Documentação do Oracle Cloud Infrastructure

Palo Alto

Este tópico fornece configuração para um dispositivo Palo Alto. A configuração foi validada com o PAN-OS versão 8.0.0.

É necessária experiência em Palo Alto.

Importante

A Oracle fornece instruções de configuração para um conjunto testado de fornecedores e dispositivos. Use a configuração correta do seu fornecedor e da versão do software.

Se a versão do dispositivo ou do software que a Oracle usou para verificar a configuração não corresponder exatamente ao seu dispositivo ou software, você ainda poderá criar a configuração necessária no seu dispositivo. Consulte a documentação do fornecedor e faça os ajustes necessários.

Se o seu dispositivo for destinado a um fornecedor que não está na lista de fornecedores e dispositivos verificados ou se você já estiver familiarizado com a configuração do seu dispositivo para IPSec, consulte a lista de parâmetros IPSec suportados e consulte a documentação do fornecedor para obter ajuda.

O Oracle Cloud Infrastructure oferece a VPN Site a Site, uma conexão IPSec segura entre a sua rede on-promises e uma rede virtual na nuvem (VCN).

O diagrama a seguir mostra uma conexão IPSec básica com o Oracle Cloud Infrastructure que tem túneis redundantes. Os endereços IP usados neste diagrama são apenas exemplos.

Esta imagem resume o layout geral da sua rede on-premises, dos túneis IPSec do VPN Connect e da VCN.

Melhores Práticas

Esta seção trata das melhores práticas gerais e de considerações para o uso da VPN Site a Site.

Configurar Todos os Túneis para Todas as Conexões IPSec

O sistema Oracle implanta dois headends IPSec para cada uma das suas conexões, a fim de fornecer alta disponibilidade para as suas cargas de trabalho de missão crítica. No lado Oracle, esses dois headends estão em roteadores distintos para fins de redundância. A Oracle recomenda a configuração de todos os túneis disponíveis para redundância máxima. Essa é uma parte essencial da filosofia "Design para Falhas".

Ter CPEs Redundantes nas Suas Redes Locais

Cada um dos seus sites que utilizam IPSec para conexão com o Oracle Cloud Infrastructure deve ter dispositivos de borda redundantes (também conhecidos como CPE (customer-premises equipment)). Você adiciona cada CPE à Console do Oracle e cria uma conexão IPSec separada entre o seu DRG (Dynamic Routing Gateway) e cada CPE. Para cada conexão IPSec, o sistema Oracle provisiona dois túneis em headends IPSec redundantes geograficamente. Para obter mais informações, consulte o Connectivity Redundancy Guide (PDF).

Considerações sobre o Protocolo de Roteamento

Quando você cria uma conexão IPSec da VPN Site a Site, ela tem dois túneis IPSec redundantes. A Oracle incentiva você a configurar o seu CPE para usar ambos os túneis (se o seu CPE suportar essa configuração). Anteriormente, a Oracle criava conexões IPSec com até quatro túneis IPSec.

Os três tipos de roteamento a seguir estão disponíveis e você escolhe o tipo de roteamento separadamente para cada túnel na VPN Site a Site:

  • Roteamento dinâmico BGP: as rotas disponíveis são obtidas dinamicamente por meio de BGP. O DRG obtém dinamicamente as rotas provenientes da sua rede local. No lado Oracle, o DRG propaga as sub-redes da VCN.
  • Roteamento estático: ao configurar a conexão IPSec com o DRG, você determina para a sua rede local as rotas específicas que a VCN deverá reconhecer. Você também deve configurar o seu dispositivo CPE com rotas estáticas para as sub-redes da VCN. Essas rotas não são obtidas dinamicamente.
  • Roteamento baseado em política: Ao configurar a conexão IPSec com o DRG, você especifica determinadas rotas para a sua rede on-premises que a VCN deverá reconhecer. Você também deve configurar o seu dispositivo CPE com rotas estáticas para as sub-redes da VCN. Essas rotas não são obtidas dinamicamente.

Para obter mais informações sobre roteamento com a VPN Site a Site, incluindo recomendações da Oracle sobre como manipular o algoritmo de seleção de melhor caminho do BGP, consulte Roteamento da VPN Site a Site.

