Oracle Cloud Infrastructure - Dokumentation

Site-to-Site-VPN einrichten

Dieses Thema enthält Anweisungen zum Erstellen einer Site-to-Site-VPN-IPsec-Verbindung von einem On-Premise-Netzwerk zu Ihrem VCN. Allgemeine Informationen zu Site-to-Site-VPN finden Sie unter Überblick über Site-to-Site-VPN.

Bevor Sie beginnen

Führen Sie zur Vorbereitung die folgenden Schritte aus:

  • Lesen Sie diesen Abschnitt: Routing für Site-to-Site-VPN

  • Beantworten Sie die folgenden Fragen:

    Frage Antwort
    Wie lautet das CIDR Ihres VCN?  

    Wie lautet die öffentliche IP-Adresse Ihres CPE-Geräts? Wenn zwecks Redundanz mehrere Geräte vorhanden sind, rufen Sie die IP-Adresse für jedes Gerät ab.

    Hinweis: Wenn sich Ihr CPE-Gerät hinter einem NAT-Gerät befindet, finden Sie weitere Informationen unter Überblick über Site-to-Site-VPN-Komponenten und Anforderungen und Voraussetzungen.

    		  
    Verwenden Sie PAT (Port Address Translation) zwischen den einzelnen CPE-Geräten und Ihrem VCN?  

    Welchen Routingtyp möchten Sie verwenden? Wenn Sie dynamisches BGP-Routing verwenden möchten, listen Sie die zu verwendenden IP-Adressen der BGP-Session und die ASN Ihres Netzwerks auf. Die IP-Adressen müssen Bestandteil der Verschlüsselungsdomain des Site-to-Site-VPN sein.

    Wenn Sie statisches Routing verwenden möchten, wie lauten die statischen Routen für Ihr On-Premise-Netzwerk? Weitere Informationen finden Sie unter Routing für Site-to-Site-VPN.

    Möchten Sie policybasiertes Routing oder mehrere Verschlüsselungsdomains verwenden? Weitere Informationen finden Sie unter Verschlüsselungsdomains für policybasierte Tunnel

    		  

    Möchten Sie für jeden Tunnel ein Shared Secret angeben oder von Oracle eines zuweisen lassen? Siehe Überblick über Site-to-Site-VPN-Komponenten.

    		  
  • Zeichnen Sie ein Diagramm Ihres Netzwerklayouts (Beispiele finden Sie in der ersten Aufgabe unter Beispiel: Proof of Concept für ein Site-to-Site-VPN einrichten). Überlegen Sie sich, welche Teile Ihres On-Premise-Netzwerks mit Ihrem VCN kommunizieren müssen, und umgekehrt. Legen Sie die Routing- und Sicherheitsregeln fest, die Sie für das VCN benötigen.
Tipp

Wenn Sie über ein vorhandenes Site-to-Site-VPN verfügen, das statisches Routing verwendet, können Sie die Tunnel so ändern, dass diese stattdessen dynamisches BGP-Routing verwenden.

Die folgenden linklokalen IP-Bereiche sind für die Verwendung mit Site-to-Site-VPN mit inneren Tunnelschnittstellen nicht gültig:

  • 169.254.10.0 - 169.254.19.255
  • 169.254.100.0 - 169.254.109.255
  • 169.254.192.0 - 169.254.201.255

Gesamtprozess

Im Folgenden wird der Gesamtprozess für die Einrichtung eines Site-to-Site-VPN beschrieben:

  1. Führen Sie die unter Bevor Sie beginnen aufgeführten Aufgaben aus.
  2. Richten Sie die Site-to-Site-VPN-Komponenten ein (Anweisungen finden Sie unter Beispiel: Proof of Concept für ein Site-to-Site-VPN einrichten):
    1. Erstellen Sie Ihr VCN.
    2. Erstellen Sie ein DRG.
    3. Hängen Sie das DRG an Ihr VCN an.
    4. Erstellen Sie eine Routentabelle und eine Routingregel für das DRG.
    5. Erstellen Sie eine Sicherheitsliste und erforderliche Regeln.
    6. Erstellen Sie ein Subnetz im VCN.
    7. Erstellen Sie ein CPE-Objekt, und geben Sie die öffentliche IP-Adresse des CPE-Geräts an.
    8. Erstellen Sie eine IPSec-Verbindung mit dem CPE-Objekt, und geben Sie die erforderlichen Routinginformationen an.
  3. CPE-Konfigurations-Helper verwenden: Der Netzwerktechniker muss das CPE-Gerät anhand von Informationen konfigurieren, die Oracle während der vorherigen Schritte bereitgestellt hat. Der CPE-Konfigurations-Helper generiert die Informationen für den Netzwerktechniker. Weitere Informationen finden Sie unter CPE-Konfigurations-Helper verwenden sowie unter CPE-Konfiguration.
  4. Lassen Sie das CPE-Gerät vom Netzwerktechniker konfigurieren.
  5. Prüfen Sie die Verbindung.

Wenn Sie redundante Verbindungen einrichten möchten, lesen Sie den Connectivity Redundancy Guide.

Beispiel: Proof of Concept für ein Site-to-Site-VPN einrichten

Tipp

Oracle bietet einen Schnellstartworkflow, der die Einrichtung eines Site-to-Site-VPN erleichtert. Weitere Informationen finden Sie unter Schnellstart für Site-to-Site-VPN.

In diesem Beispielszenario wird gezeigt, wie Sie ein Site-to-Site-VPN mit einem einfachen Layout einrichten, das Sie als Proof of Concept (POC) verwenden können. Dabei werden die Aufgaben 1 und 2 im Gesamtprozess ausgeführt und die einzelnen Komponenten im erstellten Layout angezeigt. Für jede Aufgabe gibt es einen entsprechenden Screenshot aus der Konsole, anhand dessen Sie erkennen können, welche Informationen benötigt werden. Komplexere Layouts finden Sie unter Beispiellayout mit mehreren geografischen Gebieten oder Beispiellayout mit PAT.

Aufgabe 1: Informationen erfassen
Frage Antwort
Wie lautet das CIDR Ihres VCN? 172.16.0.0/16

Wie lautet die öffentliche IP-Adresse Ihres CPE-Geräts? Wenn zwecks Redundanz mehrere Geräte vorhanden sind, rufen Sie die IP-Adresse für jedes Gerät ab.

Hinweis: Wenn sich Ihr CPE-Gerät hinter einem NAT-Gerät befindet, finden Sie weitere Informationen unter Überblick über Site-to-Site-VPN-Komponenten und Anforderungen und Voraussetzungen.

 142.34.145.37
Erfolgt PAT (Port Address Translation) zwischen den einzelnen CPE-Geräten und Ihrem VCN? Nein

Welchen Routingtyp möchten Sie verwenden? Es gibt drei sich gegenseitig ausschließende Optionen:

Wenn Sie dynamisches BGP-Routing verwenden möchten, listen Sie die zu verwendenden IP-Adressen der BGP-Session und die ASN Ihres Netzwerks auf.

Wenn Sie statisches Routing verwenden möchten, listen Sie die statischen Routen für Ihr On-Premise-Netzwerk auf. Weitere Informationen finden Sie unter Routing für Site-to-Site-VPN.

Wenn Sie policybasiertes Routing verwenden oder mehrere Verschlüsselungsdomains benötigen, listen Sie die IPv4-CIDR-Blöcke oder IPv6-Präfixblöcke auf, die an jedem Ende der Verbindung verwendet werden. Weitere Informationen finden Sie unter Verschlüsselungsdomains für policybasierte Tunnel

Beispiel zu dynamischem BGP-Routing:

Tunnel 1:

  • Innere BGP-Tunnelschnittstelle - CPE: 10.0.0.16/31
  • Innere BGP-Tunnelschnittstelle - Oracle: 10.0.0.17/31

Tunnel 2:

  • Innere BGP-Tunnelschnittstelle - CPE: 10.0.0.18/31
  • Innere BGP-Tunnelschnittstelle - Oracle: 10.0.0.19/31

Netzwerk-ASN: 12345

Beispiel zu statischem Routing:

Verwenden Sie 10.0.0.0/16 für die statische Route eines einfachen POC.

Beispiel für policybasiertes Routing:

Verwenden Sie "???" für einen einfachen POC.
Möchten Sie für jeden Tunnel ein Shared Secret angeben oder von Oracle eines zuweisen lassen? Siehe Überblick über Site-to-Site-VPN-Komponenten. Überlassen Sie Oracle die Zuweisung.

