■목적

Oracle Cloud Infrastructure(OCI)의 VCN Transit Routing은 FastConnect 또는 IPSec VPN을 통해 Hub & Spoke를 통한 여러 VCN 간의 통신을 가능하게 합니다.
그리고 허브의 인스턴스에 방화벽, 침입 탐지 시스템(IDS)을 설정하여 온프레미스 네트워크와 Spoke VCN 간의 트래픽을 필터링하고 검사할 수 있습니다.
그래서 Firewall로 유명한 Juniper vSRX를 Gateway로 하는 Hub and Spoke 해 봅니다.

■구성

■ 절차

여기에서는 Transit Routing에 필요한 그림에서 Rote Table을 설정합니다.
도면 구성은 다음 기사를 참고로 구축합니다.
· Juniper vSRX Virtual Firewall을 Oracle Cloud에 설치해 보았습니다.
· Juniper vSRX로 Oracle Cloud에 IPsec VPN을 연결해 보았습니다.
· Oracle Cloud : VCN과 VCN을 Local Peering 해 보았습니다.

이 Route Table 설정에서 vSRX의 Private IP를 Target Gateway에 통합하여 Transit Routing을 수행할 수 있습니다.
그런 다음 Security List 설정을 잊지 마십시오.

■ Route 설정

다음 경로가 되도록 Route Table 및 Security List를 구성도와 같이 설정

1) On-Premises Network에서 Spoke VCN Instance 로의 경로

・onp-inst01:172.24.0.0/24 
    -> On-Premises IPSec VPN Router
    -> Internet GW : 0.0.0.0 
    -> vSRX: Ge-0/0/0.0 -> Ge-0/0/1.0
    -> LPG-H-1:10.100.0.0/16
    -> spoke100-Inst:10.100.0.2 

2) Spoke VCN에서 On-Premises Network Instance 로의 경로

・spoke100-Inst:10.100.0.2 
    -> 172.24.0.0/16:LPG-Spke1
    -> LPG-Hub1 : 10.0.10.254
    -> vSRX:Ge-0/0/1.0 -> Ge-0/0/0.0
    -> Internet GW : 0.0.0.0
    -> On-Premises IPSec VPN Router
    -> onp-inst01:172.24.0.0/24 

● Route Table 설정 예

①Route Table: Hub-Frontend


②Route Table: Hub-Backend


③Route Table: LPG-Hub1


④Route Table: LPG-Hub2


⑤Route Table: Spoke1 Subnet


⑥Route Table: Spoke2 Subnet

■ 소통 확인

●onp-inst01 -> toronto-spoke100-inst

・핑 확인

[user@onp-inst01 ~]$ ping 10.100.0.2 -c 3
    PING 10.100.0.2 (10.100.0.2) 56(84) bytes of data.
    64 bytes from 10.100.0.2: icmp_seq=1 ttl=62 time=63.9 ms
    64 bytes from 10.100.0.2: icmp_seq=2 ttl=62 time=63.7 ms
    64 bytes from 10.100.0.2: icmp_seq=3 ttl=62 time=63.7 ms

    --- 10.100.0.2 ping statistics ---
    3 packets transmitted, 3 received, 0% packet loss, time 2002ms
    rtt min/avg/max/mdev = 63.757/63.820/63.909/0.064 ms

· ssh 확인

[user@onp-inst01 ~]$ ssh -i id_rsa [email protected] hostname
    toronto-spoke100-inst01

●onp-inst01 -> toronto-spoke200-inst

・핑 확인

[user@onp-inst01 ~]$ ping 10.200.0.2 -c 3
    PING 10.200.0.2 (10.200.0.2) 56(84) bytes of data.
    64 bytes from 10.200.0.2: icmp_seq=1 ttl=62 time=57.0 ms
    64 bytes from 10.200.0.2: icmp_seq=2 ttl=62 time=56.9 ms
    64 bytes from 10.200.0.2: icmp_seq=3 ttl=62 time=56.8 ms

    --- 10.200.0.2 ping statistics ---
    3 packets transmitted, 3 received, 0% packet loss, time 2001ms
    rtt min/avg/max/mdev = 56.879/56.937/57.022/0.061 ms

· ssh 확인

[user@onp-inst01 ~]$ ssh -i id_rsa [email protected] hostname
    toronto-spoke200-inst01

●toronto-spoke100-inst -> onp-inst01

・핑 확인

[opc@toronto-spoke100-inst01 ~]$ ping 172.24.0.2 -c 3
PING 172.24.0.2 (172.24.0.2) 56(84) bytes of data.
64 bytes from 172.24.0.2: icmp_seq=1 ttl=62 time=56.8 ms
64 bytes from 172.24.0.2: icmp_seq=2 ttl=62 time=56.9 ms
64 bytes from 172.24.0.2: icmp_seq=3 ttl=62 time=56.8 ms

--- 172.24.0.2 ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 2002ms
rtt min/avg/max/mdev = 56.807/56.860/56.904/0.198 ms
``

・ssh確認

```shell-session
[opc@toronto-spoke100-inst01 ~]$ ssh -i id_rsa [email protected] hostname
    onp-inst01

●toronto-spoke200-inst -> onp-inst01

・핑 확인

[opc@toronto-spoke200-inst01 ~]$ ping 172.24.0.2 -c 3
    PING 172.24.0.2 (172.24.0.2) 56(84) bytes of data.
    64 bytes from 172.24.0.2: icmp_seq=1 ttl=62 time=56.8 ms
    64 bytes from 172.24.0.2: icmp_seq=2 ttl=62 time=56.8 ms
    64 bytes from 172.24.0.2: icmp_seq=3 ttl=62 time=56.9 ms

    --- 172.24.0.2 ping statistics ---
    3 packets transmitted, 3 received, 0% packet loss, time 2003ms
    rtt min/avg/max/mdev = 56.821/56.866/56.923/0.199 ms

· ssh 확인

[opc@toronto-spoke200-inst01 ~]$ ssh -i id_rsa [email protected] hostname
    onp-inst01

■참고

· Advanced Scenario: Transit Routing