Connexion VPN redondante à Oracle Cloud en utilisant BGP

Connexion VPN redondante à Oracle Cloud en utilisant BGP

La procédure de cet article vous montre comment configurer une connexion VPN redondante entre le Cato Cloud et l'Oracle Cloud en utilisant un BGP.

Pour configurer une connexion IKEv1 BGP avec Oracle Cloud (OCI) :

  1. Depuis l'application de gestion Cato, sélectionnez Réseau > Allocation IP et assurez-vous que votre compte dispose de deux adresses IP appropriées à l'emplacement de votre réseau virtuel OCI.

    Pour plus d'informations, consultez Allocation d'adresses IP pour le compte.

  2. Sur la page Réseau > Sites, cliquez sur Nouveau pour créer un nouveau site pour l'OCI.

    Assurez-vous que le Plage Natif est le même que celui de la portée du VCN Oracle Cloud.

  3. Depuis le portail OCI, créez votre VCN s'il n'existe pas encore.

    Une capture d'écran d'un téléphone portable Description générée automatiquement
  4. Depuis le panneau de navigation, sélectionnez Réseaux Cloud Virtuels, et cliquez sur Créer un Réseau Cloud Virtuel.

    Une capture d'écran d'un téléphone portable Description générée automatiquement
  5. Donnez à votre VCN un nom, une portée et cliquez sur Créer un Réseau Cloud Virtuel.

    Une capture d'écran d'un téléphone portable Description générée automatiquement
  6. Créez deux objets d'Équipement Locaux Client, un pour chaque adresse IP PoP CATO que vous avez attribuée à l'étape 1.

    Une capture d'écran d'un téléphone portable Description générée automatiquement
    1. Créez le premier objet d'Équipement Local Client et configurez-le avec l'adresse IP pour le premier PoP.

      Une capture d'écran d'un téléphone portable Description générée automatiquement
    2. Créez le deuxième objet d'Équipement Local Client et configurez-le avec l'adresse IP pour le second PoP.

      Une capture d'écran d'un téléphone portable Description générée automatiquement

      Il y a maintenant deux objets d'Équipement Locaux Client dans votre VCN.

      Une capture d'écran d'un téléphone portable Description générée automatiquement
  7. Depuis le panneau de navigation à gauche, sélectionnez Porte d'Accès de Routage Dynamique et cliquez sur Créer une Porte d'Accès de Routage Dynamique.

    Une capture d'écran d'un téléphone portable Description générée automatiquement
  8. Entrez le Nom et cliquez sur Créer une Porte d'Accès de Routage Dynamique.

    Une capture d'écran d'un téléphone portable Description générée automatiquement
  9. Depuis le panneau de navigation à gauche, sélectionnez Connexions IPSec, et cliquez sur Créer une Connexion IPSec.

    Vous devez créer deux Connexions IPSec.

    Une capture d'écran d'un téléphone portable Description générée automatiquement
    1. Créez une connexion IPSec en utilisant le premier objet d'Équipement Local Client de PoP.

      Assurez-vous d'entrer un Static Route CIDR près du bas de la fenêtre. Cela peut correspondre au réseau VPN Mobile de CATO (10.41.0.0/16) pour garder les choses simples et uniformes.

      Remarque

      Remarque : Avant de cliquer sur Créer une Connexion IPSec, cliquez sur le lien hypertexte Afficher les options avancées en bas de la fenêtre.

      Une capture d'écran d'un téléphone portable Description générée automatiquement
    2. Depuis l'onglet Options avancées > Tunnel 1, configurez ces paramètres :

      1. Entrez votre propre Secret Partagé Personnalisé [limite de 32 caractères].

      2. Depuis Type de Routage, cliquez sur l'option Routage Dynamique BGP.

      3. Dans BGP ASN, entrez le ASN par défaut de CATO de 64515.

      4. Définissez une adresse IP de l'interface de tunnel interne CATO (CPE) et une adresse IP de l'interface de tunnel interne Oracle.

      5. Cliquez sur Créer une Connexion IPSec.

        Une capture d'écran d'un téléphone portable Description générée automatiquement
    3. Répétez les deux étapes précédentes pour créer la deuxième connexion IPSec.

      Assurez-vous d'utiliser le deuxième objet d'Équipement Local Client de PoP.

      Une capture d'écran d'un téléphone portable Description générée automatiquement
      Une capture d'écran d'un téléphone portable Description générée automatiquement

      Vos deux connexions IPSec sont dans un état de Cycle de Vie de Approvisionnement et peuvent prendre jusqu'à 15 minutes avant d'être Disponibles.