Outras Configurações Importantes do CPE

Verifique se as listas de acesso do seu CPE estão configuradas corretamente para não bloquear o tráfego necessário de origem ou destino do Oracle Cloud Infrastructure.

Se houver vários túneis ativos simultaneamente, você poderá experimentar um roteamento assimétrico. Para permitir o roteamento assimétrico, certifique-se de que o seu CPE esteja configurado para tratar o tráfego proveniente da sua VCN em qualquer um dos túneis. Por exemplo, você precisa desativar a inspeção do ICMP e configurar o bypass de estado do TCP. Para obter mais detalhes sobre a configuração apropriada, entre em contato com o suporte do fornecedor do CPE. Para configurar o roteamento para ser simétrico, consulte Roteamento da VPN Site a Site.

Cuidados e Limitações

Esta seção trata de características e limitações gerais importantes da VPN Site a Site que você deve conhecer. Consulte Limites do Serviço para obter uma lista dos limites e instruções aplicáveis para solicitar um aumento de limite.

Roteamento Assimétrico

O sistema Oracle usa o roteamento assimétrico entre os diversos túneis que compõem a conexão IPSec. Configure os seus firewalls de forma adequada. Caso contrário, os testes de ping ou o tráfego de aplicativos na conexão não funcionarão de forma confiável.

Quando você usa vários túneis para o Oracle Cloud Infrastructure, a Oracle recomenda configurar o roteamento para conduzir o tráfego especificamente por meio do túnel preferencial. Se quiser usar um túnel IPSec como principal e outro como backup, configure rotas mais específicas para o túnel principal (BGP) e rotas menos específicas (rota padrão ou resumida) para o túnel de backup (BGP/estático). Caso contrário, se você divulgar a mesma rota (por exemplo, uma rota padrão) por meio de todos os túneis, retorne o tráfego da sua VCN para as suas rotas de rede on-premises para qualquer um dos túneis disponíveis. Isso acontece porque o sistema Oracle usa roteamento assimétrico.

Para obter recomendações específicas de roteamento da Oracle sobre como impor o roteamento simétrico, consulte Roteamento da VPN Site a Site.

VPN Site a Site Baseada em Rota ou em Política

O protocolo IPSec usa SAs (Security Associations) para determinar como criptografar pacotes. Dentro de cada SA, você define domínios de criptografia para mapear o tipo de protocolo e o endereço IP de origem e de destino de um protocolo até uma entrada no banco de dados SA, a fim de definir como criptografar ou decriptografar um pacote.

Observação

A documentação de outros fornecedores ou setores de mercado pode usar os termos ID do proxy, índice de parâmetro de segurança (SPI) ou seletor de tráfego ao fazer referência a SAs ou domínios de criptografia.

Há dois métodos gerais para implementar túneis IPSec:

  • Túneis baseados em rota: também chamados de túneis baseados no próximo salto. Uma pesquisa de tabela de roteamento é executada no endereço IP de destino de um pacote. Se a interface de saída da rota for um túnel IPSec, o pacote será criptografado e enviado para a outra extremidade do túnel.
  • Túneis baseados em política: o protocolo e o endereço IP de origem e de destino do pacote são validados em relação a uma lista de instruções de política. Se não houver uma correspondência, o pacote será criptografado com base nas regras dessa instrução de política.

Os head-ends da VPN Site a Site da Oracle usam túneis baseados em rota, mas podem funcionar com túneis baseados em política, com algumas limitações listadas nas seções a seguir.

Domínio de criptografia para túneis baseados em rota

Se o seu CPE suportar túneis baseados em rota, use esse método para configurar o túnel. É a configuração mais simples que tem a maior interoperabilidade com o headend da Oracle VPN.

O IPSec baseado em rota usa um domínio de criptografia com os seguintes valores:

  • Endereço IP de origem: qualquer um (0.0.0.0/0)
  • Endereço IP de destino: qualquer um (0.0.0.0/0)
  • Protocolo: IPv4

Se você precisar ser mais específico, poderá usar uma única rota resumida para os seus valores de domínio de criptografia, em vez de uma rota padrão.

