Domínio de Criptografia ou ID de Proxy Suportado
O protocolo IPSec usa SAs (Security Associations) para determinar como criptografar pacotes. Dentro de cada SA, você define domínios de criptografia para mapear o tipo de protocolo e o endereço IP de origem e de destino de um protocolo até uma entrada no banco de dados SA, a fim de definir como criptografar ou decriptografar um pacote.
A documentação de outros fornecedores ou setores de mercado pode usar os termos ID do proxy, índice de parâmetro de segurança (SPI) ou seletor de tráfego ao fazer referência a SAs ou domínios de criptografia.
Há dois métodos gerais para implementar túneis IPSec:
- Túneis baseados em rota: também chamados de túneis baseados no próximo salto. Uma pesquisa de tabela de roteamento é executada no endereço IP de destino de um pacote. Se a interface de saída da rota for um túnel IPSec, o pacote será criptografado e enviado para a outra extremidade do túnel.
- Túneis baseados em política: o protocolo e o endereço IP de origem e de destino do pacote são validados em relação a uma lista de instruções de política. Se não houver uma correspondência, o pacote será criptografado com base nas regras dessa instrução de política.
Os head-ends da VPN Site a Site da Oracle usam túneis baseados em rota, mas podem funcionar com túneis baseados em política, com algumas limitações listadas nas seções a seguir.
Se o seu CPE suportar túneis baseados em rota, use esse método para configurar o túnel. É a configuração mais simples que tem a maior interoperabilidade com o headend da Oracle VPN.
O IPSec baseado em rota usa um domínio de criptografia com os seguintes valores:
- Endereço IP de origem: qualquer um (0.0.0.0/0)
- Endereço IP de destino: qualquer um (0.0.0.0/0)
- Protocolo: IPv4
Se você precisar ser mais específico, poderá usar uma única rota resumida para os seus valores de domínio de criptografia, em vez de uma rota padrão.
Quando você usa túneis baseados em política, cada entrada de política (um bloco CIDR em um lado da conexão IPSec) que você define gera uma associação de segurança (SA) IPSec com cada entrada elegível na outra extremidade do túnel. Esse par é chamado de domínio de criptografia.
Neste diagrama, a extremidade do DRG da Oracle do túnel IPSec tem entradas de política para três blocos CIDR IPv4 e um bloco CIDR IPv6. A extremidade do CPE on-premises do túnel tem entradas de política em dois blocos CIDR IPv4 e dois blocos CIDR IPv6. Cada entrada gera um domínio de criptografia com todas as entradas possíveis na outra extremidade do túnel. Os dois lados de um par de SA devem usar a mesma versão de IP. O resultado é um total de oito domínios de criptografia.
Se o seu CPE suportar apenas túneis baseados em política, conheça as restrições a seguir.
- A VPN Site a Site suporta vários domínios de criptografia, mas tem um limite máximo de 50 domínios.
- Se você tivesse uma situação semelhante ao exemplo acima e tivesse configurado apenas três dos seis domínios de criptografia IPv4 possíveis na parte do CPE, o link seria listado em um estado "Parcial UP", uma vez que todos os domínios de criptografia possíveis são sempre criados na parte do DRG.
- O roteamento baseado em política depende da VPN Site a Site v2. Consulte Serviço de VPN Site a Site Atualizado para obter mais informações sobre a VPN Site a Site v2.
- Dependendo de quando o seu túnel foi criado, talvez você não consiga editar um túnel existente para usar o roteamento baseado em política e talvez precise substituir o túnel por um novo túnel IPSec.
- Os blocos CIDR usados na extremidade do DRG da Oracle do túnel não podem sobrepor os blocos CIDR usados na extremidade do CPE on-premises do túnel.
- Um domínio de criptografia deve sempre estar entre dois blocos CIDR da mesma versão de IP.