Documentação do Oracle Cloud Infrastructure

Configuração do CPE

Este tópico destina-se a engenheiros de rede. Ele explica como configurar o dispositivo on-premises (o CPE ou customer-premises equipment) na sua extremidade da VPN Site a Site para que o tráfego possa fluir entre a sua rede on-premises e a rede virtual na nuvem (VCN). Consulte os seguintes tópicos relacionados:

A figura a seguir mostra o layout básico da conexão IPSec da VPN Site a Site usando a internet. IPSec sobre FastConnect é semelhante, mas o tráfego só percorrerá um circuito virtual privado.

Esta imagem resume o layout geral dos túneis e da conexão IPSec.

Requisitos e Pré-requisitos

Há vários requisitos e pré-requisitos que você deve saber antes de avançar.

Considerações sobre Roteamento

Para obter detalhes importantes sobre o roteamento da VPN Site a Site, consulte Roteamento da VPN Site a Site.

O sistema Oracle usa o roteamento assimétrico entre os diversos túneis que compõem a conexão IPSec. Mesmo que você configure um túnel como principal e outro como backup, o tráfego da sua VCN para a sua rede local poderá usar qualquer túnel que esteja "ativo" no seu dispositivo. Configure os seus firewalls de forma adequada. Caso contrário, o ping de testes ou do tráfego de aplicativos na conexão não funcionará de maneira confiável.

Se você usar o roteamento dinâmico BGP com a sua VPN Site a Site, poderá configurar o roteamento para que a Oracle dê preferência a um túnel em relação a outro.

Se você quiser usar IPSec sobre FastConnect, não poderá atualizar um objeto CPE para adicionar essa funcionalidade; o suporte deverá ser estabelecido na configuração inicial do CPE. Você também não pode ter os túneis IPsec e os circuitos virtuais para essa conexão usando as mesmas tabelas de roteamento do DRG.

Observe que a configuração baseada em política do Cisco ASA usa um túnel único.

Criação de Componentes de uma Rede na Nuvem

Você ou alguém na sua organização já deverá ter usado a Console do sistema Oracle para criar uma VCN e uma conexão IPSec, que consiste em diversos túneis IPSec para redundância. Você deve reunir as seguintes informações sobre esses componentes:

  • OCID da VCN: o OCID da VCN é um identificador exclusivo do Oracle Cloud Infrastructure que contém um UUID. Você pode usar esse UUID ou qualquer outra string que o ajude a identificar essa VCN na configuração do dispositivo e que não entre em conflito com outros nomes de grupos de objetos ou de listas de acesso.
  • CIDR da VCN
  • Máscara de sub-rede do CIDR da VCN

  • Para cada túnel IPSec:

    • O endereço IP do ponto final do túnel Oracle IPSec (o headend da VPN)
    • O segredo compartilhado

Informações sobre o Seu Dispositivo CPE

Você também precisa de algumas informações básicas sobre as interfaces internas e externas do seu dispositivo local (o seu CPE). Para obter uma lista das informações necessárias para o seu CPE específico, consulte os links desta lista: Dispositivos CPE Verificados.

Por padrão, o NAT-T é ativado em todos os túneis IPSec da VPN Site a Site. A Oracle recomenda deixar o NAT-T ativado ao configurar a VPN Site a Site para o OCI.

Se o seu CPE estiver atrás de um dispositivo NAT, você poderá fornecer o identificador IKE do seu CPE ao sistema Oracle. Para obter mais informações, consulte Visão Geral dos Componentes da VPN Site a Site.

Um único IP público do objeto CPE pode ter até 8 conexões IPSec.

IPSec Baseado em Rota Versus IPSec Baseado em Política

Os head-ends da Oracle VPN usam túneis baseados em rota, mas podem funcionar com túneis baseados em política, com algumas limitações. Consulte Domínios de criptografia para túneis baseados em política para obter detalhes completos.

Melhores Práticas da VPN Site a Site

  • Configure todos os túneis para cada conexão IPSec: o sistema Oracle implanta vários headends IPSec para todas as suas conexões, a fim de oferecer alta disponibilidade para cargas de trabalho de missão crítica. A configuração de todos os túneis disponíveis é uma parte principal da filosofia "Design para Falhas". (Exceção: Configuração baseada em política do Cisco ASA, que usa um túnel único.)
  • Ter CPEs redundantes nos seus locais com rede on-premise: cada um dos seus sites que se conectam com o Oracle Cloud Infrastructure por meio de IPSec deve ter dispositivos CPE redundantes. Você adiciona cada CPE à Console do Oracle Cloud Infrastructure e cria uma conexão IPSec separada entre o seu DRG (dynamic routing gateway) e cada CPE. Para cada conexão IPSec, o sistema Oracle provisiona dois túneis em headends IPSec redundantes geograficamente. O sistema Oracle pode usar qualquer túnel que esteja "ativo" para enviar o tráfego de volta à sua rede local. Para obter mais informações, consulte Roteamento da VPN Site a Site.

  • Considere o uso de rotas agregadas de backup: se você tiver vários sites conectados via VPNs IPSec ao Oracle Cloud Infrastructure, e esses sites estiverem conectados com os seus roteadores de backbone locais, considere configurar as suas rotas de conexão IPSec usando a rota local de agregação de sites e uma rota padrão.

    Observe que as rotas DRG obtidas das conexões IPSec só são usadas pelo tráfego roteado da sua VCN para o seu DRG. A rota padrão só será usada pelo tráfego enviado ao DRG cujo endereço IP de destino não corresponder às rotas mais específicas dos seus túneis.

Confirmando o Status da Conexão

Após configurar a conexão IPSec, você poderá testar a conexão iniciando uma instância na VCN e tentando acessá-la com ping por meio da sua rede local. Para obter informações sobre como iniciar uma instância, consulte Iniciando uma Instância. Para fazer solicitações de ping para a instância, as regras de segurança da VCN devem permitir tráfego de ping.

Você pode obter o status dos túneis IPSec na API ou na Console. Para obter instruções, consulte Para exibir informações de status e configuração para os túneis IPSec.

Configurações do Dispositivo

Para obter links referentes às informações de configuração específicas de cada dispositivo CPE verificado, consulte Dispositivos CPE Verificados.