Domínio de criptografia para túneis baseados em política

Quando você usa túneis baseados em política, cada entrada de política (um bloco CIDR em um lado da conexão IPSec) que você define gera uma associação de segurança (SA) IPSec com cada entrada elegível na outra extremidade do túnel. Esse par é chamado de domínio de criptografia.

Neste diagrama, a extremidade do DRG da Oracle do túnel IPSec tem entradas de política para três blocos CIDR IPv4 e um bloco CIDR IPv6. A extremidade do CPE on-premises do túnel tem entradas de política em dois blocos CIDR IPv4 e dois blocos CIDR IPv6. Cada entrada gera um domínio de criptografia com todas as entradas possíveis na outra extremidade do túnel. Os dois lados de um par de SA devem usar a mesma versão de IP. O resultado é um total de oito domínios de criptografia.

Diagrama mostrando vários domínios de criptografia e como determinar o número deles.
Importante

Se o seu CPE suportar apenas túneis baseados em política, conheça as restrições a seguir.

  • A VPN Site a Site suporta vários domínios de criptografia, mas tem um limite máximo de 50 domínios.
  • Se você tivesse uma situação semelhante ao exemplo acima e tivesse configurado apenas três dos seis domínios de criptografia IPv4 possíveis na parte do CPE, o link seria listado em um estado "Parcial UP", uma vez que todos os domínios de criptografia possíveis são sempre criados na parte do DRG.
  • O roteamento baseado em política depende da VPN Site a Site v2. Consulte Serviço de VPN Site a Site Atualizado para obter mais informações sobre a VPN Site a Site v2.
  • Dependendo de quando o seu túnel foi criado, talvez você não consiga editar um túnel existente para usar o roteamento baseado em política e talvez precise substituir o túnel por um novo túnel IPSec.
  • Os blocos CIDR usados na extremidade do DRG da Oracle do túnel não podem sobrepor os blocos CIDR usados na extremidade do CPE on-premises do túnel.
  • Um domínio de criptografia deve sempre estar entre dois blocos CIDR da mesma versão de IP.

Se o Seu CPE Estiver Atrás de um Dispositivo NAT

Em geral, o identificador IKE de CPE configurado na sua extremidade da conexão deve corresponder ao identificador IKE do CPE que o sistema Oracle está usando. Por padrão, o sistema Oracle usa o endereço IP público do CPE, que você fornece ao criar o objeto CPE na Console do sistema Oracle. No entanto, se o seu CPE estiver atrás de um dispositivo NAT, o identificador IKE do CPE configurado na sua extremidade poderá ser o endereço IP privado do CPE, conforme mostrado no diagrama a seguir.

Esta imagem mostra o CPE atrás de um dispositivo NAT, os endereços IP público e privado e o identificador IKE do CPE.
Observação

Algumas plataformas CPE não permitem que você altere o identificador IKE local. Se não puder alterar, altere o ID de IKE remoto na Console do sistema Oracle de modo a corresponder ao seu ID de IKE local do CPE. Você pode fornecer o valor quando configurar a conexão IPSec ou posteriormente, editando a conexão IPSec. O sistema Oracle espera que o valor seja um endereço IP ou um nome de domínio totalmente qualificado (FQDN), como cpe.example.com. Para obter instruções, consulte Alterando o Identificador IKE do CPE Usado pelo Sistema Oracle.

Parâmetros IPSec Suportados

Para obter uma lista não dependente de fornecedor contendo parâmetros IPSec suportados para todas as regiões, consulte Parâmetros IPSec Suportados.

O ASN do BGP da Oracle para o realm do Cloud do setor governamental é 31898. Se você estiver configurando a VPN Site a Site para a Nuvem do Governo dos EUA, consulte Parâmetros Obrigatórios da VPN Site a Site para a Nuvem do Governo e também ASN de BGP da Oracle. Para a Nuvem do Governo do Reino Unido, consulte ASN de BGP da Oracle.

Configuração do CPE

Importante

As instruções de configuração nesta seção são fornecidas pelo Oracle Cloud Infrastructure para o seu CPE. Se precisar de suporte ou assistência adicional, entre em contato com o suporte do fornecedor do CPE diretamente.

A figura a seguir mostra o layout básico da conexão IPSec.

