Detalles de enrutamiento para conexiones a la red local

El intercambio de tráfico privado FastConnect y la VPN de sitio a sitio proporcionan a la red local acceso privado a una VCN. Ambos tipos de conexiones terminan en un único DRG asociado a la VCN. Recuerde que la VPN de sitio puede utilizar el protocolo de gateway de frontera (BGP) o el enrutamiento estático o una combinación de ambos. FastConnect siempre utiliza BGP para los anuncios de rutas.

Para las asociaciones a circuitos virtuales y túneles IPSec configurados para utilizar el enrutamiento dinámico, el DRG anuncia todas las rutas incluidas en su tabla de rutas de DRG asignada.

Si una VCN asociada utiliza el enrutamiento de entrada para otorgar acceso a los servicios de Oracle a través del gateway de servicio de la VCN, puede observar la ruta mostrada como una única ruta nemotécnica mediante la operación de API ListDrgRouteRules. Cuando esta ruta se propaga a otro DRG a través de una RPC o se anuncia en la red local mediante BGP, aparece como un juego de reglas literales. Para obtener una lista de esos rangos, consulte Direcciones IP públicas para las VCN y Oracle Services Network.

En esta sección se describe con mayor detalle cómo se puede utilizar el atributo AS_PATH de BGP para influir en la selección de rutas en el contexto de una única tabla de rutas de DRG.

Si las rutas para las diferentes rutas de acceso son iguales, Oracle utiliza la ruta de acceso AS más corta al enviar tráfico a la red local, independientemente de la ruta de acceso utilizada para iniciar la conexión a Oracle. Por lo tanto, se permite el enrutamiento asimétrico. El enrutamiento asimétrico aquí significa que la respuesta de Oracle a una solicitud puede seguir una ruta de acceso diferente a la solicitud. Por ejemplo, en función de cómo esté configurado el dispositivo perimetral (también denominado equipo local de cliente o CPE), podría enviar una solicitud a través de una VPN de sitio a sitio, pero la respuesta de Oracle podría volver a través de FastConnect. Para forzar que el enrutamiento sea simétrico, recomendamos utilizar la ruta de acceso de BGP y AS antepuesta con rutas para influir en la ruta de acceso que utiliza Oracle al responder a las conexiones e iniciarlas.

Oracle implanta la anteposición de la ruta de AS para establecer la preferencia sobre qué ruta utilizar si el dispositivo perimetral anuncia la misma ruta y los mismos atributos de enrutamiento a través de varios tipos de conexión diferentes entre la red local y la VCN. Los detalles se resumen en la tabla siguiente. A menos que usted influya en el enrutamiento de alguna otra manera, cuando la misma ruta se anuncia a través de varias rutas al DRG en el extremo de Oracle de las conexiones, Oracle prefiere las rutas en el siguiente orden:

En la tabla anterior, se asume que está enviando un único número de sistema autónomo en la ruta de acceso de AS. Oracle mantiene la ruta de acceso de AS completa que envía. Si utiliza un enrutamiento estático y también envía una ruta de acceso de AS que tiene "ASN local" más dos o más ASN adicionales, puede provocar un comportamiento inesperado, ya que la preferencia de enrutamiento de Oracle puede cambiar.

Aunque el comportamiento del enrutamiento estático de VPN basado en políticas se ha documentado anteriormente, Oracle también recomienda que si utiliza conexiones FastConnect con VPN de seguridad, utilice BGP en la VPN basada en rutas IPSec. Esta estrategia le proporciona un control total del comportamiento de failover.

Puede configurar un dispositivo perimetral para preferir una ruta específica al enviar tráfico desde la red local hasta Oracle. En la siguiente sección se describe una situación concreta en la que debe hacer eso para garantizar una ruta de acceso de tráfico coherente si los hosts locales utilizan servicios de Oracle.

La red local puede acceder a los servicios públicos de Oracle Services Network como Object Storage por varias rutas de acceso. Puede utilizar rutas públicas, como Internet o el intercambio de tráfico público FastConnect. Con estas rutas públicas, los hosts locales se comunican con los servicios de Oracle mediante direcciones IP públicas.