Beispieldiagramm für Aufgabe 1 mit dynamischem BGP-Routing:

Diese Abbildung zeigt ein allgemeines VPN-Layout bei der Verwendung des dynamischen BGP-Routings.
Callout 1: Routentabelle für Standardsubnetz
Ziel-CIDR Routenziel
10.0.0.0/16 DRG
Callout 2: Sicherheitsliste
Ziel-CIDR Berechtigung
10.0.0.0/16 Zulässig
Callouts 3 bis 6
Callout Funktion IP
3 Öffentliche IP-Adresse des CPE 142.34.145.37
4a Tunnel 1 - Innere BGP-Tunnelschnittstelle

CPE - 10.0.0.16/31

Oracle - 10.0.0.17/31
4b Tunnel 2 - Innere BGP-Tunnelschnittstelle

CPE - 10.0.0.18/31

Oracle - 10.0.0.19/31
5

Tunnel 1 - Oracle-VPN-IP-Adresse:

129.213.240.50
6

Tunnel 2 - Oracle-VPN-IP-Adresse:

129.213.240.53

Beispieldiagramm für Aufgabe 1 mit statischem Routing:

Diese Abbildung zeigt ein allgemeines VPN-Layout bei der Verwendung des statischen Routings.
Callout 1: Routentabelle für Standardsubnetz
Ziel-CIDR Routenziel
10.0.0.0/16 DRG
Callout 2: Sicherheitsliste
Ziel-CIDR Berechtigung
10.0.0.0/16 Zulässig
Callouts 3 bis 6
Callout Funktion IP
3 Öffentliche IP-Adresse des CPE 142.34.145.37
4 Statische Route für IPsec-Verbindung 10.0.0.0/16
5

Tunnel 1 - Oracle-VPN-IP-Adresse:

129.213.240.50
6

Tunnel 2 - Oracle-VPN-IP-Adresse:

129.213.240.53
Aufgabe 2a: VCN erstellen

Wenn Sie bereits über ein VCN verfügen, gehen Sie zur nächsten Aufgabe.

Tipp

Wenn Sie mit der Konsole ein VCN erstellen, können Sie nur das VCN oder ein VCN mit mehreren zugehörigen Ressourcen erstellen. Mit dieser Aufgabe wird nur das VCN erstellt. Die anderen erforderlichen Ressourcen werden in den nachfolgenden Aufgaben erstellt.
Diese Abbildung zeigt das Erstellen des VCN
  1. Öffnen Sie das Navigationsmenü, und klicken Sie auf Networking, Virtuelle Cloud-Netzwerke.
  2. Wählen Sie unter Listengeltungsbereich ein Compartment aus, für das Sie berechtigt sind. Auf der Seite werden nur die Ressourcen in diesem Compartment angezeigt. Wenn Sie nicht sicher sind, welches Compartment verwendet werden soll, wenden Sie sich an einen Administrator. Weitere Informationen finden Sie unter Zugriffskontrolle.
  3. Klicken Sie auf Virtuelles Cloud-Netzwerk erstellen.

  4. Geben Sie folgende Werte ein:

    • In Compartment erstellen: Übernehmen Sie die Vorgabe.
    • Name: Ein aussagekräftiger Name für das Cloud-Netzwerk. Er muss nicht eindeutig sein und kann später in der Konsole nicht geändert werden (Sie können ihn jedoch mit der API ändern). Geben Sie keine vertraulichen Informationen ein.
    • CIDR-Block: Ein einzelner, zusammenhängender CIDR-Block für das Cloud-Netzwerk (Beispiel: 172.16.0.0/16). Sie können diesen Wert später nicht ändern. Siehe Zulässige VCN-Größe und Adressbereiche. Zu Referenzzwecken finden Sie hier einen CIDR-Rechner.
    • IPv6-Adresszuweisung aktivieren: Diese Option ist nur verfügbar, wenn das VCN für IPv6 aktiviert ist. Die IPv6-Adressierung wird für alle kommerziellen und Regierungsregionen unterstützt. Weitere Informationen finden Sie unter IPv6-Adressen.

  5. Sie können Werte für die übrigen Optionen angeben oder diese ignorieren:

    • DNS-Auflösung: Diese Option ist erforderlich, um Hosts im VCN DNS-Hostnamen zuzuweisen. Sie ist auch erforderlich, wenn Sie die Standard-DNS-Funktion des VCN verwenden möchten (als Internet- und VCN-Resolver bezeichnet). Wenn Sie diese Option auswählen, können Sie ein DNS-Label für das VCN angeben, oder Sie können die Konsole die Generierung eines Labels für Sie zulassen. Im Dialogfeld werden automatisch die entsprechenden DNS-Domainnamen für das VCN (<VCN_DNS_label>.oraclevcn.com) angezeigt. Weitere Informationen finden Sie unter DNS im virtuellen Cloud-Netzwerk.
    • Tags: Wenn Sie über Berechtigungen zum Erstellen einer Ressource verfügen, sind Sie auch berechtigt, Freiformtags auf diese Ressource anzuwenden. Um ein definiertes Tag anzuwenden, benötigen Sie die Berechtigungen zum Verwenden des Tag-Namespace. Weitere Informationen zum Tagging finden Sie unter Ressourcentags. Wenn Sie nicht sicher sind, ob Sie Tags anwenden sollen, überspringen Sie diese Option, oder fragen Sie einen Administrator. Sie können Tags später anwenden.
  6. Klicken Sie auf Virtuelles Cloud-Netzwerk erstellen.

Das VCN wird erstellt und auf der Seite angezeigt. Stellen Sie sicher, dass das Provisioning abgeschlossen ist, bevor Sie fortfahren.

Aufgabe 2b: DRG erstellen
Diese Abbildung zeigt das Erstellen des DRG

  1. Öffnen Sie das Navigationsmenü, und klicken Sie auf Networking. Klicken Sie unter Kundenkonnektivität auf Dynamisches Routinggateway.

  2. Klicken Sie auf Dynamisches Routinggateway erstellen.
  3. Geben Sie folgende Werte ein:
    • Erstellen in Compartment: Übernehmen Sie die Vorgabe (das VCN-Compartment).
    • Name: Ein aussagekräftiger Name für das DRG. Er muss nicht eindeutig sein und kann später in der Konsole nicht geändert werden (Sie können ihn jedoch mit der API ändern). Geben Sie keine vertraulichen Informationen ein.
    • Tags: Übernehmen Sie die Vorgabe. Sie können Tags später bei Bedarf hinzufügen. Weitere Informationen finden Sie unter Ressourcentags.
  4. Klicken Sie auf Dynamisches Routinggateway erstellen.

Das DRG wird erstellt und auf der Seite angezeigt. Stellen Sie sicher, dass das Provisioning abgeschlossen ist, bevor Sie fortfahren.

Tipp

Sie können dieses DRG auch als Gateway für Oracle Cloud Infrastructure FastConnect verwenden. Hierbei handelt es sich um eine alternative Möglichkeit, Ihr On-Premise-Netzwerk mit Ihrem VCN zu verbinden.
Aufgabe 2c: Das DRG an das VCN anhängen
Diese Abbildung zeigt den Anhang des DRG an das VCN
  1. Klicken Sie auf den Namen des erstellten DRG.
  2. Klicken Sie unter Ressourcen auf Virtuelle Cloud-Netzwerke.
  3. Klicken Sie auf An virtuelles Cloud-Netzwerk anhängen.
  4. Wählen Sie das VCN aus. Ignorieren Sie den Abschnitt für erweiterte Optionen, der nur für ein erweitertes Routingszenario (als Transitrouting bezeichnet) gilt. Dieser Abschnitt ist hier nicht relevant.
  5. Klicken Sie auf Anhängen.

Der Anhang weist kurzfristig den Status "Wird angehängt" auf.

Aufgabe 2d: Routentabelle und Routingregel für das DRG erstellen

Auch wenn das VCN eine Standardroutentabelle (ohne Regeln) besitzt, erstellen Sie in dieser Aufgabe eine benutzerdefinierte Routentabelle mit einer Routingregel für das DRG. In diesem Beispiel lautet Ihr On-Premise-Netzwerk 10.0.0.0/16. Sie erstellen eine Routingregel, die jeglichen Traffic, der für 10.0.0.0/16 bestimmt ist, an das DRG weiterleitet. Beim Erstellen eines Subnetzes in Aufgabe 2f verknüpfen Sie diese benutzerdefinierte Routentabelle mit dem Subnetz.