Esta imagem resume o layout geral dos túneis e da conexão IPSec.

Detalhes Importantes sobre as Instruções de Configuração

  • Commits: para o PAN ativar a configuração, você deverá executar a ação de commit após qualquer alteração de configuração.
  • Exemplo de endereços IP: o exemplo de configuração usa endereços IP da classe A 10.0.0.0/8 (RFC1918) e 198.51.100.0/24 (RFC5735). Ao executar a configuração no CPE, use o plano de endereçamento IP correto para a sua topologia de rede.

O exemplo de configuração usa os seguintes valores e variáveis:

  • Interface de túnel interno 1 - CPE: 198.51.100.1/30
  • Interface de túnel interno 2 - CPE: 198.51.100.5/30
  • Interface de túnel interno 1 - Oracle: 198.51.100.2/30
  • Interface de túnel interno 2 - Oracle: 198.51.100.6/30
  • CPE ASN: 64511
  • Rede local: 10.200.1.0/24
  • Bloco CIDR da VCN: 10.200.0.0/24
  • Endereço IP público do CPE: 10.100.0.100/24
  • Endereço IP 1 (DRG) de headend da Oracle VPN: 10.150.128.1/32
  • Endereço IP 2 (DRG) de headend da Oracle VPN: 10.150.127.1/32
  • Túnel número 1: tunnel.1
  • Túnel número 2: tunnel.2
  • Interface de saída: ethernet1/1

Sobre a Utilização do IKEv2

O sistema Oracle suporta o Internet Key Exchange versão 1 (IKEv1) e versão 2 (IKEv2). Se você configurar a conexão IPSec na Console para usar o IKEv2, deverá configurar o seu CPE para usar somente os parâmetros IKEv2 e os parâmetros de criptografia IKEv2 e relacionados suportados pelo seu CPE. Para obter uma lista de parâmetros que o Oracle suporta para IKEv1 ou IKEv2, consulte Parâmetros IPSec Suportados.

Se você quiser usar o IKEv2, haverá variações especiais de algumas etapas apresentadas na seção a seguir. Este é um resumo das etapas especiais:

Processo de Configuração

O processo a seguir inclui a configuração do BGP para a conexão IPSec. Se, em vez disso, você quiser usar o roteamento estático, execute as tarefas de 1 a 5 e vá para Configuração do CPE.

Tarefa 1: Configurar a política ISAKMP - Fase 1

Nesse exemplo, a mesma política ISAKMP é usada para ambos os túneis.

  1. Vá para Rede, Criptografia IKE e clique em Adicionar.

  2. Configure os parâmetros da forma mostrada na captura de tela a seguir. Para obter uma lista dos valores, consulte Parâmetros IPSec Suportados. Se você estiver configurando a VPN Site a Site para a Nuvem do Governo, consulte Parâmetros Obrigatórios da VPN Site a Site para a Nuvem do Governo.

    Esta imagem mostra onde configurar a política ISAKMP.

    A próxima captura de tela mostra o resultado final desta tarefa:

    Esta imagem mostra o resultado final após a criação da política ISAKMP.
Tarefa 2: Definir os pares ISAKMP
  1. Vá para Rede, Gateways IKE e clique em Adicionar.

  2. Para o par 1, configure os parâmetros da forma mostrada nas capturas de tela a seguir.

    1. Na guia Geral:

      • Versão: Para IKEv1, selecione Modo IKEv1 somente. Se você quiser usar o IKEv2, selecione a opção Modo IKEv2 somente. Observe que se você estiver usando o IKEv2, posteriormente, na tarefa 5, também terá de adicionar IDs de proxies.
      • Interface: a interface que possui o endereço IP público no CPE. Altere ethernet1/1 para o valor específico da sua topologia de rede.
      • Endereços IP do par: o endereço IP público que o sistema Oracle designou ao headend Oracle do túnel. Altere o valor para o endereço IP correto do seu primeiro túnel.
      • Chave Pré-compartilhada: o segredo compartilhado que o sistema Oracle designou automaticamente durante a criação do túnel IPSec. Se quiser, você poderá especificar um valor diferente. Digite o mesmo valor aqui e na Console do sistema Oracle.
      • Identificação Local e Identificação de Par Correspondente: Os IDs de IKE. A Identificação Local é o endereço IP público do CPE. A Identificação Remota é o endereço IP do headend da Oracle VPN para o primeiro túnel.
      Esta imagem mostra onde configurar os parâmetros do primeiro par.

