Visión general de VPN de sitio a sitio
La VPN de sitio a sitio proporciona una conexión de sitio a sitio IPSec entre la red local y la red virtual en la nube (VCN). El conjunto de protocolos IPSec cifra el tráfico IP antes de transferir los paquetes del origen al destino y descifra el tráfico cuando llega. La VPN de sitio a sitio se conocía anteriormente como VPN Connect y VPN con IPSec.
Otras soluciones VPN seguras incluyen OpenVPN, una solución VPN de cliente a la que se puede acceder en Marketplace de Oracle. OpenVPN conecta dispositivos individuales a la VCN, pero no sitios ni redes completos.
En este tema se ofrece una descripción general de la VPN de sitio a sitio para la VCN. Para ver escenarios que incluyan la VPN de sitio a sitio, consulte Escenario B: subred privada con una VPN y Escenario C: subredes públicas y privadas con una VPN.
Consulte Límites de VPN de sitio a sitio y Solicitud de aumento del límite de servicio para obtener información relacionada con los límites.
Personal y conocimientos necesarios
Por lo general, el siguiente tipo de personal es el que se implica en la configuración de la VPN de sitio a sitio con Oracle Cloud Infrastructure:
- Miembro del equipo de Dev Ops (o función similar) que utiliza Oracle Cloud InfrastructureConsole para configurar los componentes de la nube necesarios para la red virtual y la VPN de sitio a sitio.
- Ingeniero de redes (o función similar) que configura el dispositivo del equipo local de cliente (CPE) con la información proporcionada por el miembro del equipo de Dev Ops.
El miembro del equipo de Dev Ops debe tener el permiso necesario para crear y gestionar los componentes en la nube. Si la persona es el administrador predeterminado para su arrendamiento de Oracle Cloud Infrastructure o un miembro del grupo de Administradores, tendrá el permiso necesario. Para obtener información sobre cómo restringir el acceso a los componentes de red, consulte Control de acceso.
El personal debe estar familiarizado con los siguientes conceptos y definiciones:
- Conceptos fundamentales de Oracle Cloud Infrastructure descritos en Bienvenido a Oracle Cloud Infrastructure
- Los componentes básicos del servicio de red
- Funcionalidad general del túnel de IPSec
- RECURSOS EN LA NUBE
- Todo lo que aprovisione en una plataforma en la nube. Por ejemplo, con Oracle Cloud Infrastructure, un recurso en la nube puede hacer referencia a una VCN, una instancia de recursos informáticos, un usuario, un compartimiento, un equilibrador de carga o cualquier otro componente de servicio de la plataforma.
- LOCAL
- Término muy utilizado en las tecnologías en la nube que hace referencia a los entornos tradicionales de centros de datos. Las instalaciones locales pueden hacer referencia a un escenario de colocación, un espacio específico en el suelo, un edificio del centro de datos específico o un escritorio que se ejecuta en su puesto.
- IDENTIFICADOR DE ORACLE CLOUD (OCID)
- Identificador único asignado a cada recurso que aprovisione en Oracle Cloud Infrastructure. OCID es una cadena larga que Oracle genera automáticamente. No puede seleccionar el valor de un OCID ni cambiar el OCID de un recurso. Para obtener más información, consulte Identificadores de recursos.
Acerca de la conexión IPSec de Oracle
En general, una conexión IPSec se puede configurar de los siguientes modos:
- Modo de Transporte: IPSec cifra y autentica únicamente la carga útil real del paquete, y la información del encabezado permanece intacta.
- Modo de túnel (admitido por Oracle): IPSec cifra y autentica todo el paquete. Después del cifrado, el paquete se encapsula para formar un nuevo paquete IP que tiene información de encabezado diferente.
Oracle Cloud Infrastructure solo admite el modo de túnel para VPN con IPSec.
Cada conexión IPSec de Oracle consta de varios túneles de IPSec redundantes. Para un túnel determinado, puede utilizar un enrutamiento dinámico con el Protocolo de gateway de borde (BGP) o un enrutamiento estático para enrutar el tráfico del túnel. A continuación, se proporcionan más detalles sobre el enrutamiento.
Los túneles de IPSec de VPN de sitio a sitio ofrecen las siguientes ventajas:
- Las líneas públicas de internet se utilizan para transmitir datos, de modo que no son necesarias líneas de leasing costosas y específicas de un sitio a otro.
- Las direcciones IP internas de las redes y los nodos participantes se ocultan a los usuarios externos.
