Documentación de Oracle Cloud Infrastructure

Trabajar con VPN de sitio a sitio

Este tema contiene algunos detalles sobre el trabajo con VPN de sitio a sitio y los componentes relacionados. Consulte también los temas siguientes:

Cambio en las rutas estáticas

Puede cambiar las rutas estáticas de una conexión de IPSec existente. Puede proporcionar hasta 10 rutas estáticas.

Recuerde que una conexión IPSec puede utilizar un enrutamiento estático, un enrutamiento dinámico BGP o un enrutamiento basado en políticas. Al utilizar el enrutamiento estático, se asocian las rutas estáticas a la conexión general IPSec y no a los túneles individuales. Si una conexión de IPSec tiene rutas estáticas asociadas a ella, Oracle las utiliza para direccionar el tráfico de un túnel solo si el túnel se configura para utilizar un enrutamiento estático. Si se está configurado para utilizar el enrutamiento dinámico de BGP, se han de ignorar las rutas estáticas de la conexión de IPSec.

Importante

La conexión IPSec queda inactiva mientras se vuelve a aprovisionar con los cambios de la ruta estática.

Consulte Actualización de una conexión IPSec para conocer los pasos necesarios para cambiar las rutas estáticas.

Cambio de enrutamiento estático a enrutamiento dinámico BGP

Para cambiar una VPN de sitio a sitio existente de uso de enrutamiento estático a uso de enrutamiento dinámico BGP, consulte Actualización de un túnel IPSec.

Atención

Al cambiar el tipo de enrutamiento de un túnel, el estado de IPSec del túnel no cambia durante el nuevo aprovisionamiento. Sin embargo, el enrutamiento a través del túnel se ve afectado. El tráfico se interrumpe temporalmente hasta que un ingeniero de redes configure el dispositivo CPE de acuerdo con el cambio de tipo de enrutamiento. Si una VPN de sitio a sitio existente está configurada para utilizar solo un túnel, este proceso interrumpe la conexión a Oracle. Si una VPN de sitio a sitio utiliza en su lugar varios túneles, recomendamos volver a configurar un túnel cada vez para evitar la interrupción de la conexión a Oracle.

Migración a VPN basada en políticas

El servicio VPN de sitio a sitio de Oracle Cloud Infrastructure v2 admite completamente VPN IPSec basadas en políticas con hasta 50 dominios de cifrado por túnel.

Para evitar posibles interrupciones de tráfico, si se ha migrado del servicio de VPN de sitio a sitio v1 a la VPN de sitio a sitio v2 y ha configurado un CPE con varios dominios de cifrado, cambie las configuraciones de túnel en el lado de OCI de la conexión para que coincidan con la configuración de CPE. En este artículo se explica por qué esta modificación es tan importante y los pasos necesarios para configurar OCI para que utilice VPN IPSec basadas en políticas.

Por qué migrar a la función VPN basada en políticas

El servicio v1 de VPN de sitio a sitio siempre se configura como una VPN basada en rutas y utiliza un dominio de cifrado cualquiera o cualquiera para los tipos de enrutamiento BGP y estático. Para la interoperabilidad de VPN basada en políticas, la VPN de sitio a sitio v1 soporta un CPE configurado para VPN basadas en políticas si el CPE actúa como iniciador y solo se envía un único dominio de cifrado a OCI. La configuración de varios dominios de cifrado en este escenario provoca la inestabilidad del túnel en el que se pueden observar las solapas del túnel o que el tráfico que atraviesa el túnel tiene un alcance inestable.

El servicio v2 de VPN de sitio a sitio utiliza una opción de tipo de enrutamiento basado en políticas además de los tipos de enrutamiento BGP y estático. Los tipos de BGP y enrutamiento estático de la VPN de sitio a sitio v2 siguen basados en rutas y soportan un único dominio de cifrado cualquiera o cualquiera. Estas opciones funcionan con una única configuración de CPE basada en políticas de dominio de cifrado, sin embargo, esto no se recomienda y enviar más de un dominio de cifrado genera inestabilidad de túnel.

El tipo de enrutamiento basado en políticas disponible para la VPN de sitio a sitio v2 es una VPN basada en políticas con todas las funciones que le permite configurar el lado de OCI para que coincida completamente con la configuración basada en políticas de un CPE y acepte todas las asociaciones de seguridad (SA) individuales necesarias para un túnel VPN IPSec estable.

Para obtener más información sobre los dominios de cifrado y los diferentes tipos de túnel de VPN IPSec, consulte ID de dominio de cifrado o proxy soportados.

Una vez que los túneles se han migrado de la VPN de sitio a sitio v1 a v2, siguen utilizando el mismo tipo de enrutamiento (BGP o estático) configurado antes de la migración. Consulte el proceso paso a paso para cambiar los túneles basados en rutas existentes para utilizar el enrutamiento basado en políticas.

