Documentación de Oracle Cloud Infrastructure

Actualización de un túnel IPSec

Edite la configuración de un túnel IPSec en una conexión IPSec.

No puede crear un túnel IPSec sin crear una conexión IPSec.

Al cambiar atributos de túnel, como el tipo de enrutamiento (enrutamiento dinámico BGP, enrutamiento estático o basado en políticas), se deben tener en cuenta algunos aspectos:

  • Si cambia el tipo de enrutamiento del túnel o la configuración de la sesión BGP, el túnel se cae mientras se vuelve a aprovisionar.

  • Si cambia el routing del túnel de STATIC a BGP, asegúrese de que se han definido los atributos de configuración de la sesión BGP del túnel.

  • Si cambia el routing del túnel de BGP a STATIC, asegúrese de que la conexión IPSec ya tenga al menos una ruta estática CIDR válida.

    1. En la página de lista VPN de sitio a sitio, seleccione la conexión IPSec que contiene el túnel con el que desea trabajar. Si necesita ayuda para buscar la página de lista o la conexión IPSec, consulte Listado de conexiones IPSec.
    2. En la página de detalles, realice una de las siguientes acciones según la opción que vea:
      • Seleccione el separador Túneles.
      • Desplácese hacia abajo hasta la tabla que sigue a los detalles de conexión IPSec, que muestra los túneles IPSec en la conexión IPSec.
    3. Busque el túnel en la lista Túneles, seleccione el menú Acciones (tres puntos) para él y, a continuación, seleccione Editar.
      1. Actualice los valores según sea necesario. Evite introducir información confidencial. Para obtener descripciones de la configuración, consulte Creación de una conexión IPSec.
      2. Seleccione Guardar cambios.
    4. Para cambiar el secreto compartido de un túnel, realice una de las siguientes acciones según la opción que vea:
      • Junto a Secreto compartido en el separador de detalles del túnel, seleccione el menú Acciones (tres puntos) y, a continuación, seleccione Editar. Realice cambios y, a continuación, seleccione Guardar cambios.
      • Junto a Secreto compartido en el separador de información del túnel, seleccione Editar. Realice cambios y, a continuación, seleccione Guardar cambios.
    5. Para cambiar un túnel del enrutamiento estático al enrutamiento dinámico del BGP:
      Atención

      Al cambiar el tipo de enrutamiento de un túnel, el estado de IPSec del túnel No cambia durante el cambio de aprovisionamiento. Sin embargo, el enrutamiento a través del túnel se ve afectado. El tráfico se interrumpe temporalmente hasta que un ingeniero de redes configura el dispositivo CPE de acuerdo con el cambio del tipo de enrutamiento. Si una VPN de sitio a sitio existente está configurada para utilizar solo un túnel, este proceso interrumpe la conexión a Oracle. Si una VPN de sitio a sitio utiliza varios túneles, se recomienda volver a configurar un túnel a la vez para evitar interrumpir la conexión a Oracle.

      Lea Enrutamiento para la VPN de sitio a sitio y recopile la información de enrutamiento BGP necesaria:

      • ASN de la red. El ASN de BGP de Oracle para la nube comercial es 31898, excepto en la región Central de Serbia (Jovanovac), que es 14544. Para el caso de Government Cloud, consulte ASN de BGP deOracle.
      • Para cada túnel: la dirección IP BGP para cada extremo del túnel (las dos direcciones de un túnel determinadas deben ser un par de una subred /30 o /31, y deben pertenecer a parte del dominio del cifrado de las VPN de sitio a sitio)
      1. Para cada túnel de la conexión IPSec, cambie la siguiente configuración y, a continuación, seleccione Guardar cambios.
        • Tipo de enrutamiento: seleccione Enrutamiento dinámico de B GP.
        • ASN de B GP: introduzca un ASN de BGP de red.
        • Interfaz de túnel interna - CPE: introduzca la dirección IP de BGP con la máscara de subred (/30 o /31) para el fin CPE del túnel. Por ejemplo: 10.0.0.16/31.
        • Interfaz de túnel interna - Oracle: introduzca la dirección IP de BGP con la máscara de subred (/30 o /31) para el extremo de Oracle del túnel. Por ejemplo: 10.0.0.17/31.

