Configuración de CPE

Este tema está pensado para ingenieros de redes. Se explica cómo configurar el dispositivo local (el equipo local del cliente o CPE) en el extremo de la VPN de sitio a sitio para que el tráfico pueda fluir entre la red local y la red virtual en la nube (VCN). Consulte estos temas relacionados:

En la siguiente figura se muestra el diseño básico de la conexión IPSec de la VPN de sitio a sitio mediante Internet. IPSec sobre FastConnect es similar, pero el tráfico solo atravesará un circuito virtual privado.

En esta imagen se resume el diseño general de la conexión y los túneles de IPSec.

Requisitos

Hay varios requisitos y previos necesarios que deben tenerse en cuenta antes de avanzar.

Consideraciones sobre el enrutamiento

Para obtener detalles importantes sobre el enrutamiento para la VPN de sitio a sitio, consulte Enrutamiento de la VPN de sitio a sitio.

Oracle utiliza el enrutamiento asimétrico en varios túneles que forman la conexión de IPSec. Incluso si configura un túnel como principal y otro como de copia de seguridad, el tráfico de la VCN a la red local puede utilizar cualquier túnel que esté "activo" en el dispositivo. Configure los firewalls según corresponda. De lo contrario, las pruebas de ping o el tráfico de aplicaciones en la conexión no funcionarán de manera fiable.

Si utiliza el enrutamiento dinámico BGP con la VPN de sitio a sitio, puede configurar el enrutamiento para que Oracle prefiera un túnel sobre el otro.

Si desea utilizar IPSec en FastConnect, no puede actualizar un objeto CPE para agregar esa funcionalidad; se debe establecer soporte en la configuración inicial del CPE. Tampoco puede tener los túneles IPsec y los circuitos virtuales para esta conexión que utilicen las mismas tablas de rutas de DRG.

Tenga en cuenta que la configuración basada en políticas de Cisco ASA utiliza un único túnel.

Creación de componentes de la red en la nube

El usuario o alguien de su organización ya debe haber utilizado la consola de Oracle para crear una VCN y una conexión de IPSec, que consta de varios túneles de IPSec para la redundancia. Debe recopilar la siguiente información sobre dichos componentes:

  • OCID de VCN: el OCID de VCN es un identificador único de Oracle Cloud Infrastructure que tiene un UUID en el extremo. Puede utilizar este UUID o cualquier otra cadena que le ayude a identificar esta VCN en la configuración del dispositivo y no entre en conflicto con otros nombres de grupos de objetos o listas de acceso.
  • CIDR de VCN
  • Máscara de subred CIDR de VCN
  • Para cada túnel de IPSec:

    • La dirección IP del punto final del túnel IPSec de Oracle (la cabecera de VPN)
    • Secreto compartido

Información sobre su dispositivo CPE

También necesita información básica sobre las interfaces internas y externas del dispositivo local (su CPE). Para obtener una lista de la información necesaria para el CPE concreto, consulte los enlaces de esta lista: Dispositivos CPE verificados.

Por defecto, NAT-T está activado en todos los túneles IPSec de la VPN de sitio a sitio. Oracle recomienda dejar NAT-T activado al configurar la VPN de sitio a sitio en OCI.

Si su CPE está detrás de un dispositivo NAT, puede proporcionar a Oracle el identificador IKE de su CPE. Para obtener más información, consulte Visión general de los componentes de la VPN de sitio a sitio.

Una única IP pública de objeto CPE puede tener hasta 8 conexiones IPSec.

IPSec basado en rutas frente al basado en políticas

Los extremos de VPN de Oracle utilizan túneles basados en rutas, pero pueden funcionar con túneles basados en políticas con algunas advertencias. Consulte Dominios de cifrado para túneles basados en políticas para obtener todos los detalles.

Mejores prácticas de VPN de sitio a sitio

  • Configurar todos los túneles para cada conexión de IPSec: Oracle despliega varias cabeceras de IPSec para que todas las conexiones proporcionen una alta disponibilidad para las cargas de trabajo críticas. La configuración de todos los túneles disponibles es una parte clave de la filosofía "Diseño para fallos". (Excepción: Configuración basada en políticas de Cisco ASA, que utiliza un único túnel).
  • Tener CPE redundantes en las ubicaciones locales: cada uno de los sitios que se conecta con IPSec a Oracle Cloud Infrastructure debería tener dispositivos CPE redundantes. Agregue cada CPE a la consola de Oracle Cloud Infrastructure y cree una conexión IPSec independiente entre el gateway de enrutamiento dinámico (DRG) y cada CPE. Para cada conexión de IPSec, Oracle aprovisiona dos túneles en las cabeceras de IPSec geográficamente redundantes. Oracle puede utilizar cualquier túnel que esté" activo" para devolver tráfico a la red local. Para obtener más información, consulte Enrutamiento de la VPN de sitio a sitio.
  • Considerar rutas de agregadas sustitutas: si tiene varios sitios conectados mediante VPN con IPSec a Oracle Cloud Infrastructure, y esos sitios están conectados a los enrutadores del eje troncal local, considere la configuración de las rutas de conexión de IPSec con la ruta de agregación del sitio local y una ruta predeterminada.

    Tenga en cuenta que las rutas de DRG conocidas desde las conexiones de IPSec solo se utilizan para el tráfico que enruta desde la VCN a su DRG. La ruta predeterminada solo la usará el tráfico enviado a su DRG cuya dirección IP de destino no coincide con las rutas más específicas de ninguno de los túneles.

Confirmación del estado de la conexión

Después de configurar la conexión de IPSec, puede probar la conexión iniciando una instancia en la VCN y, a continuación, haciendo ping con ella desde la red local. Para obtener más información sobre el inicio de una instancia, consulte Lanzamiento de una instancia. Para hacer ping en la instancia, las reglas de seguridad de la VCN deben permitir el tráfico de ping.

Puede consultar el estado de los túneles de IPSec en la API o en la consola. Para obtener instrucciones, consulte Visualización del estado y la información de configuración de los túneles de IPSec.

Configuraciones de dispositivo

Para ver enlaces a la información de configuración específica para cada dispositivo CPE verificado, consulte Dispositivos CPE verificados.