附註：

此教學課程需要存取 Oracle Cloud。若要註冊免費帳戶，請參閱開始使用 Oracle Cloud Infrastructure Free Tier 。
它使用 Oracle Cloud Infrastructure 憑證、租用戶及區間的範例值。完成實驗室時，請將這些值取代為您雲端環境特有的值。

使用具備 Hub 和 Spoke VCN 路由架構的 IPSec VPN 將內部部署連線至 OCI

簡介

Oracle Cloud Infrastructure (OCI) 可讓您輕鬆設定內部部署環境與 OCI 環境之間的 VPN 連線，但在 OCI 中使用集線器和軸輻拓樸時，可以在路由中建立一些複雜性。在本教學課程中，我們將設定 OCI 的網際網路協定安全 (IPSec) VPN 連線，並設定路由以確保在連線至 OCI 中的資源之前，內部部署環境的流量會由防火牆原則評估。

下列影像說明流量。

內部部署會建立連線
支點 B 與內部部署連線

目標

使用 IPSec VPN 通道將內部部署位置連線至 OCI 環境。鑑於我們的 OCI 環境使用集線器和網輻路由架構，我們也將設定必要的路由，以確保流量能正確流通，並透過基本偵測測試驗證連線能力。

必要條件

完成下列教學課程：

作業 1：準備內部部署環境

OCI 拓樸

在本教學課程中，OCI 拓樸是中樞，也是軸輻式 VCN 路由拓樸。如需詳細資訊，請參閱 Hub VCN 中含有 pfSense 防火牆的路由中心和支點 VCN 。

下圖說明起點的視覺表示法。
內部部署拓樸

若要模擬內部部署環境，我建立了一個範例設定，建立了兩個 VPS 執行處理，並在每個執行處理上安裝 pfSense。

一個 pfSense 執行處理將作為 IPSec 客戶端設備 (CPE) 終止點，另一個 pfSense 執行處理則作為內部從屬端。

此環境的設定不在本教學課程的範圍內。
OCI 和內部部署最終拓樸

將內部部署環境與 OCI 環境連線時，拓樸將如下所示：

作業 2：在 OCI 中建立 CPE

建立 IPSec VPN 連線之前，必須先在 OCI 中建立 CPE 物件。

前往 OCI 主控台。
1. 按一下左上角的漢堡選單 (按)。
2. 按一下網路。
3. 按一下網站至網站 VPN 。
1. 按一下客戶內部部署設備。
2. 按一下建立 CPE 。
在建立 CPE 中，輸入下列資訊。
1. 輸入 CPE 的名稱。
2. 輸入 IP 位址，此 IP 位址是將用來設定內部部署 VPN 之裝置的公用 IP 位址。
3. 按一下建立 CPE 。
1. 請注意，OCI 中已建立新 CPE 物件。
2. 按一下客戶連線以返回客戶連線頁面。