Consulte Actualización de un túnel IPSec para conocer los pasos específicos para migrar a una VPN basada en políticas.

Cambio del identificador IKE de CPE que utiliza Oracle

Si el CPE está detrás de un dispositivo NAT, es posible que deba proporcionar a Oracle el identificador IKE de CPE. Puede especificarlo al crear la conexión de IPSec o editar la conexión con este más tarde y cambiar el valor. Oracle espera que el valor sea una dirección IP o un nombre de dominio completo (FQDN). Al especificar el valor, también puede especificar de qué tipo es.

Importante

La conexión IPSec queda inactiva mientras se aprovisiona de nuevo para utilizar el identificador IKE de CPE.

Consulte Actualización de una conexión IPSec para conocer los pasos necesarios para cambiar el identificador IKE de CPE que utiliza Oracle.

Uso de IKEv2

Oracle admite Internet Key Exchange (IKE) versión 1 y la versión 2 (IKEv2).

Para utilizar IKEv2 con un CPE que lo soporte, debe:

Actualización de una conexión IPSec existente a IKEv2

Importante

Recomendamos realizar el siguiente proceso de un túnel a la vez para evitar interrupciones en una conexión IPSec. Si la conexión no es redundante (por ejemplo, no tiene túneles redundantes), se espera un tiempo de inactividad al actualizar a IKEv2.
  1. Cambie la versión de IKE del túnel en la consola de Oracle para utilizar IKEv2 y los parámetros de cifrado relacionados que soporta el CPE. Para obtener una lista de los parámetros que admite Oracle, consulte Parámetros IPSec admitidos.
  2. Si las asociaciones de seguridad sin volver a generarse inmediatamente, fuerce una nueva clave para ese túnel en el CPE. Para ello, borre las asociaciones a la seguridad de la fase 1 y de la fase 2 y que no espere a que caduquen. Algunos dispositivos CPE esperan a que los SA caduquen antes de volver a generar la clave. Forzar la regeneración permite confirmar inmediatamente que la configuración de la versión de IKE es correcta.
  3. Para verificar, asegúrese de que las asociaciones de seguridad del túnel se vuelvan a generar correctamente. Si no es así, confirme que la versión correcta de IKE esté definida en la consola de Oracle y en el CPE, y que el CPE utiliza los parámetros adecuados.

Después de confirmar que el primer túnel está activo y en ejecución de nuevo, repita los pasos anteriores para el segundo túnel.

Cambio del secreto compartido utilizado por un túnel de IPSec

Al configurar la VPN de sitio a sitio, por defecto, Oracle proporciona el secreto compartido de cada túnel (también denominado clave compartida previamente). Es posible que tenga un secreto compartido en particular que desee utilizar en su lugar. Puede especificar el secreto compartido de cada túnel al crear la conexión de IPSec, o bien editar los túneles y proporcionar, a continuación, cada nuevo secreto compartido. Para el secreto compartido, solo se permiten números, letras y espacios. Recomendamos utilizar un secreto compartido diferente para cada túnel.

Importante

Al cambiar el secreto compartido de un túnel, tanto la conexión general de IPSec como el túnel pasan al estado En aprovisionamiento mientras el túnel se vuelve a aprovisionar con el nuevo secreto compartido. El otro túnel de la conexión de IPSec permanece en estado Disponible. Sin embargo, si se vuelve a aprovisionar el primer túnel, no podrá cambiar la configuración del segundo túnel.

Consulte Obtención de detalles de un túnel IPSec para conocer los pasos necesarios para cambiar el secreto compartido que utiliza un túnel IPSec.

Supervisión de la VPN de sitio a sitio

Puede supervisar el estado, la capacidad y el rendimiento de los recursos de Oracle Cloud Infrastructure mediante métricas, alarmas y notificaciones. Para obtener más información, consulte Supervisión y Notificaciones.

Para obtener información sobre la supervisión de una conexión, consulte Métricas de VPN de sitio a sitio.

Mensaje de log de la VPN de sitio a sitio

Puede activar el registro y ver los mensajes del log generados para diversos aspectos operativos de la VPN de sitio a sitio, como las negociaciones que se producen al poner en marcha un túnel de IPSec. La activación y el acceso a los mensajes del log de una VPN sitio a sitio se pueden realizar mediante la VPN sitio a sitio o el servicio de registro.

  • Para obtener una visión general del servicio Logging en general, consulte Visión general de Logging.
  • Para obtener más información sobre la activación y el acceso a los mensajes de log de la VPN de sitio a sitio mediante el servicio Logging, consulte Logs de servicio.

