注意：

此教學課程需要存取 Oracle Cloud。若要註冊免費帳戶，請參閱開始使用 Oracle Cloud Infrastructure Free Tier 。
它會使用 Oracle Cloud Infrastructure 證明資料、租用戶及區間的範例值。完成實驗室時，請將這些值替代為您雲端環境特定的值。

以 HA 模式使用 Oracle Cloud Infrastructure 站對站 VPN 服務，並搭配 Linux 和 Libreswan 的 ECMP 路由。

簡介

在現今互連的世界中，確保跨網路傳輸資料的可用性和安全性至關重要。為滿足此關鍵需求，Oracle Cloud 提供健全的網路功能，包括建立高可用性 IPSec 通道的能力。在本教學課程中，我們將探索高可用性 IPSec 通道的概念，並引導您使用 Equal-cost 多路徑 (ECMP) 協定，在 Oracle Cloud 中設定具有復原能力的網路架構。

在本教學課程中，我們將專注於針對 Oracle Cloud 環境最佳化的強大且安全作業系統 Oracle Linux，以及建立穩固 IPSec 用戶端的 Libreswan，以路由模式建立 IPSec 通道。我們將利用 Oracle Cloud Infrastructure (OCI) 提供的動態路由閘道 (DRG) 功能，在多個 IPSec 通道之間實現無縫容錯移轉和負載平衡。

目標

提供在 OCI 中導入 IPSec 通道的全方位指南，使用 ECMP 路由協定，在作用中 / 作用中案例中沿用負載平衡流量。

瞭解 Site-To-Site IPSec 通訊協定的基本知識
瞭解不同的 IPSec 模式：傳輸與通道、原則型與路由型
在 Oracle Linux 中設定 Libreswan 並搭配 ECMP 負載平衡
設定 DRGv2 以使用備援 IPSec 通道
使用 Iperf3 測試通道備援及負載平衡

本教學課程旨在協助您全面瞭解 OCI 中的 IPSec。您將獲得透過備援連線，有效地將內部部署基礎架構與 OCI 連結所需的技能。

必要條件

作用中 OCI 租用戶。您必須具備在 OCI 中建立及管理網路資源的必要權限。
對 Linux 作業系統、網路概念和 OCI 的基本瞭解。這包括熟悉基本的網路概念，例如 IP 位址、子網路、路由以及防火牆。
對 Oracle Linux 的基本瞭解，包括如何安裝及設定。如果您是 Oracle Linux 的新手，可能需要事先完成基本的 Oracle Linux 教學課程或指南。
在 OCI 中設定的虛擬雲端網路 (VCN) 和子網路，具備適當的路由規則、網際網路閘道、DRG 以及安全清單。
深入瞭解如何使用 OCI 主控台或 OCI CLI 建立及管理網路資源。

注意：建議您在 OCI 中設定測試環境以進行網路組態實驗，並在生產環境中實行 IPSec。

什麼是 IPSec VPN

網際網路協定安全性 (IPSec) 是開放式標準的架構，可藉由使用加密安全服務來協助確保透過網際網路協定 (IP) 網路進行私密、安全的通訊。IPSec 支援網路層次的資料完整性、資料機密性、資料來源認證及重播保護。由於 IPSec 已整合至網際網路層 (第 3 層)，因此它提供 TCP/IP 套件中幾乎所有通訊協定的安全性，而且因為 IPSec 會通透地套用至應用程式，因此無需為使用 TCP/IP 的每個應用程式設定個別的安全性。

IPSec 有助於針對不信任電腦的網路攻擊、可能導致應用程式、服務或網路拒絕服務的攻擊，提供深度防禦。

資料損毀
資料竊取
使用者憑證遭竊
伺服器、其他電腦及網路的管理控制。

網站至網站 VPN

網站至網站 IPSec (網際網路協定安全) VPN (也稱為網路對網路 VPN) 會透過網際網路在兩個或多個網路之間建立安全且加密的連線。它可安全地傳輸地理分散式網站之間的資料，建立一個可延伸網路超出其實體邊界的虛擬專用網路 (VPN)。

在網站至網站 IPSec VPN 中，參與的網路 (通常屬於相同組織的其他組織或遠端分支) 都會透過專用的 IPSec 通道連線。這些通道可封裝及加密網路流量，確保其機密性、完整性和真確性，同時還能周遊網際網路等不信任的網路。

