Oracle Cloud Infrastructure - Dokumentation

Aktualisieren eines IPSec-Tunnels

Bearbeiten Sie die Einstellungen für einen IPSec-Tunnel in einer IPSec-Verbindung.

Sie können keinen IPSec-Tunnel erstellen, ohne eine IPSec-Verbindung zu erstellen.

Wenn Sie Tunnelattribute wie den Routingtyp (dynamisches BGP-Routing, statisches Routing oder Policy-basiertes Routing) ändern, sollten Sie Folgendes beachten:

  • Wenn Sie den Routingtyp oder die BGP-Sessionkonfiguration des Tunnels ändern, wird der Tunnel während des erneuten Deployments heruntergefahren.

  • Wenn Sie die routing des Tunnels von STATIC zu BGP wechseln, stellen Sie sicher, dass die Konfigurationsattribute der BGP-Session des Tunnels festgelegt wurden.

  • Wenn Sie die routing des Tunnels von BGP zu STATIC wechseln, stellen Sie sicher, dass die IPSec-Verbindung bereits mindestens eine gültige statische CIDR-Route aufweist.

    1. Wählen Sie auf der Listenseite Site-to-Site-VPN die IPSec-Verbindung mit dem Tunnel aus, mit dem Sie arbeiten möchten. Wenn Sie Hilfe beim Suchen der Listenseite oder der Verbindung IPSec benötigen, finden Sie weitere Informationen unter IPSec-Verbindungen auflisten.
    2. Führen Sie auf der Detailseite je nach der angezeigten Option eine der folgenden Aktionen aus:
      • Wählen Sie die Registerkarte Tunnels.
      • Führen Sie einen Bildlauf nach unten zu der Tabelle nach den Verbindungsdetails IPSec durch, in der die IPSec-Tunnel in der IPSec-Verbindung aufgeführt werden.
    3. Suchen Sie den Tunnel in der Liste Tunnel, wählen Sie das Aktionsmenü Menü "Aktionen" aus, und wählen Sie Bearbeiten aus.
      1. Aktualisieren Sie die Einstellungen nach Bedarf. Geben Sie keine vertraulichen Informationen ein. Eine Beschreibung der Einstellungen finden Sie unter IPSec-Verbindung erstellen.
      2. Wählen Sie Änderungen speichern aus.
    4. Um das Shared Secret eines Tunnels zu ändern, führen Sie je nach der angezeigten Option eine der folgenden Aktionen aus:
      • Wählen Sie auf der Registerkarte "Tunneldetails" neben Shared Secret das Menü Aktionen Menü "Aktionen" und dann Bearbeiten aus. Nehmen Sie Änderungen vor, und wählen Sie Änderungen speichern aus.
      • Wählen Sie auf der Registerkarte mit den Tunnelinformationen neben Shared Secret die Option Bearbeiten aus. Nehmen Sie Änderungen vor, und wählen Sie Änderungen speichern aus.
    5. So ändern Sie einen Tunnel von statischem Routing zu dynamischem BGP-Routing:
      Achtung

      Wenn Sie die Routingart eines Tunnels ändern, ändert es sich beim erneuten Provisioning des Tunnels nicht in den Status IPSec des Tunnels. Das Routing durch den Tunnel ist jedoch betroffen. Der Traffic wird vorübergehend unterbrochen, bis ein Netzwerktechniker das CPE-Gerät entsprechend der Änderung des Routingtyps konfiguriert ist. Wenn ein vorhandenes Site-to-Site-VPN so konfiguriert ist, dass nur ein einzelner Tunnel verwendet wird, unterbricht dieser Prozess die Verbindung zu Oracle. Wenn ein Site-to-Site-VPN stattdessen mehrere Tunnel verwendet, wird empfohlen, jeweils einen Tunnel neu zu konfigurieren, um zu vermeiden, dass die Verbindung zu Oracle unterbrochen wird.

      Lesen Sie Routing für Site-to-Site-VPN, und erfassen Sie die erforderlichen BGP-Routinginformationen:

      • Die ASN des Netzwerks. Die BGP-ASN von Oracle für die kommerzielle Cloud ist 31898, mit Ausnahme der Region Serbia Central (Jovanovac), die 14544 ist. Informationen zur Government Cloud finden Sie unter BGP-ASSN von Oracle.
      • Für jeden Tunnel: Die BGP-IP-Adresse für jedes Ende des Tunnels (die beiden Adressen für einen bestimmte Tunnel müssen ein Paar aus einem /30- oder /31-Subnetz sein, und sie müssen Bestandteil der Verschlüsselungsdomain des Site-to-Site-VPN sein)
      1. Ändern Sie für jeden Tunnel in der Verbindung IPSec die folgenden Einstellungen, und wählen Sie Änderungen speichern aus.
        • Routingtyp: Wählen Sie Dynamisches B GP-Routing aus.
        • BGP-ASN: Geben Sie die BGP-ASN des Netzwerks an.
        • Innere Tunnelschnittstelle - CPE: Geben Sie die BGP-IP-Adresse mit Subnetzmaske (/30 oder /31) für das CPE-Ende des Tunnels ein. Beispiel: 10.0.0.16/31.
        • Innere Tunnelschnittstelle - Oracle: Geben Sie die BGP-IP-Adresse mit Subnetzmaske (/30 oder /31) für das Oracle-Ende des Tunnels ein. Beispiel: 10.0.0.17/31.

