Mise à jour d'un tunnel IPSec

Modifiez les paramètres d'un tunnel IPSec dans une connexion IPSec.

Vous ne pouvez pas créer de tunnel IPSec sans créer de connexion IPSec.

Lorsque vous modifiez des attributs de tunnel tels que le type de routage (routage dynamique BGP, routage statique ou basé sur une stratégie), voici quelques points à prendre en compte :

Si vous modifiez le type de routage du tunnel ou la configuration de session BGP, le tunnel est arrêté pendant son reprovisionnement.
Si vous faites passer le paramètre routing du tunnel de STATIC à BGP, assurez-vous que les attributs de configuration de session BGP du tunnel ont été définis.
Si vous faites passer routing du tunnel de BGP à STATIC, assurez-vous que la connexion IPSec comporte déjà au moins un routage statique CIDR valide.

1. Sur la page de liste VPN site à site, sélectionnez la connexion IPSec contenant le tunnel avec lequel vous voulez travailler. Si vous avez besoin d'aide pour trouver la page de liste ou la connexion IPSec, reportez-vous à Liste des connexions IPSec.
2. Sur la page de détails, effectuez l'une des actions suivantes en fonction de l'option qui s'affiche :
  
  Sélectionnez l'onglet Tunnels.
  
  Faites défiler la page jusqu'à la table en suivant les détails de connexion IPSec, qui répertorie les tunnels IPSec dans la connexion IPSec.
3. Recherchez le tunnel dans la liste Tunnels, sélectionnez le menu Actions (trois points) correspondant, puis sélectionnez Modifier.
  
  Mettez à jour les paramètres selon vos besoins. Evitez de saisir des informations confidentielles. Pour obtenir une description des paramètres, reportez-vous à Création d'une connexion IPSec.
  
  Sélectionnez Enregistrer les modifications.
4. Pour modifier la clé secrète partagée d'un tunnel, effectuez l'une des actions suivantes en fonction de l'option que vous voyez :
  
  En regard de Clé secrète partagée dans l'onglet des détails du tunnel, sélectionnez le menu Actions (trois points), puis sélectionnez Modifier. Apportez les modifications, puis sélectionnez Enregistrer les modifications.
  
  En regard de Clé secrète partagée dans l'onglet Informations sur le tunnel, sélectionnez Modifier. Apportez les modifications, puis sélectionnez Enregistrer les modifications.
5. Pour modifier un tunnel du routage statique au routage dynamique BGP, procédez comme suit :
  
  Attention
  
  Lorsque vous modifiez le type de routage d'un tunnel, son statut IPSec ne change plus lors du reprovisionnement. Cependant, le routage par le biais du tunnel est affecté. Le trafic est interrompu temporairement jusqu'à ce que l'ingénieur réseau configure le dispositif CPE conformément à la modification de type de routage. Si un VPN site à site existant est configuré pour utiliser un seul tunnel, ce processus interrompt la connexion à Oracle. Si un VPN site à site utilise plusieurs tunnels, nous vous recommandons de reconfigurer un tunnel à la fois pour éviter d'interrompre la connexion à Oracle.
  
  Lisez Routage pour un VPN site à site et rassemblez les informations de routage BGP nécessaires :
  
  Numéro ASN du réseau. Le numéro ASN BGP d'Oracle pour le cloud commercial est 31898, à l'exception de la région Centre de la Serbie (Jovanovac), qui est 14544. Pour Government Cloud, reportez-vous à Numéro ASN BGP d'Oracle.
  
  Pour chaque tunnel : adresse IP BGP de chaque extrémité du tunnel (les deux adresses d'un tunnel donnés doivent être une paire provenant d'un sous-réseau /30 ou /31, et doivent Faire partie du domaine du cryptage du VPN site à site)
  
  Pour chaque tunnel de la connexion IPSec, modifiez les paramètres suivants, puis sélectionnez Enregistrer les modifications.
  
  Type de routage : sélectionnez Routage dynamique BGP.
  
  Numéro ASN BIGP : saisissez le N° ASN BIGP du réseau.
  
  Interface de tunnel interne - CPE : entrez l'adresse IP BGP avec un masque de sous-réseau (/30 ou /31) pour l'extrémité CPE du tunnel. Par exemple : 10.0.0.16/31.
  
