Visão Geral da VPN Site a Site

A VPN Site a Site fornece uma conexão IPSec site a site entre sua rede on-premises e sua rede virtual na nuvem (VCN). A suíte de protocolos IPSec criptografa o tráfego IP antes que os pacotes sejam transferidos da origem para o destino e decriptografa o tráfego quando ele chega. A VPN Site a Site era referida anteriormente como VPN Connect e VPN IPSec.

Outras soluções de VPN seguras incluem o OpenVPN, uma solução de VPN do Cliente que pode ser acessada no Oracle Marketplace. O OpenVPN conecta dispositivos individuais à VCN, mas não a sites ou redes inteiras.

Este tópico dá uma visão geral da VPN Site a Site para a sua VCN. Para cenários que incluem a VPN Site a Site, consulte Cenário B: Sub-rede Privada com uma VPN e Cenário C: Sub-redes Pública e Privada com uma VPN.

Consulte Limites de VPN Site a Site e Solicitando um Aumento do Limite do Serviço para obter informações relacionadas a limites.

Profissionais e Conhecimentos Necessários

Em geral, os seguintes tipos de profissionais estão envolvidos na configuração de uma VPN Site a Site com o Oracle Cloud Infrastructure:

Membro da equipe de Operações de Desenvolvimento (ou função semelhante) que usa a Console do Oracle Cloud Infrastructure para configurar os componentes de nuvem necessários para a rede virtual e a VPN Site a Site.
Engenheiro de rede (ou função semelhante) que configura o dispositivo CPE (customer-premises Equipment) com informações fornecidas pelo membro da equipe de Operações de Desenvolvimento.

Dica

O membro da equipe de Operações de Desenvolvimento deve ter a permissão necessária para criar e gerenciar os componentes de nuvem. Se a pessoa for o administrador padrão da sua tenancy do Oracle Cloud Infrastructure ou for um membro do grupo Administradores, ela terá a permissão necessária. Para obter informações sobre como restringir o acesso aos seus componentes de rede, consulte Controle de Acesso.

O profissional deverá estar familiarizado com os seguintes conceitos e definições:

CLOUD RESOURCES: Tudo o que você provisionar em uma plataforma de nuvem. Por exemplo, com o Oracle Cloud Infrastructure, um recurso de nuvem pode fazer referência aos seguintes itens: VCN, instância de computação, usuário, compartimento, balanceador de carga ou qualquer outro componente de serviço da plataforma.
ON-PREMISES: Um termo amplamente usado nas tecnologias de nuvem que se refere aos seus ambientes tradicionais de data center. O termo 'local' pode se referir a um cenário de co-localização, um espaço dedicado no chão, uma edificação dedicada a um data center ou um aplicativo de desktop em execução na sua mesa de trabalho.
ORACLE CLOUD IDENTIFIER (OCID): Um identificador exclusivo designado a cada recurso provisionado no Oracle Cloud Infrastructure. O OCID é uma string longa que o sistema Oracle gera automaticamente. Não é possível escolher o valor para um OCID ou alterar o OCID de um recurso. Para obter mais informações, consulte: Identificadores de Recurso.

Sobre a Conexão IPSec da Oracle

Em geral, uma conexão IPSec pode ser configurado nos seguintes modos:

Modo de transporte: o IPSec criptografa e autentica somente o payload do pacote, e as informações do cabeçalho permanecem intactas.
Modo de túnel (suportado pelo sistema Oracle): o IPSec criptografa e autentica o pacote inteiro. Após a criptografia, o pacote é encapsulado para formar um novo pacote IP que tem diferentes informações de cabeçalho.

O Oracle Cloud Infrastructure suporta somente o modo de túnel para VPNs IPSec.

Cada conexão IPSec da Oracle consiste em vários túneis IPSec redundantes. Para determinado túnel, você pode usar o roteamento dinâmico BGP (Border Gateway Protocol) ou o roteamento estático para rotear o tráfego desse túnel. A seguir, fornecemos mais detalhes sobre roteamento.

Os túneis IPSec da VPN Site a Site oferecem as seguintes vantagens:

As linhas da internet pública são usadas para transmitir dados; portanto, não é necessário o uso de linhas de concessão dedicadas e dispendiosas de um site para o outro.
Os endereços IP internos das redes e nós participantes permanecem ocultos para usuários externos.
A comunicação inteira entre os sites de origem e de destino é criptografada, diminuindo significativamente as chances de roubo de informações.

Roteamento da VPN Site a Site

Quando você configura a VPN Site a Site, ela tem dois túneis IPSec redundantes. A Oracle incentiva que você configure o seu dispositivo CPE para usar ambos os túneis (se o seu dispositivo suportar essa configuração). Observe que, anteriormente, a Oracle criava conexões IPSec com até quatro túneis IPSec.