También puede configurar la red local con acceso privado a los servicios de Oracle a través del gateway de servicios de la VCN. Un gateway de servicio permite a los hosts de la red local utilizar cualquiera de los servicios que se muestran en Gateway de servicio: servicios en la nube admitidos en Oracle Services Network y comunicarse con esos servicios Oracle desde direcciones IP privadas.

Si ha configurado la red local con varias rutas de conexión a los servicios de Oracle, es posible que el dispositivo perimetral reciba un anuncio de ruta de las rutas de direcciones IP públicas de los servicios de Oracle a través de varias rutas. Estas son las posibles rutas que puede utilizar con la red local:

• Rutas de acceso públicas:
  • Proveedor de servicios de internet (ISP)
  • FastConnect intercambio de tráfico público
• Rutas de acceso privadas mediante el DRG de la VCN y el gateway de servicios:
  • FastConnect intercambio de tráfico privado
  • VPN de sitio a sitio

El dispositivo perimetral recibe anuncios de ruta del DRG y, posiblemente, de los enrutadores a través de rutas públicas. La mayoría de las rutas de los servicios de Oracle que anuncia el DRG tienen un prefijo más largo (son más específicas) que las rutas de los servicios de Oracle que se anuncian mediante las rutas de acceso públicas. Por lo tanto, si configura la red con acceso público y acceso privado a los servicios de Oracle, debe configurar el dispositivo perimetral para que prefiera la ruta de acceso privada al DRG para el tráfico desde la red local hasta los servicios de Oracle. La configuración del acceso público y del acceso privado garantiza una ruta de acceso coherente para el acceso a los servicios de Oracle.

Para obtener una lista de los rangos de IP públicas anunciados mediante el intercambio de tráfico público FastConnect, consulte FastConnect Public Peering Advertised Routes.

Para obtener una lista de los rangos de IP públicas regionales que se anuncian a través de las rutas privadas (para la VCN con un gateway de servicios), consulte Direcciones de IP públicas para las VCN y Oracle Services Network.

El filtrado de rutas le permite decidir qué rutas se incluyen en los anuncios de BGP a la red local. RFC 5291 proporciona información más general sobre el filtrado de rutas y el anuncio BGP de las rutas.

Los circuitos virtuales privados y la VPN de sitio a sitio no soportan el filtrado de rutas. Los circuitos virtuales públicos a través de FastConnect anuncian rutas según la configuración de filtrado de rutas seleccionada que define el ámbito de las rutas compartidas. Las opciones son las siguientes:

• Regional: anuncia solo las rutas públicas disponibles que utilizan los rangos de direcciones IP efímeras, los rangos de direcciones IP reservadas y Oracle Services Network para la región de este circuito virtual en la red local.
• Market: anuncia las rutas públicas disponibles que utilizan los rangos de direcciones IP efímeras, los rangos de direcciones IP reservadas y OSN para la región de este circuito virtual y las rutas de otras regiones de la misma parte del mundo a la red local. Este es el valor por defecto. Las regiones disponibles en cada uno de los cuatro mercados se muestran en tablas y en un mapa en el artículo Rutas anunciadas de intercambio de tráfico público de FastConnect.
• Global: anuncia las rutas públicas disponibles que utilizan los rangos de direcciones IP de corta duración, los rangos de direcciones IP reservadas y OSN para todas las regiones de todos los mercados de la nube de Oracle para la red local.
• Oracle Services Network: anuncia solo las rutas públicas utilizadas por los recursos de OSN en la región local a la red local.

Puede seleccionar opciones de filtrado de rutas al configurar un circuito virtual FastConnect. Los detalles varían en función de si utiliza un partner FastConnect, un proveedor de terceros o una colocación.

Para obtener más información, consulte los recursos relacionados:

• Guía de redundancia de conectividad (PDF)
• Mejores prácticas de VPN de sitio a sitio (IPSec) (PDF)
• Mejores prácticas de redundancia de FastConnect