Observação: Este escopo do tutorial é limitado ao IPSec VPN Site a Site que é atualmente o único suportado no OCI DRGv2.

Conceitos de Túneis VPN IPSec

IPSec significa Internet Protocol Security ou IP Security. IPSec é uma suíte de protocolos que criptografam todo o tráfego IP antes que os pacotes sejam transferidos do nó de origem para o destino. IPSec pode ser configurado de dois modos:

Os túneis entre sites da IPSec VPN oferecem as seguintes vantagens:

Observação: A VPN Site a Site do OCI SOMENTE suporta o modo de túnel para que esse seja o único modo disponível no OCI.

Arquitetura

Arquitetura

O OCI IPSec com ECMP consiste em listas que incluem:

Tarefa 1: Configurar Definições do OCI

Para este tutorial, criamos uma instância de VM do Oracle Linux 7 e instalamos o Libreswan 3.25 nele. Para instalar o Libreswan no Linux, você pode seguir a seguinte documentação da Oracle: Acesso a Outras Nuvens com o Libreswan. Você pode instalar o Libreswan no ambiente de sua escolha. Para este tutorial, escolhemos outra região remota no OCI como cliente Libreswan e iniciador de túnel.

Depois de instalar o Libreswan (sem configurá-lo ainda), anote o IP público da sua VM Linux 7, bem como a faixa IPv4 CIDR privada na qual você instalou o Libreswan.

Agora, vamos configurar as Definições do OCI

Tarefa 2: Configurar Definições de Linux e Libreswan

Esta parte do tutorial se concentrará nas etapas de configuração do Linux OS e Libreswan. O Libreswan que instalamos anteriormente atuará como um iniciador do Túnel Site a Site e OCI DRG como um respondedor de Túnel.

Tarefa 3: Configurar o roteamento de IP e o tráfego de Túnel

Esta parte do tutorial se concentrará no roteamento de IP e no tráfego de Túnel.

Tarefa 4: Configurar balanceamento de carga e redundância ECMP

Esta parte do tutorial se concentrará no balanceamento de carga e na redundância ECMP.

Confirmações

Autores - Luis Catalán Hernández (Especialista em Rede em Nuvem do OCI e Multi Cloud), Antonio Gamir (Especialista em Rede em Nuvem do OCI)

Mais Recursos de Aprendizagem

Explore outros laboratórios no site docs.oracle.com/learn ou acesse mais conteúdo de aprendizado gratuito no canal YouTube do Oracle Learning. Além disso, visite education.oracle.com/learning-explorer para se tornar um Oracle Learning Explorer.

Para obter a documentação do produto, visite o Oracle Help Center.