附註：

• 此教學課程需要存取 Oracle Cloud。若要註冊免費帳戶，請參閱開始使用 Oracle Cloud Infrastructure Free Tier 。
• 使用 Oracle Cloud Infrastructure 證明資料、租用戶以及區間的範例值。完成實驗室時，請將這些值替代為雲端環境特定的值。

使用適用於 Microsoft Azure 的 Oracle Interconnect 最大化 IPSec 頻寬

簡介

加密很重要，本教學課程將告訴您如何對我們與全球 Microsoft Azure 的相互連線區域啟用加密。

此備援互連是以專用虛擬迴路為基礎，這是 Microsoft Azure 專用連線 ExpressRoute 和 Oracle Cloud Infrastructure (OCI) 端 FastConnect 的低可預測網路延遲。預設不會加密這些專用虛擬迴路。

本教學課程將使用 Oracle Interconnect for Microsoft Azure (Oracle Interconnect for Azure)，從 IPSec 通道新增加密，並展示如何最大化 IPSec 通道的頻寬，因為這可能是某些使用案例的限制因素。

注意： OCI FastConnect 上的 IPSec 不限於此 Oracle Interconnect for Azure，可用於任何 OCI FastConnect。我們只會將它用於此教學課程。

目標

透過 Microsoft Azure/OCI 連結建立加密的通道，以驗證合併 IPSec 通道上可能的網路頻寬。若要尋找可能的位置，請參閱 Azure 的 Interconnect 。

這些連線是以 Microsoft Azure ExpressRoute 和 OCI FastConnect 為基礎。建立這些相互連線時，大多數客戶都可以使用可接受的專用虛擬迴路，但某些客戶需要對網路連結進行加密，而此教學課程則適用於這些互連。

我們會在一個虛擬迴路上建立 8 個 IPSec 通道，以使用加密連線上的完整頻寬，因為 IPSec 通道可能無法連線到與基礎虛擬迴路相同的每個通道頻寬。

透過專用專用虛擬迴路的加密流量此選項也可套用至與 Google Cloud 的相互連線，以及內部部署和 OCI 之間的 FastConnect 連線，但設定會有所不同。

邏輯網路設計

您可以選擇只允許連線上的 IPSec 加密流量，或允許相同虛擬迴路上的未加密和加密流量。在本教學課程中，我們將在互連上同時允許兩者，但只允許加密流量到達 VCN1 和未加密流量，以便從 Microsoft Azure 中的來源連線 OCI 中的 VCN2。

在實際實作中，對於嚴格要求僅允許加密流量的客戶來說，僅允許虛擬迴路上的 IPSec 流量的選項最為合適。

帶寬 IPSec

IPSec 通道會儘快加密和解密流量，但會繫結至建立通道的兩個端點所支援的加密演算法協定，且需要 CPU 週期來加密 / 解密，進而限制每秒可以通過通道的流量量。為了克服每個通道的這項限制，您可以建立數個通道，然後使用「等價多重路徑 (ECMP)」，如果兩端都支援 ECMP，則可以透過數個通道遞送封包。

注意：單一網路串流將只會使用一個通道。若要使用 ECMP，您必須將負載分散至不同的端點 / 連接埠，這通常是實際情況。一端有數個端點會連線至另一端的數個端點。

詳細網路設定

下圖顯示 Microsoft Azure 和 OCI 中的網路設定。Microsoft Azure 端由一般集線器 / 網輻設定所組成，其中網路閘道位於集線器 vNet 中，並與網輻 vNET (此處稱為 azure-vNET) 對等，在執行這些測試時作為來源。在 OCI 端，透過 OCI FastConnect 設定 IPSec 時，我們需要為虛擬迴路和 IPSec 附件建立個別路由表。

流量

為了僅允許 Microsoft Azure vNET 與 VCN1 之間的加密流量，並允許 VCN2 的未加密流量，我們在 OCI 中有 VCN1 與 VCN2 的個別路由表，以及：

• 僅將 VCN1 CIDR 區塊通告至 IPSec 附件。
• 只將 VCN2 CIDR 區塊通告至虛擬迴路連附項。

流量會顯示在下列影像中。

必要條件

• 在上述其中一個區域存取 Microsoft Azure 租用戶。

• 存取與 Microsoft Azure 相同區域中的 OCI 租用戶。

• 在 Microsoft Azure 中建立 ExpressRoutes 和 IPSec 通道的正確存取權限。

• 在 OCI 中建立 FastConnect 和網站至網站 VPN 連線的適當存取權限。

• 本教程不適用於初學者，因此建立 VPN 通道的經驗 / 技能，需要 Microsoft Azure ExpressRoute。

• 我們假設網路設定已經完成，如下圖所示。

  

任務 1：準備

以下是一些做準備設定時最好知道的資訊。

Microsoft Azure ExpressRoute 閘道

我們使用超高效能 SKU，因為想要讓 FastPath 將 Microsoft Azure 與 OCI 之間的網路延遲降到最低，而且頻寬必須至少為 5Gbps。如需 SKU 與 ExpressRoute 閘道之間的差異資訊，請參閱 https://learn.microsoft.com/en-us/azure/expressroute/expressroute-about-virtual-network-gateways.

