Článek přečtěte do 6 min.

Oracle Cloud Infrastructure FastConnect umožňuje dvě hlavní metody šifrování provozu mezi vaším datovým centrem a Oracle Cloud Infrastructure: IPSec over FastConnect a MACsec Encryption.

IPSec přes FastConnect

IPSec over FastConnect vám umožňuje nastavit Site-to-Site VPN se zabezpečenými IPSec tunely na vašich virtuálních okruzích FastConnect , čímž poskytuje dodatečné zabezpečení toho, co je již soukromým připojením. Tyto tunely IPSec chrání připojení sítě k síti na vrstvě 3.

IPSec over FastConnect je k dispozici pro všechny tři modely připojení (partnerské, společné a třetí strany) a podporuje následující funkce:

  • Přes jeden virtuální okruh FastConnect může existovat více tunelů IPSec.
  • Na stejném virtuálním okruhu může existovat kombinace šifrovaného a nešifrovaného provozu, i když můžete vyžadovat, aby byl veškerý provoz šifrován.
  • Koncové body tunelu IPSec mohou používat veřejné nebo privátní adresy IP, ale pokud jsou adresy veřejné, nebudou dostupné přes internet, protože přenos pro toto připojení je soukromé připojení a nikoli přes internet.
  • Pomocí ECMP můžete agregovat více tunelů IPSec mezi stejnými koncovými body.

Konfigurace IPSec přes FastConnect

Konfigurace FastConnect i Site-to-Site VPN, aby fungovaly jako jediné datové připojení, vyžaduje nastavení komponent v určitém pořadí. Za předpokladu, že již máte ve svém cloudovém pronájmu alespoň jeden VCN a DRG, vytvořte služby v následujícím pořadí:

  1. Vytvořte virtuální okruh FastConnect nebo vyberte existující soukromý virtuální okruh. Tento virtuální okruh může používat kterýkoli ze tří modelů konektivity FastConnectK povolení IPSec přes FastConnect není potřeba žádná změna vašich nových nebo stávajících soukromých virtuálních okruhů, ale můžete upravit virtuální okruh tak, aby povoloval pouze provoz, který používá IPSec přes FastConnect . DRG by měl mít nastavené různé směrovací tabulky pro přílohy VIRTUAL_CIRCUIT a přílohy IPSEC_TUNNEL, protože tyto přílohy nebudou moci sdílet směrovací tabulku DRG.
  2. Vytvořte nový objekt zařízení zákaznických provozoven (CPE). Tento objekt je virtuální reprezentací fyzického okrajového zařízení vaší místní sítě. Objekt CPE musí mít povolený protokol IPSec over FastConnect . Po vytvoření objektu CPE nakonfigurujte fyzické okrajové zařízení tak, aby odpovídalo nastavení CPE jako obvykle pro Site-to-Site VPN. IP adresa použitá jako identifikátor CPE IKE může být soukromá nebo veřejná. Dříve nakonfigurovaný objekt CPE nelze použít pro IPSec přes FastConnect, protože reprezentace nebude obsahovat možnost použít IPSec přes FastConnect .Samozřejmě můžete stále používat svůj stávající objekt CPE pro provoz, který prochází internetem.
  3. Vytvořte připojení Site-to-Site VPN IPSec a vyberte nové CPE, které jste právě vytvořili. Směrování BGP je upřednostňováno pro připojení, která používají IPSec oproti FastConnect, a musíte zadat virtuální okruh FastConnect, který hodláte použít. IPSec over FastConnect je k dispozici pouze se službou Updated Site-to-Site VPN.

Loopback Attachments

IPSec over FastConnect vyžaduje upgradovaný DRG, který může mít přílohy následujících typů:

  • VCN
  • VIRTUAL_CIRCUIT
  • IPSEC_TUNNEL
  • REMOTE_PEERING_CONNECTION
  • LOOPBACK

Připojení zpětné smyčky umožňuje tok šifrovaného provozu mezi připojením virtuálního okruhu a připojením tunelu IPSec poskytnutím soukromé IP adresy tunelu na straně Oracle DRG. Bez připojení zpětné smyčky není povolen provoz přímo mezi připojením virtuálního okruhu a připojením tunelu IPSec. Když provoz prochází zpět přes přílohu tunelu IPSec, je dešifrován a poté odeslán do DRG. Pouze připojení virtuálních okruhů a připojení tunelu IPSec mohou směrovat k připojení zpětné smyčky. Veškeré směrování do nebo z přílohy zpětné smyčky spravuje Oracle a nemohou je spravovat vaši správci pronájmu.

