Documentation sur Oracle Cloud Infrastructure

Mise à jour d'un tunnel IPSec

Modifiez les paramètres d'un tunnel IPSec dans une connexion IPSec.

Vous ne pouvez pas créer un tunnel IPSec sans créer une connexion IPSec.

Lorsque vous modifiez des attributs de tunnel tels que le type de routage (routage dynamique BGP, routage statique ou basé sur une politique), voici quelques éléments à prendre en compte :

  • Si vous modifiez le type de routage du tunnel ou la configuration de la session BGP, le tunnel s'arrête pendant son reprovisionnement.

  • Si vous passez de routing du tunnel de STATIC à BGP, assurez-vous que les attributs de configuration de session BGP du tunnel ont été définis.

  • Si vous passez de routing du tunnel de BGP à STATIC, assurez-vous que la connexion IPSec comporte déjà au moins une route statique CIDR valide.

    1. Dans la page de liste RPV site à site, sélectionnez la connexion IPSec qui contient le tunnel avec lequel vous voulez travailler. Si vous avez besoin d'aide pour trouver la page de liste ou la connexion IPSec, voir Liste des connexions IPSec.
    2. Dans la page de détails, effectuez l'une des actions suivantes en fonction de l'option affichée :
      • Sélectionnez l'onglet Tunnels.
      • Faites défiler vers le bas jusqu'au tableau suivant les détails de la connexion IPSec, qui répertorie les tunnels IPSec de la connexion IPSec.
    3. Recherchez le tunnel dans la liste Tunnels, sélectionnez le menu Actions (trois points) pour celui-ci, puis sélectionnez Modifier.
      1. Mettez à jour les paramètres si nécessaire. Évitez d'entrer des informations confidentielles. Pour obtenir la description des paramètres, voir Création d'une connexion IPSec.
      2. Sélectionnez Enregistrer les modifications.
    4. Pour modifier la clé secrète partagée d'un tunnel, effectuez l'une des actions suivantes en fonction de l'option affichée :
      • À côté de Clé secrète partagée dans l'onglet Détails du tunnel, sélectionnez le menu Actions (trois points), puis sélectionnez Modifier. Apportez des modifications, puis sélectionnez Enregistrer les modifications.
      • À côté de Clé secrète partagée dans l'onglet Informations sur le tunnel, sélectionnez Modifier. Apportez des modifications, puis sélectionnez Enregistrer les modifications.
    5. Pour modifier un tunnel d'un routage statique à un routage dynamique BGP :
      Attention

      Lorsque vous modifiez le type de routage d'un tunnel, le statut IPSec de celui-ci ne change pas pendant le reprovisionnement. Cependant, le routage par le tunnel est affecté. Le trafic est temporairement interrompu jusqu'à ce qu'un ingénieur réseau configure l'appareil local d'abonné conformément à la modification du type d'acheminement. Si un RPV site à site existant est configuré pour n'utiliser qu'un seul tunnel, ce processus perturbe la connexion à Oracle. Si un RPV site à site utilise plutôt plusieurs tunnels, nous vous recommandons de reconfigurer un tunnel à la fois pour éviter d'interrompre la connexion à Oracle.

      Lisez Routage pour un RPV site à site et collectez les informations de routage BGP nécessaires :

      • Numéro ASN du réseau. Le numéro ASN BGP d'Oracle pour le nuage commercial est 31898, à l'exception de la région Serbie-Centre (Jovanovac), qui est 14544. Pour le nuage gouvernemental, voir ASN BGP Oracle.
      • Pour chaque tunnel : L'adresse IP BGP de chaque extrémité du tunnel (les deux adresses pour un tunnel particulier doivent être une paire d'un sous-réseau /30 ou /31 et faire partie du domaine de chiffrement du RPV site à site)
      1. Pour chaque tunnel de la connexion IPSec, modifiez les paramètres suivants, puis sélectionnez Enregistrer les modifications.
        • Type d'acheminement : Sélectionnez Routage dynamique BGP.
        • ASN BGP : entrez l'ASN BGP du réseau.
        • Interface de tunnel interne - CPE : Entrez l'adresse IP BGP avec masque de sous-réseau (soit /30 ou /31) pour le côté CPE du tunnel. Par exemple : 10.0.0.16/31.
        • Interface de tunnel interne - Oracle : Entrez l'adresse IP BGP avec masque de sous-réseau (soit /30 ou /31) pour l'extrémité Oracle du tunnel. Par exemple : 10.0.0.17/31.