      Une capture d'écran d'un téléphone portable Description générée automatiquement
  10. Enregistrez les adresses IP de pair IPSec Oracle Cloud pour chacune des connexions IPSec que vous avez créées. Vous pouvez trouver ces adresses IP lorsque vous cliquez sur le nom de la connexion IPSec pour afficher ses détails.

    Ignorez le nom de tunnel étiqueté de manière générique dans l'écran de détails et seule l'adresse IP VPN du tunnel que vous avez spécifiquement configuré et étiqueté est nécessaire.

    Une capture d'écran d'un téléphone portable Description générée automatiquement
  11. Depuis l'application de gestion Cato, depuis le panneau de navigation cliquez sur Réseau > Sites et sélectionnez le site pour le VCN Oracle.

    1. Depuis le panneau de navigation, sélectionnez IPsec et développez les sections Général et Principal.

    2. Définissez le Type de Service sur Générique, et assurez-vous que les adresses IP de pair CATO PoP correspondent aux adresses IP de pair Oracle Cloud respectives.

      oracle_ikev1
    3. Assurez-vous que les adresses IP à l'intérieur du tunnel IPsec Cato sont les mêmes que les adresses IP de pair Oracle Cloud respectives. Dans IPs Privées :

      • L'adresse IP dans Cato est la même que l'adresse IP dans CPE dans l'Oracle Cloud

      • L'adresse IP dans Site est la même que l'adresse IP dans Oracle dans l'Oracle Cloud

    4. Configurez les paramètres Principal et Secondaire PSK pour correspondre avec le Secret Partagé de l'Oracle Cloud.

    5. Configurez vos Paramètres de Phase 1 IKEv1 et Phase 2 pour correspondre avec les paramètres dans l'Oracle Cloud.

      En général, vous n'avez pas besoin de modifier les paramètres par défaut de Cato.

    6. Cliquez sur Sauvegarder.

  12. Dans l'application de gestion Cato, sélectionnez Configuration du Site > BGP.

    1. Spécifiez deux Voisins BGP. L'ASN par défaut de CATO est déjà configuré comme 64515. Cette configuration correspond à ce que vous avez configuré dans les Options avancées dans la configuration du Tunnel IPSec Oracle.

    2. Configurez l'ASN Oracle (le voisin) à 31898, et spécifiez l'adresse IP de l'interface interne Oracle comme voisin. Cette adresse IP correspond à ce que vous avez défini dans la section des paramètres IPSec à l'étape 11 ci-dessus.

    Remarque

    Remarque : Assurez-vous d'établir une valeur de Métrique plus élevée pour le voisin BGP pour le PoP le plus éloigné de votre Région Oracle. Dans l'exemple ci-dessous, une métrique de 101 est appliquée au voisin BGP associé au PoP Cato de New York.

  13. Enregistrez les paramètres dans l'application de gestion Cato.

  14. Dans le portail Oracle Cloud, attendez que vos connexions IPSec soient disponibles.

    Une capture d'écran d'un téléphone Description générée automatiquement
  15. Vous pouvez valider le statut du tunnel et du BGP à la fois dans Oracle Cloud et dans l'application de gestion Cato.

    1. Validation du Oracle Cloud :

      Une capture d'écran d'un téléphone Description générée automatiquement
      Une capture d'écran d'un téléphone Description générée automatiquement
    2. Avant de mettre à jour les routes dans Oracle Cloud, assurez-vous d'abord que votre Gateway de routage dynamique est attachée à votre réseau cloud virtuel Oracle. Cliquez sur Gateways de routage dynamique et sélectionnez votre DRG.

      Une capture d'écran d'un téléphone Description générée automatiquement
    3. Dans le volet de navigation, cliquez sur Réseaux cloud virtuels.

      Une capture d'écran d'un téléphone Description générée automatiquement
    4. Confirmez que votre DRG est attaché à votre VCN. Si ce n'est pas le cas, attachez-le maintenant.

      Une capture d'écran d'un téléphone Description générée automatiquement
    5. Mettez à jour votre table de routage pour envoyer le trafic approprié via la connexion IPSec.

      Les captures d'écran suivantes montrent comment définir la route par défaut sur la connexion IPSec d'Oracle à Cato.

      Une capture d'écran d'un téléphone Description générée automatiquement
      Une capture d'écran d'un téléphone Description générée automatiquement
      Une capture d'écran d'un téléphone Description générée automatiquement
      Une capture d'écran d'un téléphone Description générée automatiquement

Cet article vous a-t-il été utile ?

Utilisateurs qui ont trouvé cela utile : 0 sur 0

0 commentaire