IPSec over FastConnect zahrnuje jak virtuální okruh, tak tunel IPSec a tato připojení musí končit na připojení DRG s odpovídajícím typem. Jak ukazuje následující zjednodušený diagram pro příchozí provoz s IPSec přes FastConnecttunel IPSec pochází z CPE (popis 1). Virtuální okruh pochází z místního okrajového směrovače (Popis 2) a končí na příloze VIRTUAL_CIRCUIT (Popis 3). Poté provoz tunelu IPSec přejde do přílohy LOOPBACK (Popis 4) a skončí na příloze IPSEC_TUNNEL (Popis 5). Nešifrovaný provoz pak prochází přílohou VCN (popis 6) a ven na konečnou cílovou IP adresu ve VCN. Provoz by mohl alternativně směrovat do přílohy REMOTE_PEERING_CONNECTION vázané na jinou DRG ve stejné oblasti nebo jiné oblasti, ale to není znázorněno v diagramu.

Diagram znázorňující ukončení obou virtuálních okruhů a IPSec tunelu

Zavolat Funkce
1 CPE zařízení. Ukončí připojení IPSec.
2 Okrajový router. Ukončí virtuální okruh.

Poznámka: Popisek 1 a 2 může být potenciálně stejné fyzické zařízení.
3 Příloha VIRTUAL_CIRCUIT. Ukončí virtuální okruh.
4 nástavec LOOPBACK. Přesměruje provoz IPSec do přílohy IPSEC_TUNNEL. Toto je také IP koncového bodu VPN.
5 Příloha IPSEC_TUNNEL. Ukončí připojení IPSec.
6 Příloha VCN

Režim TransportOnly: Povolení šifrovaného provozu pouze na virtuálním okruhu

IPSec over FastConnect umožňuje virtuálnímu okruhu FastConnect fungovat jako přenosové médium pro šifrovaný provoz v soukromém tunelu IPSec, což umožňuje připojení z místní sítě do VCN pro zabezpečený i nezabezpečený provoz.

Pokud chcete přísný bezpečnostní postoj, který povoluje pouze šifrovaný provoz přes vaše virtuální okruhy, nastavte příznak režimu transportOnlyna vašem virtuálním okruhu a přílohu DRG virtuálního okruhu (v konzole nastavte možnost IPSec over FastConnect only, buď když vytváříte virtuální okruh nebo později).

Než se pokusíte nastavit transportOnlypříznak režimu:

  1. Odeberte všechna statická pravidla ze směrovací tabulky „Automaticky generovaná směrovací tabulka Drg pro přílohy RPC, VC a IPSec“ nebo z kterékoli směrovací tabulky, která je aktuálně výchozí pro přílohy virtuálních okruhů. Ve výchozím nastavení je přidružená distribuce tras importu pro automaticky generovanou směrovací tabulku „Automaticky generovaná distribuce tras importu pro trasy VCN“.
  2. Odeberte všechny příkazy distribuce trasy z „Automaticky generované distribuce importních tras pro trasy VCN“ (nebo ručně vytvořené distribuce tras importu spojené s vlastní tabulkou tras pro virtuální okruhy), které mají nastavení „Shoda typu přílohy s virtuálním okruhem“ nebo „Shoda VŠECHNY“.

Pokud se pokusíte povolit transportOnlyrežim na DRG, který tyto požadavky nesplňuje, měla by se zobrazit podrobná chybová zpráva popisující, jaká nastavení je třeba upravit. Poté, co provedete požadované změny ve vašem DRG, budete moci nastavit virtuální okruh a jeho připojení do transportOnlyrežimu. Poté, co nastavíte transportOnlypříznak režimu, Oracle vynutí následující chování na směrovacích tabulkách vašich DRG a distribucích tras importu:

  1. Tabulka směrování připojení virtuálního okruhu umožňuje pouze jednu cestu ke každému z jeho přidružených připojení zpětné smyčky a žádné jiné cesty.
  2. Směrovací tabulka přílohy virtuálního okruhu nemůže mít žádné statické trasy.
  3. Distribuce tras importu tabulky tras přidružené k příloze virtuálního okruhu může importovat trasy pouze z příloh DRG zpětné smyčky.
  4. Žádná z příloh v DRG nemůže importovat trasy z přílohy virtuálního okruhu kromě přílohy zpětné smyčky. To znamená, že žádná distribuce trasy importu pro jakoukoli jinou přílohu nemůže mít obecné nastavení „Shoda VŠE“ nebo „Shoda typu přílohy – virtuální okruh“.

Jakékoli další změny v distribuci trasy importu nebo změny pravidel pro statické trasy na tomto DRG budou ověřeny, aby bylo možné vynutit nezbytné chování směrování.

Šifrování MACsec

FastConnect můžete nakonfigurovat tak, aby používal MACsec (IEEE standard 802.1AE) k ochraně síťových připojení na vrstvě 2. Chcete-li MACsec povolit, zvolte šifrovací algoritmus pokročilého šifrování (AES). Dvě propojené sítě si vyměňují a ověřují bezpečnostní klíče a poté vytvoří zabezpečené obousměrné spojení. Služba Oracle Cloud Infrastructure Vault bezpečně ukládá skutečné šifrovací klíče.

