在 Oracle Cloud Infrastructure 上使用 Cisco ASAv 部署可扩展的远程访问 VPN 架构

虚拟防火墙将 Cisco 先进的本地安全机制无缝扩展到云端。非常适合远程员工和多租户环境。Cisco ASAv 为 Oracle Cloud Infrastructure (OCI) 提供了一个可扩展的 VPN 解决方案，其中包含多个功能选项，例如远程访问、站点到站点、客户端更少等。

体系结构

此参考架构展示了组织如何部署可扩展的远程访问 VPN 体系结构来访问 Oracle 应用程序（如 Oracle E-Business Suite 和 PeopleSoft），或如何使用具有灵活网络负载平衡器的 Cisco ASA 虚拟防火墙部署在 OCI 中的应用程序。

为了访问这些应用程序，Cisco 建议使用集线器对网络进行细分，并请求拓扑，在拓扑结构中，流量通过中转集线器（VCN 外部 / 内部）路由，并连接到多个不同的网络（发言人）。确保已在弹性网络负载平衡器之间部署了多个 ASA 虚拟防火墙。发言人之间的所有流量都通过具有 Cisco ASA 虚拟防火墙的外部 / 内部 VCN 进行路由。

在自带虚拟云网络 (virtual cloud network， VCN) 中部署应用的每个层，该网络充当分支。Hub VCN/ 管理 VCN 在网络负载平衡器后面包含两个 Cisco ASAv 防火墙。

内部 VCN 通过 LPG/DRG 连接到分支 VCN。所有分支流量都使用路由表规则，将流量通过 LPG/DRG 路由到内部 VCN，以确保流量返回 VPN 最终用户。

可以使用 ASDM 或 CLI 管理和监视 ASAv。还提供了其他管理选项，例如 Cisco Defense Orchestrator (CDO)。下图说明了此参考体系结构。

插图 ravpn_arch_cisco_asa_vfirewall.png 的说明

ravpn_arch_cisco_asa_vfirewall-oracle.zip

该体系结构具有以下组成部分：

• Cisco ASA 虚拟防火墙

  Cisco 自适应安全虚拟设备 (ASAv) 将完整防火墙功能引入虚拟化环境，从而确保数据中心流量和多租户环境的安全。以一致的方式保护公共云和私有云。

• 区域

  Oracle Cloud Infrastructure 区域是一个局部地理区域，其中包含一个或多个数据中心，称为可用性域。区域与其他区域无关，它们的距离可以分离（跨国家 / 地区甚至大陆）。

• 可用性域

  可用性域是一个区域中的独立数据中心。每个可用性域中的物理资源与其他可用性域中的资源隔离，以提供容错功能。可用性域不共享基础设施（例如电源或冷却设备）或内部可用性域网络。因此，一个可用性域出现故障不太可能影响区域中的其他可用性域。

• 容错域

  容错域是可用性域内的一系列硬件和基础设施。每个可用性域都具有三个具有独立电源和硬件的容错域。当您在多个容错域中分配资源时，应用可以承受容错域中的物理服务器故障、系统维护和电源故障。

• 虚拟云网络 (VCN) 和子网

  VCN 是您在 OCI 区域中设置的可定制软件定义网络。与传统的数据中心网络一样，VCN 允许您完全控制您的网络环境。一个 VCN 可以具有多个不重叠的 CIDR 块，您可以在创建 VCN 后更改这些块。您可以将 VCN 细分到子网，从而限定在区域或可用性域范围内。每个子网都包含不与 VCN 中的其他子网重叠的连续地址范围。创建子网后可以更改子网的大小。子网可以是公共子网，也可以是专用子网。

• 管理 VCN

  管理 VCN 是部署 Cisco ASA 虚拟防火墙的集中网络。它与内部 VCN/ 所有分支 VCN、OCI 服务、公共端点和客户端以及内部部署数据中心网络提供安全连接。

• 在 VCN 外部

  外部 VCN 包含用于托管灵活网络负载平衡器的公共子网。最终用户可以使用该子网作为 VPN 标头进行连接。每个 Cisco ASA 虚拟防火墙还具有此 VCN 子网内的接口。

• 在 VCN 内

  VCN 内包含一个专用子网，以确保最终用户可以连接到在此 VCN 中运行的应用程序，或者通过此 VCN 连接到 Spoke VCN。每个 Cisco ASA 虚拟防火墙还具有此 VCN 子网内的接口。