另一方面，點對點 VPN (P2S) 會建立個別用戶端裝置與遠端網路之間的安全連線。與連結網路的站對站 VPN 不同，P2S VPN 可讓個別裝置安全地存取網路資源。P2S VPN 通常是用來為需要從外部位置連線至組織網路的遠端員工、承包商或行動使用者啟用安全存取。

注意：此教學課程範圍受限於目前 OCI DRGv2 中唯一支援的網站至網站 IPSec VPN。

VPN IPSec 通道概念

IPSec 代表網際網路通訊協定安全或 IP 安全。IPSec 是一個協定套件，可加密整個 IP 流量，然後再將封包從來源節點傳輸至目的地。IPSec 可以兩種模式配置：

傳輸模式：IPSec 只會加密和 (或) 驗證封包的實際有效負載，而且標頭資訊會保持不變。
通道模式：IPSec 會加密和 (或) 驗證整個封包。加密之後，封包就會被封裝成具有不同標頭資訊的新 UDP IP 封包。

IPSec VPN 站對站通道提供下列優點：

由於使用公用電信線傳輸資料，因此不需要從一個站點購買專屬的昂貴租賃線。
對外部使用者隱藏參與網路和節點的內部 IP 位址。
來源和目的地網站之間的整個通訊會經過加密，大幅降低資訊竊取的機會。OCI 僅支援 VPN IPSec 的通道模式，並且使用 Web 主控台以自助服務形式提供。

注意：OCI Site-to-Site VPN 僅支援通道模式，因此將成為 OCI 中唯一可用的模式。

架構

OCI IPSec 與 ECMP 包含下列清單：

DRGv2 使用預設路由表和自動產生的路由表連附至 VCN1 和 VCN2，在法蘭克福區域中「自動產生的 VCN 連附項拖曳路由表」RT2。
與包含兩個通道的 IPSec 連線相同的 DRGv2：
- 通道 1、Oracle VPN IP 位址 193.122.x.x 以及自動產生的路由表 RT1 「RPC、VC 和 IPSec 連附項的自動產生的 Drg 路由表」。
- 通道 2、Oracle VPN IP 位址 158.101.x.x 以及自動產生的路由表 RT1 「RPC、VC 和 IPSec 連附的自動產生的 Drg 路由表」。
Oracle Linux VM 為 IPSec 用戶端，支援來自內部部署的 ECMP，於專用 CIDR 範圍 192.168.0.0/16，公用 IP 143.47.48.219 中執行。
Iperf3 在內部部署的 Oracle Linux 中，作為從屬端和 Oracle OCI 中的伺服器。
CPE 設定為 Libreswan，公用 IP 為 143.47.x.x。
ECMP 已啟用 Oracle Linux 8 和 OCI 端。

作業 1：設定 OCI 設定值

本教學課程將引導您建立一個 Oracle Linux 7 VM 執行處理，並安裝 Libreswan 3.25。若要將 Libreswan 安裝到 Linux 中，您可以依照下列 Oracle 文件進行操作：使用 Libreswan 存取其他雲端。您可以選擇環境中安裝 Libreswan。本教學課程選擇 OCI 中的另一個遠端區域作為 Libreswan 從屬端和通道啟動器。