    2. Na guia Opções Avançadas, verifique se os valores estão definidos para o primeiro par de acordo com a captura de tela a seguir.

      Esta imagem mostra as opções avançadas de gateway IKE para o primeiro par.

      Se você estiver usando o IKEv2, selecione o perfil de criptografia IKE associado ao túnel IKEv2.

      Esta imagem mostra a definição do perfil de criptografia IKEv2.

  3. Para o par 2, configure os parâmetros da forma mostrada nas capturas de tela a seguir.

    1. Na guia Geral:

      • Versão: Para IKEv1, selecione Modo IKEv1 somente. Se você quiser usar o IKEv2, selecione a opção Modo IKEv2 somente. Para o IKEv2, observe que você também precisa fornecer um ID de proxy posteriormente na tarefa 5.
      • Interface: a interface que possui o endereço IP público no CPE. Altere ethernet1/1 para o valor específico da sua topologia de rede.
      • Endereços IP do par: o endereço IP público que o sistema Oracle designou ao headend Oracle do túnel. Altere o valor para o endereço IP correto do seu segundo túnel.
      • Chave Pré-compartilhada: o segredo compartilhado que o sistema Oracle designou automaticamente durante a criação do túnel IPSec. Se quiser, você poderá especificar um valor diferente. Digite o mesmo valor aqui e na Console do sistema Oracle.
      • Identificação Local e Identificação de Par Correspondente: Os IDs de IKE. A Identificação Local é o endereço IP público do CPE. A Identificação Remota é o endereço IP do headend da Oracle VPN para o segundo túnel.
      Esta imagem mostra onde configurar os parâmetros do segundo par.

    2. Na guia Opções Avançadas, verifique se os valores estão definidos para o segundo par de acordo com esta captura de tela:

      Esta imagem mostra as opções avançadas de gateway IKE para o segundo par.

      Se você estiver usando o IKEv2, selecione o perfil de criptografia IKE associado ao túnel IKEv2.

      Esta imagem mostra a definição do perfil de criptografia IKEv2.

A próxima captura de tela mostra o resultado final desta tarefa:

Esta imagem mostra o resultado final após a definição dos pares ISAKMP.
Tarefa 3: Definir a política IPSec - Fase 2

Nesse exemplo, o mesmo perfil de criptografia IPSec é usado para ambos os túneis.

  1. Vá para Rede, Criptografia IPSec e clique em Adicionar.

  2. Configure os parâmetros da forma mostrada na captura de tela a seguir.

    Esta imagem mostra onde configurar o perfil de criptografia IPSec.

    A próxima captura de tela mostra o resultado final desta tarefa:

    Esta imagem mostra o resultado final após a criação do perfil de criptografia IPSec.
Tarefa 4: Configurar as interfaces de túnel virtual
  1. Vá para Rede, Interfaces, Túnel e clique em Adicionar.

  2. Para o par 1, configure os parâmetros da forma mostrada nas capturas de tela a seguir.

    1. Na guia Configuração, designe a interface de acordo com o seu roteador virtual e com a configuração da zona de segurança. Nesse exemplo, o roteador virtual padrão e a zona de segurança ipsec_tunnel são usados.

      Esta imagem mostra onde configurar os parâmetros da interface de túnel para o primeiro par.

    2. Na guia IPv4, verifique se os valores estão definidos para o primeiro par de acordo com a captura de tela a seguir. Nesse exemplo, o endereço IP da interface de túnel é ipsec_address_static1 = 198.51.100.1/30. Configure o seu endereço IP de túnel de acordo com o seu plano de endereçamento IP de rede.

      Esta imagem mostra os parâmetros IPv4 da interface de túnel para o primeiro par.

  3. Para o par 2, configure os parâmetros da forma mostrada nas capturas de tela a seguir.

    1. Na guia Configuração, designe a interface de acordo com o seu roteador virtual e com a configuração da zona de segurança. Nesse exemplo, o roteador virtual padrão e a zona de segurança ipsec_tunnel são usados.