Os três tipos de roteamento a seguir estão disponíveis e você escolhe o tipo de roteamento separadamente para cada túnel IPSec na VPN Site a Site:

Roteamento dinâmico BGP: as rotas disponíveis são obtidas dinamicamente por meio de BGP. O DRG obtém dinamicamente as rotas provenientes da sua rede local. No lado Oracle, o DRG propaga as sub-redes da VCN.
Roteamento estático: ao configurar a conexão IPSec com o DRG, você determina para a sua rede local as rotas específicas que a VCN deverá reconhecer. Você também deve configurar o seu dispositivo CPE com rotas estáticas para as sub-redes da VCN. Essas rotas não são obtidas dinamicamente.
Roteamento baseado em política: Ao configurar a conexão IPSec com o DRG, você especifica determinadas rotas para a sua rede on-premises que a VCN deverá reconhecer. Você também deve configurar o seu dispositivo CPE com rotas estáticas para as sub-redes da VCN. Essas rotas não são obtidas dinamicamente.

Detalhes Importantes de Roteamento para a VPN Site a Site

Estes são detalhes importantes para entender o roteamento da sua VPN Site a Site:

Opções de roteamento:
- Originalmente, a VPN Site a Site só suportava roteamento estático e você era obrigado a fornecer pelo menos uma rota estática para a conexão IPSec geral.
- Agora dois diferentes tipos de roteamento estão disponíveis (BGP e roteamento estático), e você configura o tipo de roteamento por túnel. Só é suportado um tipo de roteamento por vez para um túnel.
- Em geral, a Oracle incentiva você a usar o mesmo tipo de roteamento para todos os túneis na sua conexão IPSec. Exceção: se você estiver no processo de transição entre o roteamento estático e o BGP, um túnel ainda pode usar temporariamente o roteamento estático enquanto o outro já tiver sido alternado para BGP.
- Quando você cria uma conexão IPSec, o roteamento estático é o tipo de roteamento padrão para todos os túneis, a menos que você configure explicitamente cada túnel para usar BGP.
Informações de roteamento obrigatórias:
- Se você escolher BGP para cada túnel, deverá fornecer dois endereços IP (um para cada um dos dois falantes BGP na sessão BGP do túnel). Os endereços devem estar no domínio de criptografia da conexão IPSec. Você também deve fornecer o número do sistema autônomo do BGP (ASN do BGP) da sua rede.
- Se você escolher o roteamento estático, deverá fornecer pelo menos uma rota estática (máximo de 10). As rotas estáticas são configuradas com a conexão IPSec geral, de modo que o mesmo conjunto de rotas estáticas seja usado para todos os túneis da conexão IPSec configurados para usar o roteamento estático. Você poderá alterar as rotas estáticas a qualquer momento após criar a conexão IPSec. Se você estiver usando a conversão PAT entre o seu dispositivo CPE e a VCN, a rota estática da conexão IPSec será o endereço IP da conversão PAT. Consulte Exemplo de Layout com a Conversão PAT.
- Se você escolher roteamento estático, poderá fornecer opcionalmente um endereço IP para cada extremidade do túnel, a fim de monitorar, diagnosticar e solucionar problemas do túnel.
- Se o túnel estiver configurado para usar BGP, as rotas estáticas da conexão IPSec serão ignoradas. Qualquer rota estática associada à conexão IPSec será usada para rotear o tráfego de um túnel somente se esse túnel estiver configurado para usar roteamento estático. Isso será importante se você tiver uma VPN Site a Site que usa roteamento estático, mas quiser alternar para o uso do BGP.
Alterando o roteamento:
- Se quiser alterar um túnel de BGP para roteamento estático, primeiro você deve garantir que a conexão IPSec tenha pelo menos uma rota estática associada a ele.
- Você pode alterar o tipo de roteamento de um túnel existente a qualquer momento (a menos que o túnel esteja sendo provisionado atualmente pelo sistema Oracle). Enquanto você altera o roteamento, o túnel permanece ativo (o status do IPSec não muda). No entanto, o tráfego que flui pelo túnel é interrompido temporariamente durante o reprovisionamento e enquanto você reconfigura o seu dispositivo CPE. Para obter informações sobre como fazer alterações na VPN Site a Site, consulte Como Trabalhar com a VPN Site a Site.
- Como você configura o tipo de roteamento separadamente para cada túnel, se quiser mudar a sua VPN Site a Site de roteamento estático para BGP, poderá fazer isso em um túnel de cada vez. Isso evita que a conexão IPSec inteira seja desativada. Para obter instruções, consulte Alterando de Roteamento Estático para Roteamento Dinâmico BGP.