Tipp

Wenn bereits ein VCN mit einem Subnetz vorhanden ist, müssen Sie keine Routentabelle und kein Subnetz erstellen. Stattdessen können Sie die Routingregel für das DRG in die Routentabelle des vorhandenen Subnetzes aufnehmen.
Diese Abbildung zeigt das Erstellen der Routentabelle und Routingregel für das DRG
Callout 1: VCN-Routentabelle "MyExampleRouteTable"
Ziel-CIDR Routentabelle
10.0.0.0/16 DRG
  1. Öffnen Sie das Navigationsmenü, und klicken Sie auf Networking, Virtuelle Cloud-Netzwerke.
  2. Klicken Sie auf Ihr VCN.
  3. Klicken Sie auf Routentabellen, um die Routentabellen des VCN anzuzeigen.
  4. Klicken Sie auf Routentabelle erstellen.

  5. Geben Sie folgende Werte ein:

    • Name: Ein aussagekräftiger Name für die Routentabelle (Beispiel: MyExampleRouteTable). Der Name muss nicht eindeutig sein und kann später in der Konsole nicht geändert werden (Sie können den Namen jedoch in der API ändern). Geben Sie keine vertraulichen Informationen ein.
    • Erstellen in Compartment: Übernehmen Sie die Vorgabe.

    • Klicken Sie auf + Weitere Routingregel, und geben Sie Folgendes ein:

      • Zieltyp: Dynamisches Routinggateway. Das angehängte DRG des VCN wird automatisch als Ziel ausgewählt, sodass Sie es nicht selbst angeben müssen.
      • Ziel-CIDR-Block: Das CIDR für Ihr On-Premise-Netzwerk (in diesem Beispiel 10.0.0.0/16).
      • Beschreibung: Eine optionale Beschreibung der Regel.
    • Tags: Übernehmen Sie die vorgegebenen Taginformationen.
  6. Klicken Sie auf Routentabelle erstellen.

Die Routentabelle wird erstellt und auf der Seite angezeigt. Die Routentabelle erfüllt ihre Aufgabe jedoch nur, wenn Sie sie beim Erstellen des Subnetzes mit einem Subnetz verknüpfen (siehe Aufgabe 2f).

Aufgabe 2e: Sicherheitsliste erstellen

Standardmäßig ist der in den Instanzen eingehende Traffic in Ihrem VCN auf allen Ports und Protokollen auf DENY gesetzt. In dieser Aufgabe richten Sie zwei Ingress-Regeln und eine Egress-Regel ein, um den allgemeinen, erforderlichen Netzwerktraffic zuzulassen. Ihr VCN enthält eine Standardsicherheitsliste mit einem Set von Standardregeln. In dieser Aufgabe erstellen Sie jedoch eine separate Sicherheitsliste mit einen Set von restriktiveren Regeln für den Traffic mit Ihrem On-Premise-Netzwerk. Beim Erstellen eines Subnetzes in Aufgabe 2f verknüpfen Sie diese Sicherheitsliste mit dem Subnetz.

Tipp

Sicherheitslisten sind eine Möglichkeit, den Traffic in die und aus den Ressourcen des VCN zu steuern. Sie können auch Netzwerksicherheitsgruppen verwenden, mit denen Sie ein Set von Sicherheitsregeln auf ein Set von Ressourcen anwenden können, die alle denselben Sicherheitsstatus aufweisen.
Diese Abbildung zeigt das Erstellen der Sicherheitsliste
Callout 1: VCN-Routentabelle "MyExampleRouteTable"
Ziel-CIDR Routentabelle
10.0.0.0/16 DRG
Callout 2: Sicherheitsliste "MyExampleSecurityList"
Ingress/Egress CIDR Protokoll: Port
Ingress 10.0.0.0/16 TCP: 22
Ingress 10.0.0.0/16 ICMP: Alle
Egress 10.0.0.0/16 TCP: Alle
Wichtig

Stellen Sie im folgenden Verfahren sicher, dass das in den Sicherheitslistenregeln angegebene On-Premise-CIDR identisch (oder kleiner) ist als das in der Routingregel in der vorherigen Aufgabe angegebene CIDR. Andernfalls wird der Traffic durch die Sicherheitslisten blockiert.
  1. Klicken Sie in der VCN-Anzeige links auf der Seite auf Sicherheitslisten.
  2. Klicken Sie auf Sicherheitsliste erstellen.

  3. Geben Sie folgende Werte ein:

    • Name: Ein aussagekräftiger Name für die Sicherheitsliste. Der Name muss nicht eindeutig sein und kann später in der Konsole nicht geändert werden (Sie können den Namen jedoch in der API ändern). Geben Sie keine vertraulichen Informationen ein.
    • Erstellen in Compartment: Übernehmen Sie die Vorgabe.

  4. Klicken Sie im Abschnitt Regeln für Ingress zulassen auf Ingress-Regel hinzufügen, und geben Sie die folgenden Werte für die Ingress-Regel ein. Diese Regel lässt SSH-Traffic zu, der an TCP-Port 22 aus Ihrem On-Premise-Netzwerk eingeht:

    • Quelltyp: CIDR
    • Quell-CIDR: Das CIDR für Ihr On-Premise-Netzwerk (in diesem Beispiel 10.0.0.0/16)
    • IP-Protokoll: TCP.
    • Quellportbereich: Übernehmen Sie die Vorgabe ("Alle").
    • Zielportbereich: 22 (für SSH-Traffic).
    • Beschreibung: Eine optionale Beschreibung der Regel.

  5. Klicken Sie im Abschnitt Regeln für Egress zulassen auf Egress-Regel hinzufügen, und geben Sie die folgenden Werte für die Egress-Regel ein, die ausgehenden TCP-Traffic auf allen Ports für Ihr On-Premise-Netzwerk zulässt:

    • Zieltyp: CIDR
    • Ziel-CIDR: Das CIDR für Ihr On-Premise-Netzwerk (in diesem Beispiel 10.0.0.0/16).
    • IP-Protokoll: TCP.
    • Quellportbereich: Übernehmen Sie die Vorgabe ("Alle").
    • Zielportbereich: Übernehmen Sie die Vorgabe ("Alle").
    • Beschreibung: Eine optionale Beschreibung der Regel.
  6. Übernehmen Sie die vorgegebenen Taginformationen.
  7. Klicken Sie auf Sicherheitsliste erstellen.

Die Sicherheitsliste wird erstellt und auf der Seite angezeigt. Die Sicherheitsliste erfüllt ihre Aufgabe jedoch nur, wenn Sie sie beim Erstellen des Subnetzes mit einem Subnetz verknüpfen (siehe Aufgabe 2f).

Aufgabe 2f: Subnetz erstellen

In dieser Aufgabe erstellen Sie ein Subnetz im VCN. In der Regel weist ein Subnetz einen CIDR-Block auf, der kleiner ist als das CIDR des VCN. Alle in diesem Subnetz erstellten Instanzen haben Zugriff auf Ihr On-Premise-Netzwerk. Oracle empfiehlt die Verwendung von regionalen Subnetzen. Hier erstellen Sie ein regionales privates Subnetz.

Diese Abbildung zeigt das Erstellen des Subnetzes
Callout 1: VCN-Routentabelle "MyExampleRouteTable"
Ziel-CIDR Routentabelle
10.0.0.0/16 DRG
Callout 2: Sicherheitsliste "MyExampleSecurityList"
Ingress/Egress CIDR Protokoll: Port
Ingress 10.0.0.0/16 TCP: 22
Ingress 10.0.0.0/16 ICMP: Alle
Egress 10.0.0.0/16 TCP: Alle
  1. Klicken Sie in der VCN-Anzeige links auf der Seite auf Subnetze.
  2. Klicken Sie auf Subnetz erstellen.

  3. Geben Sie folgende Werte ein:

    • Name: Ein aussagekräftiger Name für das Subnetz. Er muss nicht eindeutig sein und kann später in der Konsole nicht geändert werden (Sie können ihn jedoch mit der API ändern). Geben Sie keine vertraulichen Informationen ein.
    • Regionales oder AD-spezifisches Subnetz: Aktivieren Sie das Optionsfeld Regional. Oracle empfiehlt die Verwendung von regionalen Subnetzen.
    • CIDR-Block: Ein einzelner, zusammenhängender CIDR-Block für das Subnetz (z.B. 172.16.0.0/24). Er muss sich im CIDR-Block des Cloud-Netzwerks befinden und darf sich nicht mit anderen Subnetzen überschneiden. Sie können diesen Wert später nicht ändern. Siehe Zulässige VCN-Größe und Adressbereiche. Zu Referenzzwecken finden Sie hier einen CIDR-Rechner.
    • IPv6-Adresszuweisung aktivieren: Diese Option ist nur verfügbar, wenn das VCN für IPv6 bereits aktiviert ist. Die IPv6-Adressierung wird für alle kommerziellen und Regierungsregionen unterstützt. Weitere Informationen finden Sie unter IPv6-Adressen.
    • Routentabelle: Die zuvor erstellte Routentabelle.
    • Privates Subnetz: Wählen Sie diese Option aus. Weitere Informationen finden Sie unter Zugriff auf das Internet.
    • DNS-Hostnamen in diesem Subnetz verwenden: Übernehmen Sie die Vorgabe (ausgewählt).
    • DHCP-Optionen: Das Set von DHCP-Optionen, das mit dem Subnetz verknüpft werden soll. Wählen Sie das Standardset von DHCP-Optionen für das VCN aus.
    • Sicherheitslisten: Die zuvor erstellte Sicherheitsliste.
    • Tags: Übernehmen Sie die Vorgabe. Sie können Tags später bei Bedarf hinzufügen. Weitere Informationen finden Sie unter Ressourcentags.
  4. Klicken Sie auf Subnetz erstellen.