  • Para obtener más información sobre el esquema de mensaje de log de la VPN de sitio a sitio, consulte Detalles de la VPN de sitio a sitio.

Para activar el registro de mensajes, consulte Obtención de detalles de conexión IPSec.

Para ver los mensajes de log, consulte Obtención de detalles de conexión IPSec.

Mover una conexión IPSec o un objeto CPE a un compartimento diferente

Puede mover recursos de un compartimento a otro. Después de que mueva el recurso al nuevo compartimiento, las políticas inherentes se aplican inmediatamente y afectan al acceso al recurso mediante la consola. Mover el objeto CPE a un compartimiento diferente no afecta a la conexión entre un centro de datos local y Oracle Cloud Infrastructure. Para obtener más información, consulte Trabajar con compartimentos.

Consulte Movimiento de una conexión IPSec entre compartimentos y Movimiento de un CPE a un compartimento diferente para obtener más información.

Mantenimiento de túneles IPSec

Para garantizar la seguridad, la estabilidad y el rendimiento de nuestro sistema, Oracle actualiza regularmente el software en toda la plataforma OCI. Estas actualizaciones incluyen correcciones críticas, como parches de vulnerabilidad, nuevas funciones y correcciones de bugs, lo que mejora la funcionalidad y la fiabilidad generales. Durante el proceso de actualización, se mueve un túnel IPSec de una cabecera de VPN a otra cabecera, lo que lleva a que la conexión IPSec se restablezca cuando solo se utiliza un túnel. Solo se mueve un túnel IPSec en una conexión IPSec. Si bien no podemos evitar esta breve interrupción del túnel, hemos optimizado el mecanismo de actualización para minimizar el tiempo de inactividad. Cuando el equipo local del cliente (CPE) intenta restablecer continuamente la conexión, el tiempo de inactividad normal del túnel IPSec es inferior a un minuto. Este diseño permite a Oracle mantener un equilibrio entre mantener el sistema seguro y fiable, al tiempo que minimiza la interrupción de la conectividad. A veces, la restauración del túnel IPSec puede tardar hasta 10 minutos:

  • Cuando el túnel se define como responsable de respuesta solo en el lado de OCI y el CPE no está intentando activar el túnel inmediatamente
  • Cuando el CPE no responde a la negociación de IKE iniciada por OCI

Aunque la solapa de túnel IPSec durante las actualizaciones de software es inevitable, OCI proporciona túneles redundantes. Estos túneles redundantes están diseñados para mantener el flujo de tráfico continuo, incluso durante el breve período en el que un túnel experimenta tiempo de inactividad. Si la redundancia se ha configurado correctamente, todo el tráfico enrutado a través del túnel principal cambia sin problemas al túnel redundante durante una aleta de túnel. Este mecanismo de failover garantiza que los servicios permanezcan ininterrumpidos y que el flujo de tráfico se mantenga sin retrasos significativos. OCI garantiza que los túneles redundantes aterricen en dos cabeceras de VPN distintas. Durante nuestras actualizaciones de software, solo se ve afectado un túnel a la vez.

Recomendamos y esperamos que pruebe la redundancia bajando el túnel VPN principal, tanto durante la configuración inicial como con una frecuencia regular a partir de entonces. Confirme que las instancias de VCN siguen siendo accesibles mientras el túnel principal está fuera de línea y el tráfico cambia al túnel redundante. La sección Redundancia de VPN de esta Guía de redundancia proporciona más información sobre la configuración de la redundancia para túneles VPN en diferentes casos de uso.

Puede utilizar los siguientes pasos para desactivar temporalmente un túnel para probar el failover de redundancia de un túnel IPSec principal a un túnel IPSec secundario:

  1. Vaya a la página de detalles del túnel como se describe en Actualización de un túnel IPSec y edite el Secreto compartido.
  2. Para desactivar temporalmente un túnel:
    1. Corte el texto en el campo de secreto compartido y sustitúyalo por algunas letras o números aleatorios. Esto hace que la sesión BGP caiga y que el tráfico pueda realizar un failover al otro túnel. Este campo no puede estar vacío.
      Pegue la cadena original en el campo de secreto compartido en un archivo de texto. Necesita esto para restablecer la sesión BGP después de confirmar que la redundancia funciona como se esperaba.
    2. Seleccione Guardar cambios.
    3. Confirme que el tráfico sigue fluyendo en el túnel IPSec secundario de la conexión.
  3. Para restaurar un túnel desactivado temporalmente:
    1. Vaya a la página de detalles del túnel como se describe en Actualización de un túnel IPSec y edite el Secreto compartido.
    2. Pegue el texto original en el campo de secreto compartido.
    3. Seleccione Guardar cambios.
    4. Espere a que se restablezca la sesión BGP.