作業 3：在 OCI 中建立網站至網站 VPN

若要設定 OCI 網站至網站 VPN，我們必須在 OCI 端和內部部署兩端執行組態。

讓我們設定 OCI 端。
1. 按一下網站至網站 VPN 。
2. 按一下建立 IPSec 連線。
1. 輸入 IPSec 連線的名稱。
2. 選取在作業 2 中建立的 CPE。
3. 選取將用來終止此 IPSec 連線的 DRG。
4. 在您想要從 OCI 網路遞送流量的內部部署位置上，選取路由至您的內部部署網路 (LAN)。
5. 向下捲動。
1. 在 IKE 版本中，選取 IKEv1。
2. 在路由類型中，選取靜態路由。
3. 向下捲動。
1. 按一下顯示進階選項。
2. 向下捲動。
在 OCI 中，我們預設需要建立和設定兩個通道。讓我們設定第一個通道。
1. 按一下第一階段 (ISAKMP) .configuration 的右角括號 (>)。
2. 向下捲動。
在階段 1 (ISAKMP) 配置區段中，輸入以下資訊。
1. 選取設定自訂組態。
2. 在自訂加密演算法中，選取 AES_256_CBC。
3. 在自訂驗證演算法中，選取 SHA_256。
4. 在自訂 Diffie-Hellman 群組中，選取 GROUP 2。
5. 將 IKE 階段作業金鑰使用期 (秒) 預設為 288500 秒。
6. 按一下第二階段 (IPSec) 組態的右角括號 (>)。
7. 向下捲動。
在階段二 (IPSec) 組態區段中，輸入以下資訊。
1. 選取設定自訂組態。
2. 在自訂加密演算法中，選取 AES_256_CBC。
3. 在自訂驗證演算法中，選取 HMAC_SHA2_256_128。
4. 將 IPSec 階段作業金鑰生命週期 (秒) 預設為 3600 秒。
5. 選取啟用 Perfect Forward Secrecy 。
6. 在 Perfect forward secrecy Diffie-Hellman 群組中，選取 GROUP 5。
設定第二個通道。
1. 使用與第一個通道相同的配置詳細資訊。
2. 向下捲動。
按一下建立 IPSec 連線。
請注意，IPSec 通道的生命週期狀態皆為 PROVISIONING 。
1. 請注意，狀態會變更為 AVAILABLE 。
2. 請注意我們需要儲存的 Oracle VPN IP 位址。設定內部部署通道需要這些 IP 位址。
注意：我們只會使用兩個 IPSec 通道的其中一個，因此，我們只會聚焦於第一個通道組態，因此只會收集和儲存第一個 IPSec 通道的第一個 IP 位址。
按一下 CPE 與通道資訊。
按一下顯示。
1. 請注意，共用秘密金鑰是自動產生的。儲存此私密金鑰時，必須設定通道的另一邊 (內部部署)。
2. 按一下關閉。

作業 4：設定內部部署子網路的 Hub 和 Spoke VCN 路由

若要在 Hub 和 Spoke 網路架構內遞送來自內部部署網路的網路流量，我們需要對動態路由閘道 (DRG) 和 VCN 路由表進行一些變更。

下圖說明製程表格，所以這是我們的起點。

作業 4.1：更新路線匯入

更新 DRG 中的路由分配群組 (DRG_RDG_IMPORT)。新增 IPSec 通道連附項類型 (優先順序 4)。

優先順序	相符類型	比對條件	動作
1	附件	SPOKE_VCN- 附件 (_A)	ACCEPT
2	附件	SPOKE_VCN-B 附件 (_A)	ACCEPT
3	附件	SPOKE_VCN- 附件 (_A)	ACCEPT
4	附件類型	IPSec 通道	ACCEPT

前往 OCI 主控台。
1. 按一下左上角的漢堡選單 (按)。
2. 按一下網路。
3. 按一下動態路由閘道。
1. 按一下動態路由閘道。
2. 按一下我們用於 VCN 路由環境的 DRG。
1. 按一下匯入路由分配。
2. 按一下匯入路由分配 (DRG_RDG_IMPORT)。
請務必新增路由分配敘述句。
1. 請注意，路由分配敘述句已順利新增。
2. 按一下動態路由閘道詳細資訊即可返回 DRG 詳細資訊頁面。
下圖說明我們目前所建立內容的視覺呈現方式。
我們已經匯入 DRG 路由表 DRG_RT_HUB_VCN_3 中的路由。

注意：此 DRG 路由表 (DRG_RT_HUB_VCN_3) 和路由表連附項將確保 DRG 上已知和瞭解來自發言人和企業內部部署 (IPSec) 的所有網路，讓 DRG 知道網路在網路發言和路由網路的目的地。
1. 按一下 DRG 路由表以進行驗證。
2. 按一下 DRG_RT_HUB_VCN_3 路由表。
按一下取得所有路由規則。
1. 請注意，表格中會顯示來自內部部署 (10.222.10.0/24) 的路由。這表示 DRG 知道如何透過 IPSec 通道連線內部部署網路 (10.222.10.0/24)。
2. 按一下關閉。
按一下 DRG 以返回 DRG 詳細資訊頁面。

