Documentação do Oracle Cloud Infrastructure

Configurando a VPN Site a Site

Este tópico fornece instruções para construir uma conexão IPSec da VPN Site a Site de uma rede on-premises para a sua VCN. Para obter informações gerais sobre a VPN Site a Site, consulte Visão Geral da VPN Site a Site.

Antes de Iniciar

Para se preparar, faça o seguinte:

Dica

Se você tiver uma VPN Site a Site que utilize roteamento estático, poderá alterar os túneis para usar o roteamento dinâmico do BGP.

As seguintes faixas de IP local de link não são válidas para uso com a VPN Site a Site dentro de interfaces de túnel:

  • 169.254.10.0-169.254.19.255
  • 169.254.100.0-169.254.109.255
  • 169.254.192.0-169.254.201.255

Processo Geral

Este é o processo geral de configuração da VPN Site a Site:

  1. Conclua as tarefas listadas em Antes de Começar.
  2. Configure os componentes da VPN Site a Site (instruções em Exemplo: Configurando uma VPN Site a Site de Prova de Conceito):
    1. Crie a sua VCN.
    2. Crie um DRG.
    3. Anexar o DRG à sua VCN.
    4. Crie uma tabela de roteamento e uma regra de roteamento para o DRG.
    5. Crie uma lista de segurança e as regras necessárias.
    6. Crie uma sub-rede na VCN.
    7. Crie um objeto CPE e forneça o endereço IP público do seu dispositivo CPE.
    8. Crie uma conexão IPSec com o objeto CPE e forneça as informações de roteamento necessárias.
  3. Use o Auxiliar de Configuração do CPE: Seu engenheiro de rede deve configurar o dispositivo CPE com as informações fornecidas pela Oracle nas etapas anteriores. O Auxiliar de Configuração CPE gera as informações para o engenheiro da rede. Para obter mais informações, consulte Usando o Auxiliar de Configuração de CPE e também Configuração do CPE.
  4. Peça ao seu engenheiro de rede para configurar o dispositivo CPE.
  5. Valide a conectividade.

Se você planeja configurar conexões redundantes, consulte o Connectivity Redundancy Guide.

Exemplo: Configurando uma VPN Site a Site de Prova de Conceito

Dica

A Oracle oferece um workflow de início rápido para facilitar a configuração da VPN Site a Site. Para obter mais informações, consulte Início Rápido da VPN Site a Site.

Este exemplo de cenário mostra como configurar uma VPN Site a Site com um layout simples que você pode usar para uma prova de conceito (POC). O exemplo segue as tarefas 1 e 2 em Processo Geral e mostra cada componente no layout que está sendo criado. Para cada tarefa, há uma captura de tela correspondente na Console para ajudar a entender quais informações são necessárias. Para layouts mais complexos, consulte Exemplo de Layout com Várias Áreas Geográficas ou Layout de Exemplo com PAT.

Tarefa 1: Coletar informações
Pergunta Resposta
Qual é o CIDR da sua VCN? 172.16.0.0/16

Qual é o endereço IP público do seu dispositivo CPE? Se você tiver vários dispositivos para redundância, obtenha o endereço IP de cada um.

Observação: Se o seu dispositivo CPE estiver atrás de um dispositivo NAT, consulte Visão Geral dos Componentes da VPN Site a Site e também Requisitos e Pré-requisitos.

 142.34.145.37
Você pretende fazer a conversão de endereço de porta (PAT) entre cada dispositivo CPE e a sua VCN? Não

Que tipo de roteamento você planeja usar? Há três opções mutuamente exclusivas:

Se você planeja usar o roteamento dinâmico BGP, liste os endereços IP de sessão BGP a serem usados e o ASN da sua rede.

Se você planeja usar o roteamento estático, liste as rotas estáticas para a sua rede on-premises. Consulte Roteamento da VPN Site a Site.

Se você planeja usar o roteamento baseado em política ou exigir vários domínios de criptografia, liste os blocos de prefixo IPv4 CIDR ou IPv6 usados em cada extremidade da conexão. Consulte Domínios de criptografia para túneis baseados em política

Exemplo de roteamento dinâmico BGP:

Túnel 1:

  • Interface de túnel interno BGP - CPE: 10.0.0.16/31
  • Interface de túnel interno BGP - Oracle: 10.0.0.17/31

Túnel 2:

  • Interface de túnel interna BGP - CPE: 10.0.0.18/31
  • Interface de túnel interno BGP - Oracle: 10.0.0.19/31

ASN da Rede: 12345

Exemplo de roteamento estático:

Use 10.0.0.0/16 para a rota estática de um POC simples.

Exemplo de roteamento baseado em política:

Use ??? para um POC simples.
Deseja fornecer o segredo compartilhado de cada túnel ou prefere permitir que o sistema Oracle os designe? Consulte Visão Geral dos Componentes da VPN Site a Site. Deixe que o sistema Oracle designe.

Aqui está um exemplo de diagrama para a tarefa 1 que usa roteamento dinâmico BGP:

Esta imagem mostra um layout de VPN básica durante a utilização do roteamento dinâmico BGP.
Callout 1: Tabela de roteamento de sub-rede padrão
CIDR de Destino Destino da rota
10.0.0.0/16 DRG
Callout 2: lista de segurança
CIDR de Destino Permissão
10.0.0.0/16 Permitido
Callouts 3 a 6
Callout Função IP
3 Endereço IP público do CPE 142.34.145.37
4a BGP do Túnel 1: Dentro da Interface de Túnel

CPE - 10.0.0.16/31

Oracle - 10.0.0.17/31
4b BGP do Túnel 2: Dentro da Interface de Túnel

CPE - 10.0.0.18/31

Oracle - 10.0.0.19/31
5

Endereço IP da VPN da Oracle do Túnel 1:

129.213.240.50
6

Endereço IP da VPN da Oracle do Túnel 2:

129.213.240.53

Aqui está um exemplo de diagrama para a tarefa 1 que usa roteamento estático:

Esta imagem mostra um layout básico de VPN durante a utilização do roteamento estático.
Callout 1: Tabela de roteamento de sub-rede padrão
CIDR de Destino Destino da rota
10.0.0.0/16 DRG
Callout 2: lista de segurança
CIDR de Destino Permissão
10.0.0.0/16 Permitido
Callouts 3 a 6
Callout Função IP
3 Endereço IP público do CPE 142.34.145.37
4 Rota estática para Conexão IPSec 10.0.0.0/16
5

Endereço IP da VPN da Oracle do Túnel 1:

129.213.240.50
6

Endereço IP da VPN da Oracle do Túnel 2:

129.213.240.53
Tarefa 2a: Criar a VCN

Se você já tiver uma VCN, passe para a próxima tarefa.

