在 Oracle Cloud Infrastructure 上使用 Cisco ASAv,部署可擴展的遠端存取 VPN 架構
虛擬防火牆會將 Cisco 內部部署安全無縫接軌地延伸到雲端。適用於遠端工作者與多租用戶環境。Cisco ASAv 提供 Oracle Cloud Infrastructure (OCI) 可擴展的 VPN 解決方案,具備多種功能選項,例如遠端存取、網站對網站、從屬端等等。
架構
此參照架構說明組織如何部署可擴展的遠端存取 VPN 架構來存取 Oracle 應用程式 (例如 Oracle E-Business Suite 和 PeopleSoft),或使用具有彈性網路負載平衡器的 Cisco ASA 虛擬防火牆在 OCI 中部署的應用程式。
為了存取這些應用程式,Cisco 建議使用集線器和支點拓樸來區隔網路,讓流量在傳輸中心 (外部 / 內 VCN) 路由並連線至多個不同的網路 (發言)。請確定已在彈性的網路負載平衡器之間部署多個 ASA 虛擬防火牆。發言人之間的所有流量,是透過 Cisco ASA Virtual Firewall 的外部 / 外部 VCN 來遞送。
應用系統的每個層部署在專屬虛擬雲端網路 (VCN),這些網路作為支點。Hub VCN/Mgmt VCN 在網路負載平衡器後面有兩個 Cisco ASAv 防火牆。
內部 VCN 會透過 LPG/DRG 連線至支流 VCN。所有軸輻流量均使用路由表規則,將流量透過 LPG/DRG 遞送至內部 VCN,以確保流量能夠傳回 VPN 一般使用者。
您可以使用 ASDM 或 CLI 來管理和監督 ASAv。我們提供其他管理選項,例如 Cisco Defense Orchestrator (CDO)。下圖說明此參照架構。
ravpn_arch_cisco_asa_vfirewall.png 圖解描述
ravpn_arch_cisco_asa_vfirewall-oracle.zip
- Cisco ASA 虛擬防火牆 Stencils
Cisco Adaptive Security Virtual Appliance (ASAv) 為虛擬化環境提供完整的防火牆功能,確保資料中心流量和多租用戶環境安全。若要一致地保護公有雲和私有雲。
- 區域
Oracle Cloud Infrastructure 區域是一個局部地理區域,其中包含一或多個資料中心 (稱為可用性網域)。區域獨立於其他區域,而且很大距離可加以區隔 (跨國家或甚至是大陸)。
- 可用性網域
可用性網域是區域內的獨立獨立資料中心。每個可用性網域中的實體資源會與提供容錯能力的其他可用性網域中的資源隔離。可用性網域並不共用基礎設施,例如電源或冷卻系統,或內部可用性網域網路。因此,一個可用性網域發生故障並不會影響該區域中的其他可用性網域。
- 容錯域
容錯域是可用性網域內的一組硬體和基礎架構。每個可用性網域都具備三個具有獨立電源和硬體的容錯域。當您將資源分配給多個容錯域時,您的應用系統可以忍受容錯域中的實體伺服器失敗、系統維護和電源故障。
- 虛擬雲端網路 (VCN) 和子網路
VCN 是您在 OCI 區域中設定的可客製化軟體定義網路。與傳統的資料中心網路一樣,VCN 會提供您完整的網路環境控制。VCN 建立 VCN 之後,便可以有多個非重疊的 CIDR 區塊。您可以將 VCN 區隔到子網路,成為區域或可用性網域的範圍。每個子網路都會包含連續的位址範圍,而不會與 VCN 中的其他子網路重疊。您可以在建立子網路後變更其大小。子網路可以是公用或專用子網路。
- 管理 VCN
管理 VCN 是部署 Cisco ASA 虛擬防火牆的集中式網路。它可安全地連線至內部 VCN/ 所有支點 VCN、OCI 服務、公用端點和用戶端,以及企業內部部署資料中心網路。
- VCN 外部
VCN 外部提供一個公用子網路來代管彈性網路負載平衡器,讓一般使用者可用來連線成為 VPN 標頭。每個 Cisco ASA 虛擬防火牆也在此 VCN 的子網路內都有一個介面。
- 內部 VCN
VCN 內的專用子網路可確保一般使用者可以連線至在此 VCN 內執行的應用程式,或是透過此 VCN 連線至 Spoke VCN。每個 Cisco ASA 虛擬防火牆也在此 VCN 的子網路內都有一個介面。
