Documentação do Oracle Cloud Infrastructure

Início Rápido da VPN Site a Site

O assistente da VPN Site a Site é a maneira mais rápida de configurar uma VPN site a site entre a sua rede on-premises e a sua rede virtual na nuvem (VCN) . O assistente é um processo guiado passo a passo na Console que configura a VPN e os componentes relacionados do serviço Networking.

Outras soluções de VPN seguras incluem o OpenVPN, uma solução de VPN do Cliente que pode ser acessada no Oracle Marketplace. O OpenVPN conecta dispositivos individuais à VCN, mas não a sites ou redes inteiras.

Finalidade do Assistente

A VPN Site a Site envolve a definição e a configuração de vários componentes do serviço Networking. O assistente configura esses componentes para você. Em geral, o assistente faz o seguinte:

  • Usa um modelo com pressupostos que vão ajudá-lo a começar.
  • Solicita informações básicas sobre a rede.
  • Configura os componentes do serviço Networking para você.
  • Permite que você gere conteúdo de configuração para um engenheiro de rede a ser usado ao configurar o dispositivo CPE (Customer-Premises Equipment).

O assistente é uma tarefa do processo geral de configuração da VPN Site a Site, que é ilustrado no diagrama a seguir. O assistente é a caixa sombreada.

Esta imagem mostra um fluxograma do processo geral de configuração da VPN Site a Site.

Observe que o processo geral inclui o trabalho de um engenheiro de rede da sua organização. Esse engenheiro fornece informações que você, por sua vez, deve especificar durante a execução do assistente. O assistente retorna as informações de que o engenheiro da rede precisa para configurar o dispositivo CPE. Você pode usar o Auxiliar de Configuração de CPE para consolidar as informações necessárias em um modelo organizado para o engenheiro de rede.

As breves seções a seguir resumem cada tarefa.

Tarefa 1: Informações que devem ser obtidas do seu engenheiro de rede
  • Endereço IP público do dispositivo CPE. (O endereço deve ser IPv4, mas há suporte para o tráfego IPv6)
  • Fornecedor. modelo e versão do CPE
  • Identificador IKE do CPE. Para obter mais informações, consulte Visão Geral dos Componentes da VPN Site a Site.
  • Rotas de rede local.
  • Se você usa roteamento dinâmico BGP com a VPN:
    • O ASN do BGP da sua rede
    • Para cada um dos dois túneis IPSec que serão criados, o par de endereços IP BGP (com máscara de sub-rede) que você deseja usar para as interfaces de túnel interno nas extremidades de cada túnel. Por exemplo:
      • Túnel 1: Interface de túnel interno - CPE: 10.0.0.16/31
      • Túnel 1: Interface de túnel interno - Oracle: 10.0.0.17/31
      • Túnel 2: Interface de túnel interno - CPE: 10.0.0.8/31
      • Túnel 2: Interface de túnel interno - Oracle: 10.0.0.9/31
Tarefa 2: Assistente

Você percorre o assistente na Console. Para obter mais informações, consulte estas seções:

Tarefa 3: Informações para o engenheiro da rede

Use o Auxiliar de Configuração de CPE para gerar conteúdo de configuração que seu engenheiro de rede pode usar para configurar o CPE.

O conteúdo inclui estes itens:

  • O endereço IP da Oracle VPN e o segredo compartilhado de cada túnel IPSec.
  • Os valores suportados do parâmetro IPSec.
  • Informações sobre a VCN.
  • Informações de configuração específicas do CPE.
Tarefa 4: Configuração do CPE

O seu engenheiro de rede obtém as informações fornecidas e configura o seu dispositivo CPE.

Tarefa 5: Teste

Você e o engenheiro da rede testam a conexão e confirmam se o tráfego está fluindo.

Alternativa ao Assistente

Se preferir, você mesmo poderá configurar manualmente a VPN Site a Site. Para obter instruções passo a passo, consulte Configurando a VPN Site a Site.