作業 4.2：建立新的 Hub VCN 路由表並與 IPSec DRG 連附項建立關聯

在 DRG 中建立新的路由表 (DRG_RT_IPSEC_VC_1)。

目的地 CIDR	下一個躍點連附項類型	下一個躍點連附項名稱
172.16.0.0/24	虛擬雲端網路	HUB_VCN_ATTACHMENT
172.16.1.0/24	虛擬雲端網路	HUB_VCN_ATTACHMENT
172.16.2.0/24	虛擬雲端網路	HUB_VCN_ATTACHMENT
172.16.3.0/24	虛擬雲端網路	HUB_VCN_ATTACHMENT

前往 OCI 主控台。
1. 按一下 DRG 路由表。
2. 按一下建立 DRG 路由表。
1. 輸入 DRG 路由表的名稱。
2. 在靜態路由規則中，輸入下列資訊以新增靜態規則。
  - 目的地 CIDR 區塊：輸入 172.16.0.0/24。
  - 下一個躍點連附項類型：選取虛擬雲端網路。
  - 下一個躍點連附項： 選取中樞 VCN。
3. 按一下 + 其他規則。
1. 新增靜態規則。
  - 目的地 CIDR 區塊：輸入 172.16.1.0/24。
  - 下一個躍點連附項類型：選取虛擬雲端網路。
  - 下一個躍點連附項： 選取中樞 VCN。
2. 按一下 + 其他規則。
1. 新增靜態規則。
  - 目的地 CIDR 區塊：輸入 172.16.2.0/24。
  - 下一個躍點連附項類型：選取虛擬雲端網路。
  - 下一個躍點連附項： 選取中樞 VCN。
2. 按一下 + 其他規則。
1. 新增靜態規則。
  - 目的地 CIDR 區塊：輸入 172.16.3.0/24。
  - 下一個躍點連附項類型：選取虛擬雲端網路。
  - 下一個躍點連附項： 選取中樞 VCN。
2. 按一下建立 DRG 路由表。
幾分鐘之後，將會建立路由表。
1. 請注意，已建立新的 DRG 路由表 (DRG_RT_IPSEC_VC_1)。
下圖說明我們目前所建立內容的視覺呈現方式。
我們必須將路由表與 DRG IPSec 通道連附項建立關聯 / 連附 / 連結。

注意：此 DRG 路由表 (DRG_RT_IPSEC_VC_1) 和路由表連附項將確保可從內部部署連線所有網路。這也是控制遞送的方式，而且只允許遞送至您想要遞送的目標發言人。
1. 按一下 IPSec 通道附件。
2. 按一下第一個附件。
1. 請注意，IPSec 附件正在使用自動產生的預設 DRG 路由表。
2. 按一下編輯。
1. 選取上方建立的 DRG 路由表 (DRG_RT_IPSEC_VC_1)。
2. 按一下儲存變更。
1. 請注意，第一個 IPSec 通道的 IPSec 附件上有一個作用中的新 DRG 路由表。
2. 按一下 DRG 以返回 DRG 詳細資訊頁面。
下圖說明我們目前所建立內容的視覺呈現方式。

注意：我們將不會更新第二個 IPSec 通道連附項的 DRG 路由表，因為本教學課程中未使用第二個通道。

作業 4.3：更新 Hub VCN 專用子網路路由表

要更新的最後一個路由表是與中樞 VCN 中專用子網路關聯的 VCN 路由表。

更新中樞 VCN 中的路由表 (VCN_RT_HUB_PRIVATE_SUBNET)。

將內部部署網路新增至 (VCN_RT_HUB_PRIVATE_SUBNET) 表格。

目的地	目標類型	Target	路由類型
0.0.0.0/0	NAT 閘道	立方公尺 area unit	靜態
172.16.1.0/24	動態路由閘道	DRG	靜態
172.16.2.0/24	動態路由閘道	DRG	靜態
172.16.3.0/24	動態路由閘道	DRG	靜態
10.222.10.0/24	動態路由閘道	DRG	靜態