安裝 Libreswan (尚未設定) 之後，請記下 Linux 7 VM 的公用 IP，以及安裝 Libreswan 的專用 IPv4 CIDR 範圍。

現在，讓我們設定 OCI 設定值

登入您的 OCI 主控台並瀏覽至網路頁籤以建立 VCN1 和 VCN2，如下所示：建立您的 VCN 。
使用 CIDR 10.0.0.0/16 和兩個子網路建立 VCN1：子網路 A 10.0.1.0/24 和子網路 B 10.0.0.0/24。
使用 CIDR 172.20.0.0/16 和兩個子網路建立 VCN2：子網路 C 172.20.1.0/24 和子網路 D 172.20.2.0/24.
在 OCI 的目標子網路中建立 VM，以測試 IPSec 通道。在本教學課程中，我們建立了 3 個 VM (origin1、origin2 和 origin3)。
現在，讓我們在網路、客戶連線、動態路由閘道底下建立 DRG。
建立 DRG 之後，您將需要在 VCN1 和 VCN2 建立虛擬雲端網路連附。
- 建立之後，我們將會有兩個網路連附項 (每個 VCN 一個)，將兩個 VCN 連線到 DRG，以及一個用於 VCN 連附項的 AutoGenerated DRG 路由表 (主架構中的 RT2 路由表)。
- 此路由表將告訴 DRG 從剛連附的 VCN 傳送 / 路由至內送流量的位置：任何目的地為「目的地 CIDR」的流量都會傳送 / 路由至「下一個躍點連附項」，如下所示：
- 之後在建立 IPSec 通道時，我們會透過 IPSec 通道，為企業內部部署的內送流量提供類似的自動產生路由表。
現在，讓我們建立 IPSec 連線。建立 IPSec 之前，我們需要先建立客戶端設備 (CPE)，此設備代表透過 IPSec 連線至 OCI 的內部部署裝置 (位於網路、客戶連線、客戶端設備、建立 CPE 底下)：
- X.X.X.X 必須是內部部署裝置連線所在的 PUBLIC IP 位址。請「不要」將專用 IP 位址與指派給先前步驟中安裝之 Libreswan Oracle Linux 機器的專用 IP 位址混淆。您的 Oracle Linux VM 非常可能位於 NAT 之後 (不是直接擁有公用 IP)。如果您不知道公用 IP 位址，可以隨時從 Linux 主控台執行下列命令來尋找：curl ifconfig.co。
- 在本教學課程中，請選擇 Vendor Libreswan version 3.18 or later。
請前往網路、客戶連線、網站至網站 VPN 、建立 IPSec 連線，並提供下列詳細資訊。

注意：您可以使用「VPN 精靈」，但此教學課程已超出範圍。
- 您的 IPSec 組態名稱
- 在區間中建立：您的區間
- 區間中的客戶端設備：選擇您在上一個步驟中建立的 CPE
  - 此 CPE 在 NAT 裝置後方：這會直接影響從內部部署將 Internet Key Exchange (IKE) ID「呈現」至 OCI 的方式。假設 Libreswan 在 NAT 之後執行，如果您要使用從 IKE ID 執行 Libreswan 的專用 IP，請標示此選項。否則，如果您要使用 Libreswan 連線來源的公用 IP，請勿標示此選項。我們稍後將從 Libreswan 組態設定此 IKE ID。
- 動態路由閘道區間：選擇先前步驟中設定的 DRG。
- 路由至您的內部部署網路：此教學課程的動態路由已超出範圍。我們將使用以路由為基礎的 IPSec 組態，專注於 ECMP 以進行負載平衡和備援。我們將手動 / 穩定地新增想要從 OCI 連線至企業內部部署的企業內部部署路由 /CIDRS。我們將在本教學課程中使用 192.168.0.0/16 作為內部部署 CIDR 。
  - 通道 1 ：
    - 名稱
    - 提供客戶共用密碼：您可以使用自己的 IKE 預先共用金鑰 (密碼) 或留白，讓 OCI 選擇一個金鑰 (我們會在 Libreswan 設定期間於稍後使用)
    - IKE 版本：我們將在本教學課程中使用 IKEv1
    - 路由類型：針對此教學課程，我們將使用靜態路由進行以路由為基礎的 IPSec 組態，因此請選擇「靜態路由」
    - 通道內部的 IPv4 介面 - CPE 和 Oracle ：此選項保留空白
    - IPv6 定址：由於本教學課程中 IPv6 超出範圍，因此請留白
  - 通道 2 ：填滿通道 2 的方式與通道 1 (IKE 版本、路由類型等等) 相同。
- 按一下建立 IPSec 連線。如果一切順利，在幾分鐘後，您應該使用兩個通道執行 IPSec 組態來進行備援。
- 現在我們有了 DRG 和 IPSec，我們需要確保 OCI 中每個 VCN 至內部部署的流量都能找到 DRG 的途徑。當流量到達 DRG 之後，就會透過最近設定的兩個 IPSec 通道，向企業內部部署通道。若要這麼做，我們需要將企業內部部署 CIDR 新增為 VCN 中每個子網路路由表的路由規則 (我們在教學課程中選擇預設路由表)、目標類型 動態路由閘道、目的地類型 CIDR 區塊，然後新增企業內部部署路由，在此情況下為 192.168.0.0/16。
注意：新增此路由的理由是 OCI 在 VCN 範圍之外沒有 CIDR 位址的隱含路由。因此，我們必須手動新增 CIDR 區塊，以確保流量到達 DRG。