Použití MACsec má následující požadavky:

  • Vaše zařízení pro zařízení zákaznických prostor (CPE) musí také podporovat MACsec.
  • Rychlost vybraného portu FastConnect pro jednotlivá křížová připojení nebo skupiny křížových připojení musí být 10 Gb/s nebo vyšší.
  • Ne všechny existující cross-connect nebo cross-connect skupiny mohou podporovat MACsec. Chcete-li upgradovat existující skupinu křížového nebo křížového připojení, stránka podrobností pro skupinu křížového nebo křížového připojení obsahuje pole MACsec Encryption s nastavením buď pro možnost Capable nebo Incapable. Připojení musí být schopné používat MACsec. Pokud skupina křížového připojení nebo křížového připojení není schopna používat MACsec, musíte před konfigurací MACsec provést reprovision.
  • Ne všichni poskytovatelé třetích stran mohou podporovat MACsec na typu okruhu, který poskytují. Ověřte si u svého poskytovatele, zda typ připojení, který si zakoupíte, podporuje MACsec.

FastConnect s MACsec se integruje se službou Vault . Zde je přehled kroků k úplné konfiguraci FastConnect s MACsec.

  1. Vytvořte trezor.
  2. Vytvořte hlavní šifrovací klíč v aplikaci Vault.
  3. Vytvořte dva tajné klíče, které budou reprezentovat klíč přidružení připojení (CAK) a název klíče přidružení připojení (CKN) ve vašem trezoru . CAK a CKN musí být hexadecimální řetězce o délce 32–64 znaků.
  4. Nakonfigurujte MACsec u poskytovatele třetí strany nebo křížového připojení kolokace pomocí tajných klíčů CKN a CAK vytvořených pro okruh FastConnect.
  5. Dejte svému místnímu správci sítě původní klíče CAK a CKN, které bude používat při konfiguraci zařízení CPE (Customer Miamis Equipment Equipment) zákazníka.
  6. Aktivujte křížová připojení pro poskytovatele třetí strany nebo virtuální okruhy kolokace.

Pokud se rozhodnete přidat šifrování MACsec do existujícího křížového připojení FastConnect, pamatujte, že změna nastavení šifrování vyžaduje restartování relace BGP, která nakrátko pozastaví provoz BGP.

Parametry MACsec

Při konfiguraci MACsec na vašem CPE nahlédněte do tabulky pro různé požadované parametry.

 
Parametr Možné hodnoty Popis
CAK 32-64 hexadecimálních znaků Minimálně 32 hexadecimálních znaků (0-9, AF).
Cipher Suites

aes128-gcm-xpn

aes256-gcm-xpn

 Nakonfigurujte své CPE tak, aby odpovídalo šifrovací sadě nakonfigurované v OCI.
CKN 32-64 hexadecimálních znaků Minimálně 32 hexadecimálních znaků (0-9, AF).
Kompenzace důvěrnosti 0 Strana OCI je vždy 0, což znamená, že celý rámec je zašifrován. Je-li to vyžadováno jako součást vaší konfigurace CPE, použijte stranu OCI .
Rozhraní

Jediné fyzické rozhraní

skupina agregace odkazů (MAS)

 MACsec pro FastConnect podporuje konfiguraci MACsec buď na jednom FastConnect připojení nebo LAG. Porovnejte tuto možnost konfigurace na vašem CPE.
Klíčový server 1 nebo vyšší Pro CPE použijte jakoukoli hodnotu vyšší než 0. OCI FastConnect edge zařízení vždy používá 0.
MKA zahrnuje SCI zahrnují SCI Nakonfigurujte svůj CPE tak, aby zahrnoval značku SCI (Secure Channel Identifier). Nakonfigurujte značku „Include SCI“ na straně OCI .
Možnost politiky MKA

nutno zajistit

 To vyžaduje, aby byl veškerý provoz odesílaný na segment sítě s podporou MACsec zabezpečený (volba Fail Close v konzole). Porovnejte tuto možnost konfigurace na vašem CPE. Tato should-secure možnost (volba Fail Open v konzole) je k dispozici, ale společnost Oracle ji nedoporučuje.
SAK Rekey čas 3600 sekund (1 hodina) Konfigurace CPE musí odpovídat času opětovného klíče OCI SAK 1 hodina.

MACsec Hitless Key Rollover

Když jste připraveni otáčet klíči, MACsec pro FastConnect podporuje bezproblémové převrácení klíčů. Aby nedošlo ke ztrátě komunikace při otáčení klíčů, vždy aktualizujte CKN i CAK současně. Nejprve změňte pár CKN a CAK na straně OCI odkazu FastConnect a poté aktualizujte svůj CPE.

Zdroj: Oracle