      Esta imagem mostra onde configurar os parâmetros da interface de túnel para o segundo par.

    2. Na guia IPv4, verifique se os valores estão definidos para o segundo par de acordo com a captura de tela a seguir. Nesse exemplo, o endereço IP da interface de túnel é ipsec_address_static2 = 198.51.100.5/30. Configure o seu endereço IP de túnel de acordo com o seu plano de endereçamento IP de rede.

      Esta imagem mostra os parâmetros IPv4 da interface de túnel para o segundo par.

A próxima captura de tela mostra o resultado final desta tarefa:

Esta imagem mostra o resultado final após a adição de interfaces de túnel.
Tarefa 5: Configurar as sessões IPSec
  1. Vá para Rede, Túneis IPSec e clique em Adicionar.

  2. Para o par 1, configure os parâmetros na guia Geral, conforme mostrado na captura de tela a seguir.

    Observe que, se você estiver usando o IKEv1, não será necessário adicionar IDs de proxy específicos à guia IDs de Proxy. Eles não são necessários para uma configuração de VPN baseada em rota IKEv1.

    No entanto, para o IKEv2, adicione IDs de proxy à guia IDs de Proxy para obter melhor interoperabilidade. Certifique-se de também ter configurado o gateway IKE para usar o IKEv2 anteriormente na tarefa 2.

    Esta imagem mostra onde configurar a sessão IPSec para o par 1.

  3. Para o par 2, configure os parâmetros na guia Geral, conforme mostrado na captura de tela a seguir.

    Se você estiver usando o IKEv2, também adicione IDs de proxy na guia IDs de Proxy.

    Esta imagem mostra onde configurar a sessão IPSec para o par 2.
Tarefa 6: Configurar BGP sobre IPSec
Observação

Se quiser usar o roteamento estático em vez de BGP, ignore a tarefa 6 e vá para Configurando o Roteamento Estático.

O BGP sobre IPSec requer endereços IP nas interfaces de túnel em ambas as extremidades.

As capturas de tela nesse exemplo usam estas sub-redes para as interfaces de túnel:

  • 198.51.100.0/30
    • CPE: 198.51.100.1/30
    • DRG: 198.51.100.2/30
  • 198.51.100.4/30
    • CPE: 198.51.100.5/30
    • DRG: 198.51.100.6/30

Substitua os valores de exemplo pelos endereços IP BGP especificados na Console do sistema Oracle para as interfaces de túnel interno.

Esta tarefa consiste em três subtarefas, cada uma com várias etapas.

Subtarefa 6-a: Configurar os parâmetros BGP

  1. Vá para Rede, Roteadores Virtuais, padrão e BGP. Este exemplo usa o roteador virtual padrão. Além disso, o exemplo usa 10.200.1.10 para o ID do roteador e 64511 para o ASN. Use o roteador virtual correto com base na sua configuração de rede e use o ID de roteador e o ASN corretos para o seu ambiente.

    Esta imagem mostra o início da configuração de BGP.

  2. Na guia Geral, configure os parâmetros da forma mostrada na captura de tela a seguir.

    Esta imagem mostra a guia BGP Geral.

  3. Na guia Avançado, configure os parâmetros da forma mostrada na captura de tela a seguir.

    Esta imagem mostra a guia BGP Avançado.

  4. Na guia Grupo de Pares:

    1. Adicione o primeiro Grupo de Pares e, em Nome do Grupo de Pares, adicione a primeira sessão. Adicione a sessão BGP com o DRG.
      Esta imagem mostra o grupo de pares BGP.

    2. Para o primeiro túnel, na guia Endereçamento, configure os parâmetros conforme mostrado na próxima captura de tela. O ASN do BGP da Oracle para a nuvem comercial é 31898, exceto a região Centro da Sérvia (Jovanovac), que é 14544. Se você estiver configurando a VPN Site a Site para a Nuvem do Governo, consulte ASN de BGP da Oracle.

      Esta imagem mostra a guia Endereçamento do pareamento BGP.