注意： 此 VCN 路由表 (VCN_RT_HUB_PRIVATE_SUBNET) 將路由和內部部署 IPSec 網路的目的地流量遞送至防火牆。目的地為 NAT 閘道之網際網路 (網輻網路以外的所有流量) 的流量也會由此路由表遞送。

前往 OCI 主控台。
1. 按一下左上角的漢堡選單 (按)。
2. 按一下網路。
3. 按一下虛擬雲端網路。
按一下中樞 VCN。
1. 按一下路由表。
2. 按一下 VCN_RT_HUB_PRIVATE_SUBNET 路由表。
我已新增路線規則，請務必新增。順利在路由規則中新增時，看起來應該就像這樣。
下圖說明我們目前所建立內容的視覺呈現方式。

作業 5：使用 pfSense 在企業內部部署環境中建立網站至網站 VPN

我們已設定 IPSec 通道的 OCI 端。讓我們設定內部部署端。我們使用 pfSense 防火牆作為 IPSec 終止端點。

Task 5.1：建立 IPSec 通道 (第 1 階段 ISAKMP)

前往 pfSense 入口網站。
1. 按一下 VPN 下拉式功能表。
2. 按一下 IPSec 。
1. 按一下通道。
2. 按一下 + 新增 P1 。
1. 輸入描述。
2. 在金鑰交換版本中，選取 IKEv1 。
3. 在網際網路通訊協定中，選取 IPv4 。
4. 在介面中，選取 WAN 。
5. 在遠端閘道中，輸入可從 OCI 主控台擷取的公用 IP 位址。請前往網路、客戶連線、網站至網站 VPN ，然後按一下 VPN。
6. 向下捲動。
在階段 1 提案區段中，輸入下列資訊。
1. 在認證方法中，選取共同 PSK 。
2. 在議價模式中，選取主要。
3. 在我的 ID 中，選取 IP 位址，然後輸入您在工作 3 中擷取之內部部署端的本機公用 IP 位址。
4. 在對等 ID 中，選取 IP 位址，然後輸入 OCI 端的遠端公用 IP 位址。
5. 輸入在「工作 3」中擷取的 (Pre) Shared secret key 。
6. 設定加密演算法：
  - 演算法：選取 AES 。
  - 金鑰長度：選取 256 位元。
  - 雜湊：選取 SHA256 。
  - DH 群組：選取 2 (1024 位元) 。- 向下捲動。
1. 在壽命時間中，輸入 28800 秒。
2. 在子項服務協議關閉動作中，選取重新啟動 / 重新連線。
3. 向下捲動。
按一下儲存。
1. 請注意，已設定階段 1 IPSec 組態。
2. 按一下套用變更，確認變更。
1. 請注意，已順利套用變更。
2. 按一下顯示第 2 階段項目。

工作 5.2：建立 IPSec 通道 (階段 2 IPSec)

按一下 + 新增 P2 。
1. 輸入描述。
2. 在模式中，選取路由 (VTI) 。
3. 選取本機 (內部部署) 網路。
4. 選取遠端 (OCI) 網路。
5. 向下捲動。
1. 在協定中，選取 ESP 。
2. 在加密演算法中，選取 AES 256 位元。
3. 在雜湊演算法中，選取 SHA256 。
4. 在 PFS 金鑰群組中，選取 5 (1536 位元) 。
5. 在壽命時間中，輸入 3600 秒。
6. 向下捲動。
按一下儲存。
1. 請注意，已設定階段 1 IPSec 組態。
2. 按一下統計資料。
請注意，狀態為已建立。
讓我們確認 OCI 端的通道狀態。前往 OCI 主控台，瀏覽至網路、客戶連線、網站至網站 VPN ，然後按一下 VPN。請注意，第一個通道的 IPSec 狀態為使用中。

Task 5.3：啟用通道介面

我們需要在內部部署端啟用通道介面。前往 pfSense 入口網站。
1. 按一下介面下拉式功能表。
2. 按一下指定。
3. 請注意，新的 VTI 介面可以使用。
4. 按一下 + 新增以新增介面。
1. 請注意，已新增介面。
2. 按一下新增的通道介面 (OPT1)。
1. 選取啟用介面以啟用介面。
2. 按一下儲存。