Dica

Ao usar a Console para criar uma VCN, você pode criar apenas a VCN ou pode criar a VCN com diversos recursos relacionados. Essa tarefa só cria a VCN, e as tarefas subsequentes criam os outros recursos necessários.
Esta imagem mostra a criação da VCN
  1. Abra o menu de navegação, clique em Networking e depois clique em Redes virtuais na nuvem.
  2. Em Escopo da Lista, selecione um compartimento no qual você tenha permissão para trabalhar. A página é atualizada para exibir apenas os recursos desse compartimento. Se você não tiver certeza sobre qual compartimento usar, entre em contato com um administrador. Para obter mais informações, consulte Controle de Acesso.
  3. Clique em Criar Rede Virtual na Nuvem

  4. Informe os seguintes valores:

    • Criar no Compartimento: deixe como está.
    • Nome: um nome descritivo para a rede na nuvem. Esse nome não precisa ser exclusivo e não pode ser alterado posteriormente na Console (mas você pode alterá-lo com a API). Evite inserir informações confidenciais.
    • Bloco CIDR: um único bloco CIDR contíguo para a rede na nuvem (por exemplo, 172.16.0.0/16). Você não pode alterar esse valor posteriormente. Consulte Tamanho da VCN e Intervalos de Endereços Permitidos. Para referência, use a calculadora de CIDR.
    • Ativar Designação de Endereço IPv6: Essa opção só estará disponível se a VCN estiver ativada para IPv6. Há suporte para o endereçamento IPv6 em todas as regiões comerciais e do setor governamental. Para obter mais informações, consulte Endereços IPv6.

  5. Você pode fornecer valores para o restante das opções ou pode ignorá-las:

    • Resolução de DNS: Essa opção é necessária para designar nomes de host DNS a hosts na VCN e será necessária se você planeja usar a funcionalidade DNS padrão da VCN (chamada de Resolvedor de Internet e VCN). Se você selecionar essa opção, poderá especificar um label DNS para a VCN ou permitir que a Console gere um label para você. A caixa de diálogo exibe automaticamente o Nome do Domínio DNS correspondente para a VCN (<VCN_DNS_label>.oraclevcn.com). Para obter mais informações, consulte DNS na Sua Rede Virtual na Nuvem.
    • Tags: Se você tiver permissões para criar um recurso, também terá permissões para aplicar tags de formato livre a esse recurso. Para aplicar uma tag definida, você deve ter permissões para usar o namespace da tag. Para obter mais informações sobre tags, consulte Tags de Recursos. Se você não tiver certeza se deseja aplicar tags, ignore esta opção ou pergunte a um administrador. Você pode aplicar tags posteriormente.
  6. Clique em Criar Rede Virtual na Nuvem

A VCN é criada e exibida na página. Antes de continuar, verifique se o provisionamento da VCN já acabou.

Tarefa 2b: Criar o DRG
Esta imagem mostra a criação do DRG

  1. Abra o menu de navegação e clique em Rede. Em Conectividade do cliente, clique em Gateway de roteamento dinâmico.

  2. Clique em Criar Gateway de Roteamento Dinâmico.
  3. Informe os seguintes valores:
    • Criar no Compartimento: deixe como está (o compartimento da VCN).
    • Nome: um nome descritivo para o DRG. Esse nome não precisa ser exclusivo e não pode ser alterado posteriormente na Console (mas você pode alterá-lo com a API). Evite inserir informações confidenciais.
    • Tags: deixe como está. Você poderá adicionar tags posteriormente, se quiser. Para obter mais informações, consulte: Tags de Recursos.
  4. Clique em Criar Gateway de Roteamento Dinâmico.

O DRG é criado e exibido na página. Antes de continuar, verifique se o provisionamento da VCN já acabou.

Dica

Você também pode usar esse DRG como gateway para oOracle Cloud Infrastructure FastConnect, que é uma maneira alternativa de conectar a sua rede local com a sua VCN.
Tarefa 2c: Anexar o DRG à VCN
Esta imagem mostra a anexação do DRG à VCN
  1. Clique no nome do DRG que você criou.
  2. Em Recursos, clique em Redes Virtuais na Nuvem.
  3. Clique em Anexar à Rede Virtual na Nuvem.
  4. Selecione a VCN. Ignore a seção para opções avançadas, que é somente para um cenário de roteamento avançado denominado roteamento de trânsito, que não é relevante aqui.
  5. Clique em Anexar.

O anexo permanece no estado Anexando por um curto período antes de estar pronto.

Tarefa 2d: Criar uma tabela de roteamento e uma regra de roteamento para o DRG

Embora a VCN tenha uma tabela de roteamento padrão (sem regras), nessa tarefa você cria uma tabela de roteamento personalizada com uma regra de roteamento para o DRG. Nesse exemplo, a sua rede local é 10.0.0.0/16. Você cria uma regra de roteamento que utiliza o tráfego destinado a 10.0.0.0/16 e o roteia para o DRG. Quando você cria uma sub-rede na tarefa 2f, essa tabela de roteamento personalizada é associada à sub-rede.

Dica

Se você já tiver uma VCN com uma sub-rede, não precisará criar uma tabela de roteamento ou uma sub-rede. Em vez disso, você pode atualizar a tabela de roteamento da sub-rede existente para incluir a regra de roteamento para o DRG.
Esta imagem mostra a criação da tabela de roteamento e da regra de roteamento para o DRG
Callout 1: Tabela de Roteamento da VCN MyExampleRouteTable
CIDR de Destino Tabela de Roteamento
10.0.0.0/16 DRG
  1. Abra o menu de navegação, clique em Networking e depois clique em Redes virtuais na nuvem.
  2. Clique na sua VCN.
  3. Clique em Tabelas de Roteamento para ver as tabelas de roteamento da sua VCN.
  4. Clique em Criar Tabela de Roteamento.

  5. Informe os seguintes valores:

    • Nome: um nome descritivo para a tabela de roteamento (por exemplo, MyExampleRouteTable). O nome não precisa ser exclusivo e não pode ser alterado posteriormente na Console (mas você pode alterá-lo na API). Evite inserir informações confidenciais.
    • Criar no compartimento: deixe como está.

    • Clique em + Regra de Roteamento Adicional e informe o seguinte:

      • Tipo de Destino: Gateway de Roteamento Dinâmico. O DRG anexado à VCN é selecionado automaticamente como alvo e você não precisa especificar o alvo.
      • Bloco CIDR de Destino: o CIDR da sua rede local (10.0.0.0/16 nesse exemplo).
      • Descrição: Uma descrição opcional da regra.
    • Tags: deixe as informações sobre a tag como estão.
  6. Clique em Criar Tabela de Roteamento.

A tabela de roteamento é criada e exibida na página. No entanto, a tabela de roteamento não funcionará, a menos que você a associe a uma sub-rede durante a criação da sub-rede (consulte a tarefa 2f).