    3. Na guia Opções de Conexão, configure os parâmetros da forma mostrada na captura de tela a seguir.

      Esta imagem mostra a guia Opções de Conexão do par BGP.

    4. Na guia Avançado, configure os parâmetros da forma mostrada na captura de tela a seguir.

      Esta imagem mostra a guia Avançado do par BGP.

    5. Na guia Grupo de Pares , adicione o segundo Grupo de Pares. Em Nome do Grupo de Pares, adicione a segunda sessão. Adicione a sessão BGP com o DRG.

      Esta imagem mostra o grupo de pares BGP.

    6. Para o segundo túnel, na guia Endereçamento, configure os parâmetros da forma mostrada na próxima captura de tela.

      Esta imagem mostra a guia Endereçamento do pareamento BGP.

    7. Na guia Opções de Conexão, configure os parâmetros da forma mostrada na captura de tela a seguir.

      Esta imagem mostra a guia Opções de Conexão do par BGP.

    8. Na guia Avançado, configure os parâmetros da forma mostrada na captura de tela a seguir.

      Esta imagem mostra a guia Avançado do par BGP.

    A captura de tela a seguir mostra a configuração final do Grupo de Pares:

    Esta imagem mostra a configuração do Grupo de Pares.

  5. Na guia Importar, configure os parâmetros da forma mostrada nas capturas de tela a seguir. Aqui você configura tunnel.1 como principal e tunnel.2 como backup para a rota VCN recebida do DRG por meio de BGP (10.200.0.0/24). Na perspectiva do BGP, ambos os túneis estão no estado Estabelecido.

    1. Para a primeira regra, na guia Geral, configure os parâmetros da forma mostrada na próxima captura de tela.

      Esta imagem mostra a guia Regra de Importação Geral.

    2. Na guia Correspondência, configure os parâmetros da forma mostrada na captura de tela a seguir.

      Esta imagem mostra a guia Regra de Importação Correspondência.

    3. Na guia Ação, configure os parâmetros da forma mostrada na captura de tela a seguir.

      Esta imagem mostra a guia Regra de Importação Ação.

    4. Para a segunda regra, na guia Geral, configure os parâmetros da forma mostrada na próxima captura de tela.

      Esta imagem mostra a guia Regra de Importação Geral.

    5. Na guia Correspondência, configure os parâmetros da forma mostrada na captura de tela a seguir.

      Esta imagem mostra a guia Regra de Importação Correspondência.

    6. Na guia Ação, configure os parâmetros da forma mostrada na captura de tela a seguir.

      Esta imagem mostra a guia Regra de Importação Ação.

  6. Na guia Exportar, configure os parâmetros da forma mostrada nas capturas de tela a seguir. Aqui você configura uma política para forçar o DRG a preferir tunnel.1 como caminho de retorno para o CIDR da rede local (10.200.1.0/24).

    1. Na guia Geral, configure os parâmetros da forma mostrada na captura de tela a seguir.

      Esta imagem mostra a guia Exportar Geral.

    2. Na guia Correspondência, configure os parâmetros da forma mostrada na captura de tela a seguir.

      Esta imagem mostra a guia Exportar Correspondência.

    3. Na guia Ação, configure os parâmetros da forma mostrada na captura de tela a seguir.

      Esta imagem mostra a guia Exportar Ação.

    A próxima captura de tela mostra a configuração final da Exportação:

    Esta imagem mostra a configuração final da Exportação.

    Observe que nenhuma configuração é necessária para as guias Avançado Condicional ou Agregar.

  7. Na guia Regras de Redistribuição, configure os parâmetros da forma mostrada na captura de tela a seguir. Aqui você anuncia o CIDR de rede local no BGP.

    Esta imagem mostra a guia Redistribuir Regras.
Subtarefa 6-b: Aguardar que as sessões BGP sejam estabelecidas e verificar o status do BGP

  1. Vá para Rede, Túneis IPSec, coluna Roteador Virtual e clique em Mostrar Rotas.

    Esta imagem mostra onde mostrar as rotas para o roteador virtual.

  2. Vá para BGP e depois para a guia Par para verificar se a sessão BGP foi estabelecida. Qualquer outro valor significa que a sessão BGP não foi estabelecida com sucesso e que não ocorrerá o intercâmbio de rotas.