Microsoft Azure VPN 閘道

我們選擇了 VPN 閘道 SKU，以處理我們計畫推送的流量。VpnGw4 支援 5Gbps 傳輸量，我們將部署的相互連線虛擬迴路也是 5Gbps。如需詳細資訊，請參閱關於 VPN 閘道 SKU。到 VPN 閘道時，啟用專用 IP 是件重要的事。從 Microsoft Azure 入口網站部署期間無法啟用專用 IP，因此必須先使用公用 IP 建立 VPN 閘道，然後在部署後啟用專用 IP。

在 OCI 中，VCN1 和 VCN2 附件需要使用不同的路由表。

此階段的設定應該如下。

作業 2：建立遞送表格與匯入遞送分配

建立這些路由表並匯入路由分配。將它們全部保留空白。

1. 前往 OCI 主控台，瀏覽至網路、客戶連線、動態路由閘道、DRG ，然後按一下您的 DRG。

2. 建立下列路由表並匯入路由分配。

   • VCN1 路由表。
   • VCN2 路由表。
   • 虛擬迴路路由表。
   • IPSec 路由表。
   • VCN1 匯入路由。
   • VCN2 匯入路由。
   • 虛擬迴路匯入路由。
   • IPSec 匯入路由。

   將所有路由表和匯入路由分配留白。

作業 3：指定正確的匯入路由分配給每個路由表

按一下每個路由表名稱，編輯，選取啟用匯入路由分配，然後按一下下拉式功能表，以選取正確的匯入路由分配。對於 VCN1，我們也啟用 ECMP。

編輯之後，指派應該如下所示：

工作 4：建立 Oracle Interconnect for Azure

請依照下列文件進行：設定連線。

其中一個例外是，文件不會說明允許僅 IPSec 流量或允許所有流量的新功能。

由於我們計畫在此教學課程中允許虛擬迴路上的加密和未加密流量，因此我們需要選擇所有流量，其餘流量相同。

工作 5：指定 OCI FastConnect 和 VCN 的路由表

由於預設為針對每個附件使用自動產生的路由表，因此我們需要將它們變更為我們建立的路由表。

連附項名稱	DRG 遞送表格
FastConnect VC 附件	虛擬迴路路由表
VCN1 附件	VCN1 路由表格
VCN2 附件	VCN2 路由表格

若要這麼做，我們需要編輯附件。按一下每個附件、編輯和顯示進階選項，然後為每個附件選取 DRG 路由表。

VCN 看起來應該如下：

虛擬迴路的外觀如下：

作業 6：建立 IPSec VPN 通道

OCI 網站至網站 VPN 連線從 OCI 的觀點，在遠端使用一個 IP 位址 (客戶端設備 (CPE)，並在 OCI 前端使用每個通道一個 IP 位址。針對邊界閘道協定 (BGP) 階段作業，我們需要稍微調整設定，以便在我們設定的四個 VPN 連線中使用這兩個通道。

1. 取得 Microsoft Azure 虛擬網路閘道 (VNG) VPN 專用 IP 位址。

   若要在 Microsoft Azure 端查看 VPN 閘道的專用 IP，您必須按一下進一步瞭解。這將用於終止 Microsoft Azure 端的 VPN。

   

   接著會顯示私密 IP 位址。

   

2. 在 Microsoft Azure VNG 中建立 BGP IP。

   在 Microsoft Azure VPN 閘道建立 4x 自訂 APIPA BGP IP，OCI 端的每個 VPN 連線都有一個 IP。

   

3. 在 OCI 中建立 CPE 裝置。現在我們知道將用於所有 VPN 通道的 Microsoft Azure 網站私有 CPE IP，我們將在 OCI 的 Microsoft Azure 中使用私有 IP 建立 CPE 裝置的虛擬表示法，並需要啟用允許 IPSec over FastConnect 。若要啟用此功能，請前往網路、客戶連線，然後按一下客戶端設備。

   

4. 在 OCI 中建立網站至網站 VPN。

   前往網路、客戶連線、網站至網站 VPN ，然後按一下建立 IPSec 連線。

   由於我們已透過 CPE 上的 OCI FastConnect 啟用 IPSec，因此將顯示需要指定的新選項。

   • Oracle 前端 IP (每個通道的個別 IP，請參閱下表以瞭解此設定)。
   • 關聯的虛擬迴路 (與所有通道相同)。
   • IPSec 通道的路由表 (此範例中所有通道的路由表相同)。