        Le statut BGP du tunnel devient Inactif.

      2. Sur le côté sur place de la connexion, confirmez que la session BGP du tunnel est à l'état établi. Si ce n'est pas le cas, assurez-vous que la configuration des adresses IP du tunnel est correcte dans la console Oracle et également pour l'appareil CPE.
      3. Confirmez que le état BGP du tunnel est maintenant Actif dans la console Oracle.
      4. Confirmez que l'appareil CPE est des routes d'apprentissage d'Oracle et que l'appareil CPE annonce des routes vers Oracle. Pour lire les routes Oracle de BGP vers le réseau sur place, assurez-vous que l'appareil CPE est configuré pour l'accepter. Une politique existante pour annoncer les routes statiques vers un réseau sur place risque de ne pas fonctionner pour les routes apprises de BGP.
      5. Pinglez l'adresse IP BGP d'Oracle d'un côté de la connexion pour confirmer que le trafic circule.
      6. Après avoir confirmé que le premier tunnel est fonctionnel avec BGP, répétez le processus pour le second tunnel.
        Important

        Comme indiqué dans Routage pour RPV site à site, les routes statiques encore configurées pour la connexion IPSec globale ne remplacent pas le routage BGP. Ces routes statiques sont ignorées lorsque Oracle dirige le trafic dans un tunnel configuré pour utiliser BGP.

        Vous pouvez également rétablir le type de routage statique d'un tunnel. Vous pouvez effectuer cette opération si la fenêtre d'arrêt programmée pour l'appareil CPE se termine bientôt et si vous ne parvenez pas à établir la session BGP. Lorsque vous revenez au routage statique, assurez-vous que les routes statiques appropriées sont toujours configurées pour la connexion IPSec globale.

    6. Pour modifier les tunnels basés sur des routes existants pour utiliser un routage basé sur des politiques :
      1. Pour Type de gamme d'opérations, sélectionnez Routage basé sur une politique. Cette option présente une option de configuration supplémentaire pour les associations.
      2. Sous Associations, configurez tous les domaines de chiffrement pertinents. Chaque entrée sous Blocs CIDR sur place génère un domaine de chiffrement avec toutes les entrées possibles configurées sous Blocs CIDR Oracle Cloud.

        Pour plus d'informations, voir Domaines de chiffrement pour les tunnels basés sur des politiques.

      3. Pour les blocs CIDR sur place, ajoutez tous les blocs CIDR sur place qui nécessitent une connectivité à OCI au moyen du tunnel IPSec.
      4. Pour les blocs CIDR Oracle Cloud, ajoutez tous les blocs CIDR OCI qui doivent être accessibles à partir du réseau sur place.
      5. Les valeurs de IPv4 à l'intérieur de l'interface de tunnel - CPE et IPv4 à l'intérieur de l'interface de tunnel - Oracle peuvent être conservées lorsque vous avez modifié le type de routage du tunnel. Aucune modification n'est requise pour ces valeurs.
      6. Sélectionnez Enregistrer les modifications.
      7. Revenez à la connexion IPSec parent et répétez le processus pour l'autre tunnel IPSec.

  • Utilisez la commande network ip-sec-tunnel update et les paramètres requis pour mettre à jour les paramètres d'un tunnel IPSec :

    oci network ip-sec-tunnel update --ipsc-id ipsec-ocid --tunnel-id tunnel-ocid ... [OPTIONS]

    Utilisez la commande network ip-sec-psk update et les paramètres requis pour mettre à jour la clé secrète partagée (clé prépartagée) pour le tunnel spécifié :

    oci network ip-sec-psk update --ipsc-id ipsec-ocid --tunnel-id tunnel-ocid ... [OPTIONS]

    Pour la liste complète des paramètres et des valeurs pour les commandes de l'interface de ligne de commande, voir Informations de référence sur les commandes de l'interface de ligne de commande.

  • Exécutez l'opération UpdateIPSecConnectionTunnel pour mettre à jour les paramètres d'un tunnel IPSec.

    Exécutez l'opération UpdateIPSecConnectionTunnelSharedSecret pour mettre à jour la clé secrète partagée (clé prépartagée) pour un tunnel spécifié.