    Esta imagem mostra onde verificar o status da sessão BGP.

  3. Na guia RIB Local: os prefixos são recebidos do DRG, com o túnel 1 sendo preferencial.

    Esta imagem mostra a guia RIB Local para BGP.

  4. Na guia RIB de Saída: o CIDR de rede local é enviado por meio de BGP para DRG1 com um as_path 64511 e para DRG2 com um as_path 64511, 64511. Dessa forma, com base no Algoritmo de Melhor Caminho BGP, a rota preferencial do DRG para acessar o CIDR de rede local usa a conexão que passa por tunnel.1.

    Esta imagem mostra a guia BGP RIB de Saída.
Subtarefa 6-c: Confirmar se as rotas BGP foram inseridas na tabela de roteamento

Para exibir as rotas, vá para Roteamento e, em seguida, para a guia Tabela de Roteamento.

Esta imagem mostra as rotas inseridas na tabela de roteamento.

Configurando o Roteamento Estático

Use essas instruções se o seu CPE não suportar BGP sobre IPSec ou se não quiser usar BGP sobre IPSec.

Nessa tarefa, você configura rotas estáticas para direcionar o tráfego por meio das interfaces de túnel para chegar ao DRG e finalmente aos hosts da VCN.

  1. Siga as tarefas de 1 a 5 da seção anterior.
  2. Configure rotas estáticas:
    1. Vá para Rede, Roteadores Virtuais, padrão, Rotas Estáticas e clique em Adicionar.

    2. Para a Rota 1, configure os parâmetros da forma mostrada nas capturas de tela a seguir.

      Esta imagem mostra as definições de rota estática da rota 1.

    3. Para a Rota 2, configure os parâmetros da forma mostrada nas capturas de tela a seguir.

      Esta imagem mostra as definições de rota estática da rota 2.

  3. (Recomendado) Ative o ECMP para o tráfego enviado por meio dos dois túneis. A métrica para ambas as rotas está definida como 10. Estas são algumas observações importantes sobre a ativação do ECMP:

    • Primeiro, verifique se seu design de rede permite ECMP.
    • A ativação ou desativação do ECMP em um roteador virtual existente faz com que o sistema reinicie o roteador virtual. O reinício pode fazer com que as sessões existentes sejam encerradas.

    • Este exemplo usa o roteador virtual padrão. Use o roteador virtual correto para o seu ambiente de rede.

    Para ativar o ECMP, vá para Network, Virtual Routers, default, Router Settings, ECMP e selecione Enable.

    Esta imagem mostra as definições de ECMP.

Estas capturas de tela mostram a configuração final após a tarefa ser concluída:

Esta imagem mostra a configuração final na guia IPv4 após a configuração de rotas estáticas.
Esta imagem mostra a configuração final após a configuração de rotas estáticas.

Alterando o Identificador IKE

Se o CPE estiver atrás de um dispositivo NAT com um endereço IP privado na interface de saída que as interfaces de túnel usam como origem, você deverá especificar o endereço IP público do dispositivo NAT como o ID de IKE local. Você pode fazer isso definindo o valor Identificação Local na configuração do Gateway IKE:

Esta imagem mostra onde alterar o identificador IKE do CPE.

Verificação

Para verificar o status do túnel IPSec:

Esta imagem mostra onde verificar o status do túnel IPSec.

Use este comando para verificar o IKE SA:

show vpn ike-sa

Use este comando para verificar a configuração do túnel IPSec:

show vpn tunnel name <tunnel_name>

Para verificar o status do BGP, procure por Estabelecido:

Esta imagem mostra onde verificar o status do BGP.

Para verificar o status do BGP na linha de comando:

show routing protocol bgp peer peer-name <name>

Para verificar se as rotas estão instaladas na tabela de roteamento:

show routing route

O serviço Monitoring também está disponível no Oracle Cloud Infrastructure para monitorar de forma ativa e passiva os seus recursos de nuvem. Para obter informações sobre o monitoramento da sua VPN Site a Site, consulte Métricas da VPN Site a Site.

Se você tiver problemas, consulte Diagnóstico e Solução de Problemas da VPN Site a Site.