Início Rápido da VPN Site a Site
O assistente da VPN Site a Site é a maneira mais rápida de configurar uma VPN site a site entre a sua rede on-premises e a sua rede virtual na nuvem (VCN) . O assistente é um processo guiado passo a passo na Console que configura a VPN e os componentes relacionados do serviço Networking.
Outras soluções de VPN seguras incluem o OpenVPN, uma solução de VPN do Cliente que pode ser acessada no Oracle Marketplace. O OpenVPN conecta dispositivos individuais à VCN, mas não a sites ou redes inteiras.
Finalidade do Assistente
A VPN Site a Site envolve a definição e a configuração de vários componentes do serviço Networking. O assistente configura esses componentes para você. Em geral, o assistente faz o seguinte:
- Usa um modelo com pressupostos que vão ajudá-lo a começar.
- Solicita informações básicas sobre a rede.
- Configura os componentes do serviço Networking para você.
- Permite que você gere conteúdo de configuração para um engenheiro de rede a ser usado ao configurar o dispositivo CPE (Customer-Premises Equipment).
O assistente é uma tarefa do processo geral de configuração da VPN Site a Site, que é ilustrado no diagrama a seguir. O assistente é a caixa sombreada.
Observe que o processo geral inclui o trabalho de um engenheiro de rede da sua organização. Esse engenheiro fornece informações que você, por sua vez, deve especificar durante a execução do assistente. O assistente retorna as informações de que o engenheiro da rede precisa para configurar o dispositivo CPE. Você pode usar o Auxiliar de Configuração de CPE para consolidar as informações necessárias em um modelo organizado para o engenheiro de rede.
As breves seções a seguir resumem cada tarefa.
- Endereço IP público do dispositivo CPE. (O endereço deve ser IPv4, mas há suporte para o tráfego IPv6)
- Fornecedor. modelo e versão do CPE
- Identificador IKE do CPE. Para obter mais informações, consulte Visão Geral dos Componentes da VPN Site a Site.
- Rotas de rede local.
- Se você usa roteamento dinâmico BGP com a VPN:
- O ASN do BGP da sua rede
- Para cada um dos dois túneis IPSec que serão criados, o par de endereços IP BGP (com máscara de sub-rede) que você deseja usar para as interfaces de túnel interno nas extremidades de cada túnel. Por exemplo:
- Túnel 1: Interface de túnel interno - CPE: 10.0.0.16/31
- Túnel 1: Interface de túnel interno - Oracle: 10.0.0.17/31
- Túnel 2: Interface de túnel interno - CPE: 10.0.0.8/31
- Túnel 2: Interface de túnel interno - Oracle: 10.0.0.9/31
Você percorre o assistente na Console. Para obter mais informações, consulte estas seções:
Use o Auxiliar de Configuração de CPE para gerar conteúdo de configuração que seu engenheiro de rede pode usar para configurar o CPE.
O conteúdo inclui estes itens:
- O endereço IP da Oracle VPN e o segredo compartilhado de cada túnel IPSec.
- Os valores suportados do parâmetro IPSec.
- Informações sobre a VCN.
- Informações de configuração específicas do CPE.
O seu engenheiro de rede obtém as informações fornecidas e configura o seu dispositivo CPE.
Você e o engenheiro da rede testam a conexão e confirmam se o tráfego está fluindo.
Alternativa ao Assistente
Se preferir, você mesmo poderá configurar manualmente a VPN Site a Site. Para obter instruções passo a passo, consulte Configurando a VPN Site a Site.
O que o Assistente Cria para Você
A maioria dos clientes Oracle que configuram a VPN Site a Site já tem uma VCN para estabelecer conexão com suas reder on-premises. Nesse caso, o assistente cria os componentes numerados no diagrama a seguir. A tabela descreve cada componente.
Número | Componente | Descrição | Usar um CPE Existente ou Criar um Novo CPE? | ||||
---|---|---|---|---|---|---|---|
1 | CPE | Um CPE é uma representação virtual do seu dispositivo CPE real. Essa representação virtual contém informações básicas, tais como o endereço IP público do dispositivo CPE. | Sim, você pode usar um CPE existente ou o assistente criará um novo. | ||||
2 | Túneis IPSec |
O assistente cria dois túneis IPSec, cada um com informações de configuração específicas que você deve fornecer ao engenheiro de rede. Observação: O assistente usa IKEv1 ou IKEv2 para os túneis. Para obter mais informações sobre o IKEv2, consulte Usando o IKEv2. |
Não. O assistente cria os túneis automaticamente. | ||||
3 | DRG (Gateway de Roteamento Dinâmico) | Um DRG é a representação virtual do roteador real na extremidade Oracle da VPN Site a Site. | Sim. | ||||
4 | Gateway de Internet |
Se a VCN selecionada ainda não tiver um Gateway de Internet, você poderá optar por permitir que o assistente crie um para ativar a conectividade direta com a internet. |
Sim, você pode usar um gateway de internet existente ou optar por permitir que o assistente crie um novo. | ||||
5 | Tabela de Roteamento de Sub-rede |
|
Para criar qualquer novo recurso, o limite de serviço desse recurso ainda não deve ter sido atingido. Depois que o limite de serviço de um tipo de recurso for atingido, você poderá remover recursos não utilizados desse tipo ou solicitar um aumento no limite de serviço.
Além disso, durante o processo do assistente, você especifica quais sub-redes da sua VCN devem ser configuradas com acesso à rede on-premises. O assistente atualiza a tabela de roteamento e as regras de segurança de cada sub-rede da seguinte forma:
- Regras de roteamento: O assistente adiciona uma ou mais regras para rotear o tráfego da VCN para a sua rede on-premises por meio do DRG. Existe apenas uma regra por rota de rede on-premises que você fornece no assistente. Se a VCN tiver um gateway de internet (ou você optar por criar um) e uma sub-rede pública for selecionada, o assistente também adicionará uma regra para enviar o tráfego restante (não destinado à rede on-premises) ao gateway de internet.
- Regras da lista de segurança: O assistente também adiciona uma ou mais regras para permitir todos os tipos de tráfego da sua rede on-premises. Existe apenas uma regra por rota de rede on-premises que você fornece no assistente. Se a VCN tiver um gateway de internet (ou você optar por criar um) e uma sub-rede pública for selecionada, o assistente também adicionará uma regra para permitir SSH na porta 22 pela internet.
Você pode editar as regras e adicionar mais, se desejar.
Após a conclusão do assistente, você poderá usar o Auxiliar de Configuração de CPE para gerar o conteúdo de configuração que seu engenheiro de rede pode usar para configurar o CPE.
Onde Acessar o Assistente na Console
Opção 1:
- Abra o menu de navegação, clique em Networking e, em seguida, clique em Visão Geral.
- Clique no botão Iniciar assistente de VPN.
Opção 2:
- Abra o menu de navegação, clique em Networking e depois clique em Redes virtuais na nuvem.
- Clique em Iniciar Assistente de VCN.
- Selecione Adicionar VPN Site a Site e Conectividade de Internet com uma VCN e clique em Iniciar Assistente de VCN.
Opção 3:
-
- Clique em Iniciar Assistente de VPN.