• 请求 VCN

  应用 / 数据库层分支 VCN 包含用于托管 Oracle 数据库 / 应用的专用子网。

• 弹性网络负载平衡器

  OCI 灵活的网络负载平衡器提供从一个入口点到虚拟云网络中的多个后端服务器的自动流量分配。它在连接级别运行，并且负载平衡器根据 Layer3/Layer4（IP 协议）数据将客户端连接传入到健康的后端服务器。

• 安全列表

  对于每个子网，您可以创建安全规则来指定必须允许进出子网的源、目的地和流量类型。

• 路由表

  虚拟路由表包含将流量从子网路由到 VCN 外部的目标（通常通过网关）的规则。

  • 在管理 VCN 中，您具有以下路由表：连接到管理子网的管理路由表，该管理子网具有连接到互联网网关的默认路由。
  • 在 VCN 外部中，您具有以下路由表：连接到外部子网的外部路由表或从 VCN 外部到互联网或内部部署目标的路由流量的默认 VCN。
  • 在 VCN 内，您具有以下路由表：与防火墙关联的每个 VPN 池 CIDR 都通过此路由表进入内部接口

  注：

  您还可以将管理 / 内部 / 外部子网部署为单个 VCN 的一部分，并相应地路由流量。
• Internet 网关

  互联网网关允许在 VCN 中的公共子网与公共互联网之间通信。

• NAT 网关

  NAT 网关允许 VCN 中的专用资源访问互联网上的主机，同时不会向传入的互联网连接公开这些资源。

• 动态路由网关 (DRG)

  DRG 是虚拟路由器，用于为 VCN 和区域外网络之间的专用网络流量提供路径，例如其他 OCI 区域中的 VCN、内部部署网络或其他云提供商中的网络。

• 服务网关

  通过服务网关可以从 VCN 访问其他服务，例如 OCI 对象存储。从 VCN 到 Oracle 服务的流量通过 Oracle 网络结构传输，并且从不穿过互联网。

• 虚拟网络接口卡 (VNIC)

  OCI 数据中心中的服务具有物理网络接口卡 (network interface card， NIC)。VM 实例使用与物理 NIC 关联的虚拟 NIC (virtual NIC， VNIC) 进行通信。每个实例都有一个主要 VNIC，它在启动期间自动创建并连接，在实例的生命周期内都可用。DHCP 仅提供给主要 VNIC。您可以在实例启动后添加辅助 VNIC。为每个接口设置静态 IP。

• 专用 IP

  用于寻址实例的专用 IPv4 地址和相关信息。每个 VNIC 都有一个主要专用 IP，您可以添加和删除辅助专用 IP。实例上的主要专用 IP 地址在实例启动期间附加，在实例的生命周期内不会更改。

• 公共 IP

  网络服务定义由 Oracle 选择的映射到专用 IP 的公共 IPv4 地址。公共 IP 具有以下类型：暂时性：此地址是临时的，在实例的有效期内存在。保留：此地址在实例的生命周期结束后仍然存在。可以取消分配它并将其重新分配给其他实例。

• 源和目标检查

  每个 VNIC 对其网络流量执行源和目标检查。通过禁用此标志，Cisco ASA 虚拟防火墙可以处理非防火墙目标的网络通信。

• 计算配置

  计算实例的配置指定分配给实例的 CPU 数和内存量。计算配置还确定可用于计算实例的 VNIC 数量和最大带宽。

建议

使用以下建议作为使用 Cisco ASA 虚拟防火墙部署远程访问 VPN 体系结构的可扩展性的起点。您的要求可能不同于此处介绍的体系结构。

• VCN
  • 创建 VCN 时，根据您计划连接到 VCN 中子网的资源数，确定所需的 CIDR 块数和每个块的大小。使用标准专用 IP 地址空间内的 CIDR 块。
  • 选择不与您打算设置专用连接的任何其他网络（在 OCI 中、您的内部部署数据中心或其他云提供商）重叠的 CIDR 块。
  • 创建 VCN 后，您可以更改、添加和删除其 CIDR 块。
  • 设计子网时，请考虑流量和安全要求。将特定层或角色中的所有资源连接到同一子网，这些子网可以用作安全边界。
  • 使用区域子网。
• Cisco ASA 虚拟防火墙
  • 此体系结构具有独立的防火墙实例；如果防火墙故障，最终用户将需要重新验证。
  • 请尽可能在不同的容错域中部署，以实现最小或不同的可用性域。
• Cisco ASA 虚拟防火墙管理
  • 如果要创建托管在 Oracle Cloud Infrastructure 中的部署，请创建用于管理的专用子网。
  • 使用安全列表或 NSG 可限制对源自 Internet 的端口 443 和 22 的入站访问，以管理安全策略并查看日志和事件。