Das Subnetz wird erstellt und auf der Seite angezeigt. Das grundlegende VCN in diesem Beispiel ist jetzt eingerichtet, und Sie können die restlichen Komponenten für das Site-to-Site-VPN erstellen.

Aufgabe 2g: CPE-Objekt erstellen und die öffentliche IP-Adresse des CPE-Geräts angeben

In dieser Aufgabe erstellen Sie das CPE-Objekt. Hierbei handelt es sich um eine virtuelle Darstellung des CPE-Geräts. Das CPE-Objekt ist in einem Compartment in Ihrem Mandanten vorhanden. Wenn Sie Site-to-Site-VPN konfigurieren, müssen Sie die Konfiguration des eigentlichen Edge-Geräts für Ihr Netzwerk so ändern, dass sie mit der Konfiguration des CPE-Objekts übereinstimmt.

Diese Abbildung zeigt das Erstellen des CPE-Objekts
Callout 1: VCN-Routentabelle "MyExampleRouteTable"
Ziel-CIDR Routentabelle
10.0.0.0/16 DRG
Callout 2: Sicherheitsliste "MyExampleSecurityList"
Ingress/Egress CIDR Protokoll: Port
Ingress 10.0.0.0/16 TCP: 22
Ingress 10.0.0.0/16 ICMP: Alle
Egress 10.0.0.0/16 TCP: Alle

  1. Öffnen Sie das Navigationsmenü, und klicken Sie auf Networking. Klicken Sie unter Kundenkonnektivität auf Kunden-Premise-Geräte.

  2. Klicken Sie auf Customer Premises Equipment erstellen.

  3. Geben Sie folgende Werte ein:

    • Name: Ein aussagekräftiger Name für das CPE-Objekt. Er muss nicht eindeutig sein und kann später in der Konsole nicht geändert werden (Sie können ihn jedoch mit der API ändern). Geben Sie keine vertraulichen Informationen ein.
    • IP-Adresse: Die öffentliche IP-Adresse des aktuellen CPE-/Edge-Geräts an Ihrem Ende des VPN (eine Liste der Informationen, die erfasst werden müssen, finden Sie unter Bevor Sie beginnen).
    • Aktivieren Sie IPSec über FastConnect: (Optional) Aktivieren Sie diese Option nur, wenn Sie das Feature IPSec über FastConnect konfigurieren. Wenn diese Option aktiviert ist, ändert sich das Label des nächsten Feldes in IP-Adresse, da die als CPE-IKE-ID verwendete IP-Adresse öffentlich oder privat sein kann. Wenn Sie diese Option aktivieren, wird Oracle signalisiert, dass die CPE-IP-Adresse nicht über das Internet erreichbar und nur über Private Peering erreichbar ist.
    • Öffentliche IP-Adresse: Die öffentliche IP-Adresse des aktuellen CPE-/Endgerätes an Ihrem Ende des VPN (eine Liste der Informationen, die erfasst werden müssen, finden Sie unter Bevor Sie beginnen).
    • Tags: Übernehmen Sie die Vorgabe. Sie können Tags später bei Bedarf hinzufügen. Weitere Informationen finden Sie unter Ressourcentags.
  4. Klicken Sie auf CPE erstellen.

Das CPE-Objekt wird erstellt und auf der Seite angezeigt.

Aufgabe 2h: IPSec-Verbindung zum CPE-Objekt erstellen

In dieser Aufgabe erstellen Sie die IPSec-Tunnel und konfigurieren den jeweiligen Routingtyp (dynamisches BGP-Routing oder statisches Routing).

Tipp

Wenn Sie über ein vorhandenes Site-to-Site-VPN verfügen, das statisches Routing verwendet, können Sie die Tunnel so ändern, dass diese stattdessen dynamisches BGP-Routing verwenden.
Für dynamisches BGP-Routing
Hinweis

Oracle empfiehlt, dass Sie routenbasierte BGP-IPSec-Verbindungen für IPSec über FastConnect verwenden.

In diesem Beispiel konfigurieren Sie für beide Tunnel die Verwendung von dynamischem BGP-Routing.

Diese Abbildung zeigt ein allgemeines VPN-Layout bei der Verwendung des dynamischen BGP-Routings.
Callout 1: Routentabelle für Standardsubnetz
Ziel-CIDR Routenziel
10.0.0.0/16 DRG
Callout 2: Sicherheitsliste
Ziel-CIDR Berechtigung
10.0.0.0/16 Zulässig
Callouts 3 bis 6
Callout Funktion IP
3 Öffentliche IP-Adresse des CPE 142.34.145.37
4a Tunnel 1 - Innere BGP-Tunnelschnittstelle

CPE - 10.0.0.16/31

Oracle - 10.0.0.17/31
4b Tunnel 2 - Innere BGP-Tunnelschnittstelle

CPE - 10.0.0.18/31

Oracle - 10.0.0.19/31
5

Tunnel 1 - Oracle-VPN-IP-Adresse:

129.213.240.50
6

Tunnel 2 - Oracle-VPN-IP-Adresse:

129.213.240.53

  1. Öffnen Sie das Navigationsmenü, und klicken Sie auf Networking. Klicken Sie unter Customer Connectivity auf Site-to-Site-VPN.

  2. Klicken Sie auf IPSec-Verbindung erstellen.

  3. Geben Sie folgende Werte ein:

    • Name: Geben Sie einen aussagekräftigen Namen für die IPSec-Verbindung ein. Er muss nicht eindeutig sein und kann später geändert werden. Geben Sie keine vertraulichen Informationen ein.
    • Erstellen in Compartment: Übernehmen Sie die Vorgabe (das VCN-Compartment).
    • Customer Premises Equipment: Wählen Sie das zuvor erstellte CPE-Objekt aus. Wenn Sie IPSec über FastConnect konfigurieren, muss das ausgewählte CPE ein Label aufweisen, das bestätigt, dass IPSec über FastConnect für dieses CPE aktiviert ist. BGP-Routing wird für Verbindungen bevorzugt, die IPSec über FastConnect verwenden. Aktivieren Sie bei Bedarf das Kontrollkästchen, um anzugeben, dass sich das CPE hinter einem NAT-Gerät befindet. Wenn das Kontrollkästchen aktiviert ist, geben Sie die folgenden Informationen an:
      • CPE-IKE-ID-Typ: Wählen Sie den ID-Typ aus, mit dem der Internetschlüsselaustausch (Internet Key Exchange, IKE) das CPE-Gerät identifiziert. Entweder eine FQDN- oder eine IPv4-Adresse kann eine ID sein. Oracle verwendet standardmäßig die öffentliche IP-Adresse des CPE. Wenn sich Ihr CPE hinter einem NAT-Gerät befindet, müssen Sie möglicherweise einen anderen Wert eingeben. Sie können den neuen Wert hier eingeben oder den Wert später ändern.
      • CPE-IKE-ID: Geben Sie die Informationen ein, mit denen IKE das CPE-Gerät identifiziert.
    • Compartment dynamisches Routinggateway: Übernehmen Sie die Vorgabe (das VCN-Compartment).
    • Dynamisches Routinggateway: Wählen Sie das zuvor erstellte DRG aus.
    • Routen zu Ihrem On-Premise-Netzwerk: Lassen Sie dieses Feld leer, da diese IPsec-Verbindung dynamisches BGP-Routing verwendet. In den folgenden Schritten konfigurieren Sie für die beiden Tunnel die Verwendung von BGP.