        El estado de BGP del túnel cambia a Inactivo.

      2. En el lado local de la conexión, confirme que la sesión BGP del túnel tiene un estado establecido. Si no es así, asegúrese de que la configuración de las direcciones IP para el túnel sea correcta en la consola de Oracle y también para el dispositivo CPE.
      3. Confirme que el estado del BGP del túnel ahora está activo en la consola de Oracle.
      4. Confirme que el dispositivo CPE es rutas de aprendizaje de Oracle y que el dispositivo CPE es rutas de publicidad a Oracle. Para readvertir las rutas de Oracle de BGP a la red local, asegúrese de que el dispositivo CPE esté configurado para aceptarlo. Una política existente para anunciar las rutas estáticas a una red local podría no funcionar para las rutas conocidas de BGP.
      5. Haga ping en la dirección IP BGP de los datos de Oracle de un lado de la conexión para confirmar que El tráfico está fluyendo.
      6. Tras confirmar que el primer túnel está activo y en ejecución con BGP, repita el proceso para el segundo túnel.
        Importante

        Como se indica en Enrutamiento para la VPN de sitio a sitio, las rutas estáticas que todavía están configuradas para la conexión IPSec general no sustituyen el enrutamiento BGP. Estas rutas estáticas se ignoran cuando Oracle direcciona el tráfico mediante un túnel configurado para utilizar BGP.

        Además, puede volver a cambiar la ruta de un túnel a una ruta estática. Puede hacer esto si la ventana de tiempo de inactividad programada para el dispositivo CPE termina pronto y tiene problemas para establecer la sesión BGP. Al volver al enrutamiento estático, asegúrese de que la conexión general IPSec aún tenga las rutas estáticas adecuadas configuradas.

    6. Para cambiar túneles basados en rutas existentes para utilizar el enrutamiento basado en políticas:
      1. En Tipo de enrutamiento, seleccione Enrutamiento basado en política. Esto presenta una opción de configuración adicional para Asociaciones.
      2. En Asociaciones, configure todos los dominios de cifrado relevantes. Cada entrada de bloques de CIDR locales genera un dominio de cifrado con todas las entradas posibles configuradas en bloques de CIDR de Oracle Cloud.

        Para obtener más información, consulte Dominios de cifrado para túneles basados en políticas.

      3. Para bloques de CIDR locales, agregue todos los bloques de CIDR locales que requieran conectividad a OCI a través del túnel IPSec.
      4. Para los bloques de CIDR de Oracle Cloud, agregue todos los bloques de CIDR de OCI a los que se debe poder acceder desde la red local.
      5. Los valores de IPv4 dentro de la interfaz de túnel - CPE y IPv4 dentro de la interfaz de túnel - Oracle se pueden conservar a medida que se cambia el tipo de enrutamiento del túnel. No se necesitan cambios para estos valores.
      6. Seleccione Save Changes.
      7. Vuelva a la conexión IPSec principal y repita el proceso para el otro túnel IPSec.

  • Utilice el comando network ip-sec-tunnel update y los parámetros necesarios para actualizar la configuración de un túnel IPSec:

    oci network ip-sec-tunnel update --ipsc-id ipsec-ocid --tunnel-id tunnel-ocid ... [OPTIONS]

    Utilice el comando network ip-sec-psk update y los parámetros necesarios para actualizar el secreto compartido (clave compartida previamente) para el túnel especificado:

    oci network ip-sec-psk update --ipsc-id ipsec-ocid --tunnel-id tunnel-ocid ... [OPTIONS]

    Para obtener una lista completa de parámetros y valores para los comandos de la CLI, consulte la Referencia de comandos de la CLI.

  • Ejecute la operación UpdateIPSecConnectionTunnel para actualizar la configuración de un túnel IPSec.

    Ejecute la operación UpdateIPSecConnectionTunnelSharedSecret para actualizar el secreto compartido (clave compartida previamente) para un túnel especificado.