Tarefa 2e: Criar uma lista de segurança

Por padrão, o tráfego de entrada para as instâncias da sua VCN é definido como DENY em todas as portas e todos os protocolos. Nessa tarefa, você configura duas regras de entrada e uma regra de saída para permitir o tráfego de rede básico necessário. A sua VCN tem uma lista de segurança padrão com um conjunto de regras padrão. No entanto, nessa tarefa, você criará uma lista de segurança separada com um conjunto mais restritivo de regras dedicadas ao tráfego com a sua rede local. Quando cria uma sub-rede na tarefa 2f, você associa essa lista de segurança à sub-rede.

Dica

As listas de Segurança são uma forma de controlar a entrada e a saída de tráfego dos recursos da VCN. Você também pode usar grupos de segurança de rede. Eles permitem aplicar um conjunto de regras de segurança a um conjunto de recursos que têm a mesma postura de segurança.
Esta imagem mostra a criação da lista de segurança
Callout 1: Tabela de Roteamento da VCN MyExampleRouteTable
CIDR de Destino Tabela de Roteamento
10.0.0.0/16 DRG
Callout 2: Lista de Segurança MyExampleSecurityList
Entrada/Saída CIDR Protocolo: Porta
Entrada 10.0.0.0/16 TCP: 22
Entrada 10.0.0.0/16 ICMP: Tudo
Saída 10.0.0.0/16 TCP: Tudo
Importante

No procedimento a seguir, certifique-se de que o CIDR local especificado nas regras de lista de segurança seja igual (ou menor) que o CIDR especificado na regra de roteamento durante a tarefa anterior. Caso contrário, o tráfego será bloqueado pelas listas de segurança.
  1. Enquanto ainda estiver verificando a sua VCN, clique em Listas de Segurança no lado esquerdo da página.
  2. Clique em Criar Lista de Segurança.

  3. Informe os seguintes valores:

    • Nome: um nome descritivo para a lista de segurança. O nome não precisa ser exclusivo e não pode ser alterado posteriormente na Console (mas você pode alterá-lo na API). Evite inserir informações confidenciais.
    • Criar no compartimento: deixe como está.

  4. Na seção Permitir Regras para Entrada, clique em Adicionar Regra de Entrada e informe os seguintes valores para a regra de entrada, que permite a entrada de SSH na porta TCP 22 da rede local:

    • Tipo de Origem: CIDR
    • CIDR de Origem: o CIDR da sua rede local (10.0.0.0/16 nesse exemplo)
    • Protocolo IP: TCP
    • Intervalo de Portas de Origem: deixe como está (o padrão é Todos).
    • Intervalo de Portas de Destino: 22 (para tráfego SSH).
    • Descrição: Uma descrição opcional da regra.

  5. Na seção Permitir Regras para Saída, clique em Adicionar Regra de Saída, digite os seguintes valores para a regra de saída, que permite o tráfego TCP de saída em todas as portas na sua rede local:

    • Tipo de Destino: CIDR
    • CIDR de Destino: o CIDR da sua rede local (10.0.0.0/16 nesse exemplo).
    • Protocolo IP: TCP
    • Intervalo de Portas de Origem: deixe como está (o padrão é Todos).
    • Intervalo de Portas de Destino: deixe como está (o padrão é Todos).
    • Descrição: Uma descrição opcional da regra.
  6. Deixe as informações sobre a tag como estão.
  7. Clique em Criar Lista de Segurança.

A lista de segurança é criada e exibida na página. No entanto, lista de segurança não funcionará, a menos que você a associe a uma sub-rede durante a criação da sub-rede (consulte a tarefa 2f).

Tarefa 2f: Criar uma sub-rede

Nessa tarefa, você cria uma sub-rede na VCN. Em geral, uma sub-rede tem um bloco CIDR menor que o CIDR da VCN. As instâncias criadas nessa sub-rede têm acesso à sua rede local. A Oracle recomenda o uso de sub-redes regionais. Nessa tarefa você cria uma sub-rede privada regional.

Esta imagem mostra a criação da sub-rede
Callout 1: Tabela de Roteamento da VCN MyExampleRouteTable
CIDR de Destino Tabela de Roteamento
10.0.0.0/16 DRG
Callout 2: Lista de Segurança MyExampleSecurityList
Entrada/Saída CIDR Protocolo: Porta
Entrada 10.0.0.0/16 TCP: 22
Entrada 10.0.0.0/16 ICMP: Tudo
Saída 10.0.0.0/16 TCP: Tudo
  1. Enquanto ainda estiver verificando a sua VCN, clique em Sub-redes no lado esquerdo da página.
  2. Clique em Criar Sub-rede.

  3. Informe os seguintes valores:

    • Nome: um nome descritivo para a sub-rede. Esse nome não precisa ser exclusivo e não pode ser alterado posteriormente na Console (mas você pode alterá-lo com a API). Evite inserir informações confidenciais.
    • Sub-rede regional ou específica do AD: Selecione o botão de opção Regional. A Oracle recomenda o uso de sub-redes regionais.
    • Bloco CIDR: um único bloco CIDR contíguo para a sub-rede (por exemplo, 172.16.0.0/24). A sub-rede deve estar dentro do bloco CIDR da rede na nuvem e não pode ter sobreposição com qualquer outra sub-rede. Você não pode alterar esse valor. Consulte Tamanho da VCN e Intervalos de Endereços Permitidos. Para referência, use a calculadora de CIDR.
    • Ativar Designação de Endereço IPv6: Essa opção só estará disponível se a VCN já estiver ativada para IPv6. Há suporte para o endereçamento IPv6 em todas as regiões comerciais e do setor governamental. Para obter mais informações, consulte Endereços IPv6.
    • Tabela de Roteamento: a tabela de roteamento criada anteriormente.
    • Sub-rede Privada: selecione essa opção. Para obter mais informações, consulte Acesso à Internet.
    • Usar Nomes de Host DNS nesta Sub-rede: deixe como está (selecionado).
    • Opções de DHCP: o conjunto de opções de DHCP a serem associadas à sub-rede. Selecione o conjunto padrão de opções de DHCP para a VCN.
    • Listas de Segurança: a lista de segurança criada anteriormente.
    • Tags: deixe como está. Você poderá adicionar tags posteriormente, se quiser. Para obter mais informações, consulte: Tags de Recursos.
  4. Clique em Criar Sub-rede.

A sub-rede é criada e exibida na página. A VCN básica nesse exemplo agora está configurada, e você está pronto para criar os componentes restantes da VPN Site a Site.

Tarefa 2g: Criar um objeto CPE e fornecer o endereço IP público do seu dispositivo CPE

Nessa tarefa, você cria o objeto CPE, que é uma representação virtual do seu objeto CPE. O objeto CPE existe em um compartimento na sua tenancy. Ao configurar a VPN Site a Site, você precisará alterar a configuração do dispositivo de borda real da sua rede para corresponder à configuração do objeto CPE.