  4. Für Tunnel 1 (erforderlich):

    • Name: Geben Sie einen aussagekräftigen Namen für den Tunnel ein. Er muss nicht eindeutig sein und kann später geändert werden. Geben Sie keine vertraulichen Informationen ein.
    • Benutzerdefiniertes Shared Secret angeben (optional): Standardmäßig stellt Oracle das Shared Secret für den Tunnel bereit. Wenn Sie es stattdessen angeben möchten, aktivieren Sie dieses Kontrollkästchen, und geben Sie das Shared Secret ein. Sie können das Shared Secret später ändern.
    • IKE-Version: Die für diesen Tunnel zu verwendende IKE-(Internet Key Exchange-)Version. Wählen Sie IKEv2 nur aus, wenn Ihr CPE dies unterstützt. Anschließend müssen Sie das CPE so konfigurieren, dass nur IKEv2 für diesen Tunnel verwendet wird.
    • Routingtyp: Wählen Sie Dynamisches BGP-Routing aus.
    • Wenn das ausgewählte CPE IPSec über FastConnect unterstützt, sind die folgenden Einstellungen erforderlich:
      • Oracle-Tunnel-Headend-IP: Geben Sie die IP-Adresse des Oracle-IPSec-Tunnelendpunkts (VPN-Headend) ein. Oracle veröffentlicht die VPN-IP als /32-Hostroute über die BGP-Session FastConnect. Wenn sich eine Adresse mit einer VCN-Route überschneidet, hat dies aufgrund der längsten Präfixübereinstimmung Vorrang.
      • Verknüpfter Virtual Circuit: Wählen Sie einen Virtual Circuit aus, der beim Erstellen für IPSec über FastConnect aktiviert wurde. Der Tunnel wird dem ausgewählten Virtual Circuit zugeordnet, und die definierte Hadend-IP ist nur von On Premise über den zugehörigen Virtual Circuit erreichbar.
      • DRG-Routentabelle: Wählen Sie eine DRG-Routentabelle aus, oder erstellen Sie sie. Um Probleme beim rekursiven Routing zu vermeiden, müssen der Virtual-Circuit-Anhang und der IPSec-Tunnelanhang, der für IPsec über FC verwendet wird, verschiedene DRG-Routentabellen verwenden.
    • BGP-ASN: Geben Sie die ASN Ihres Netzwerks ein.
    • Innere IPv4-Tunnelschnittstelle - CPE: Geben Sie die BGP-IPv4-Adresse mit Subnetzmaske (/30 oder /31) für das CPE-Ende des Tunnels ein. Beispiel: 10.0.0.16/31. Die IP-Adresse muss Bestandteil der Verschlüsselungsdomain des Site-to-Site-VPN sein.
    • Innere IPv4-Tunnelschnittstelle - Oracle: Geben Sie die BGP-IPv4-Adresse mit Subnetzmaske (/30 oder /31) für das Oracle-Ende des Tunnels ein. Beispiel: 10.0.0.17/31. Die IP-Adresse muss Bestandteil der Verschlüsselungsdomain des Site-to-Site-VPN sein.
    • Wenn Sie sowohl IPv6 als auch IPv4 verwenden möchten, klicken Sie auf IPv6 aktivieren, und geben Sie die folgenden Details ein:
      • Innere IPv6-Tunnelschnittstelle - CPE: Geben Sie die BGP-IPv6-Adresse mit Subnetzmaske (/126) für das CPE-Ende des Tunnels ein. Beispiel: 2001:db2::6/126. Die IP-Adresse muss Bestandteil der Verschlüsselungsdomain des Site-to-Site-VPN sein.
      • Innere IPv6-Tunnelschnittstelle - Oracle: Geben Sie die BGP-IPv6-Adresse mit Subnetzmaske (/126) für das Oracle-Ende des Tunnels ein. Beispiel: 2001:db2::7/126. Die IP-Adresse muss Bestandteil der Verschlüsselungsdomain des Site-to-Site-VPN sein.
      • Wenn Sie auf Erweiterte Optionen anzeigen klicken, können Sie die folgenden Einstellungen für Tunnel 1 ändern:
        • Oracle-Initiierung: Diese Einstellung gibt an, ob das Oracle-Ende der IPsec-Verbindung den Start des IPsec-Tunnels initiieren kann. Der Standardwert ist Initiator oder Responder. Sie können das Oracle-Ende auch nur als Responder festlegen. In diesem Fall muss das CPE-Gerät den IPsec-Tunnel initiieren. Oracle empfiehlt die Verwendung der Standardeinstellung.
        • NAT-T aktiviert: Diese Einstellung gibt an, ob sich das CPE-Gerät hinter einem NAT-Gerät befindet. Der Standardwert ist Automatisch. Die anderen Optionen sind Deaktiviert und Aktiviert. Oracle empfiehlt die Verwendung der Standardeinstellung.
        • Timeout für Dead Peer Detection aktivieren: Bei Auswahl dieser Option können Sie die Stabilität der Verbindung zum CPE regelmäßig prüfen und feststellen, ob das CPE heruntergefahren wurde. Mit dieser Option können Sie auch das längste Intervall zwischen CPE-Gerätezustandsmeldungen auswählen, bevor die IPsec-Verbindung angibt, dass der Kontakt zum CPE unterbrochen wurde. Der Standardwert ist 20 Sekunden. Oracle empfiehlt die Verwendung der Standardeinstellung.
      • Wenn Sie den Abschnitt Konfiguration von Phase 1 (ISAKMP) einblenden und auf Benutzerdefinierte Optionen festlegen klicken, können Sie die folgenden optionalen Einstellungen festlegen (Sie müssen jeweils eine Option auswählen):
        • Benutzerdefinierte Verschlüsselungsalgorithmen: Sie können aus den Optionen im Pulldown-Menü wählen.
        • Benutzerdefinierte Authentifizierungsalgorithmen: Sie können aus den Optionen im Pulldown-Menü wählen.
        • Diffie-Hellman-Gruppen: Sie können aus den Optionen im Pulldown-Menü wählen.

        Wenn das Kontrollkästchen Benutzerdefinierte Konfigurationen festlegen nicht aktiviert ist, werden die Standardeinstellungen vorgeschlagen.

        Weitere Informationen zu diesen Optionen, einschließlich der Standardvorschläge, finden Sie unter Unterstützte IPsec-Parameter.

      • Lebensdauer von IKE-Sessionschlüssel in Sekunden: Der Standardwert ist 28800, was 8 Stunden entspricht.
      • Wenn Sie die Optionen für Konfiguration von Phase 2 (IPsec) einblenden und auf Benutzerdefinierte Optionen festlegen klicken, können Sie die folgenden optionalen Einstellungen für Tunnel 1 festlegen (Sie müssen einen Verschlüsselungsalgorithmus auswählen):
        • Benutzerdefinierte Verschlüsselungsalgorithmen: Sie können aus den Optionen im Pulldown-Menü wählen. Wenn Sie einen AES-CBC-Verschlüsselungsalgorithmus auswählen, müssen Sie auch einen Authentifizierungsalgorithmus auswählen.
        • Benutzerdefinierte Authentifizierungsalgorithmen: Sie können aus den Optionen im Pulldown-Menü wählen. Der ausgewählte Verschlüsselungsalgorithmus hat möglicherweise eine integrierte Authentifizierung, in diesem Fall gibt es keine auswählbare Option.

        Wenn das Kontrollkästchen Benutzerdefinierte Konfigurationen festlegen nicht aktiviert ist, werden die Standardeinstellungen vorgeschlagen.

        Wenn Sie für alle Optionen der Phase 2 eine einzelne Option auswählen, setzt diese Option das Standardset außer Kraft und stellt die einzige dem CPE-Gerät vorgeschlagene Option dar.

      • Lebensdauer von IPsec-Sessionschlüssel in Sekunden: Der Standardwert ist 3600, was 1 Stunde entspricht.
      • Perfect Forward Secrecy aktivieren: Standardmäßig ist diese Option aktiviert. Damit können Sie die Diffie-Hellman-Gruppe "Perfect Forward Secrecy" auswählen. Sie können aus den Optionen im Pulldown-Menü wählen. Wenn Sie keine Auswahl treffen, wird GROUP5 vorgeschlagen.
  5. Auf der Registerkarte Tunnel 2 können Sie dieselben wie die für Tunnel 1 beschriebenen Optionen verwenden. Sie können auch andere Optionen auswählen oder den Tunnel nicht konfiguriert lassen, da Ihr CPE-Gerät nur einen einzelnen Tunnel unterstützt.
  6. Klicken Sie auf Taggingoptionen anzeigen, um jetzt oder später Tags für die IPsec-Verbindung hinzuzufügen. Weitere Informationen finden Sie unter Ressourcentags.

  7. Klicken Sie auf IPSec-Verbindung erstellen.

    Die IPSec-Verbindung wird erstellt und auf der Seite angezeigt. Sie weist kurzfristig den Status "Provisioning wird ausgeführt" auf.