考虑事项

在部署远程访问 VPN 体系结构以使用 Cisco ASA 虚拟防火墙在 OCI 上访问 Oracle E-Business Suite 或 PeopleSoft 工作负载时，请考虑以下因素：

• 表现
  • 选择由计算配置确定的合适实例大小，确定最大可用吞吐量、CPU、RAM 和接口数。
  • 组织需要知道哪些类型的流量会穿越环境，确定适当的风险级别，并根据需要应用适当的安全控制措施。启用的安全控件的不同组合会影响性能。
  • 可以考虑为 FastConnect 或 VPN 服务添加专用接口。
  • 可以考虑使用大型计算配置来提高吞吐量并访问更多网络接口。
  • 运行性能测试来验证设计是否可以维持所需的性能和吞吐量。
  • 使用这些度量作为指导：

    9.16 及更高版本的 OCI 性能规范。

    许可证类型	1 亿 (ASAv5)	1GB (ASAv10)	2GB (ASAv30)	10GB (ASAv50)	20GB (ASAv100)
    OCI 配置类型	VM.Standard2.4	VM.Standard2.4	VM.Standard2.4	VM.Standard2.8	VM.Standard2.8
    有状态检验吞吐量	100 Mbps	1 Gbps	2 Gbps	即将推出	即将推出
    有状态检查吞吐量（多协议）	100 Mbps	1Gbps	2 Gbps	2.3 Gbps	3 Gbps
    IPsec VPN 吞吐量（AES 450B UDP 测试）	100 Mbps	550 Mbps	550 Mbps	550 Mbps	620 Mbps
    每秒连接数	12,500	26,600	26,600	26,600	38,200
    Concurrent sessions (并行会话)	50,000	100,000	500,000	2,000,000	4,000,000
    IPSEC VPN 对等节点	50	250	750	10,000	20,000
    Cisco AnyConnect 或无客户机 VPN 用户会话	50	250	750	10,000	20,000

• 安全性

  在 OCI 中部署 Cisco ASA 虚拟防火墙可提供完全防火墙服务来保护数据中心流量和远程工作人员。

• 可用性
  • 将您的架构部署到不同的地理区域以获得更高的冗余。
  • 为站点到站点 VPN 配置相关组织网络，以实现与内部部署网络的冗余连接。
• 成本
  • Cisco ASA 虚拟防火墙适用于自带许可证 (BYOL)
  • 有关如何管理许可证的更多信息，请参见下文的“浏览更多”主题中引用的 Cisco 自适应安全虚拟设备 (ASAv) 产品介绍和 ASAv 的智能许可。

部署

要使用 Cisco ASA 虚拟防火墙在 Oracle Cloud Infrastructure 上部署远程访问 VPN 体系结构，请执行以下步骤：

Oracle 建议从 Oracle Cloud Marketplace 部署体系结构。

• 使用 Oracle Cloud Marketplace 中的堆栈进行部署：
  1. 使用 Oracle Cloud Marketplace 中的堆栈进行部署：设置所需的网络基础结构，如架构图中所示。请参见以下示例：设置集线器和内存网络拓扑。
  2. 在您的环境中部署应用程序（Oracle E-Business Suite、PeopleSoft 或预期应用程序）。
  3. Oracle Cloud Marketplace 包含多个列表，以满足不同的配置和许可要求。例如，以下列表功能会自带许可 (BYOL)。对于您选择的每个列表，单击“Get App（获取应用程序）”，然后按照屏幕上的提示进行操作：
     • Cisco ASA 虚拟防火墙
     • Cisco 市场列表
• 在 GitHub 中使用 Terraform 代码部署：
  1. 转到 GitHub。
  2. 将资料档案库克隆或下载到本地计算机。
  3. 按照 README 文档中的说明进行操作。

浏览更多

了解有关此体系结构功能和相关资源的更多信息。

查看以下其他资源，了解有关 Oracle Cloud Infrastructure 的更多信息：

• Oracle Cloud Infrastructure 的优秀实践框架
• Oracle Cloud Infrastructure 安全指南
• 了解如何在 Oracle Cloud Infrastructure 上部署 Oracle E-Business Suite
• 了解如何在 Oracle Cloud Infrastructure 上部署 PeopleSoft
• 了解如何部署 Felxible 网络负载平衡器

查看以下其他资源以了解有关 Cisco 的更多信息：

• Oracle Cloud Infrastructure 上的 Cisco ASAv 指南
• 了解面向云的 Cisco Secure Firewall 资源
• 博客：从 OCI Marketplace 中预配 Cisco 的 ASAv
• 博客：通过本地验证在 ASAv 上配置远程访问 VPN

致谢

• 作者：Arun Poonia