Esta imagem mostra a criação do objeto CPE
Callout 1: Tabela de Roteamento da VCN MyExampleRouteTable
CIDR de Destino Tabela de Roteamento
10.0.0.0/16 DRG
Callout 2: Lista de Segurança MyExampleSecurityList
Entrada/Saída CIDR Protocolo: Porta
Entrada 10.0.0.0/16 TCP: 22
Entrada 10.0.0.0/16 ICMP: Tudo
Saída 10.0.0.0/16 TCP: Tudo

  1. Abra o menu de navegação e clique em Rede. Em Conectividade do cliente, clique em Equipamento local do cliente.

  2. Clique em Criar CPE (Customer Premises Equipment).

  3. Informe os seguintes valores:

    • Nome: um nome descritivo para o objeto CPE. Esse nome não precisa ser exclusivo e não pode ser alterado posteriormente na Console (mas você pode alterá-lo com a API). Evite inserir informações confidenciais.
    • Endereço IP: O endereço IP público do dispositivo de borda/CPE real na sua extremidade da VPN (consulte a lista de informações a serem coletadas em Antes de Começar).
    • Ativar IPSec em FastConnect: (Opcional) Marque essa opção somente ao configurar o recurso IPSec em FastConnect. Quando essa opção está ativada, o label do próximo campo muda para Endereço IP, pois o endereço IP usado como identificador IKE do CPE pode ser público ou privado. A verificação dessa opção sinaliza para a Oracle que o endereço IP do CPE não poderá ser acessado pela internet e só poderá ser acessado por pareamento privado.
    • Endereço IP Público: O endereço IP público do dispositivo de borda/CPE real na sua extremidade da VPN (consulte a lista de informações a serem coletadas em Antes de Começar).
    • Tags: deixe como está. Você poderá adicionar tags posteriormente, se quiser. Para obter mais informações, consulte: Tags de Recursos.
  4. Clique em Criar CPE.

O objeto CPE é criado e exibido na página.

Tarefa 2h: Criar uma conexão IPSec com o objeto CPE

Nessa tarefa, você cria os túneis IPSec e configura o tipo de roteamento para eles (roteamento dinâmico BGP ou roteamento estático).

Dica

Se você tiver uma VPN Site a Site que utilize roteamento estático, poderá alterar os túneis para usar o roteamento dinâmico do BGP.
Para roteamento dinâmico BGP
Observação

A Oracle recomenda que você use conexões IPSec baseadas em rota BGP para IPSec em FastConnect.

Nesse exemplo, você configura os dois túneis para usar o roteamento dinâmico BGP.

Esta imagem mostra um layout de VPN básica durante a utilização do roteamento dinâmico BGP.
Callout 1: Tabela de roteamento de sub-rede padrão
CIDR de Destino Destino da rota
10.0.0.0/16 DRG
Callout 2: lista de segurança
CIDR de Destino Permissão
10.0.0.0/16 Permitido
Callouts 3 a 6
Callout Função IP
3 Endereço IP público do CPE 142.34.145.37
4a BGP do Túnel 1: Dentro da Interface de Túnel

CPE - 10.0.0.16/31

Oracle - 10.0.0.17/31
4b BGP do Túnel 2: Dentro da Interface de Túnel

CPE - 10.0.0.18/31

Oracle - 10.0.0.19/31
5

Endereço IP da VPN da Oracle do Túnel 1:

129.213.240.50
6

Endereço IP da VPN da Oracle do Túnel 2:

129.213.240.53

  1. Abra o menu de navegação e clique em Rede. Em Conectividade do cliente, clique em VPN Site a Site.

  2. Clique em Criar Conexão IPSec.

  3. Informe os seguintes valores:

    • Nome: informe um nome descritivo para a conexão IPSec. Esse nome não precisa ser exclusivo e você pode alterá-lo posteriormente. Evite inserir informações confidenciais.
    • Criar no Compartimento: deixe como está (o compartimento da VCN).
    • CPE (Customer Premises Equipment): selecione o objeto CPE criado anteriormente. Se você estiver configurandoIPSec sobre FastConnect, o CPE escolhido deverá ter um label confirmando que IPSec sobre FastConnect está ativado para esse CPE. O roteamento BGP é preferencial para conexões que usam IPSec em vez de FastConnect. Se necessário, marque a caixa de seleção para indicar que o CPE está atrás de um dispositivo NAT. Se a caixa de seleção estiver marcada, forneça as seguintes informações:
      • Tipo de Identificador de IKE do CPE: Selecione o tipo de identificador que o IKE (Internet Key Exchange) usa para identificar o dispositivo CPE. Um FQDN ou um endereço IPv4 pode ser um identificador. Por padrão, a Oracle usa o endereço IP público do CPE. Se o seu CPE estiver protegido por um dispositivo NAT, talvez você precise informar outro valor. Você pode informar o novo valor aqui ou pode alterar o valor posteriormente.
      • Identificador de IKE do CPE: Especifique as informações que o IKE usa para identificar o dispositivo CPE.
    • Compartimento do Gateway de Roteamento Dinâmico: deixe como está (o compartimento da VCN).
    • Gateway de Roteamento Dinâmico: selecione o DRG criado anteriormente.
    • Rotas para sua Rede on-premises: Deixe vazio porque essa conexão IPSec usa roteamento dinâmico do BGP. Você configura os dois túneis para usar BGP nas etapas a seguir.