    Die angezeigten Tunnelinformationen umfassen:

    • Die Oracle-VPN-IPv4- oder IPv6-Adresse (für das Oracle-VPN-Headend).
    • Den IPSec-Status des Tunnels (mögliche Werte sind "Hochgefahren", "Heruntergefahren" und "Wegen Wartung heruntergefahren"). An dieser Stelle lautet der Status "Heruntergefahren". Der Netzwerktechniker muss das CPE-Gerät konfigurieren, bevor der bzw. die Tunnel eingerichtet werden können.
    • Den BGP-Status des Tunnels. An dieser Stelle lautet der Status "Heruntergefahren". Der Netzwerktechniker muss Ihr CPE-Gerät konfigurieren.

    Um das Shared Secret des Tunnels anzuzeigen, klicken Sie auf den Tunnel, um dessen Details anzuzeigen, und klicken Sie dann neben Shared Secret auf Anzeigen.

    Sie können auch auf die Registerkarte Phasendetails klicken, um die Details für Phase 1 (ISAKMP) und Phase 2 (IPsec) für den Tunnel anzuzeigen.

  8. Kopieren Sie die Oracle-VPN-IP-Adresse und das Shared Secret für jeden der Tunnel in eine E-Mail oder einen anderen Speicherort, um diese an den Netzwerktechniker übermitteln zu können, der Ihr CPE-Gerät konfiguriert.

    Sie können diese Tunnelinformationen jederzeit hier in der Konsole anzeigen.

Sie haben jetzt alle Komponenten erstellt, die für das Site-to-Site-VPN erforderlich sind. Als Nächstes muss der Netzwerktechniker Ihr CPE-Gerät konfigurieren, bevor der Netzwerktraffic zwischen Ihrem On-Premise-Netzwerk und dem VCN fließen kann.

Für statisches Routing
Hinweis

Oracle empfiehlt, dass Sie routenbasierte BGP-IPSec-Verbindungen für IPSec über FastConnect verwenden.
Diese Abbildung zeigt das Erstellen der IPsec-Verbindung mit statischem Routing. Klicken Sie auf die Abbildung, um sie zu vergrößern.
Callout 1: VCN-Routentabelle "MyExampleRouteTable"
Ziel-CIDR Routentabelle
10.0.0.0/16 DRG
Callout 2: Sicherheitsliste "MyExampleSecurityList"
Ingress/Egress CIDR Protokoll: Port
Ingress 10.0.0.0/16 TCP: 22
Ingress 10.0.0.0/16 ICMP: Alle
Egress 10.0.0.0/16 TCP: Alle
Callout 3: Details der IPsec-Verbindung mit statischer Route 10.0.0.0/16
Tunnel IP-Adresse von Oracle-Seite IP-Adresse von On-Premise-Seite
Tunnel 1 10.0.0.17/31 10.0.0.16/31
Tunnel 2 10.0.0.19/31 10.0.0.18/31

  1. Öffnen Sie das Navigationsmenü, und klicken Sie auf Networking. Klicken Sie unter Customer Connectivity auf Site-to-Site-VPN.

  2. Klicken Sie auf IPSec-Verbindung erstellen.

  3. Geben Sie folgende Werte ein:

    • Erstellen in Compartment: Übernehmen Sie die Vorgabe (das VCN-Compartment).
    • Name: Geben Sie einen aussagekräftigen Namen für die IPSec-Verbindung ein. Er muss nicht eindeutig sein und kann später geändert werden. Geben Sie keine vertraulichen Informationen ein.
    • Compartment Customer Premises Equipment: Übernehmen Sie die Vorgabe (das Compartment des VCN).
    • Customer Premises Equipment: Wählen Sie das zuvor erstellte CPE-Objekt aus. Wenn Sie IPSec über FastConnect konfigurieren, muss das ausgewählte CPE ein Label aufweisen, das bestätigt, dass IPSec über FastConnect für dieses CPE aktiviert ist. IPSec über FastConnect ist für Verbindungen verfügbar, die statisches Routing verwenden, wird jedoch nicht empfohlen.
    • Compartment dynamisches Routinggateway: Übernehmen Sie die Vorgabe (das VCN-Compartment).
    • Dynamisches Routinggateway: Wählen Sie das zuvor erstellte DRG aus.
    • CIDR mit statischer Route: Geben Sie mindestens ein CIDR mit einer statischen Route ein (eine Liste der Informationen, die erfasst werden müssen, finden Sie unter Bevor Sie beginnen). Geben Sie in diesem Beispiel 10.0.0.0/16 ein. Sie können bis zu 10 statische Routen eingeben und die statischen Routen später ändern.
  4. Klicken Sie auf Erweiterte Optionen anzeigen.
  5. Registerkarte CPE-IKE-ID (optional): Oracle verwendet standardmäßig die öffentliche IP-Adresse des CPE. Wenn sich Ihr CPE hinter einem NAT-Gerät befindet, müssen Sie möglicherweise einen anderen Wert eingeben. Sie können den neuen Wert hier eingeben oder den Wert später ändern.

  6. Registerkarte Tunnel 1 (optional):

    • Tunnelname: Geben Sie einen aussagekräftigen Namen für den Tunnel ein. Er muss nicht eindeutig sein und kann später geändert werden. Geben Sie keine vertraulichen Informationen ein.
    • Benutzerdefiniertes Shared Secret angeben (optional): Standardmäßig stellt Oracle das Shared Secret für den Tunnel bereit. Wenn Sie es stattdessen angeben möchten, aktivieren Sie dieses Kontrollkästchen, und geben Sie das Shared Secret ein. Sie können das Shared Secret später ändern.
    • IKE-Version: Die für diesen Tunnel zu verwendende IKE-(Internet Key Exchange-)Version. Wählen Sie IKEv2 nur aus, wenn Ihr CPE dies unterstützt. Anschließend müssen Sie das CPE so konfigurieren, dass nur IKEv2 für diesen Tunnel verwendet wird.
    • Routingtyp: Lassen Sie das Optionsfeld Statisches Routing aktiviert.
    • Innere Tunnelschnittstelle - CPE (optional): Sie können eine IP-Adresse mit Subnetzmaske (entweder /30 oder /31) für das CPE-Ende des Tunnels zur Fehlerbehebung oder zum Monitoring von Tunneln angeben. Beispiel: 10.0.0.16/31. Die IP-Adresse muss Bestandteil der Verschlüsselungsdomain des Site-to-Site-VPN sein.
    • Innere Tunnelschnittstelle - Oracle (optional): Sie können eine IP-Adresse mit Subnetzmaske (/30 oder /31) für das Oracle-Ende des Tunnels zur Fehlerbehebung oder zum Monitoring von Tunneln angeben. Beispiel: 10.0.0.17/31. Die IP-Adresse muss Bestandteil der Verschlüsselungsdomain des Site-to-Site-VPN sein.

  7. Registerkarte Tunnel 2 (optional):

    • Tunnelname: Geben Sie einen aussagekräftigen Namen für den Tunnel ein. Er muss nicht eindeutig sein und kann später geändert werden. Geben Sie keine vertraulichen Informationen ein.
    • Benutzerdefiniertes Shared Secret angeben (optional): Standardmäßig stellt Oracle das Shared Secret für den Tunnel bereit. Wenn Sie es stattdessen angeben möchten, aktivieren Sie dieses Kontrollkästchen, und geben Sie das Shared Secret ein. Sie können das Shared Secret später ändern.
    • IKE-Version: Die für diesen Tunnel zu verwendende IKE-(Internet Key Exchange-)Version. Wählen Sie IKEv2 nur aus, wenn Ihr CPE dies unterstützt. Anschließend müssen Sie das CPE so konfigurieren, dass nur IKEv2 für diesen Tunnel verwendet wird.
    • Routingtyp: Lassen Sie das Optionsfeld Statisches Routing aktiviert.
    • Innere Tunnelschnittstelle - CPE (optional): Sie können eine IP-Adresse mit Subnetzmaske (entweder /30 oder /31) für das CPE-Ende des Tunnels zur Fehlerbehebung oder zum Monitoring von Tunneln angeben. Verwenden Sie eine andere IP-Adresse als für Tunnel 1. Beispiel: 10.0.0.18/31. Die IP-Adresse muss Bestandteil der Verschlüsselungsdomain des Site-to-Site-VPN sein.
    • Innere Tunnelschnittstelle - Oracle (optional): Sie können eine IP-Adresse mit Subnetzmaske (/30 oder /31) für das Oracle-Ende des Tunnels zur Fehlerbehebung oder zum Monitoring von Tunneln angeben. Verwenden Sie eine andere IP-Adresse als für Tunnel 1. Beispiel: 10.0.0.19/31. Die IP-Adresse muss Bestandteil der Verschlüsselungsdomain des Site-to-Site-VPN sein.
  8. Tags: Übernehmen Sie die Vorgabe. Sie können Tags später bei Bedarf hinzufügen. Weitere Informationen finden Sie unter Ressourcentags.