工作 2：設定 Linux 和 Libreswan 設定值

教學課程的這個部分將著重於 Linux 作業系統和 Libreswan 組態步驟。我們先前安裝的 Libreswan 將作為「站對站通道」啟動器和 OCI DRG 作為通道回應器。

透過 SSH 存取您的 Oracle Linux 作業系統。提高您的權限，以執行重要 (admin) 指令。
- sudo su：您將成為 root 使用者。
- 確定 Libreswan 的安裝版本為： ipsec -version 。您應該會看到 Libreswan 版本 3.25 或更新版本。如果不是，請前往作業 1：設定 OCI 設定值，然後依照指示安裝 Libreswan。
- 前往組態資料夾：cd /etc。
- Libreswan 會將所有通道配置儲存在 ipsec.conf 檔案中。使用您最愛的檔案編輯器。"vi" 是一個很好的選擇：vi ipsec.conf
  - Libreswan ipsec.conf:
    - conn [TunnelName1} ：通道名稱
    - type = 通道 ( 通道模式 )
    - authby =secret ( 認證將會使用密碼詞組 )
    - pfs =yes ( 已啟用正式機密 )
    - keyexchange = 類似
    - leftid = n.n.n.n ( 這是 Libreswan 連線的來源公用 IP 位址。它將用來作為 IKE ID，除非您在建立 IPSec 時選取「CPE 落後 NAT」選項。在此情況下，任何 IP 位址或完整網域名稱 (FQDN) 都可以設為 ID
    - leftsourceip = m.m.m.m ( 這是指派給 Libreswan 的專用 IP，亦即 192.168.1.1)
    - leftsubnet = x.x.x/x ( 這是指定給 Libreswan 的 CIDR 區塊，例如 192.168.0.0/16)
    - right = y.y.y.y ( 這是在網路、客戶連線、網站至網站 VPN、YourIPSEC 下建立 IPSec 期間指定給 tunnel1 的 OCI VPN "Public" IP 位址)
    - rightid = y.y.y.y ( 這是從 OCI 傳送的 IKE ID。一般而言，OCI VPN「公用」IP 位址，通常與右參數相同 )
    - leftsubnet =0.0.0.0/0 ( 這是將傳送至 OCI 的 CIDR 區塊，作為 SA 流量選取器議價網際網路金鑰交換 (IKEv2) 協定 2.2.9 的一部分。這並不表示 OCI 的所有流量都會遞送至企業內部部署。此 CIDR 區塊的作用是判斷哪些特定流量會透過 IPSec 通道接受、加密以及通道。此處描述的 IPSec 通道將由稱為「虛擬通道介面 (VTI)」的虛擬介面表示，此虛擬網路介面 (例如虛擬網路卡) 代表通道本身。假設 VTI 稱為 vti01。路由至 vti01 介面的任何流量都會成為 IPSec 通道的一部分，並會安全地傳送至連線的另一端。此方式可根據特定的 IPSec 通道及其關聯的 VTI 進行路由決策，也稱為 IPSec 路由式路由
    - rightsubnet =0.0.0.0/0 ( 與上述相同，為從內部部署接受的 OCI 流量 )
    - mark =n/0xffffff (*Needed 選項可讓您與 VTI 介面搭配使用，以便標示與此 VTI 介面關聯之 IPSec 通道內封裝的封包。所有通道必須是唯一的，例如 5/0xffffff *)
    - vti-interface =vtinn (*VTI 介面的名稱，例如 vti01 *)
    - vti-routing =no ( 是否應自動將路由建立到 VTI 裝置中。請選擇「否」，因為我們不想自動建立 0.0.0.0/0 路由 )
    - encapsulation = yes/auto ( 是會強制 NAT 偵測程式碼來執行，並告知遠端對等 RFC-3948 封裝 (ESP 在連接埠 4500 UDP 封包中)。自動設定將強制 NAT 自動偵測
    - aggrmode = 否
    - ike =aes_cbc256-sha2_384；modp1536 ( IKE 加密 / 認證演算法用於連線 (階段 1 aka ISAKMP SA)。格式為 "cipher-hash；modpgroup，cipher-hash；modpgroup，...)
    - esp =aes_gcm256；modp1536 ( 指定下階服務協議協商將提供 / 接受的演算法。ESP 的格式為 ENC-AUTH，後面接著一個選擇性 PFSgroup。例如，"aes_gcm256"、"aes256-sha2_512-dh14" 或 "aes-sha2_512+sha2_256")
    - ikev2 = 否 ( 若要使用 IKEv2，請變更為 ikev2=insist)
- 前往組態資料夾：cd /etc/ipsec.d。
- Libreswan 會將所有通道共用加密密碼 (密碼) 儲存在 shared.secrets 檔案中。
  - Libreswan shared.secrets 格式：左側：PSK "secret"
    - leftid ：IPSec.conf (左側) 中設定的 IKE ID。一般為 Libreswan 公用 IP 位址。
    - right ：OCI 通道的公用 IP 位址。
    - "secret" ：OCI 中設定的目前通道共用密碼 / 密碼。您可以從 OCI 主控台的網路、客戶連線、網站至網站 VPN、YourIPSEC、TunnelName、通道資訊、共用密碼、顯示底下取得此資訊。
本教學課程已建立下列 ipsec.conf 和 shared.secrets (隱藏公用 IP)：