  4. Para Túnel 1 (obrigatório):

    • Nome: informe um nome descritivo para o túnel. Esse nome não precisa ser exclusivo e você pode alterá-lo posteriormente. Evite inserir informações confidenciais.
    • Fornecer segredo compartilhado personalizado (opcional): Por padrão, o sistema Oracle fornece o segredo compartilhado para o túnel. Se quiser fornecê-lo, marque essa caixa de seleção e informe o segredo compartilhado. Você pode alterar o segredo compartilhado posteriormente.
    • Versão do IKE: A versão do IKE (Internet Key Exchange) a ser usada para esse túnel. Só selecione IKEv2 se o seu CPE suportar essa versão. Depois disso, você deve configurar o CPE para usar apenas o IKEv2 para esse túnel.
    • Tipo de Roteamento: Selecione Roteamento Dinâmico BGP.
    • Se o seu CPE selecionado suportar IPSec por FastConnect, as seguintes definições serão necessárias:
      • IP de headend do túnel Oracle: Informe o endereço IP do ponto final do túnel IPSec Oracle (o headend da VPN). A Oracle divulgará o IP da VPN como uma rota de host /32 por meio da sessão BGP FastConnect. Se houver alguma sobreposição de endereço com uma rota de VCN, isso terá precedência devido à correspondência de prefixo mais longa.
      • Circuito virtual associado: Selecione um circuito virtual que foi ativado para IPSec por meio de FastConnect quando foi criado. O túnel será mapeado para o circuito virtual escolhido e o IP de headend definido só poderá ser acessado no local por meio do circuito virtual associado.
      • Tabela de roteamento de DRG: Escolha ou crie uma tabela de roteamento de DRG. Para evitar problemas com roteamento recursivo, o anexo do circuito virtual e o anexo do túnel IPSec usados para IPsec sobre FC devem usar diferentes tabelas de roteamento do DRG.
    • ASN do BGP: digite o ASN da sua rede.
    • IPv4 Dentro da Interface de Túnel - CPE: Digite o endereço IPv4 do BGP com a máscara de sub-rede (/30 ou /31) para a extremidade do CPE do túnel. Por exemplo: 10.0.0.16/31. O endereço IP deve fazer parte do domínio de criptografia da VPN Site a Site.
    • IPv4 Dentro da Interface de Túnel - Oracle: Digite o endereço IPv4 do BGP com a máscara de sub-rede (/30 ou /31) para a extremidade Oracle do túnel. Por exemplo: 10.0.0.17/31. O endereço IP deve fazer parte do domínio de criptografia da VPN Site a Site.
    • Se você planeja usar IPv6 e IPv4, clique em Ativar IPv6 e informe os seguintes detalhes:
      • IPv6 Dentro da Interface de Túnel - CPE: Informe o endereço IPv6 do BGP com máscara de sub-rede (/126) para a extremidade do CPE do túnel. Por exemplo: 2001:db2::6/126. O endereço IP deve fazer parte do domínio de criptografia da VPN Site a Site.
      • IPv6 Dentro da Interface de Túnel - Oracle: Informe o endereço IP do BGP com máscara de sub-rede (/126) para a extremidade Oracle do túnel. Por exemplo: 2001:db2::7/126. O endereço IP deve fazer parte do domínio de criptografia da VPN Site a Site.
      • Se você clicar em Mostrar Opções Avançadas, poderá alterar as seguintes definições para o Túnel 1:
        • Iniciação da Oracle: Essa definição indica se a extremidade Oracle da conexão IPSec pode fazer a inicialização do túnel IPSec. O padrão é Iniciador ou Respondedor. Você também pode optar por definir a extremidade Oracle como respondedor somente, o que exigiria que o dispositivo CPE iniciasse o túnel IPSec. A Oracle recomenda deixar essa opção na definição padrão.
        • NAT-T Ativado: Essa definição indica se o dispositivo CPE está atrás de um dispositivo NAT. O padrão é Automático. As outras opções são Desativado e Ativado. A Oracle recomenda deixar essa opção na definição padrão.
        • Ativar Timeout de Detecção de Ponto Morto: Clicar nessa opção permite verificar periodicamente a estabilidade da conexão com o CPE e detectar se o CPE foi desativado. Se você selecionar essa opção, também poderá selecionar o intervalo mais longo entre as mensagens de integridade do dispositivo CPE antes que a conexão IPSec indique que perdeu o contato com o CPE. O padrão é 20 segundos. A Oracle recomenda deixar essa opção na definição padrão.
      • Se você expandir a seção Configuração da Fase Um (ISAKMP) e clicar em Definir opções personalizadas, poderá fazer as seguintes definições opcionais (você deve selecionar uma de cada opção):
        • Algoritmos de Criptografia Personalizados: Você pode escolher entre as opções fornecidas no menu pull-down.
        • Algoritmos de Autenticação Personalizados: Você pode escolher entre as opções fornecidas no menu pull-down.
        • Grupos Difie-Hellman: Você pode escolher entre as opções fornecidas no menu pull-down.

        Se a caixa de seleção Definir configurações personalizadas não estiver marcada, as definições padrão serão propostas.

        Para entender essas opções com mais detalhes, incluindo as propostas padrão, consulte Parâmetros IPSec Suportados.

      • Vida Útil da Chave de Sessão do IKE em Segundos: O padrão é 28800 que equivale a 8 horas.
      • Se você expandir as opções de Configuração da Fase Dois (IPSec) e clicar em Definir opções personalizadas, poderá fazer as seguintes definições opcionais para o Túnel 1 (selecione um algoritmo de criptografia):
        • Algoritmos de Criptografia Personalizados: Você pode escolher entre as opções fornecidas no menu pull-down. Se você selecionar um algoritmo de criptografia AES-CBC, também deverá selecionar um algoritmo de autenticação.
        • Algoritmos de Autenticação Personalizados: Você pode escolher entre as opções fornecidas no menu pull-down. O algoritmo de criptografia escolhido pode ter autenticação incorporada; nesse caso, não há opção selecionável.

        Se a caixa de seleção Definir configurações personalizadas não estiver marcada, as definições padrão serão propostas.

        Para todas as opções da Fase Dois, se você selecionar uma única opção, ela substituirá a definição padrão e será a única opção proposta para o dispositivo CPE.

      • Vida Útil da Chave de Sessão IPSec em Segundos: O padrão é 3600, que equivale a 1 hora.
      • Ativar PFS (Perfect Forward Secrecy): Por padrão, essa opção está ativada. Permite que você escolha o Grupo Diffie-Hellman PFS (Perfect Forward Secrecy). Você pode escolher entre as opções fornecidas no menu pull-down. Se você não fizer uma seleção, GROUP5 será proposto.
  5. Na guia Túnel 2, você pode usar as mesmas opções descritas para o Túnel 1. Você também pode escolher diferentes opções ou deixar o túnel desconfigurado porque seu dispositivo CPE só suporta um túnel.
  6. Você pode clicar em Mostrar Opções de Tag para adicionar tags para a conexão IPSec agora ou adicioná-las posteriormente. Para obter mais informações, consulte: Tags de Recursos.

  7. Clique em Criar Conexão IPSec.

    A conexão IPSec é criada e exibida na página. Ela fica no estado Provisionando por pouco tempo.

    As informações exibidas sobre o túnel incluem:

    • O endereço IPv4 ou IPv6 da Oracle VPN (para o head-end da Oracle VPN).
    • O status do IPSec do túnel (os valores possíveis são Ativo, Inativo e Indisponível para Manutenção). Nesse ponto, o status é Inativo. O seu engenheiro de rede deve configurar o dispositivo CPE para que seja possível estabelecer o(s) túnel(eis).
    • O status do BGP do túnel. Nesse ponto, o status é Inativo. O seu engenheiro de rede deve configurar o dispositivo CPE.

    Para exibir o segredo compartilhado do túnel, clique no túnel para exibir os detalhes e, em seguida, clique em Mostrar ao lado de Segredo Compartilhado.

    Você também pode clicar na guia Detalhes da Fase para ver os detalhes da Fase Um (ISAKMP) e da Fase Dois (IPSec) do túnel.

  8. Copie o endereço IP da VPN da Oracle e o segredo compartilhado de cada um dos túneis para um e-mail ou para outro local de modo que possa fornecê-lo ao engenheiro de rede que configura o dispositivo CPE.

    Você pode verificar essas informações sobre o túnel na Console a qualquer momento.