  9. Klicken Sie auf IPSec-Verbindung erstellen.

    Die IPSec-Verbindung wird erstellt und auf der Seite angezeigt. Sie weist kurzfristig den Status "Provisioning wird ausgeführt" auf.

    Die angezeigten Tunnelinformationen umfassen:

    • Die Oracle-VPN-IP-Adresse (für das Oracle-VPN-Headend).
    • Den IPSec-Status des Tunnels (mögliche Werte sind "Hochgefahren", "Heruntergefahren" und "Wegen Wartung heruntergefahren"). An dieser Stelle lautet der Status "Heruntergefahren". Der Netzwerktechniker muss noch das CPE-Gerät konfigurieren.

    Um das Shared Secret des Tunnels anzuzeigen, klicken Sie auf den Tunnel, um dessen Details anzuzeigen, und klicken Sie dann neben Shared Secret auf Anzeigen.

  10. Kopieren Sie die Oracle-VPN-IP-Adresse und das Shared Secret für jeden der Tunnel in eine E-Mail oder einen anderen Speicherort, um diese an den Netzwerktechniker übermitteln zu können, der das CPE-Gerät konfiguriert.

    Sie können diese Tunnelinformationen jederzeit hier in der Konsole anzeigen.

Sie haben jetzt alle Komponenten erstellt, die für das Site-to-Site-VPN erforderlich sind. Als Nächstes muss der Netzwerktechniker das CPE-Gerät konfigurieren, bevor der Netzwerktraffic zwischen Ihrem On-Premise-Netzwerk und dem VCN fließen kann.

Weitere Informationen finden Sie unter CPE-Konfiguration.

Für policybasiertes Routing
Hinweis

Oracle empfiehlt, dass Sie routenbasierte BGP-IPSec-Verbindungen für IPSec über FastConnect verwenden.
Hinweis

Die Option für policybasiertes Routing ist nicht in allen ADs verfügbar und erfordert möglicherweise die Erstellung eines neuen IPsec-Tunnels.

  1. Öffnen Sie das Navigationsmenü, und klicken Sie auf Networking. Klicken Sie unter Customer Connectivity auf Site-to-Site-VPN.

  2. Klicken Sie auf IPSec-Verbindung erstellen.

  3. Geben Sie folgende Werte ein:

    • Erstellen in Compartment: Übernehmen Sie die Vorgabe (das VCN-Compartment).
    • Name: Geben Sie einen aussagekräftigen Namen für die IPSec-Verbindung ein. Er muss nicht eindeutig sein und kann später geändert werden. Geben Sie keine vertraulichen Informationen ein.
    • Compartment Customer Premises Equipment: Übernehmen Sie die Vorgabe (das Compartment des VCN).
    • Customer Premises Equipment: Wählen Sie das zuvor erstellte CPE-Objekt aus. Wenn Sie IPSec über FastConnect konfigurieren, muss das ausgewählte CPE ein Label aufweisen, das bestätigt, dass IPSec über FastConnect für dieses CPE aktiviert ist. IPSec über FastConnect ist für Verbindungen verfügbar, die policy-basiertes Routing verwenden, wird jedoch nicht empfohlen.
    • Compartment dynamisches Routinggateway: Übernehmen Sie die Vorgabe (das VCN-Compartment).
    • Dynamisches Routinggateway: Wählen Sie das zuvor erstellte DRG aus.
    • CIDR mit statischer Route: Geben Sie mindestens ein CIDR mit einer statischen Route ein (eine Liste der Informationen, die erfasst werden müssen, finden Sie unter Bevor Sie beginnen). Geben Sie in diesem Beispiel 10.0.0.0/16 ein. Sie können bis zu 10 statische Routen eingeben und die statischen Routen später ändern.
  4. Klicken Sie auf Erweiterte Optionen anzeigen.
  5. Registerkarte CPE-IKE-ID (optional): Oracle verwendet standardmäßig die öffentliche IP-Adresse des CPE. Wenn sich Ihr CPE hinter einem NAT-Gerät befindet, müssen Sie möglicherweise einen anderen Wert eingeben. Sie können den neuen Wert hier eingeben oder den Wert später ändern.

  6. Registerkarte Tunnel 1 (optional):

    • Tunnelname: Geben Sie einen aussagekräftigen Namen für den Tunnel ein. Er muss nicht eindeutig sein und kann später geändert werden. Geben Sie keine vertraulichen Informationen ein.
    • Benutzerdefiniertes Shared Secret angeben (optional): Standardmäßig stellt Oracle das Shared Secret für den Tunnel bereit. Wenn Sie es stattdessen angeben möchten, aktivieren Sie dieses Kontrollkästchen, und geben Sie das Shared Secret ein. Sie können das Shared Secret später ändern.
    • IKE-Version: Die für diesen Tunnel zu verwendende IKE-(Internet Key Exchange-)Version. Wählen Sie IKEv2 nur aus, wenn Ihr CPE dies unterstützt. Anschließend müssen Sie das CPE so konfigurieren, dass nur IKEv2 für diesen Tunnel verwendet wird.
    • Routingtyp: Aktivieren Sie das Optionsfeld Policybasiertes Routing.
    • On Premise: Sie können mehrere IPv4-CIDR-Blöcke oder IPv6-Präfixblöcke angeben, die von Ressourcen in Ihrem On-Premise-Netzwerk verwendet werden. Das Routing wird dabei durch die CPE-Geräte-Policys bestimmt.
      Hinweis

      Informationen dazu, wie viele IPv4-CIDR-Blöcke oder IPv6-Präfixblöcke verwendet werden können, finden Sie unter Verschlüsselungsdomains für policybasierte Tunnel.
    • Oracle Cloud: Sie können mehrere IPv4-CIDR-Blöcke oder IPv6-Präfixblöcke angeben, die von Ressourcen in Ihrem VCN verwendet werden.
      Hinweis

      Informationen dazu, wie viele IPv4-CIDR-Blöcke oder IPv6-Präfixblöcke verwendet werden können, finden Sie unter Verschlüsselungsdomains für policybasierte Tunnel.
    • Innere Tunnelschnittstelle - CPE (optional): Sie können eine IP-Adresse mit Subnetzmaske (entweder /30 oder /31) für das CPE-Ende des Tunnels zur Fehlerbehebung oder zum Monitoring von Tunneln angeben. Beispiel: 10.0.0.16/31. Die IP-Adresse muss Bestandteil einer der Verschlüsselungsdomains des Site-to-Site-VPN sein.
    • Innere Tunnelschnittstelle - Oracle (optional): Sie können eine IP-Adresse mit Subnetzmaske (/30 oder /31) für das Oracle-Ende des Tunnels zur Fehlerbehebung oder zum Monitoring von Tunneln angeben. Beispiel: 10.0.0.17/31. Die IP-Adresse muss Bestandteil einer der Verschlüsselungsdomains des Site-to-Site-VPN sein.

  7. Registerkarte Tunnel 2 (optional):

    • Tunnelname: Geben Sie einen aussagekräftigen Namen für den Tunnel ein. Er muss nicht eindeutig sein und kann später geändert werden. Geben Sie keine vertraulichen Informationen ein.
    • Benutzerdefiniertes Shared Secret angeben (optional): Standardmäßig stellt Oracle das Shared Secret für den Tunnel bereit. Wenn Sie es stattdessen angeben möchten, aktivieren Sie dieses Kontrollkästchen, und geben Sie das Shared Secret ein. Sie können das Shared Secret später ändern.
    • IKE-Version: Die für diesen Tunnel zu verwendende IKE-(Internet Key Exchange-)Version. Wählen Sie IKEv2 nur aus, wenn Ihr CPE dies unterstützt. Anschließend müssen Sie das CPE so konfigurieren, dass nur IKEv2 für diesen Tunnel verwendet wird.
    • Routingtyp: Aktivieren Sie das Optionsfeld Policybasiertes Routing.
    • On Premise: Sie können mehrere IPv4-CIDR-Blöcke oder IPv6-Präfixblöcke angeben, die von Ressourcen in Ihrem On-Premise-Netzwerk verwendet werden. Das Routing wird dabei durch die CPE-Geräte-Policys bestimmt.
      Hinweis

      Informationen zu den Einschränkungen finden Sie unter Verschlüsselungsdomains für policybasierte Tunnel.
    • Oracle Cloud: Sie können mehrere IPv4-CIDR-Blöcke oder IPv6-Präfixblöcke angeben, die von Ressourcen in Ihrem VCN verwendet werden.
      Hinweis

      Informationen zu den Einschränkungen finden Sie unter Verschlüsselungsdomains für policybasierte Tunnel.
    • Innere Tunnelschnittstelle - CPE (optional): Sie können eine IP-Adresse mit Subnetzmaske (entweder /30 oder /31) für das CPE-Ende des Tunnels zur Fehlerbehebung oder zum Monitoring von Tunneln angeben. Beispiel: 10.0.0.16/31. Die IP-Adresse muss Bestandteil einer der Verschlüsselungsdomains des Site-to-Site-VPN sein.
    • Innere Tunnelschnittstelle - Oracle (optional): Sie können eine IP-Adresse mit Subnetzmaske (/30 oder /31) für das Oracle-Ende des Tunnels zur Fehlerbehebung oder zum Monitoring von Tunneln angeben. Beispiel: 10.0.0.17/31. Die IP-Adresse muss Bestandteil einer der Verschlüsselungsdomains des Site-to-Site-VPN sein.
  8. Tags: Übernehmen Sie die Vorgabe. Sie können Tags später bei Bedarf hinzufügen. Weitere Informationen finden Sie unter Ressourcentags.