  Interface de tunnel interne - Oracle : saisissez l'adresse IP BGP avec un masque de sous-réseau (/30 ou /31) pour l'extrémité Oracle du tunnel. Par exemple : 10.0.0.17/31.
  
  Le statut BGP du tunnel passe à Arrêté.
  
  Sur le côté sur site de la connexion, vérifiez que la session BGP du tunnel est à l'état Etabli. Si ce n'est pas le cas, assurez-vous que la configuration des adresses IP du tunnel est correcte dans la console Oracle et également pour le périphérique CPE.
  
  Vérifiez que le Statut BGP du tunnel est désormais démarré dans la console Oracle.
  
  Vérifiez que le dispositif CPE apprend les routages d'Oracle et qu'il publie les routages vers Oracle. Pour rééditer les routages Oracle de BGP vers le réseau sur site, assurez-vous que le dispositif CPE est configuré pour l'accepter. Il est possible qu'une stratégie existante pour publier les routages statiques vers un réseau sur site ne fonctionne pas pour les routages appris à base de BGP.
  
  Envoyez une copie ping de l'adresse IP BGP Oracle à partir d'un côté de la connexion pour vérifier que la circulation circule.
  
  Une fois que vous avez vérifié si le premier tunnel fonctionne avec BGP, répétez le processus pour le deuxième tunnel.
  
  Important
  
  Comme indiqué dans Routage pour le VPN site à site, les routages statiques qui sont encore configurés pour la connexion IPSec globale n'écrasent pas le routage BGP. Ces routages statiques sont ignorés lorsqu'Oracle achemine le trafic via un tunnel configuré pour utiliser BGP.
  
  En outre, vous pouvez rétablir le routage statique d'un tunnel. Vous pouvez effectuer cette opération si la fenêtre de temps d'inactivité programmée pour le dispositif CPE se termine bientôt et que vous avez des difficultés à établir la session BGP. Lorsque vous revenez au routage statique, assurez-vous que les routages statiques appropriés sont toujours configurés pour la connexion IPSec globale.
6. Pour modifier les tunnels basés sur un routage existants afin d'utiliser un routage basé sur une stratégie, procédez comme suit :
  
  Dans Type de routage, sélectionnez Routage basé sur une stratégie. Cette option présente une option de configuration supplémentaire pour les associations.
  
  Sous Associations, configurez tous les domaines de cryptage pertinents. Chaque entrée sous Blocs CIDR sur site génère un domaine de cryptage avec toutes les entrées possibles configurées sous Blocs CIDR Oracle Cloud.
  
  Pour plus d'informations, reportez-vous à Domaine de cryptage pour les tunnels basés sur une stratégie.
  
  Pour les blocs CIDR sur site, ajoutez tous les blocs CIDR sur site qui nécessitent une connectivité à OCI via le tunnel IPSec.
  
  Pour les blocs CIDR Oracle Cloud, ajoutez tous les blocs CIDR OCI qui doivent être accessibles à partir du réseau sur site.
  
  Les valeurs pour IPv4 inside tunnel interface - CPE et IPv4 inside tunnel interface - Oracle peuvent être conservées lorsque vous avez modifié le type de routage du tunnel. Aucune modification n'est requise pour ces valeurs.
  
  Sélectionnez Enregistrer les modifications.
  
  Revenez à la connexion IPSec parent et répétez le processus pour l'autre tunnel IPSec.
Utilisez la commande network ip-sec-tunnel update et les paramètres requis pour mettre à jour les paramètres d'un tunnel IPSec :
oci network ip-sec-tunnel update --ipsc-id ipsec-ocid --tunnel-id tunnel-ocid ... [OPTIONS]
Utilisez la commande network ip-sec-psk update et les paramètres requis pour mettre à jour la clé secrète partagée (clé prépartagée) pour le tunnel spécifié :
oci network ip-sec-psk update --ipsc-id ipsec-ocid --tunnel-id tunnel-ocid ... [OPTIONS]
Pour obtenir la liste complète des paramètres et des valeurs des commandes de la CLI, reportez-vous à Référence des commandes de la CLI.
Exécutez l'opération UpdateIPSecConnectionTunnel pour mettre à jour les paramètres d'un tunnel IPSec.

Exécutez l'opération UpdateIPSecConnectionTunnelSharedSecret pour mettre à jour la clé secrète partagée (clé prépartagée) pour un tunnel spécifié.

Documentation Oracle Cloud Infrastructure

Mise à jour d'un tunnel IPSec