- Se cifra toda la comunicación entre los sitios de origen y destino, lo que disminuye significativamente las posibilidades de robo de información.
Enrutamiento para la VPN de sitio a sitio
Cuando configura la VPN de sitio a sitio, esta tiene dos túneles de IPSec redundantes. Oracle le recomienda configurar el dispositivo CPE para utilizar ambos túneles (si el dispositivo lo admite). Tenga en cuenta que en el pasado Oracle creó conexiones de IPSec que tenían hasta cuatro túneles de IPSec.
Los tres tipos siguientes de enrutamiento están disponibles y puede seleccionar el tipo de enrutamiento por separado para cada túnel IPSec de la VPN de sitio a sitio:
- Enrutamiento dinámico de BGP: las rutas disponibles se aprenden de forma dinámica mediante BGP. DRG aprende de forma dinámica las rutas de su red local. En el lado de Oracle, DRG anuncia las subredes de la VCN.
- Enrutamiento estático: al configurar la conexión de IPSec con DRG, debe especificar las rutas específicas a la red local de la que desea que se conozca la VCN. También debe configurar su dispositivo CPE con rutas estáticas a las subredes de la VCN. Estas rutas no se aprenden dinámicamente.
- Enrutamiento basado en política: al configurar la conexión IPSec al DRG, debe especificar las rutas específicas a la red local que desea que conozca la VCN. También debe configurar su dispositivo CPE con rutas estáticas a las subredes de la VCN. Estas rutas no se aprenden dinámicamente.
Detalles de enrutamiento importantes para la VPN de sitio a sitio
A continuación se incluyen detalles importantes para entender el enrutamiento de su VPN de sitio a sitio:
-
Opciones de enrutamiento:
- Originalmente, la VPN de sitio a sitio solo soportaba el enrutamiento estático y se le solicitaba que proporcionara al menos una ruta estática para la conexión de IPSec general.
- Ahora hay dos tipos de enrutamiento diferentes disponibles (enrutamiento BGP y estático) y puede configurar el tipo de enrutamiento por túnel. Solo se admite un tipo de enrutamiento a la vez para un túnel determinado.
- En general, Oracle le recomienda utilizar el mismo tipo de direccionamiento para todos los túneles de su conexión IPSec. Excepción: si está en proceso de transición entre el enrutamiento estático y BGP, es posible que un túnel utilice temporalmente un enrutamiento estático mientras que el otro ya se ha cambiado a BGP.
- Al crear una conexión IPSec, el enrutamiento estático es el tipo de enrutamiento predeterminado para todos los túneles, a menos que configure explícitamente cada túnel para utilizar BGP.
-
Información de enrutamiento necesaria:
- Si elige BGP, para cada túnel debe proporcionar dos direcciones IP (una para cada uno de los dos altavoces BGP de la sesión BGP del túnel). Las direcciones deben estar en el dominio de cifrado de la conexión IPSec. También debe proporcionar el número de sistema autónomo de BGP (ASN de BGP) de su red.
- Si selecciona el enrutamiento estático, debe proporcionar al menos una ruta estática (10 como máximo). Las rutas estáticas se configuran con la conexión general IPSec, de modo que se utilice el mismo conjunto de rutas estáticas para todos los túneles de la conexión IPSec que se configuran para usar enrutamiento estático. Puede cambiar las rutas estáticas en cualquier momento después de crear la conexión IPSec. Si está realizando una acción PAT entre su dispositivo CPE y VCN, la ruta estática de la conexión IPSec es la dirección IP de PAT. Consulte Ejemplo de diseño con PAT.
- Si elige enrutamiento estático, opcionalmente puede proporcionar una dirección IP para cada extremo del túnel a efectos de la solución de problemas o la supervisión del túnel.
- Si el túnel está configurado para utilizar BGP, se ignoran las rutas estáticas de la conexión IPSec. Cualquier ruta estática asociada con la conexión IPSec se utiliza para enrutar el tráfico de un túnel determinado solo si ese túnel está configurado para utilizar un enrutamiento estático. Esto es especialmente relevante si tiene una VPN de sitio a sitio que utiliza el enrutamiento estático pero desea cambiar para utilizar BGP.
-
Cambio del enrutamiento:
- Si desea cambiar un túnel de BGP a un enrutamiento estático, primero debe asegurarse de que la conexión IPSec tiene al menos una ruta estática asociada.