Agora você criou todos os componentes necessários para a VPN Site a Site. Em seguida, o seu engenheiro de rede deve configurar o dispositivo CPE para que o tráfego de rede possa fluir entre a rede on-premises e a VCN.

Para roteamento estático
Observação

A Oracle recomenda que você use conexões IPSec baseadas em rota BGP para IPSec em FastConnect.
Esta imagem mostra a criação da conexão IPSec com roteamento estático. Clique para ampliar
Callout 1: Tabela de Roteamento da VCN MyExampleRouteTable
CIDR de Destino Tabela de Roteamento
10.0.0.0/16 DRG
Callout 2: Lista de Segurança MyExampleSecurityList
Entrada/Saída CIDR Protocolo: Porta
Entrada 10.0.0.0/16 TCP: 22
Entrada 10.0.0.0/16 ICMP: Tudo
Saída 10.0.0.0/16 TCP: Tudo
Callout 3: Detalhes da conexão IPSec com a Rota Estática 10.0.0.0/16
Túnel Endereço IP da Oracle Endereço IP On-premises
Túnel 1 31/10.0.0.17 10.0.0.16/31
Túnel 2 10.0.0.19/31 10.0.0.18/31

  1. Abra o menu de navegação e clique em Rede. Em Conectividade do cliente, clique em VPN Site a Site.

  2. Clique em Criar Conexão IPSec.

  3. Informe os seguintes valores:

    • Criar no Compartimento: deixe como está (o compartimento da VCN).
    • Nome: informe um nome descritivo para a conexão IPSec. Esse nome não precisa ser exclusivo e você pode alterá-lo posteriormente. Evite inserir informações confidenciais.
    • Compartimento do CPE (Customer Premises Equipment): deixe como está (o compartimento da VCN).
    • CPE (Customer Premises Equipment): selecione o objeto CPE criado anteriormente. Se você estiver configurandoIPSec sobre FastConnect, o CPE escolhido deverá ter um label confirmando que IPSec sobre FastConnect está ativado para esse CPE. IPSec sobre FastConnect está disponível para conexões que usam roteamento estático, mas não é recomendado.
    • Compartimento do Gateway de Roteamento Dinâmico: deixe como está (o compartimento da VCN).
    • Gateway de Roteamento Dinâmico: selecione o DRG criado anteriormente.
    • CIDR de Rota Estática: insira pelo menos um CIDR de roteamento estático (consulte a lista de informações a serem coletadas Antes de Começar). Para esse exemplo, digite 10.0.0.0/16. Você pode digitar até 10 rotas estáticas e poderá alterar as rotas estáticas posteriormente.
  4. Clique em Mostrar Opções Avançadas.
  5. Na guia Identificador IKE do CPE (opcional): O sistema Oracle assume como padrão o endereço IP público do CPE. Se o seu CPE estiver protegido por um dispositivo NAT, talvez você precise informar outro valor. Você pode informar o novo valor aqui ou pode alterar o valor posteriormente.

  6. Na guia Túnel 1 (opcional):

    • Nome do Túnel: informe um nome descritivo para o túnel. Esse nome não precisa ser exclusivo e você pode alterá-lo posteriormente. Evite inserir informações confidenciais.
    • Fornecer segredo compartilhado personalizado (opcional): Por padrão, o sistema Oracle fornece o segredo compartilhado para o túnel. Se quiser fornecê-lo, marque essa caixa de seleção e informe o segredo compartilhado. Você pode alterar o segredo compartilhado posteriormente.
    • Versão do IKE: A versão do IKE (Internet Key Exchange) a ser usada para esse túnel. Só selecione IKEv2 se o seu CPE suportar essa versão. Depois disso, você deve configurar o CPE para usar apenas o IKEv2 para esse túnel.
    • Tipo de Roteamento: Deixe o botão de opção Roteamento Estático selecionado.
    • Interface de Túnel Interno - CPE (opcional): você pode fornecer um endereço IP com máscara de sub-rede (/30 ou /31) para a extremidade CPE do túnel a fim de monitorá-lo ou diagnosticar/solucionar problemas com ele. Por exemplo: 10.0.0.16/31. O endereço IP deve fazer parte do domínio de criptografia da VPN Site a Site.
    • Interface de Túnel Interno - Oracle (opcional): você pode fornecer um endereço IP com máscara de sub-rede (/30 ou /31) para a extremidade Oracle do túnel a fim de monitorá-lo ou diagnosticar/solucionar problemas com ele. Por exemplo: 10.0.0.17/31. O endereço IP deve fazer parte do domínio de criptografia da VPN Site a Site.

  7. Na guia Túnel 2 (opcional):

    • Nome do Túnel: informe um nome descritivo para o túnel. Esse nome não precisa ser exclusivo e você pode alterá-lo posteriormente. Evite inserir informações confidenciais.
    • Fornecer segredo compartilhado personalizado (opcional): Por padrão, o sistema Oracle fornece o segredo compartilhado para o túnel. Se quiser fornecê-lo, marque essa caixa de seleção e informe o segredo compartilhado. Você pode alterar o segredo compartilhado posteriormente.
    • Versão do IKE: A versão do IKE (Internet Key Exchange) a ser usada para esse túnel. Só selecione IKEv2 se o seu CPE suportar essa versão. Depois disso, você deve configurar o CPE para usar apenas o IKEv2 para esse túnel.
    • Tipo de Roteamento: Deixe o botão de opção Roteamento Estático selecionado.
    • Interface de Túnel Interno - CPE (opcional): você pode fornecer um endereço IP com máscara de sub-rede (/30 ou /31) para a extremidade CPE do túnel a fim de monitorá-lo ou diagnosticar/solucionar problemas com ele. Use um endereço IP diferente do utilizado para o túnel 1. Por exemplo: 10.0.0.18/31. O endereço IP deve fazer parte do domínio de criptografia da VPN Site a Site.
    • Interface de Túnel Interno - Oracle (opcional): você pode fornecer um endereço IP com máscara de sub-rede (/30 ou /31) para a extremidade Oracle do túnel a fim de monitorá-lo ou diagnosticar/solucionar problemas com ele. Use um endereço IP diferente do utilizado para o túnel 1. Por exemplo: 10.0.0.19/31. O endereço IP deve fazer parte do domínio de criptografia da VPN Site a Site.
  8. Tags: deixe como está. Você poderá adicionar tags posteriormente, se quiser. Para obter mais informações, consulte: Tags de Recursos.

  9. Clique em Criar Conexão IPSec.

    A conexão IPSec é criada e exibida na página. Ela permanecerá no estado Provisionamento por um curto período.

    As informações exibidas sobre o túnel incluem:

    • O endereço IP da Oracle VPN (para o headend da Oracle VPN).
    • O status do IPSec do túnel (os valores possíveis são Ativo, Inativo e Indisponível para Manutenção). Nesse ponto, o status é Inativo. O seu engenheiro de rede ainda deve configurar o seu dispositivo CPE.