   

   建立 IPSec 通道時，我們將在 OCI 端使用這些前端專用 IP。

   Azure CPE IP	VPN 連線名稱	OCI 通道名稱	OCI 前端專用 IP
   	VPN1	Tunnel1	192.168.1.1
   	VPN1	Tunnel2	192.168.1.2
   	VPN2	Tunnel3	192.168.1.3
   10.30.0.6	VPN2	Tunnel4	192.168.1.4
   	VPN3	Tunnel5	192.168.1.5
   	VPN3	Tunnel6	192.168.1.6
   	VPN4	Tunnel7	192.168.1.7
   	VPN4	Tunnel8	192.168.1.8

   從 OCI 端，這是用於 BGP 設定的組態：

   VPN 連線名稱	通道名稱	Azure APIPA BGP IP	OCI APIPA BGP IP
   VPN1	Tunnel1	169.254.21.5/31	169.254.21.4/31
   VPN1	Tunnel2	169.254.21.5/30	169.254.21.6/30
   VPN2	Tunnel3	169.254.21.9/31	169.254.21.8/31
   VPN2	Tunnel4	169.254.21.9/30	169.254.21.10/30
   VPN3	Tunnel5	169.254.21.13/31	169.254.21.12/31
   VPN3	Tunnel6	169.254.21.13/30	169.254.21.14/30
   VPN4	Tunnel7	169.254.21.17/31	169.254.21.16/31
   VPN4	Tunnel8	169.254.21.17/30	169.254.21.18/30

   若要建立與 Microsoft Azure 的 VPN 連線，請使用標準文件 (從建立 IPSec 連線開始)，然後透過 OCI FastConnect 記住上述的 IPSec 特殊設定。如需詳細資訊，請參閱 VPN 連線至 Azure 。

   所有 4 個 VPN 連線 (8 個通道) 都必須執行此操作。

工作 7：在 Microsoft Azure 中建立本機網路閘道 (LNG)

LNG 是 OCI 中 VPN 端點的虛擬表示法。使用下表所示的參數建立 8 個 LNG。

所有 LNG 的參數都顯示在表格中。建立 LNG 時，會使用這些參數 (啟用 BGP 設定值)。

名稱	端點 IP 地址	ASN 號碼	BGP 對象 IP 地址
OCI1	192.168.1.1	31898	169.254.21.4
OCI2	192.168.1.2	31898	169.254.21.6
OCI3	192.168.1.3	31898	169.254.21.8
OCI4	192.168.1.4	31898	169.254.21.10
OCI5	192.168.1.5	31898	169.254.21.12
OCI6	192.168.1.6	31898	169.254.21.14
OCI7	192.168.1.7	31898	169.254.21.16
OCI8	192.168.1.8	31898	169.254.21.18

下列影像顯示每個 VPN 連線的視覺化呈現。

工作 8：在 Microsoft Azure 中建立 vng-VPN 與每個 LNG 之間的連線

1. 前往網站至網站 VPN 頁面，按一下顯示和複製，即可從 OCI 主控台複製每個通道的共用加密密碼 (PSK)。

   

2. 在 Microsoft Azure 中，前往 vng-VPN 並建立每個 LNG 的連線。

   

3. 將每個連線的共用密碼貼到 Microsoft Azure 主控台，然後按一下下拉式功能表來選取正確的 BGP 位址、VNG 以及本機網路閘道。我們在任務 6 中使用的 BGP IP。

   

   在此之後，所有的通道都應該在幾分鐘內完成。在 Microsoft Azure 中驗證：

   

   在 OCI 中驗證：

   

工作 9：測試連線

現在是時候看看這是如何運作的。我們將測試從一個 Microsoft Azure VM 到 OCI 中 VM 的頻寬，4x VM 放置在 VCN 內，僅允許 IPSec 流量，以及另一個 VCN 中允許透過 Microsoft Azure ExpressRoute/OCI FastConnect 進行未加密流量的 VM。

兩端的 VM 有足夠的核心可以處理此網路頻寬。我們將使用 TCP 通訊協定作為測試案例，因為大多數應用程式都使用該通訊協定。

我們瞭解網路延遲會影響頻寬，但由於我們想要擷取與 IPSec 之間的差異，因此不會注意到。此處的目標並非顯示最大頻寬，而是瞭解將 IPSec 加密置於互連上的影響，而非只使用未加密的相互連線。

OCI 端有 4 個 VM 用於 IPSec 流量的原因在於，一個 VPN 通道無法飽和我們相互連線的 5Gbps 虛擬迴路，因此我們將使用 ECMP 將流量分散到不同的 VPN 通道，而每個通道都有不同的 IP 和其回應的連接埠。這通常也是現實世界中的情況，許多來源端點會和許多目的地端點交談。