- 軸輻 VCN
應用程式 / 資料庫層支點 VCN 包含用於代管 Oracle 資料庫 / 應用程式的專用子網路。
- 彈性網路負載平衡器
OCI 彈性網路負載平衡器可將一個進入點的流量自動分配到虛擬雲端網路中的多個後端伺服器。它會在連線層次運作,並且根據 Layer3/Layer4 (IP 協定) 資料,將內送從屬端連線載入狀況良好的後端伺服器。
- 安全清單
對於每個子網路,您可以建立安全規則,指定必須進出子網路的來源、目的地和流量類型。
- 路由表
虛擬路由表包含將流量從子網路遞送至 VCN 外部 (通常透過閘道) 的規則。
- 在管理 VCN 中,您有下列路由表:連附至管理子網路的管理路由表,此子網路有連線至網際網路閘道的預設路由。
- 在外部 VCN 中,您有下列路由表:連附至外部子網路的路由表,或是用於將流量從外部 VCN 遞送至網際網路或企業內部部署目標的預設 VCN。
- 在「內部 VCN」中,您有下列路由表:與防火牆關聯的每個 VPN 集區 CIDR 都會透過此路由表傳送至「內部」介面
備註:
您也可以將管理 / 外部 / 子網路部署為單一 VCN 的一部分,並相應地遞送流量。 - 網際網路閘道
網際網路閘道允許 VCN 中的公用子網路和公用網際網路之間的流量。
- NAT 閘道
NAT 閘道可讓 VCN 中的專用資源存取網際網路上的主機,而不需向內送網際網路連線暴露這些資源。
- 動態路由閘道 (DRG)
DRG 是一個虛擬路由器,可提供 VCN 與區域外部網路 (例如另一個 OCI 區域中的 VCN、內部部署網路或另一個雲端提供者中的網路) 之間專用網路流量的路徑。
- 服務閘道
服務閘道可讓您從 VCN 存取其他服務,例如 OCI 物件儲存。VCN 到 Oracle 服務的流量是透過 Oracle 網路結構出發,且永遠都不會周遊網際網路。
- 虛擬網路介面卡 (VNIC)
OCI 資料中心的服務具有實體網路介面卡 (NIC)。VM 執行處理會使用與實體 NIC 關聯的虛擬 NIC (VNIC) 進行通訊。每個執行處理都有在啟動期間自動建立和連附的主要 VNIC,在執行處理存留時間期間可供使用。DHCP 只會提供給主要 VNIC。您可以在執行處理啟動之後新增次要 VNIC。為每個介面設定靜態 IP。
- 專用 IP
可用於處理執行處理的專用 IPv4 位址和相關資訊。每個 VNIC 都有一個主要專用 IP,因此您可以新增或移除次要專用 IP。執行處理上的主要專用 IP 位址會在執行處理啟動時連附,而且在執行處理存留時間不會變更。
- 公用 IP
網路服務會定義一個對應至專用 IP 之 Oracle 所選擇的公用 IPv4 位址。公用 IP 具有下列類型:暫時性:此位址是暫時的,且存在於執行處理的存留時間。已保留:此位址在執行處理存留時間過後仍會繼續。它可以取消指派,並重新指派給另一個執行處理。
- 來源和目的地檢查
每個 VNIC 都會執行其網路流量的來源和目的地檢查。停用此旗標可讓「Cisco ASA 虛擬防火牆」處理非防火牆目標的網路流量。
- 運算型態
運算執行處理的資源配置指定配置給執行處理的 CPU 數目和記憶體大小。運算資源配置也決定運算執行處理可用的 VNIC 數目和最大頻寬。
建議
- VCN
- 建立 VCN 時,請根據您要連附至 VCN 子網路的資源數目,判斷所需的 CIDR 區塊數目和每個區塊的大小。使用位於標準專用 IP 位址空間內的 CIDR 區塊。
- 選取不想與任何其他網路 (在 OCI、您的內部部署資料中心或其他雲端提供者) 重疊的 CIDR 區塊,以設定專用連線。
- 建立 VCN 之後,您可以變更、新增及移除其 CIDR 區塊。
- 設計子網路時,請考慮您的流量和安全需求。將特定層或角色內的所有資源連附至相同的子網路,可作為安全界限。
- 使用區域子網路。
- Cisco ASA 虛擬防火牆
- 此架構具有獨立防火牆執行處理;若是防火牆失敗,一般使用者必須重新認證。
- 請儘可能在不同的容錯域中部署的最低或不同的可用性網域。
- Cisco ASA 虛擬防火牆管理 Stencils