ipsec.conf

shared.secrets
現在，讓我們嘗試針對 OCI 建立兩個 HA 通道。
- 重新啟動 Libreswan 服務：以 root 身分執行 ipsec restart。如果一切順利，則不會顯示任何錯誤，否則您會看到如下：
  
  ipsec.service 的工作失敗，因為控制處理已結束但有錯誤代碼。如需詳細資訊，請參閱 "systemctl status ipsec.service" 和 "journalctl -xe"。
- 現在，讓我們檢查目前的 IPSec 通道狀態：執行 ipsec status。關於目前通道在 ESP (資料層) 和 IKE (訊號平面)、允許的子網路等周圍設定的資訊，您會看到許多。現在，我們將焦點放在連線清單。
  
  000 連接清單：
  
  000 年
  
  000 總共的 IPSec 連線： *loaded 0，active 0
- 目前未載入通道組態，也沒有作用。
- 執行 ipsec auto --add ConnName1，即 ipsec auto --add home_liftvti。
  - 002 新增了連線描述 "home_liftvti" <- 現在連線尚未啟用。使用 ipsec 狀態檢查。
- 執行 ipsec auto --up ConnName1 以起始通道 1，亦即 ipsec auto --up home_liftvti。如果一切順利，您將看到 IPSec SA 建立的通道模式，否則您將看到疑難排解時需要的不同 IKE/IPSec 錯誤。
- 現在已轉向第二個通道：執行 ipsec auto -add ConnName2 ，例如 ipsec auto -add home_liftvti2
  - 002 新增了連線描述 "home_liftvti2" <- 現在連線尚未啟用。使用 ipsec 狀態檢查
- 執行 ipsec auto -up ConnName2 ，以起始通道 1，例如 ipsec auto -up home_liftvti2。如果一切順利，您會看到「IPSec SA 建立的通道模式」，否則您將看到疑難排解時需要的不同 IKE/IPSec 錯誤

作業 3：設定 IP 路由和通道流量

教學課程的這個部分將著重於 IP 路由和通道流量。

現在這兩個通道都已啟動並在執行中，我們嘗試從 Libreswan 偵測 OCI 中的某些機器以測試通道。例如，使用 IP 10.0.0.109 偵測 origin1。您會看到它將會失敗。
```
PING 10.0.0.109 (10.0.0.109) 56(84) bytes of data.

  10.0.0.109 ping statistics
  26 packets transmitted, 0 received, 100% packet loss,
```
即使 IPSec 通道已啟動並在 OCI 上執行，您可能仍會想到為什麼它無法運作。答案是因為我們針對 OCI 建立的兩個通道是「以路由為基礎」，而每個通道都以虛擬介面 (VTI) 表示。您可以將每個 VTI 視為代表 IPSec 通道的虛擬網路介面卡 (NIC)。所有遞送至 VTI 的流量都會使用 ESP (封裝安全有效負載) 通訊協定封裝，然後傳送至通道的另一端。VTI 會成為需要透過 IPSec 通道保護及傳輸流量的閘道。
在我們的測試案例中，我們有兩個 VTI 介面：vti01 和 vti02 ，每個介面分別代表 home_liftvti 和 home_liftvti02 與 OCI DRG。您可以執行 Linux 命令 ifconfig，輕鬆看到它們。
現在我們必須將 Linux 作業系統路由加入這些 VTI 介面，以確保流量透過這兩個通道連線到 OCI。請記住，導向 VTI 介面的任何流量都會包含在其關聯的 IPSec 通道中，然後遞送至 OCI。
- 新增路由的指令格式如下：ip route add {vcnCidrBlock} nexthop dev {vti1} weight {priority}nexthop dev {vti2} weight {priority}`
- 在我們的測試案例中，我們希望能夠觸及 CIDR 10.0.0.0/16 的 OCI VCN1:ip 路由新增 10.0.0.0/16 nexthop dev vti01 重量 1 nexthop dev vti02 重量 1