O que o Assistente Cria para Você

A maioria dos clientes Oracle que configuram a VPN Site a Site já tem uma VCN para estabelecer conexão com suas reder on-premises. Nesse caso, o assistente cria os componentes numerados no diagrama a seguir. A tabela descreve cada componente.

Esta imagem mostra os componentes do serviço Networking criados para você.
Número Componente Descrição Usar um CPE Existente ou Criar um Novo CPE?
1 CPE Um CPE é uma representação virtual do seu dispositivo CPE real. Essa representação virtual contém informações básicas, tais como o endereço IP público do dispositivo CPE. Sim, você pode usar um CPE existente ou o assistente criará um novo.
2 Túneis IPSec

O assistente cria dois túneis IPSec, cada um com informações de configuração específicas que você deve fornecer ao engenheiro de rede.

Observação: O assistente usa IKEv1 ou IKEv2 para os túneis. Para obter mais informações sobre o IKEv2, consulte Usando o IKEv2.

 Não. O assistente cria os túneis automaticamente.
3 DRG (Gateway de Roteamento Dinâmico) Um DRG é a representação virtual do roteador real na extremidade Oracle da VPN Site a Site. Sim.
4 Gateway de Internet

Se a VCN selecionada ainda não tiver um Gateway de Internet, você poderá optar por permitir que o assistente crie um para ativar a conectividade direta com a internet.

Sim, você pode usar um gateway de internet existente ou optar por permitir que o assistente crie um novo.
5 Tabela de Roteamento de Sub-rede
CIDR de Destino Destino da Rota
10.0.0.0/16 DRG
Observação

Para criar qualquer novo recurso, o limite de serviço desse recurso ainda não deve ter sido atingido. Depois que o limite de serviço de um tipo de recurso for atingido, você poderá remover recursos não utilizados desse tipo ou solicitar um aumento no limite de serviço.

Além disso, durante o processo do assistente, você especifica quais sub-redes da sua VCN devem ser configuradas com acesso à rede on-premises. O assistente atualiza a tabela de roteamento e as regras de segurança de cada sub-rede da seguinte forma:

  • Regras de roteamento: O assistente adiciona uma ou mais regras para rotear o tráfego da VCN para a sua rede on-premises por meio do DRG. Existe apenas uma regra por rota de rede on-premises que você fornece no assistente. Se a VCN tiver um gateway de internet (ou você optar por criar um) e uma sub-rede pública for selecionada, o assistente também adicionará uma regra para enviar o tráfego restante (não destinado à rede on-premises) ao gateway de internet.
  • Regras da lista de segurança: O assistente também adiciona uma ou mais regras para permitir todos os tipos de tráfego da sua rede on-premises. Existe apenas uma regra por rota de rede on-premises que você fornece no assistente. Se a VCN tiver um gateway de internet (ou você optar por criar um) e uma sub-rede pública for selecionada, o assistente também adicionará uma regra para permitir SSH na porta 22 pela internet.

Você pode editar as regras e adicionar mais, se desejar.

Após a conclusão do assistente, você poderá usar o Auxiliar de Configuração de CPE para gerar o conteúdo de configuração que seu engenheiro de rede pode usar para configurar o CPE.

Onde Acessar o Assistente na Console

Opção 1:

  1. Abra o menu de navegação, clique em Networking e, em seguida, clique em Visão Geral.
  2. Clique no botão Iniciar assistente de VPN.

Opção 2:

  1. Abra o menu de navegação, clique em Networking e depois clique em Redes virtuais na nuvem.
  2. Clique em Iniciar Assistente de VCN.
  3. Selecione Adicionar VPN Site a Site e Conectividade de Internet com uma VCN e clique em Iniciar Assistente de VCN.

Opção 3:

  1. Abra o menu de navegação e clique em Rede. Em Conectividade do cliente, clique em VPN Site a Site.

  2. Clique em Iniciar Assistente de VPN.