        Der BGP-Status des Tunnels wechselt zu "Heruntergefahren".

      2. Überprüfen Sie auf der On-Premise-Seite der Verbindung, ob die BGP-Session des Tunnels erfolgreich hergestellt wurde. Wenn dies nicht der Fall ist, stellen Sie sicher, dass die Konfiguration der IP-Adressen für den Tunnel in der Oracle-Konsole und auch für das CPE-Gerät korrekt ist.
      3. Bestätigen Sie, dass der BGP-Status des Tunnels jetzt in der Oracle-Konsole "Hochgefahren" lautet.
      4. Bestätigen Sie, dass das CPE-Gerät Routen von Oracle lernt und das CPE-Gerät Routen an Oracle anbietet. Um die Oracle-Routen von BGP zurück zum On-Premise-Netzwerk zu setzen, stellen Sie sicher, dass das CPE-Gerät so konfiguriert ist, dass es dies akzeptiert. Eine vorhandene Policy zum Anbieten der statischen Routen in einem On-Premise-Netzwerk funktioniert bei den über BGP gelernten Routen möglicherweise nicht.
      5. Die Oracle-BGP-IP-Adresse von einer Seite der Verbindung pingen, um zu bestätigen, dass der Traffic fließt.
      6. Nachdem bestätigt wurde, dass der erste Tunnel mit BGP hochgefahren ist, wiederholen sie den Prozess für den zweiten Tunnel.
        Wichtig

        Wie unter Routing für Site-to-Site-VPN angegeben, setzen die statischen Routen, die weiterhin für die gesamte IPSec-Verbindung konfiguriert sind, das BGP-Routing nicht außer Kraft. Diese statischen Routen werden ignoriert, wenn Oracle Traffic über einen Tunnel weiterleitet, der für die Verwendung von BGP konfiguriert wurde.

        Außerdem können Sie den Routingtyp eines Tunnels wieder auf statisches Routing zurücksetzen Sie entscheiden sich möglicherweise dafür, wenn das geplante Ausfallzeitfenster für das CPE-Gerät bald beendet ist und Sie Probleme beim Aufbau der BGP-Session haben. Wenn Sie zum statischen Routing zurückkehren, stellen Sie sicher, dass für die gesamte IPSec-Verbindung weiterhin die entsprechenden statischen Routen konfiguriert sind.

    6. So ändern Sie vorhandene routenbasierte Tunnel so, dass sie richtlinienbasiertes Routing verwenden:
      1. Wählen Sie unter Routingtyp die Option Policy-basiertes Routing aus. Dies stellt eine zusätzliche Konfigurationsoption für Zuordnungen dar.
      2. Konfigurieren Sie unter Verknüpfungen alle relevanten Verschlüsselungsdomains. Jeder Eintrag unter On-Premise-CIDR-Blöcke generiert eine Verschlüsselungsdomain mit allen möglichen Einträgen, die unter Oracle Cloud-CIDR-Blöcken konfiguriert sind.

        Weitere Informationen hierzu finden Sie unter Verschlüsselungsdomains für policybasierte Tunnel.

      3. Fügen Sie für On-Premise-CIDR-Blöcke alle On-Premise-CIDR-Blöcke hinzu, die über den Tunnel IPSec eine Verbindung zu OCI erfordern.
      4. Fügen Sie für Oracle Cloud-CIDR-Blöcke alle OCI-CIDR-Blöcke hinzu, die über das On-Premise-Netzwerk erreichbar sein müssen.
      5. Die Werte für IPv4 inside tunnel interface - CPE und IPv4 inside tunnel interface - Oracle können beibehalten werden, wenn Sie den Routing-Typ des Tunnels geändert haben. Für diese Werte sind keine Änderungen erforderlich.
      6. Wählen Sie Änderungen speichern aus.
      7. Navigieren Sie zurück zur übergeordneten IPSec-Verbindung, und wiederholen Sie den Prozess für den anderen IPSec-Tunnel.

  • Verwenden Sie den Befehl network ip-sec-tunnel update und die erforderlichen Parameter, um die Einstellungen für einen IPSec-Tunnel zu aktualisieren:

    oci network ip-sec-tunnel update --ipsc-id ipsec-ocid --tunnel-id tunnel-ocid ... [OPTIONS]

    Verwenden Sie den Befehl network ip-sec-psk update und die erforderlichen Parameter, um das Shared Secret (Pre-Shared Key) für den angegebenen Tunnel zu aktualisieren:

    oci network ip-sec-psk update --ipsc-id ipsec-ocid --tunnel-id tunnel-ocid ... [OPTIONS]

    Eine vollständige Liste der Parameter und Werte für CLI-Befehle finden Sie in der CLI-Befehlsreferenz.

  • Führen Sie den Vorgang UpdateIPSecConnectionTunnel aus, um die Einstellungen für einen IPSec-Tunnel zu aktualisieren.

    Führen Sie den Vorgang UpdateIPSecConnectionTunnelSharedSecret aus, um das Shared Secret (Pre-Shared Key) für einen angegebenen Tunnel zu aktualisieren.