工作 5.4：開啟 IPSec 的防火牆規則

若要允許 IPSec 流量通過通道，我們需要新增一些防火牆規則。
1. 按一下防火牆下拉式功能表。
2. 按一下規則。
1. 按一下 IPSec 。
2. 請注意，沒有與 IPSec 相關的防火牆規則。
3. 按一下新增。
請輸入下列資訊。
1. 動作：選取通過。
2. 介面：選取 IPSec 。
3. 位址系列：選取 IPv4 。
4. 協定：選取任一。
5. 來源：選取任一。
6. 目的地：選取任一。
7. 向下捲動。
按一下儲存。
1. 請注意，新規則已就緒。
2. 按一下套用變更，確認變更。
請注意，已順利套用變更。

Task 5.5：Configure IPSec Routing - 工作 5.5：設定 IPSec 路由

在這項任務中，我們將設定路由，讓 pfSense 防火牆知道如何透過 IPSec 通道和 OPT1 介面連線 OCI 網路。

前往 pfSense 入口網站。
1. 按一下系統下拉式功能表。
2. 按一下遞送。
3. 在預設閘道 IPv4 中，選取您要用作第一個優先順序的 WAN_DHCP 或預設閘道。
4. 按一下 + 新增以新增閘道。
1. 在介面中，選取 OPT1 (通道介面)。
2. 在位址系列中，選取 IPv4。
3. 輸入名稱。
4. 在閘道中，請勿指定任何 IP 位址，請保留空白。
5. 向下捲動。
按一下儲存。
1. 請注意，已為我們的 IPSec 通道新增閘道。
2. 按一下靜態路由。
按一下 + 新增，即可新增靜態路由。
1. 輸入 OCI 網路的目的地網路。
2. 選取 OCI 網路的目的地子網路。
3. 選取上方建立的閘道。
4. 按一下儲存。
請注意，新增的靜態路由將會使用通道介面遞送 OCI 網路的目的地流量。

作業 6：設定內部部署路由

我們使用 IPSec VPN 端點的 pfSense 進行路由。我們必須確定其他內部部署網路都知道如何連線至 OCI 網路。因此，我們必須將目的地為 OCI 的所有流量遞送至 pfSense VPN 端點。

在測試內部部署運算從屬端設定路由

我們使用 pfSense 執行處理來模擬內部部署網路。

注意：此執行處理與剛用來設定 IPSec 通道的執行處理不同！

前往 PfSense 入口網站。
1. 按一下系統下拉式功能表。
2. 按一下路由。
1. 選取 WAN_DHCP 或您的預設閘道，作為第一個優先順序。
2. 按一下 + 新增以新增閘道。
1. 在介面中，選取 LAN。
2. 在位址系列中，選取 IPv4。
3. 輸入名稱。
4. 輸入另一個 pfSense 執行處理的 LAN IP 位址 (終止 IPSec 通道的執行處理)。
5. 向下捲動。
按一下儲存。
1. 請注意，系統會為其他 pfSense 執行處理新增一個閘道。
2. 按一下靜態路由。
按一下 + 新增，即可新增靜態路由。
1. 選取 OCI 網路的目的地網路。
2. 選取 OCI 網路的目的地子網路。
3. 選取上方建立的閘道。
4. 按一下儲存。
請注意，新增的靜態路由會使用其他 pfSense 執行處理來遞送 OCI 網路的目的地流量。

