使用BGP连接Oracle Cloud的冗余VPN

使用BGP连接Oracle Cloud的冗余VPN

本文中的过程向您展示如何使用BGP在Cato Cloud和Oracle Cloud之间设置冗余VPN连接。

要设置与Oracle Cloud (OCI)的IKEv1 BGP连接:

  1. 从Cato管理应用程序中选择网络 > IP 分配,确保您的账户分配有两个IP地址,这些地址适合于OCI虚拟网络的位置。

    有关详情信息,请参阅账户分配IP 地址

  2. 网络 > 站点页面中,点击新建为OCI创建一个新站点。

    确保原生范围与Oracle Cloud VCN的范围相同。

  3. 从OCI门户创建VCN,如果它还不存在。

    自动生成的手机截图描述
  4. 从导航窗格中选择虚拟云网络,然后点击创建虚拟云网络

    自动生成的手机截图描述
  5. 为您的VCN指定一个名称、一个范围,并点击创建虚拟云网络

    自动生成的手机截图描述
  6. 创建两个客户驻地设备对象,每个为您在步骤1中分配的两个CATO PoP IP地址各设置一个。

    自动生成的手机截图描述
    1. 创建第一个客户驻地设备对象,并使用第一个PoP的IP地址配置它。

      自动生成的手机截图描述
    2. 创建第二个客户驻地设备对象,并使用第二个PoP的IP地址配置它。

      自动生成的手机截图描述

      您的VCN中现在有两个客户驻地设备对象。

      自动生成的手机截图描述
  7. 从左侧导航窗格中选择动态路由网关并点击创建动态路由网关

    自动生成的手机截图描述
  8. 输入名称并点击创建动态路由网关

    自动生成的手机截图描述
  9. 从左侧导航窗格中选择IPsec连接,并点击创建IPSec连接

    您需要创建两个IPSec连接。

    自动生成的手机截图描述
    1. 使用第一个PoP客户驻地设备对象创建一个IPSec连接。

      务必在窗口底部输入Static Toute CIDR。 这可以匹配CATO移动设备VPN网络(10.41.0.0/16),以保持简单和统一。

      注意

      注意: 在点击创建IPSec连接之前,点击窗口底部的显示高级选项超链接。

      自动生成的手机截图描述
    2. 高级选项 > 隧道 1标签页中,配置这些设置:

      1. 输入您自己的自定义共享密钥[限制32个字符]。

      2. 路由类型中,点击BGP动态路由选项。

      3. BGP ASN中,输入默认的Cato ASN:64515

      4. 设置Cato内部隧道接口(CPE)IP地址和Oracle内部隧道接口IP地址。

      5. 点击创建IPSec连接

        自动生成的手机截图描述
    3. 重复上面两个步骤以创建第二个IPSec连接。

      务必使用第二个PoP客户驻地设备对象。

      自动生成的手机截图描述
      自动生成的手机截图描述

      您的两个IPSec连接处于配置中生命周期状态,可能需要长达15分钟才能可用

      自动生成的手机截图描述
  10. 保存您创建的每个IPSec连接的Oracle Cloud IPSec对等IP地址。 您可以在点击IPSec连接名称以显示其详细信息时找到这些IP地址。

    在详细信息屏幕中忽略一般标记的隧道名称,您需要的只是您专门配置并标记的隧道VPN IP地址。

    自动生成的手机截图描述
  11. 从Cato管理应用程序中,导航窗格中点击网络 > 站点并选择Oracle VCN的站点。

    1. 从导航窗格中选择IPsec并展开常规主要部分。

    2. 服务类型设置为通用,并确保CATO PoP对等IP地址匹配相应的Oracle Cloud对等IP地址。

      oracle_ikev1
    3. 确保Cato IPsec隧道内的IP地址与相应的Oracle Cloud对等IP地址相同。 在私有IP:

      • Cato中的IP地址与在CPE中的IP地址在Oracle Cloud中相同

      • 站点中的IP地址与在Oracle中的IP地址在Oracle Cloud中相同

    4. 主要次要PSK设置为匹配Oracle Cloud的共享密钥

    5. 将您的IKEv1 阶段1和阶段 2 参数设置为匹配 Oracle Cloud 中的设置。

      一般来说,您不需要更改默认Cato设置。

    6. 点击保存

  12. 在Cato管理应用程序中,选择站点配置> BGP

    1. 指定两个BGP邻居。 CATO 的默认 ASN 已经设置为 64515。 此设置与您在Oracle IPSec隧道配置的高级选项中配置的匹配。

    2. 将 Oracle ASN(邻居)设置为31898,并指定 Oracle 内部接口 IP 地址为邻居。 此IP地址与您在上面步骤11中IPSec设置部分中定义的一致。

    注意

    注意:确保在远离您Oracle地区的PoP上的BGP邻居设置更高的度量值。 在下面的示例中,度量101应用于与Cato纽约PoP关联的BGP邻居。

  13. 在Cato管理应用程序中保存设置。

  14. 在Oracle Cloud门户中,等待您的IPSec连接可用

    自动生成的手机截屏描述
  15. 您可以在Oracle Cloud和CATO管理应用程序中验证隧道和BGP的状态。

    1. 验证Oracle Cloud:

      自动生成的手机截屏描述
      自动生成的手机截屏描述
    2. 在更新Oracle Cloud中的路由之前,请先确保您的动态路由网关已附加到您的Oracle虚拟云网络。 点击动态路由网关并选择您的DRG。

      自动生成的手机截屏描述
    3. 从导航窗格中,点击虚拟云网络

      自动生成的手机截屏描述
    4. 确认您的DRG已附加到您的VCN。 如果没有,现在附加。

      自动生成的手机截屏描述
    5. 更新您的路由表以通过IPSec连接发送适当的流量。

      以下截屏显示如何通过Oracle到Cato的IPSec连接设置默认路由。

      自动生成的手机截屏描述
      自动生成的手机截屏描述
      自动生成的手机截屏描述
      自动生成的手机截屏描述

这篇文章有帮助吗?

0 人中有 0 人觉得有帮助

0 条评论