對於頻寬測試，我們將使用 iperf3：https://iperf.fr/

OCI 端的伺服器 (監聽端)：

OCI VM1_a = $ iperf3 -s -p 5201
OCI VM1_b = $ iperf3 -s -p 5202
OCI VM1_c = $ iperf3 -s -p 5203
OCI VM1_d = $ iperf3 -s -p 5204
OCI VM2   = $ iperf3 -s -p 5201

任務 9.1：在虛擬迴路上測試頻寬

請執行下列命令來測試虛擬迴路的頻寬上限，從 Microsoft Azure VM 到 OCI VM2。

$ iperf3 -c <OCIVM2 IP> -p 5201
Summary output:
[ ID]   Interval         Transfer     Bitrate         Retr
[  6]   0.00-10.00  sec  6.13 GBytes  5.27 Gbits/sec  336296  sender
[  6]   0.00-10.04  sec  6.12 GBytes  5.24 Gbits/sec          receiver

我們可以看到在虛擬迴路上使用 5Gbps 頻寬，達到 5.24Gbps。

測試 9.2：使用 ECMP 測試結合的 IPSec 頻寬

執行下列命令以測試 IPSec 通道上的最大頻寬，同時從 Microsoft Azure VM 到 OCI 上的 4x VM。

$ iperf3 -c <OCIVM1_a IP> -p 5201 & iperf3 -c <OCIVM1_b IP> -p 5202 &
iperf3 -c <OCIVM1_c IP> -p 5203 & iperf3 -c <OCIVM1_d IP> -p 5204 &

這是我們執行的其中一個測試執行。

[ ID] Interval           Transfer     Bitrate         Retr
[  5]   0.00-10.00  sec  1.81 GBytes  1.56 Gbits/sec  4018   sender
[  5]   0.00-10.04  sec  1.81 GBytes  1.55 Gbits/sec         receiver

- - - - - - - - - - - - - - - - - - - - - - - - -
[ ID] Interval           Transfer     Bitrate         Retr
[  5]   0.00-10.00  sec  1.24 GBytes  1.07 Gbits/sec  32114  sender
[  5]   0.00-10.04  sec  1.24 GBytes  1.06 Gbits/sec         receiver

- - - - - - - - - - - - - - - - - - - - - - - - -
[ ID] Interval           Transfer     Bitrate         Retr
[  5]   0.00-10.00  sec  1.08 GBytes   931 Mbits/sec  1016   sender
[  5]   0.00-10.04  sec  1.08 GBytes   921 Mbits/sec         receiver

- - - - - - - - - - - - - - - - - - - - - - - - -
[ ID] Interval           Transfer     Bitrate         Retr
[  5]   0.00-10.00  sec  1.78 GBytes  1.53 Gbits/sec  63713  sender
[  5]   0.00-10.04  sec  1.78 GBytes  1.52 Gbits/sec         receiver

此測試執行的摘要為 5.05Gbps (1.55 + 1.06 + 0.92 + 1.52)。如果我們平均接受測試執行，則得到 4.51Gbps。

因此，我們可以在 OCI FastConnect 虛擬迴路上使用幾乎所有網路頻寬與 IPsec 加密。

工作 9.3：使用一個 IPSec 通道測試頻寬

在某些情況下，ECMP 無法使用 (其他端不支援)，因此我們測量了我們只能從一個 IPSec 通道取得的頻寬。一個 Microsoft Azure 上的 VM 到 OCI 上的一個 VM。

以下摘要表格顯示一個 IPSec 加密通道相當良好的網路頻寬。

我們現在顯示，如果客戶想要使用 IPSec 加密在 OCI FastConnect 連結上加密網路流量，可以使用數個 VPN 通道，將 IPSec 流量的總頻寬增加到一個 VPN 通道之外，幾乎與基礎虛擬迴路相同的總頻寬。

相關連結

• 網站至網站 VPN 總覽

• Oracle Interconnect for Azure

• FastConnect 安全

確認

• Authors - Luis Catalán Hernández (OCI 雲端網路專家和多重雲端)、Par Kansala (OCI 雲端網路專家和多重雲端)、Sachin Sharma (OCI 雲端網路專家)

其他學習資源

在 docs.oracle.com/learn 上探索其他實驗室，或在 Oracle Learning YouTube 頻道上存取更多免費學習內容。此外，請造訪 education.oracle.com/learning-explorer 以成為 Oracle Learning Explorer。

如需產品文件，請造訪 Oracle Help Center 。

---

標題與著作權資訊

Maximize IPSec Bandwidth using Oracle Interconnect for Microsoft Azure

G34148-01

Copyright ©2025, Oracle and/or its affiliates.