Избыточное VPN-соединение с Oracle Cloud, используя BGP

Чтобы настроить соединение IKEv1 BGP с Oracle Cloud (OCI):

1. В Приложении Управления Cato выберите Сеть > Распределение IP-адресов и убедитесь, что вашему аккаунту назначены два IP-адреса, которые соответствуют местоположению вашей виртуальной сети OCI.

   Для получения дополнительной информации см. Распределение IP-адресов для аккаунта.

2. На странице Сеть > Сайты нажмите Добавить, чтобы создать новый сайт для OCI.

   Убедитесь, что Собственный диапазон совпадает с диапазоном VCN Oracle Cloud.

3. В портале OCI создайте ваш VCN, если он еще не существует.

   

4. В панели навигации выберите Виртуальные облачные сети, затем нажмите Создать виртуальную облачную сеть.

   

5. Дайте вашей VCN имя, диапазон и нажмите Создать виртуальную облачную сеть.

   

6. Создайте два объекта оборудования на территории заказчика, по одному для каждого из назначенных в Шаге 1 IP-адресов CATO PoP.

   

   1. Создайте первый объект оборудования на территории заказчика и настройте его с использованием IP-адреса для первого PoP.

      

   2. Создайте второй объект оборудования на территории заказчика и настройте его с использованием IP-адреса для второго PoP.

      

      Теперь в вашей VCN есть два объекта оборудования на территории заказчика.

      

7. В левой панели навигации выберите Шлюзы динамической маршрутизации и нажмите Создать шлюз динамической маршрутизации.

   

8. Введите Имя и нажмите Создать шлюз динамической маршрутизации.

   

9. В левой панели навигации выберите Соединения IPsec, затем нажмите Создать соединение IPsec.

   Вам нужно создать два соединения IPsec.

   

   1. Создайте соединение IPsec, используя первый объект оборудования на территории заказчика для PoP.

      Обязательно введите Static Route CIDR в нижней части окна. Это может соответствовать сети VPN Cato для мобильных (10.41.0.0/16), чтобы упростить и унифицировать процесс.

      Примечание

      Примечание: Прежде чем нажать Создать соединение IPsec, нажмите гиперссылку Показать расширенные настройки в нижней части окна.

      

   2. На вкладке Расширенные > Туннель 1 настройте следующие параметры:

      1. Введите свой собственный Пользовательский секрет [лимит 32 символа].

      2. В Тип маршрутизации выберите опцию Динамическая маршрутизация BGP.

      3. В BGP ASN введите стандартный Cato ASN 64515.

      4. Установите IP-адрес интерфейса туннеля внутри Cato (CPE) и IP-адрес интерфейса туннеля внутри Oracle.

      5. Нажмите Создать соединение IPSec.

         

   3. Повторите два предыдущих шага, чтобы создать второе соединение IPSec.

      Убедитесь, что вы используете второй объект оборудования PoP на стороне клиента.

      
      

      Ваши два соединения IPSec находятся в состоянии жизненного цикла Предоставление и могут занять до 15 минут, прежде чем они станут Доступно.

      

10. Сохраните IP-адреса Oracle Cloud для каждого из созданных вами Соединений IPsec. Вы можете найти эти IP-адреса, когда нажмете на название соединения IPSec для отображения его сводок.

    Игнорируйте название туннеля с общим ярлыком на экране сводок, и вам нужен только IP-адрес VPN туннеля, который вы специально настроили и обозначили.

    

11. В Приложении Управления Cato, на панели навигации нажмите Сетевой интерфейс > Площадки и выберите сайт для VCN Oracle.

    1. На панели навигации выберите IPsec и разверните разделы Общие и Основной.

    2. Установите Тип службы на Общий тип, и убедитесь, что IP-адреса пиров CATO PoP совпадают с соответствующими IP-адресами пиров Oracle Cloud.

       

    3. Убедитесь, что IP-адреса внутри туннеля Cato IPsec совпадают с соответствующими IP-адресами пиров Oracle Cloud. В Частные IP-адреса:

       • IP-адрес в Cato такой же, как IP-адрес в CPE в Oracle Cloud

       • IP-адрес в Объект такой же, как IP-адрес в Oracle в Oracle Cloud

    4. Установите параметры Основной и Вторичный ключ PSK для соответствия Shared Secret Oracle Cloud.

    5. Установите параметры Фаза 1 IKEv1 и Фаза 2 для соответствия настройкам в Oracle Cloud.

       В общем случае, вам не нужно изменять настройки по умолчанию Cato.

    6. Нажмите Сохранить.

12. В Приложении Управления Cato выберите Настройки Сайта > BGP.

    1. Укажите два BGP соседа. Стандартный ASN CATO уже установлен как 64515. Эта настройка соответствует тому, что вы настроили в Расширенные опционы конфигурации туннеля IPSec Oracle.

    2. Установите Oracle ASN (сосед) на 31898, и укажите внутренний IP-адрес интерфейса Oracle как соседа. Этот IP-адрес соответствует тому, который вы определили в разделе настроек IPSec на шаге 11 выше.

    Примечание

    Примечание: Убедитесь, что вы установили более высокое значение метрики на BGP соседа для PoP, более удаленного от вашего региона Oracle. В приведенном ниже примере метрика 101 применяется к BGP соседу, связанному с PoP Cato в Нью-Йорке.

13. Сохраните настройки в Приложении Управления Cato.

14. На портале Oracle Cloud дождитесь, пока ваши соединения IPSec станут Доступно.

    

15. Вы можете проверить состояние туннеля и BGP как в Oracle Cloud, так и в Приложении Управления Cato.

    1. Проверка Oracle Cloud:

       
       

    2. Прежде чем обновлять маршруты в Oracle Cloud, сперва убедитесь, что ваш Динамический маршрутизатор присоединен к вашей Oracle виртуальной облачной сети. Нажмите Шлюзы динамической маршрутизации и выберите ваш DRG.

       

    3. В области навигации нажмите Виртуальные облачные сети.

       

    4. Подтвердите, что ваш DRG подключен к вашему VCN. Если нет, подключите его сейчас.

       

    5. Обновите Таблицу маршрутизации, чтобы отправить соответствующий трафик через соединение IPSec.

       Следующие скриншоты показывают, как установить маршрут по умолчанию по соединению IPSec от Oracle к Cato.