    Para exibir o segredo compartilhado do túnel, clique no túnel para exibir os detalhes e, em seguida, clique em Mostrar ao lado de Segredo Compartilhado.

  10. Copie o endereço IP da Oracle VPN e o segredo compartilhado de cada um dos túneis para um e-mail ou para outro local de modo que possa fornecê-lo ao engenheiro da rede que configurará o dispositivo CPE.

    Você pode verificar essas informações sobre o túnel na Console a qualquer momento.

Agora você criou todos os componentes necessários para a VPN Site a Site. Em seguida, o seu engenheiro de rede deve configurar o dispositivo CPE para que o tráfego de rede possa fluir entre a rede on-premises e a VCN.

Para obter mais informações, consulte Configuração do CPE.

Para roteamento baseado em política
Observação

A Oracle recomenda que você use conexões IPSec baseadas em rota BGP para IPSec em FastConnect.
Observação

A opção de roteamento baseado em política não está disponível em todos os ADs e pode exigir a criação de um novo túnel IPSec.

  1. Abra o menu de navegação e clique em Rede. Em Conectividade do cliente, clique em VPN Site a Site.

  2. Clique em Criar Conexão IPSec.

  3. Informe os seguintes valores:

    • Criar no Compartimento: deixe como está (o compartimento da VCN).
    • Nome: informe um nome descritivo para a conexão IPSec. Esse nome não precisa ser exclusivo e você pode alterá-lo posteriormente. Evite inserir informações confidenciais.
    • Compartimento do CPE (Customer Premises Equipment): deixe como está (o compartimento da VCN).
    • CPE (Customer Premises Equipment): selecione o objeto CPE criado anteriormente. Se você estiver configurandoIPSec sobre FastConnect, o CPE escolhido deverá ter um label confirmando que IPSec sobre FastConnect está ativado para esse CPE. IPSec sobre FastConnect está disponível para conexões que usam roteamento baseado em política, mas não é recomendado.
    • Compartimento do Gateway de Roteamento Dinâmico: deixe como está (o compartimento da VCN).
    • Gateway de Roteamento Dinâmico: selecione o DRG criado anteriormente.
    • CIDR de Rota Estática: insira pelo menos um CIDR de roteamento estático (consulte a lista de informações a serem coletadas Antes de Começar). Para esse exemplo, digite 10.0.0.0/16. Você pode digitar até 10 rotas estáticas e poderá alterar as rotas estáticas posteriormente.
  4. Clique em Mostrar Opções Avançadas.
  5. Na guia Identificador IKE do CPE (opcional): O sistema Oracle assume como padrão o endereço IP público do CPE. Se o seu CPE estiver protegido por um dispositivo NAT, talvez você precise informar outro valor. Você pode informar o novo valor aqui ou pode alterar o valor posteriormente.

  6. Na guia Túnel 1 (opcional):

    • Nome do Túnel: informe um nome descritivo para o túnel. Esse nome não precisa ser exclusivo e você pode alterá-lo posteriormente. Evite inserir informações confidenciais.
    • Fornecer segredo compartilhado personalizado (opcional): Por padrão, o sistema Oracle fornece o segredo compartilhado para o túnel. Se quiser fornecê-lo, marque essa caixa de seleção e informe o segredo compartilhado. Você pode alterar o segredo compartilhado posteriormente.
    • Versão do IKE: A versão do IKE (Internet Key Exchange) a ser usada para esse túnel. Só selecione IKEv2 se o seu CPE suportar essa versão. Depois disso, você deve configurar o CPE para usar apenas o IKEv2 para esse túnel.
    • Tipo de Roteamento: Selecione o botão de opção para o roteamento Baseado em política.
    • On-premises: Você pode fornecer vários blocos de prefixo IPv4 CIDR ou IPv6 usados por recursos em sua rede on-premises, com roteamento determinado pelas políticas de dispositivo CPE.
      Observação

      Consulte Domínios de criptografia para túneis baseados em política para saber as limitações sobre quantos blocos de prefixo IPv4 CIDR ou IPv6 podem ser usados.
    • Oracle Cloud: Você pode fornecer vários blocos de prefixo IPv4 CIDR ou IPv6 usados pelos recursos em sua VCN.
      Observação

      Consulte Domínios de criptografia para túneis baseados em política para saber as limitações sobre quantos blocos de prefixo IPv4 CIDR ou IPv6 podem ser usados.
    • Interface de Túnel Interno - CPE (opcional): você pode fornecer um endereço IP com máscara de sub-rede (/30 ou /31) para a extremidade CPE do túnel a fim de monitorá-lo ou diagnosticar/solucionar problemas com ele. Por exemplo: 10.0.0.16/31. O endereço IP deve fazer parte de um dos domínios de criptografia da VPN Site a Site.
    • Interface de Túnel Interno - Oracle (opcional): você pode fornecer um endereço IP com máscara de sub-rede (/30 ou /31) para a extremidade Oracle do túnel a fim de monitorá-lo ou diagnosticar/solucionar problemas com ele. Por exemplo: 10.0.0.17/31. O endereço IP deve fazer parte de um dos domínios de criptografia da VPN Site a Site.

  7. Na guia Túnel 2 (opcional):

    • Nome do Túnel: informe um nome descritivo para o túnel. Esse nome não precisa ser exclusivo e você pode alterá-lo posteriormente. Evite inserir informações confidenciais.
    • Fornecer segredo compartilhado personalizado (opcional): Por padrão, o sistema Oracle fornece o segredo compartilhado para o túnel. Se quiser fornecê-lo, marque essa caixa de seleção e informe o segredo compartilhado. Você pode alterar o segredo compartilhado posteriormente.
    • Versão do IKE: A versão do IKE (Internet Key Exchange) a ser usada para esse túnel. Só selecione IKEv2 se o seu CPE suportar essa versão. Depois disso, você deve configurar o CPE para usar apenas o IKEv2 para esse túnel.
    • Tipo de Roteamento: Selecione o botão de opção para o roteamento Baseado em política.
    • On-premises: Você pode fornecer vários blocos de prefixo IPv4 CIDR ou IPv6 usados por recursos em sua rede on-premises, com roteamento determinado pelas políticas de dispositivo CPE.
      Observação

      Consulte Domínios de criptografia para túneis baseados em política para saber as limitações.
    • Oracle Cloud: Você pode fornecer vários blocos de prefixo IPv4 CIDR ou IPv6 usados pelos recursos em sua VCN.
      Observação

      Consulte Domínios de criptografia para túneis baseados em política para saber as limitações.
    • Interface de Túnel Interno - CPE (opcional): você pode fornecer um endereço IP com máscara de sub-rede (/30 ou /31) para a extremidade CPE do túnel a fim de monitorá-lo ou diagnosticar/solucionar problemas com ele. Por exemplo: 10.0.0.16/31. O endereço IP deve fazer parte de um dos domínios de criptografia da VPN Site a Site.
    • Interface de Túnel Interno - Oracle (opcional): você pode fornecer um endereço IP com máscara de sub-rede (/30 ou /31) para a extremidade Oracle do túnel a fim de monitorá-lo ou diagnosticar/solucionar problemas com ele. Por exemplo: 10.0.0.17/31. O endereço IP deve fazer parte de um dos domínios de criptografia da VPN Site a Site.
  8. Tags: deixe como está. Você poderá adicionar tags posteriormente, se quiser. Para obter mais informações, consulte: Tags de Recursos.