- Puede cambiar el tipo de enrutamiento de un túnel existente en cualquier momento (a menos que Oracle esté provisionando el túnel). Mientras cambia el enrutamiento, el túnel permanece activo (su estado de IPSec no cambia). Sin embargo, el tráfico que fluye por el túnel se interrumpe temporalmente durante el nuevo aprovisionamiento y la reconfiguración del dispositivo del equipo local del cliente (CPE). Para obtener información sobre cómo realizar cambios en la VPN de sitio a sitio, consulte Trabajar con VPN de sitio a sitio.
- Como configura el tipo de enrutamiento de forma independiente para cada túnel, si desea cambiar la VPN de sitio a sitio de un enrutamiento estático a BGP, puede hacerlo en un túnel cada vez. Esto evita que toda la conexión IPSec esté caída. Para obtener instrucciones, consulte Cambio del enrutamiento estático al enrutamiento dinámico de BGP.
Métodos de ruta y preferencias de ruta cuando tiene varias conexiones
Si utiliza BGP, el DRG asociado a su VCN anuncia rutas a su CPE.
Si configura varias conexiones entre su red local y VCN, debe comprender qué rutas anuncia DRG y cómo definir las preferencias de ruta para utilizar la conexión deseada.
Para obtener información importante, consulte Detalles de enrutamiento para conexiones a la red local.
Preferencia de un túnel específico en la VPN de sitio a sitio
En la VPN de sitio a sitio, puede influir en qué túnel tiene preferencia. A continuación se muestran los elementos que puede configurar:
- Su preferencia local de BGP de CPE: si utiliza BGP, puede configurar el atributo de preferencia local de BGP en su dispositivo CPE para controlar qué túnel se prefiere para conexiones iniciadas desde su red local a su VCN. Como Oracle en general utiliza el enrutamiento asimétrico, debe configurar otros atributos si desea que Oracle responda en el mismo túnel. Consulte los dos elementos siguientes.
- Rutas más específicas en el túnel preferido: puede configurar su CPE para anunciar rutas más específicas para el túnel que desea como preferido. Oracle utiliza la ruta con la coincidencia de prefijo más larga al responder o iniciar conexiones.
- Ruta de acceso de AS antepuesta: BGP prefiere la ruta de acceso de AS más corta, de modo que, si utiliza BGP, puede utilizar la ruta de acceso de AS antepuesta para controlar qué túnel tiene la ruta de acceso más corta para una ruta determinada. Oracle utiliza la ruta de acceso de AS más corta al responder o iniciar conexiones.
Visión general de los componentes de la VPN de sitio a sitio
Si aún no se ha familiarizado con los componentes básicos del servicio Networking, consulte Networking antes de continuar.
Al configurar una VPN de sitio a sitio para su VCN, debe crear varios componentes de Networking. Puede crear los componentes con la consola o la API. Consulte el siguiente diagrama y la descripción de los componentes.
CIDR de destino | Destino de ruta |
---|---|
0.0.0.0/0 | DRG |
- objeto CPE
- En su extremo de la VPN de sitio a sitio se encuentra el dispositivo real de su red local (ya sea de hardware o de software). El término equipo local de cliente (CPE) se suele utilizar en algunos sectores para hacer referencia a este tipo de equipo local. Al configurar la VPN, debe crear una representación virtual del dispositivo. Oracle llama a la representación virtual un CPE, pero esta documentación suele utilizar el término objeto CPE para ayudar a distinguir la representación virtual del dispositivo CPE real. El objeto CPE contiene información básica sobre el dispositivo que necesita Oracle. Una única IP pública de objeto CPE puede tener hasta 8 conexiones IPSec.
- Gateway de enrutamiento dinámico (DRG)
- En el extremo de la VPN de sitio a sitio de Oracle hay un enrutador virtual denominado gateway de enrutamiento dinámico, que es el gateway a su VCN desde la red local. Tanto si utiliza los circuitos virtuales privados de la VPN de sitio a sitio o de Oracle Cloud Infrastructure FastConnect para conectar su red local y la VCN, el tráfico pasa por el DRG. Para obtener más información, consulte Gateways de enrutamiento dinámico.
- conexión IPSec
- Después de crear el objeto CPE y el DRG, puede conectarlos creando una conexión IPSec, que puede considerar como un objeto principal que representa la VPN de sitio a sitio. La conexión IPSec tiene su propio OCID. Al crear este componente, configura el tipo de enrutamiento que se va a utilizar para cada túnel IPSec y proporciona información de enrutamiento relacionada. Una única IP pública de objeto CPE puede tener hasta 8 conexiones IPSec.