作業 7：驗證連線

我們已設定 VPN、新增正確的防火牆規則，以及已設定的路由，現在可測試連線。

作業 7.1：從內部部署偵測至支點 VCN A

由於路線安排組態：
- 流量將會傳送至 (內部部署) pfSense VPN 執行處理。
- 流量會透過 IPSec VPN 通道傳送至 DRG。
- DRG 接著會將流量遞送至 OCI pfSense 防火牆。
- OCI pfSense 防火牆將允許或拒絕以設定的防火牆規則為基礎的流量。
- 接受 ICMP 流量時，會將流量遞送至 Spoke 執行處理。
從 VPN pfSense 內部部署執行處理執行偵測測試。
1. 按一下診斷下拉式功能表。
2. 按一下偵測。
3. 輸入主機名稱，此主機名稱是 Spoke VCN A 執行處理的 IP 位址。
4. 在 IP 協定中，選取 IPv4。
5. 在來源位址中，選取 LAN 介面。
6. 在偵測數目上限中，選取 3。
7. 按一下偵測。
8. 請注意，我們有 0% 封包遺失。
我們也可以從其他 pfSense 執行處理 (從屬端) 進行測試。從從屬端 pfSense 內部部署執行處理執行偵測測試。
1. 按一下診斷下拉式功能表。
2. 按一下偵測。
3. 輸入主機名稱，此主機名稱是 Spoke VCN A 執行處理的 IP 位址。
4. 在 IP 協定中，選取 IPv4。
5. 在來源位址中，選取 LAN 介面。
6. 在偵測數目上限中，選取 3。
7. 按一下偵測。
8. 請注意，我們有 0% 封包遺失。

作業 7.2：從軸輻 VCN B 偵測至內部部署

由於路線安排組態：
- 流量將會傳送至 DRG。
- DRG 接著會將流量遞送至 OCI pfSense 防火牆。
- OCI pfSense 防火牆將允許或拒絕以設定的防火牆規則為基礎的流量。
- 接受 ICMP 流量時，會將流量遞送回 DRG。
- 流量會透過 IPSec VPN 通道傳送至內部部署 pfSense 執行處理。
1. 連線至分支 B VCN 執行處理。
2. 對內部部署 pfSense VPN 執行處理 (10.222.10.1) 的 LAN IP 位址執行偵測。
3. 請注意，我們有 0% 的封包遺失，因此偵測成功。
4. 對內部部署 pfSense 從屬端執行處理 (10.222.10.100) 的 LAN IP 位址執行偵測。
5. 請注意，我們有 0% 的封包遺失，因此偵測成功。

作業 7.3：檢查 OCI 上的 IPSec VPN 網路統計資料

前往 OCI 主控台。
1. 按一下左上角的漢堡選單 (按)。
2. 按一下網路。
3. 按一下網站至網站 VPN 。
按一下 VPN。
按一下第一個通道。
1. 請注意，通道狀態顯示二進位狀態的常數 1，表示通道會不斷啟動。
2. 向下捲動。
1. 請注意，圖表是收到的封包和傳送的封包的尖峰，這是因為我們在 Task 7.1 中執行的偵測所致。
2. 請注意，圖表是收到的封包和傳送的封包的尖峰，這是因為我們在 Task 7.2 執行的偵測所致。

作業 7.4：檢查 pfSense VPN 執行處理 (內部部署) 上的 IPSec VPN 網路統計資料

前往 PfSense 入口網站。
1. 按一下狀態下拉式功能表。
2. 按一下 IPSec 。
按一下顯示子項服務協議項目 (1 個連線) 。
請注意，封包和位元組已進出。

Network Visualizer

隨著我們新增 VPN，您可以在 OCI 主控台上使用網路視覺化程式來取得網路總覽。

前往 OCI 主控台。
1. 按一下左上角的漢堡選單 (按)。
2. 按一下 Network 。
3. 按一下網路視覺化程式。
您可以看到四個 VCN (一個 Hub 和三個 Spokes)，以及與 VPN 連線的內部部署。

認可

作者 - Iwan Hoogendoorn (OCI 網路專家)

其他學習資源

瀏覽 docs.oracle.com/learn 的其他實驗室，或前往 Oracle Learning YouTube 頻道存取更多免費學習內容。此外，請造訪 education.oracle.com/learning-explorer 以成為 Oracle Learning Explorer。

如需產品文件，請造訪 Oracle Help Center 。

標題與著作權資訊

Connect On-premises to OCI using an IPSec VPN with Hub and Spoke VCN Routing Architecture

G10336-01

June 2024

Oracle 和 (或) 其關係企業。