  9. Clique em Criar Conexão IPSec.

    A conexão IPSec é criada e exibida na página. Ela permanecerá no estado Provisionamento por um curto período.

    As informações exibidas sobre o túnel incluem:

    • O endereço IP da Oracle VPN (para o headend da Oracle VPN).
    • O status do IPSec do túnel (os valores possíveis são Ativo, Inativo e Indisponível para Manutenção). Nesse ponto, o status é Inativo. O seu engenheiro de rede ainda deve configurar o seu dispositivo CPE.

    Para exibir o segredo compartilhado do túnel, clique no túnel para exibir os detalhes e, em seguida, clique em Mostrar ao lado de Segredo Compartilhado.

  10. Copie o endereço IP da VPN da Oracle e o segredo compartilhado de cada um dos túneis para um e-mail ou para outro local; depois, entregue-o ao engenheiro de rede que configura o dispositivo CPE.

    Você pode verificar essas informações sobre o túnel na Console a qualquer momento.

Agora você criou todos os componentes necessários para a VPN Site a Site. Em seguida, o seu engenheiro de rede deve configurar o dispositivo CPE para que o tráfego de rede possa fluir entre a rede on-premises e a VCN.

Para obter mais informações, consulte Configuração do CPE.

Tarefa 3: Usar o Auxiliar de Configuração de CPE

Use o Auxiliar de Configuração de CPE para gerar conteúdo de configuração que seu engenheiro de rede pode usar para configurar o CPE.

O conteúdo inclui estes itens:

  • Para cada túnel IPSec, o endereço IP da Oracle VPN e o segredo compartilhado.
  • Os valores suportados do parâmetro IPSec.
  • Informações sobre a VCN.
  • Informações de configuração específicas do CPE.

Para obter mais informações, consulte Usando o Auxiliar de Configuração de CPE.

Tarefa 4: O engenheiro de rede configura o seu CPE

Forneça ao engenheiro de rede os seguintes itens:

Importante

Certifique-se de que o engenheiro da sua rede configure o seu dispositivo CPE para suportar os dois túneis no caso de um deles falhar ou quando o sistema Oracle indisponibilizar um deles para manutenção. Se você estiver usando o BGP, consulte Roteamento da VPN Site a Site.
Tarefa 5: Validar a conectividade

Após o engenheiro de rede configurar o seu dispositivo CPE, você poderá confirmar se o status do IPSec do túnel é Ativo e está verde. Em seguida, você poderá criar uma instância Linux na sub-rede da sua VCN. Depois, você poderá usar SSH para estabelecer conexão com o endereço IP privado da instância de um host na sua rede local. Para obter mais informações, consulte Criando uma Instância.

Exemplo de Layout com Várias Áreas Geográficas

O seguinte diagrama mostra um exemplo com essa configuração:

  • Duas redes em áreas geográficas separadas que se conectam com a sua VCN
  • Um único dispositivo CPE em cada área
  • Duas VPNs IPSec (uma para cada dispositivo CPE)

Observe que cada VPN Site a Site tem duas rotas associadas: uma para a sub-rede da área geográfica específica e uma rota 0.0.0.0/0 padrão. O sistema Oracle obtém as rotas disponíveis para cada túnel por meio de BGP (se os túneis usarem BGP) ou porque você as definiu como rotas estáticas para a conexão IPSec (se os túneis usarem roteamento estático).

Esta imagem mostra um layout com duas áreas geográficas e dois roteadores
Callout 1: Tabela de roteamento da VCN
CIDR de Destino Destino da rota
10.20.0.0/16 DRG
10.40.0.0/16 DRG

Estes são alguns exemplos de situações em que a rota 0.0.0.0/0 pode proporcionar flexibilidade:

  • Suponha que o dispositivo CPE 1 permaneça inativo (verifique o próximo diagrama). Se a Sub-rede 1 e a Sub-rede 2 puderem se comunicar entre si, a sua VCN ainda poderá acessar os sistemas na Sub-rede 1 por causa da rota 0.0.0.0/0 direcionada para CPE 2.

    Esta imagem mostra um layout em que um dos roteadores CPE permanece inativo
    Callout 1: Tabela de roteamento da VCN
    CIDR de Destino Destino da rota
    10.20.0.0/16 DRG
    10.40.0.0/16 DRG

  • Suponha que a sua organização adicione uma nova área geográfica com a Sub-rede 3 e inicialmente a conecte apenas com a Sub-rede 2 (verifique o próximo diagrama). Se você tiver adicionado uma regra de roteamento à tabela de roteamento da VCN para a Sub-rede 3, a VCN poderá acessar sistemas na Sub-rede 3 por causa da rota 0.0.0.0/0 direcionada para CPE 2.

    Esta imagem mostra um layout com uma nova sub-rede
    Callout 1: Tabela de roteamento da VCN
    CIDR de Destino Destino da rota
    10.20.0.0/16 DRG
    10.40.0.0/16 DRG
    10.60.0.0/16 DRG

Exemplo de Layout com PAT

O seguinte diagrama mostra um exemplo com essa configuração:

  • Duas redes em áreas geográficas separadas que se conectam com a sua VCN
  • Dispositivos CPE redundantes (dois em cada área geográfica)
  • Quatro VPNs IPSec (uma para cada dispositivo CPE)
  • Conversão de endereço de porta (PAT) para cada dispositivo CPE

Para cada uma das quatro conexões, a rota que o sistema Oracle precisa conhecer é o endereço IP PAT do dispositivo CPE específico. O sistema Oracle obtém as rotas de endereço IP PAT de cada túnel por meio de BGP (se os túneis usarem BGP) ou porque você as definiu como rotas estáticas para a conexão IPSec (se os túneis usarem roteamento estático).

Ao configurar as regras de roteamento da VCN, você especifica uma regra para cada endereço IP PAT (ou um CIDR agregado que abrange todos esses endereços) com o seu DRG como alvo da regra.

Esta imagem mostra um cenário com várias VPNs IPSec e vários roteadores que utilizam PAT
Callout 1: Tabela de roteamento da VCN
CIDR de Destino Destino da rota
PAT IP 1 DRG
PAT IP 2 DRG
PAT IP 3 DRG
PAT IP 4 DRG