La procédure de cet article vous montre comment configurer une connexion VPN redondante entre le Cato Cloud et l'Oracle Cloud en utilisant un BGP.
Pour configurer une connexion IKEv1 BGP avec Oracle Cloud (OCI) :
-
Depuis l'application de gestion Cato, sélectionnez Réseau > Allocation IP et assurez-vous que votre compte dispose de deux adresses IP appropriées à l'emplacement de votre réseau virtuel OCI.
Pour plus d'informations, consultez Allocation d'adresses IP pour le compte.
-
Sur la page Réseau > Sites, cliquez sur Nouveau pour créer un nouveau site pour l'OCI.
Assurez-vous que le Plage Natif est le même que celui de la portée du VCN Oracle Cloud.
-
Depuis le portail OCI, créez votre VCN s'il n'existe pas encore.
-
Depuis le panneau de navigation, sélectionnez Réseaux Cloud Virtuels, et cliquez sur Créer un Réseau Cloud Virtuel.
-
Donnez à votre VCN un nom, une portée et cliquez sur Créer un Réseau Cloud Virtuel.
-
Créez deux objets d'Équipement Locaux Client, un pour chaque adresse IP PoP CATO que vous avez attribuée à l'étape 1.
-
Créez le premier objet d'Équipement Local Client et configurez-le avec l'adresse IP pour le premier PoP.
-
Créez le deuxième objet d'Équipement Local Client et configurez-le avec l'adresse IP pour le second PoP.
Il y a maintenant deux objets d'Équipement Locaux Client dans votre VCN.
-
-
Depuis le panneau de navigation à gauche, sélectionnez Porte d'Accès de Routage Dynamique et cliquez sur Créer une Porte d'Accès de Routage Dynamique.
-
Entrez le Nom et cliquez sur Créer une Porte d'Accès de Routage Dynamique.
-
Depuis le panneau de navigation à gauche, sélectionnez Connexions IPSec, et cliquez sur Créer une Connexion IPSec.
Vous devez créer deux Connexions IPSec.
-
Créez une connexion IPSec en utilisant le premier objet d'Équipement Local Client de PoP.
Assurez-vous d'entrer un Static Route CIDR près du bas de la fenêtre. Cela peut correspondre au réseau VPN Mobile de CATO (10.41.0.0/16) pour garder les choses simples et uniformes.
Remarque
Remarque : Avant de cliquer sur Créer une Connexion IPSec, cliquez sur le lien hypertexte Afficher les options avancées en bas de la fenêtre.
-
Depuis l'onglet Options avancées > Tunnel 1, configurez ces paramètres :
-
Entrez votre propre Secret Partagé Personnalisé [limite de 32 caractères].
-
Depuis Type de Routage, cliquez sur l'option Routage Dynamique BGP.
-
Dans BGP ASN, entrez le ASN par défaut de CATO de 64515.
-
Définissez une adresse IP de l'interface de tunnel interne CATO (CPE) et une adresse IP de l'interface de tunnel interne Oracle.
-
Cliquez sur Créer une Connexion IPSec.
-
-
Répétez les deux étapes précédentes pour créer la deuxième connexion IPSec.
Assurez-vous d'utiliser le deuxième objet d'Équipement Local Client de PoP.
Vos deux connexions IPSec sont dans un état de Cycle de Vie de Approvisionnement et peuvent prendre jusqu'à 15 minutes avant d'être Disponibles.
-
-
Enregistrez les adresses IP de pair IPSec Oracle Cloud pour chacune des connexions IPSec que vous avez créées. Vous pouvez trouver ces adresses IP lorsque vous cliquez sur le nom de la connexion IPSec pour afficher ses détails.
Ignorez le nom de tunnel étiqueté de manière générique dans l'écran de détails et seule l'adresse IP VPN du tunnel que vous avez spécifiquement configuré et étiqueté est nécessaire.
-
Depuis l'application de gestion Cato, depuis le panneau de navigation cliquez sur Réseau > Sites et sélectionnez le site pour le VCN Oracle.
-
Depuis le panneau de navigation, sélectionnez IPsec et développez les sections Général et Principal.
-
Définissez le Type de Service sur Générique, et assurez-vous que les adresses IP de pair CATO PoP correspondent aux adresses IP de pair Oracle Cloud respectives.
-
Assurez-vous que les adresses IP à l'intérieur du tunnel IPsec Cato sont les mêmes que les adresses IP de pair Oracle Cloud respectives. Dans IPs Privées :
-
L'adresse IP dans Cato est la même que l'adresse IP dans CPE dans l'Oracle Cloud
-
L'adresse IP dans Site est la même que l'adresse IP dans Oracle dans l'Oracle Cloud
-
-
Configurez les paramètres Principal et Secondaire PSK pour correspondre avec le Secret Partagé de l'Oracle Cloud.
-
Configurez vos Paramètres de Phase 1 IKEv1 et Phase 2 pour correspondre avec les paramètres dans l'Oracle Cloud.
En général, vous n'avez pas besoin de modifier les paramètres par défaut de Cato.
-
Cliquez sur Sauvegarder.
-
-
Dans l'application de gestion Cato, sélectionnez Configuration du Site > BGP.
-
Spécifiez deux Voisins BGP. L'ASN par défaut de CATO est déjà configuré comme 64515. Cette configuration correspond à ce que vous avez configuré dans les Options avancées dans la configuration du Tunnel IPSec Oracle.
-
Configurez l'ASN Oracle (le voisin) à 31898, et spécifiez l'adresse IP de l'interface interne Oracle comme voisin. Cette adresse IP correspond à ce que vous avez défini dans la section des paramètres IPSec à l'étape 11 ci-dessus.
Remarque
Remarque : Assurez-vous d'établir une valeur de Métrique plus élevée pour le voisin BGP pour le PoP le plus éloigné de votre Région Oracle. Dans l'exemple ci-dessous, une métrique de 101 est appliquée au voisin BGP associé au PoP Cato de New York.
-
-
Enregistrez les paramètres dans l'application de gestion Cato.
-
Dans le portail Oracle Cloud, attendez que vos connexions IPSec soient disponibles.
-
Vous pouvez valider le statut du tunnel et du BGP à la fois dans Oracle Cloud et dans l'application de gestion Cato.
-
Validation du Oracle Cloud :
-
Avant de mettre à jour les routes dans Oracle Cloud, assurez-vous d'abord que votre Gateway de routage dynamique est attachée à votre réseau cloud virtuel Oracle. Cliquez sur Gateways de routage dynamique et sélectionnez votre DRG.
-
Dans le volet de navigation, cliquez sur Réseaux cloud virtuels.
-
Confirmez que votre DRG est attaché à votre VCN. Si ce n'est pas le cas, attachez-le maintenant.
-
Mettez à jour votre table de routage pour envoyer le trafic approprié via la connexion IPSec.
Les captures d'écran suivantes montrent comment définir la route par défaut sur la connexion IPSec d'Oracle à Cato.
-
0 commentaire
Vous devez vous connecter pour laisser un commentaire.