  9. Klicken Sie auf IPSec-Verbindung erstellen.

    Die IPSec-Verbindung wird erstellt und auf der Seite angezeigt. Sie weist kurzfristig den Status "Provisioning wird ausgeführt" auf.

    Die angezeigten Tunnelinformationen umfassen:

    • Die Oracle-VPN-IP-Adresse (für das Oracle-VPN-Headend).
    • Den IPSec-Status des Tunnels (mögliche Werte sind "Hochgefahren", "Heruntergefahren" und "Wegen Wartung heruntergefahren"). An dieser Stelle lautet der Status "Heruntergefahren". Der Netzwerktechniker muss noch das CPE-Gerät konfigurieren.

    Um das Shared Secret des Tunnels anzuzeigen, klicken Sie auf den Tunnel, um dessen Details anzuzeigen, und klicken Sie dann neben Shared Secret auf Anzeigen.

  10. Kopieren Sie die Oracle-VPN-IP-Adresse und das Shared Secret für jeden der Tunnel in eine E-Mail oder einen anderen Speicherort, und übermitteln Sie diese an den Netzwerktechniker, der das CPE-Gerät konfiguriert.

    Sie können diese Tunnelinformationen jederzeit hier in der Konsole anzeigen.

Sie haben jetzt alle Komponenten erstellt, die für das Site-to-Site-VPN erforderlich sind. Als Nächstes muss der Netzwerktechniker das CPE-Gerät konfigurieren, bevor der Netzwerktraffic zwischen Ihrem On-Premise-Netzwerk und dem VCN fließen kann.

Weitere Informationen finden Sie unter CPE-Konfiguration.

Aufgabe 3: CPE-Konfigurations-Helper verwenden

Mit dem CPE-Konfigurations-Helper können Sie Konfigurationsinhalt generieren, den der Netzwerktechniker zur Konfiguration des CPE verwenden kann.

Der Inhalt umfasst Folgendes:

  • Für jeden IPSec-Tunnel: die Oracle-VPN-IP-Adresse und das Shared Secret.
  • Die unterstützten IPSec-Parameterwerte.
  • Informationen zum VCN.
  • CPE-spezifische Konfigurationsinformationen.

Weitere Informationen finden Sie unter CPE-Konfigurations-Helper verwenden.

Aufgabe 4: CPE vom Netzwerktechniker konfigurieren lassen

Stellen Sie dem Netzwerktechniker Folgendes bereit:

Wichtig

Achten Sie darauf, dass der Netzwerktechniker das CPE-Gerät so konfiguriert, dass beide Tunnel unterstützt werden. Dies ist hilfreich für den Fall, dass ein Fehler auftritt oder Oracle einen Tunnel zu Wartungszwecken offline setzen muss. Wenn Sie BGP verwenden, finden Sie weitere Informationen unter Routing für Site-to-Site-VPN.
Aufgabe 5: Verbindung prüfen

Nachdem der Netzwerktechniker das CPE-Gerät konfiguriert hat, können Sie überprüfen, ob der IPSec-Status des Tunnels "Hochgefahren" lautet und grün dargestellt wird. Als Nächstes können Sie eine Linux-Instanz in dem Subnetz im VCN erstellen. Anschließend sollten Sie über SSH eine Verbindung zur privaten IP-Adresse der Instanz von einem Host in Ihrem On-Premise-Netzwerk herstellen können. Weitere Informationen finden Sie unter Instanzen erstellen.

Beispiellayout mit mehreren geografischen Gebieten

Das folgende Diagramm zeigt ein Beispiel mit dieser Konfiguration:

  • Zwei Netzwerke in separaten geografischen Gebieten, die jeweils mit Ihrem VCN verbunden sind
  • Ein einzelnes CPE-Gerät in jedem Gebiet
  • Zwei IPSec-VPNs (eines für jedes CPE-Gerät)

Beachten Sie, dass jedem Site-to-Site-VPN zwei Routen zugeordnet sind: eine für das Subnetz des betreffenden geografischen Gebiets und eine Standardroute 0.0.0.0/0. Oracle lernt die verfügbaren Routen für jeden Tunnel entweder über BGP (wenn die Tunnel BGP verwenden) oder weil Sie sie als statische Routen für die IPSec-Verbindung festgelegt haben (wenn die Tunnel statisches Routing verwenden).

Diese Abbildung zeigt ein Layout mit zwei geografischen Gebieten und zwei Routern
Callout 1: VCN-Routentabelle
Ziel-CIDR Routenziel
10.20.0.0/16 DRG
10.40.0.0/16 DRG

Im Folgenden finden Sie einige Beispiele für Situationen, in denen die 0.0.0.0/0-Route Flexibilität bieten kann:

  • Angenommen, das CPE 1-Gerät wird heruntergefahren (siehe nächstes Diagramm). Wenn Subnetz 1 und Subnetz 2 miteinander kommunizieren können, könnte Ihr VCN die Systeme in Subnetz 1 weiterhin erreichen, da die 0.0.0.0/0-Route zu CPE 2 führt.

    Diese Abbildung zeigt ein Layout für eine Situation, in der einer der CPE-Router heruntergefahren wird
    Callout 1: VCN-Routentabelle
    Ziel-CIDR Routenziel
    10.20.0.0/16 DRG
    10.40.0.0/16 DRG

  • Angenommen, Ihre Organisation fügt ein neues geografisches Gebiet mit Subnetz 3 hinzu und verbindet dieses anfänglich mit Subnetz 2 (siehe nächstes Diagramm). Wenn Sie Ihrer VCN-Routentabelle eine Routingregel für Subnetz 3 hinzufügen, kann das VCN Systeme in Subnetz 3 erreichen, weil die 0.0.0.0/0-Route zu CPE 2 führt.

    Diese Abbildung zeigt ein Layout mit einem neuen Subnetz
    Callout 1: VCN-Routentabelle
    Ziel-CIDR Routenziel
    10.20.0.0/16 DRG
    10.40.0.0/16 DRG
    10.60.0.0/16 DRG

Beispiellayout mit PAT

Das folgende Diagramm zeigt ein Beispiel mit dieser Konfiguration:

  • Zwei Netzwerke in separaten geografischen Gebieten, die jeweils mit Ihrem VCN verbunden sind
  • Redundante CPE-Geräte (zwei in jedem geografischen Gebiet)
  • Vier IPSec-VPNs (eines für jedes CPE-Gerät)
  • PAT (Port Address Translation) für jedes CPE-Gerät

Für jede der vier Verbindungen muss Oracle die PAT-IP-Adresse für das spezifische CPE-Gerät kennen. Oracle lernt die PAT-IP-Adressroute für jeden Tunnel entweder über BGP (wenn die Tunnel BGP verwenden) oder weil Sie die entsprechende Adresse als statische Route für die IPSec-Verbindung festgelegt haben (wenn die Tunnel statisches Routing verwenden).

Beim Einrichten der Routingregeln für das VCN geben Sie eine Regel für jede PAT-IP-Adresse (oder ein Aggregat-CIDR, das alle abdeckt) mit Ihrem DRG als Ziel der Regel an.

Diese Abbildung zeigt ein Szenario mit mehreren IPSec-VPNs, Routern und PAT
Callout 1: VCN-Routentabelle
Ziel-CIDR Routenziel
PAT IP 1 DRG
PAT IP 2 DRG
PAT IP 3 DRG
PAT IP 4 DRG