- 如果您要建立在 Oracle Cloud Infrastructure 中代管的部署,請為管理建立專用子網路。
- 使用安全清單或 NSG 可限制從網際網路取得連接埠 443 和 22 的內送存取,以進行安全性原則管理,以及檢視日誌和事件。
注意事項
部署「遠端存取 VPN」架構以使用 Cisco ASA 虛擬防火牆在 OCI 存取 Oracle E-Business Suite 或 PeopleSoft 工作負載時,請考慮下列因素:
- 績效
- 選取適當的執行處理大小 (由運算資源配置決定),可決定可用的傳輸量上限、CPU、RAM 以及介面數目。
- 組織需要知道周遊環境哪些類型的流量、判斷適當的風險層次,以及視需要套用適當的安全控制。不同的組合已啟用的安全性控制影響效能。
- 請考慮新增 FastConnect 或 VPN 服務的專用介面。
- 請考慮使用大型運算資源配置,以提高傳輸量並存取更多網路介面。
- 執行效能測試以驗證設計可以維持必要的效能和傳輸量。
- 請參考下列度量:
9.16 和更新版本的 OCI 效能規格。
授權類型 100M (ASAv5) 1GB (ASAv10) 2GB (ASAv30) 10GB (ASAv50) 20GB (ASAv100) OCI 資源配置類型 VM.Standard2.4 VM.Standard2.4 VM.Standard2.4 VM.Standard2.8 VM.Standard2.8 狀態性檢查傳輸量 100 Mbps 1 Gbps 2 Gbps 即將推出 即將推出 狀態檢查傳輸量 (多重協定) 100 Mbps 1Gbps 2 Gbps 2.3 Gbps 3 Gbps IPsec VPN 傳輸量 (AES 450B UDP 測試) 100 Mbps 550 Mbps 550 Mbps 550 Mbps 620 Mbps 連線 (每秒) 12,500 26,600 26,600 26,600 38,200 Concurrent sessions - 並行階段作業 50,000 100,000 500,000 2,000,000 4,000,000 IPSEC VPN 端點 50 250 750 10,000 20,000 Cisco AnyConnect 或無從屬端 VPN 使用者階段作業 50 250 750 10,000 20,000
- 安全
在 OCI 中部署 Cisco ASA 虛擬防火牆可讓完整的防火牆服務保護資料中心流量和遠端工作者。
- 使用狀態
- 將您的架構部署至不同的地理區域,以獲得最大的備援。
- 透過相關組織網路設定網站至網站 VPN,可提供與企業內部部署網路的備援連線。
- 成本
- 自備授權 (BYOL) 的 Cisco ASA 虛擬防火牆可供使用
- 如需有關如何管理授權的詳細資訊,請參閱下方「探索更多」主題中參考的 Cisco Adaptive Security Virtual Appliance (ASAv) 產品資訊和 ASAv 智慧型授權。
部署
若要使用 Cisco ASA 虛擬防火牆在 Oracle Cloud Infrastructure 上部署遠端存取 VPN 架構,請執行下列步驟:
Oracle 建議從 Oracle Cloud Marketplace 部署架構。
- 在 Oracle Cloud Marketplace 中使用堆疊部署:
- 使用 Oracle Cloud Marketplace 中的堆疊部署:設定必要的網路基礎架構,如架構圖表所示。請參閱此範例:設定軸輻式網路拓樸。
- 在您的環境中部署應用程式 (Oracle E-Business Suite、PeopleSoft 或預定的應用程式)。
- Oracle Cloud Marketplace 提供多種不同的組態和授權需求清單。例如,下列清單功能可自備授權 (BYOL)。針對您選擇的每個清單,按一下「取得 App」,然後依照畫面上的提示進行:
- 在 GitHub 中使用 Terraform 程式碼部署:
- 前往 GitHub。
- 複製或下載儲存庫至您的本機電腦。
- 遵循
README文件中的指示。