Propagações de Rotas e Preferências de Caminho Quando Você Tem Várias Conexões

Quando você usa BGP, o DRG anexado à sua VCN propaga rotas para o seu CPE.

Se configurar várias conexões entre a sua rede local e a VCN, você deverá compreender quais rotas o DRG propaga e como definir preferências de caminho para usar a sua conexão desejada.

Para obter informações importantes, consulte Detalhes de Roteamento para Conexões com a Sua Rede Local.

Dando Preferência a um Túnel Específico na VPN Site a Site

Na VPN Site a Site, você pode influenciar qual túnel será o preferencial. Estes são os itens que você pode configurar:

Preferência local de BGP do seu CPE: se você usar BGP, poderá configurar o atributo de preferência local de BGP no seu dispositivo CPE para controlar qual túnel será o preferencial para conexões com a sua VCN iniciadas na sua rede local. Como o sistema Oracle geralmente usa roteamento assimétrico, você deverá configurar outros atributos se quiser que o sistema Oracle responda nesse mesmo túnel. Consulte os dois próximos itens.
Rotas mais específicas no túnel preferencial: você pode configurar o seu CPE com o objetivo de propagar rotas mais específicas para o túnel que deseja usar como preferencial. O sistema Oracle usa a rota com a correspondência de prefixo mais longa ao responder a conexões ou iniciá-las.
Pré-anexação de caminho AS: o BGP prefere o caminho AS mais curto; portanto, se você usar BGP, poderá usar a pré-anexação de caminho AS para controlar qual túnel tem o caminho mais curto para determinada rota. O sistema Oracle usa o caminho AS mais curto ao responder ou iniciar conexões.

Visão Geral dos Componentes da VPN Site a Site

Se você ainda não estiver familiarizado com os componentes básicos do serviço Networking, consulte Serviço Networking antes de continuar.

Quando você configurar a VPN Site a Site para sua VCN, crie diversos componentes do serviço Networking. Você pode criar os componentes com a Console ou com a API. Consulte o diagrama e a descrição dos componentes a seguir.

Esta imagem mostra os componentes da VPN Site a Site

Callout 1: Tabela de roteamento de VCN padrão
CIDR de Destino	Destino da rota
0.0.0.0/0	DRG

objeto cpe: Na sua extremidade da VPN Site a Site, está o dispositivo real da sua rede on-premises (seja de hardware ou software). Em geral, o termo CPE (customer-premises Equipment) é usado em alguns setores para se referir a esse tipo de equipamento local. Ao configurar a VPN, você deverá criar uma representação virtual do dispositivo. A Oracle considera a representação virtual um CPE, mas essa documentação geralmente usa o termo objeto CPE para ajudar a distinguir a representação virtual do próprio dispositivo CPE. O objeto CPE contém informações básicas sobre o seu dispositivo necessário para o sistema Oracle precisa. Um único IP público do objeto CPE pode ter até 8 conexões IPSec.
GATEWAY DE ROTEAMENTO DINÂMICO (DRG): Na extremidade da Oracle da VPN Site a Site, está um roteador virtual chamado gateway de roteamento dinâmico, que é o gateway entre a sua VCN e a sua rede on-premises. Se você estiver usando VPN Site a Site ou circuitos virtuais FastConnect do Oracle Cloud Infrastructure para conectar sua rede on-premises e a VCN, o tráfego passará pelo DRG. Para obter mais informações, consulte Gateways de roteamento dinâmico.; Um engenheiro de rede pode considerar o DRG como o headend da VPN. Após criar um DRG, você deverá anexá-lo à sua VCN, usando a Console ou a API. Você também deverá adicionar uma ou mais regras de roteamento que roteiam o tráfego da VCN para o DRG. Sem esse anexo DRG e as regras de roteamento, o tráfego não flui entre a sua VCN e a rede local. A qualquer momento, você pode desanexar o DRG da sua VCN, e manter todos os componentes restantes da VPN. Depois, você poderá reanexar o DRG ou anexá-lo a outra VCN.
conexão ipsec: Depois de criar o objeto CPE e o DRG, você os conecta criando uma conexão IPSec, que pode ser considerada como objeto principal que representa a VPN Site a Site. A conexão IPSec tem seu próprio OCID. Ao criar esse componente, você configura o tipo de roteamento a ser usado para cada túnel IPSec e fornece as informações de roteamento relacionadas. Um único IP público do objeto CPE pode ter até 8 conexões IPSec.
TUNNEL: Um túnel IPSec é usado para criptografar o tráfego entre pontos finais IPSec seguros. O sistema Oracle cria dois túneis em cada conexão IPSec para fins de redundância. Cada túnel tem seu próprio OCID. A Oracle recomenda que você configure o seu dispositivo CPE para suportar os dois túneis no caso de um deles falhar ou quando o sistema Oracle indisponibilizar um deles para manutenção. Cada túnel tem as informações de configuração necessárias para engenheiro da sua rede configurar o seu dispositivo CPE. Essas informações incluem um endereço IP e o segredo compartilhado, bem como os parâmetros ISAKMP e IPSec. Você pode usar o Auxiliar de Configuração de CPE para reunir as informações de que o engenheiro de rede precisa. Para obter mais informações, consulte Parâmetros IPSec Suportados e Dispositivos CPE Verificados.