- TÚNEL
- Un túnel de IPSec se utiliza para cifrar tráfico entre puntos finales de IPSec seguros. Oracle crea dos túneles en cada conexión de IPSec para la redundancia. Cada túnel tiene su propio OCID. Oracle recomienda configurar el dispositivo CPE para admitir ambos túneles en caso de que falle uno u Oracle ponga uno fuera de línea para realizar tareas de mantenimiento. Cada túnel tiene información de configuración que necesita su ingeniero de red al configurar el dispositivo CPE. Esta información incluye una dirección IP y un secreto compartido, así como los parámetros ISAKMP e IPSec. Puede utilizar el asistente de configuración de CPE para recopilar la información que necesita el ingeniero de redes. Para obtener más información, consulte Parámetros de IPSec admitidos y Dispositivos CPE verificados.
Control de acceso para los componentes
Para el control de acceso, cuando configure la VPN de sitio a sitio, debe especificar el compartimento en el que desea que resida cada uno de los componentes. Si no está seguro del compartimiento que desea utilizar, coloque todos los componentes en el mismo compartimiento que la VCN. Tenga en cuenta que los túneles de IPSec siempre residen en el mismo compartimiento que la conexión principal de IPSec. Para obtener información sobre compartimientos y restricción del acceso a los componentes de red, consulte Control de acceso.
Nombres e identificadores de los componentes
También puede asignar un nombre descriptivo a cada uno de los componentes cuando los cree. Estos nombres no tienen que ser únicos, aunque se recomienda utilizar nombres únicos durante su arrendamiento. Evite introducir información confidencial. Oracle asigna automáticamente un OCID a cada componente. Para obtener más información, consulte Identificadores de recursos.
Si su CPE está detrás de un dispositivo NAT
En general, el identificador IKE de CPE configurado al final de la conexión debe coincidir con el identificador IKE de CPE que utiliza Oracle. De forma predeterminada, Oracle utiliza la dirección IP pública de CPE, que se proporciona al crear el objeto CPE en la consola de Oracle. Sin embargo, si su CPE está detrás de un dispositivo NAT, el identificador IKE de CPE configurado en su extremo puede ser la dirección IP privada del CPE, como se muestra en el diagrama siguiente.
Algunas plataformas de CPE no permiten cambiar el identificador de IKE local. Si no puede, debe cambiar el ID de IKE remoto en la consola de Oracle para que coincida con el ID de IKE local de su CPE. Puede proporcionar el valor al configurar la conexión de IPSec o más tarde, editando la conexión de IPSec. Oracle espera que el valor sea una dirección IP o un nombre de dominio completo (FQDN), como cpe.example.com. Para obtener instrucciones, consulte Cambio del identificador IKE de CPE que Oracle utiliza.
Recursos para la configuración del CPE
El ingeniero de redes debe configurar el CPE en su extremo de la conexión de IPSec. Para facilitar la tarea, Oracle proporciona los siguientes recursos:
- Asistente de configuración de CPE: una herramienta de la consola de Oracle que genera un conjunto de contenido que el ingeniero de redes puede utilizar cuando configura el CPE.
- Una lista de dispositivos CPE verificados: para cada dispositivo, Oracle proporciona instrucciones de configuración.
- Una lista de parámetros de IPSec admitidos: si su CPE no está en la lista de dispositivos verificados, puede utilizar esta lista de parámetros para configurar el CPE.
Para obtener más información, consulte también Configuración de CPE.
Supervisión de la conexión
Puede supervisar el estado, la capacidad y el rendimiento de los recursos de Oracle Cloud Infrastructure mediante métricas, alarmas y notificaciones. Para obtener más información, consulte Supervisión y Notificaciones.
Para obtener más información sobre la supervisión de su conexión, consulte Métricas de VPN de sitio a sitio.
¿Siguiente paso?
Consulte estos temas relacionados:
- Asistente de VPN de sitio a sitio
- Configuración de VPN de sitio a sitio
- Parámetros de IPSec admitidos
- Configuración de CPE
- Dispositivos CPE verificados
- Uso del asistente de configuración de CPE
- Detalles de enrutamiento para conexiones a la red local
- Trabajar con VPN de sitio a sitio
- Preguntas frecuentes sobre VPN de sitio a sitio
- Uso de la API para VPN de sitio a sitio