現在，ping 應該立刻行動。

ping 10.0.0.109
   PING 10.0.0.109 (10.0.0.109) 56(84) bytes of data.
   64 bytes from 10.0.0.109: icmp_seq=1 ttl=61 time=29.0 ms
   64 bytes from 10.0.0.109: icmp_seq=2 ttl=61 time=29.4 ms
   64 bytes from 10.0.0.109: icmp_seq=3 ttl=61 time=29.0 ms

現在我們有兩個通道正在運作。

作業 4：設定 ECMP 負載平衡和備援

教學課程的這個部分將著重於 ECMP 負載平衡和備援。

本教學課程目前已建立兩個 IPSec 通道，並與 OCI 搭配運作。這兩個通道都使用與測試案例 192.168.0.0/16 中指定之內部部署網路相同的路由。
- 通道 1 192.168.0.0/16 -> 內部部署
- 通道 2 192.168.0.0/16 -> 內部部署
由於這兩個通道都使用相同的內部部署路由 (192.168.0.0/16)，因此這個路由會傳輸至其餘的 DRG 網路連附項，因此其他網路元素 (VCN、子網路等) 也可透過 IPSec 連線至企業內部部署環境。如下圖所示，我們將在 192.168.0.0/16 路由發生衝突，而 VCN 連附的自動產生 DRG 表格中的兩個 IP 安全通道將會相同。
使用此組態時，我們將只使用一個通道並忽略另一個通道。本教學課程的目標是能夠同時使用這兩個通道，以達到高可用性 (作用中 / 作用中) 的目的，並透過增加兩個通道傳輸量來使效能翻倍。這就是 ECMP 運作的地方。若要啟用 ECMP，首先必須在每個 VCN 連附項的「自動產生的 DRG」表格中啟用它：網路、客戶連線、動態路由閘道、DRGName 、DRG 路由表詳細資訊、編輯按鈕 (您必須在每個 DRG 連附表執行此操作)。
您會看到自動產生 VCN 連附項 DRG 路由表的路由衝突已解決。
在 Linux 和 Libreswan 中啟用 ECMP。為了支援 Equal-cost 多路徑路由 (ECMP)，Linux 導入使用 fib_multipath_hash_policy 的雜湊原則選項，這是新的 sysctl 設定值，可控制要用於多重路徑路由的雜湊原則。當 fib_multipath_hash_policy 設為 1 時，核心會執行 L4 雜湊，這是 IPv4 封包的多重路徑雜湊 (根據一組 5 個元組 (來源 IP、來源連接埠、目的地 IP、目的地連接埠、IP 協定類型) 的值。當 fib_multipath_hash_policy 設為 0 (預設) 時，只會使用 L3 雜湊 (來源與目的地 IP 位址)。從 Linux 主控台，以 root 身分執行：

sysctl -w net.ipv4.fib_multipath_hash_policy=1
現在，我們已在兩端啟用 ECMP，因此兩條通道都會在「作用中 / 作用中」模式使用，因此加總共使用兩個 IPSec 通道。針對我們的測試，我們使用 iperf3 指令來檢查流量並取得下列結果：
```
 From Libreswan: iperf3 -c 10.0.0.109  -b 1100Mb  -P  8 -t 300

 From OCI Origin1: iperf3 -s

 [SUM]   0.00-1.75   sec   249 MBytes  1.20 Gbits/sec  7122             sender
```

確認書

認證者 - Luis Catalán Hernández (OCI Cloud Network Specialist and Multi Cloud)，Antonio Gamir (OCI Cloud Network Specialist)

其他學習資源

探索 docs.oracle.com/learn 的其他實驗室，或者存取更多 Oracle Learning YouTube 頻道上的免費學習內容。此外，請瀏覽 education.oracle.com/learning-explorer 以成為 Oracle Learning 檔案總管。

如需產品文件，請造訪 Oracle Help Center 。

標題與版權資訊

Use Oracle Cloud Infrastructure Site-to-Site VPN service in HA mode with ECMP routing from Linux and Libreswan

F84216-01

July 2023