Controle de Acesso dos Componentes

Para fins de controle de acesso, ao configurar a VPN Site a Site, especifique o compartimento no qual você deseja que cada um dos componentes resida. Se você não tiver certeza sobre qual compartimento usar, coloque todos os componentes no mesmo compartimento que a VCN. Observe que os túneis IPSec sempre residem no mesmo compartimento que conexão IPSec principal. Para obter informações sobre como restringir o acesso aos seus componentes de rede, consulte Controle de Acesso.

Nomes e Identificadores de Componentes

Opcionalmente, você pode designar um nome descritivo a cada um dos componentes ao criá-los. Esses nomes não precisam ser exclusivos, embora seja uma prática recomendada usar nomes exclusivos na sua tenancy. Evite inserir informações confidenciais. O sistema Oracle designa automaticamente um OCID a cada componente. Para obter mais informações, consulte: Identificadores de Recurso.

Se o Seu CPE Estiver Atrás de um Dispositivo NAT

Em geral, o identificador IKE de CPE configurado na sua extremidade da conexão deve corresponder ao identificador IKE do CPE que o sistema Oracle está usando. Por padrão, o sistema Oracle usa o endereço IP público do CPE, que você fornece ao criar o objeto CPE na Console do sistema Oracle. No entanto, se o seu CPE estiver atrás de um dispositivo NAT, o identificador IKE do CPE configurado na sua extremidade poderá ser o endereço IP privado do CPE, conforme mostrado no diagrama a seguir.

Esta imagem mostra o CPE atrás de um dispositivo NAT, os endereços IP público e privado e o identificador IKE do CPE.

Observação

Algumas plataformas CPE não permitem que você altere o identificador IKE local. Se não puder alterar, altere o ID de IKE remoto na Console do sistema Oracle de modo a corresponder ao seu ID de IKE local do CPE. Você pode fornecer o valor quando configurar a conexão IPSec ou posteriormente, editando a conexão IPSec. O sistema Oracle espera que o valor seja um endereço IP ou um nome de domínio totalmente qualificado (FQDN), como cpe.example.com. Para obter instruções, consulte Alterando o Identificador IKE do CPE Usado pelo Sistema Oracle.

Sobre o Segredo Compartilhado do Túnel

Cada túnel tem um segredo compartilhado. Por padrão, o sistema Oracle designa o segredo compartilhado ao túnel, a menos que você forneça um segredo compartilhado. Você pode fornecer um segredo compartilhado para cada túnel ao criar a conexão IPSec ou quando quiser após criá-los. Para o segredo compartilhado, só são permitidos letras, números e espaços. Se você alterar o segredo compartilhado de um túnel existente, o túnel permanecerá inativo enquanto estiver sendo reprovisionado.

Para obter instruções, consulte Alterando o Segredo Compartilhado Usado por um Túnel IPSec.

Recursos para Configurar o CPE

O engenheiro de rede deve configurar o CPE na sua extremidade da conexão IPSec. Para facilitar, o sistema Oracle oferece estes recursos:

Auxiliar de Configuração de CPE: Uma ferramenta na Console do sistema Oracle que gera um conjunto de conteúdo que o engenheiro de rede pode usar ao configurar o CPE.
Uma lista de dispositivos CPE verificados: Para cada dispositivo, o sistema Oracle fornece instruções de configuração.
Uma lista de parâmetros IPSec suportados: Se o seu CPE não estiver na lista de dispositivos verificados, você poderá usar esta lista de parâmetros para configurar seu CPE.

Para obter mais informações, consulte também Configuração do CPE.

Monitorando a Sua Conexão

Você pode monitorar a integridade, a capacidade e o desempenho dos recursos do Oracle Cloud Infrastructure usando métricas, alarmes e notificações. Para obter mais informações, consulte os serviços Monitoring e Notifications.

Para obter informações sobre como monitorar sua conexão, consulte Métricas da VPN Site a Site.

O Que Vem a Seguir?

Consulte os seguintes tópicos relacionados:

Documentação do Oracle Cloud Infrastructure