Identificador de servidor proxy o dominio de cifrado admitidos
El protocolo IPSec utiliza asociaciones de seguridad (SA) para decidir cómo cifrar los paquetes. Dentro de cada SA, se definen dominios de cifrado para asignar el tipo de protocolo y la dirección IP de origen y destino de un paquete a una entrada de la base de datos de SA para definir cómo cifrar o descifrar un paquete.
Otros proveedores o documentación del sector pueden utilizar el término ID de servidor proxy, índice de parámetros de seguridad (SPI) o selector de tráfico al hacer referencia a dominios de cifrado o SA.
Existen dos métodos generales para implantar túneles de IPSec:
- Túneles basados en rutas: también denominados túneles basados en el próximo salto. Se realiza una consulta de tabla de rutas en la dirección IP de destino de un paquete. Si la interfaz de salida de esa ruta es un túnel de IPSec, el paquete se cifra y se envía al otro extremo del túnel.
- Túneles basados en políticas: la dirección IP de origen y de destino del paquete coincide con una lista de sentencias de política. Si se encuentra una coincidencia, el paquete se cifra según las reglas de esa sentencia de política.
Los extremos de la VPN de sitio a sitio de Oracle utilizan túneles basados en rutas, pero pueden trabajar con túneles basados en políticas con algunas advertencias que se enumeran en las siguientes secciones.
Si el CPE admite túneles basados en rutas, utilice ese método para configurar el túnel. Esta es la configuración más simple con la mayor interoperabilidad con el encabezado de VPN de Oracle.
IPSec basado en rutas utiliza un dominio de cifrado con los siguientes valores:
- Dirección IP de origen: cualquiera (0.0.0.0/0)
- Dirección IP de destino: cualquiera (0.0.0.0/0)
- Protocolo: IPv4
Si necesita ser más específico, puede utilizar una única ruta de resumen para los valores de dominio de cifrado en lugar de una ruta predeterminada.
Al utilizar túneles basados en políticas, cada entrada de política (un bloque de CIDR en un lado de la conexión IPSec) que defina genera una asociación de seguridad (SA) IPSec con cada entrada elegible en el otro extremo del túnel. Este par se conoce como dominio de cifrado.
En este diagrama, el extremo de Oracle DRG del túnel IPSec tiene entradas de política para tres bloques de CIDR IPv4 y un bloque de CIDR IPv6. El extremo de CPE local del túnel tiene entradas de política con dos bloques de CIDR IPv4 y dos bloques de CIDR IPv6. Cada entrada genera un dominio de cifrado con todas las entradas posibles en el otro extremo del túnel. Ambos lados de un par de SA deben usar la misma versión de IP. El resultado es un total de ocho dominios de cifrado.
Si el CPE solo soporta túneles basados en políticas, tenga en cuenta las siguientes restricciones.
- La VPN de sitio a sitio soporta varios dominios de cifrado, pero tiene un límite superior de 50 dominios de cifrado.
- Si tuvo una situación similar al ejemplo anterior y solo configuró tres de los seis posibles dominios de cifrado IPv4 en el lado del CPE, el enlace se mostraría en el estado "Activo parcial", porque todos los posibles dominios de cifrado siempre se crean en el lado del DRG.
- En función de cuándo se haya creado un túnel, es posible que no pueda editar un túnel existente para utilizar el enrutamiento basado en políticas y que necesite sustituir el túnel por un nuevo túnel IPSec.
- Los bloques de CIDR que se utilizan en el extremo de Oracle DRG del túnel no pueden solapar los bloques de CIDR que se utilizan en el extremo del CPE local del túnel.
- Debe haber siempre un dominio de cifrado entre dos bloques de CIDR de la misma versión IP.