Documentation Oracle Cloud Infrastructure

Utilisation d'un VPN site à site

Cette rubrique contient des détails sur l'utilisation d'un VPN site à site et des composants associés. Reportez-vous également aux rubriques suivantes :

Modification des routages statiques

Vous pouvez changer les routages statiques pour une connexion IPSec existante. Vous pouvez indiquer jusqu'à 10 routages statiques.

N'oubliez pas qu'une connexion IPSec peut utiliser le routage statique, le routage dynamique BGP ou le routage basé sur une stratégie. Lorsque vous utilisez un routage statique, vous associez les routages statiques avec la connexion IPSec globale, et non aux tunnels individuels. Lorsque des routages statiques sont associés à une connexion IPSec, Oracle les utilise pour acheminer le trafic d'un tunnel uniquement si ce dernier est configuré pour utiliser le routage statique. S'il est configuré pour utiliser le routage dynamique BGP, les routages statiques de la connexion IPSec sont ignorés.

Important

La connexion IPSec est arrêtée lorsqu'elle est reprovisionnée avec les modifications de routage statique.

Reportez-vous à Mise à jour d'une connexion IPSec pour connaître les étapes nécessaires pour modifier les routages statiques.

Passage d'un routage statique à un routage dynamique BGP

Pour remplacer un VPN site à site existant par un routage statique par un routage dynamique BGP, reportez-vous à Mise à jour d'un tunnel IPSec.

Attention

Lorsque vous modifiez le type de routage d'un tunnel, son statut IPSec ne change pas lors du reprovisionnement. Cependant, le routage par le biais du tunnel est affecté. Le trafic est interrompu temporairement jusqu'à ce qu'un ingénieur réseau configure le périphérique CPE conformément à la modification du type de routage. Si un VPN site à site existant est configuré pour utiliser un seul tunnel, ce processus interrompt la connexion à Oracle. Si un VPN site à site utilise plusieurs tunnels, nous vous recommandons de reconfigurer un tunnel à la fois pour éviter de perturber la connexion à Oracle.

Migration vers un VPN basé sur une stratégie

Le service v2 de VPN site à site d'Oracle Cloud Infrastructure prend entièrement en charge les VPN IPSec basés sur une stratégie avec jusqu'à 50 domaines de cryptage par tunnel.

Pour éviter toute interruption potentielle du trafic, si vous avez été migré du service VPN site à site v1 vers le VPN site à site v2 et que vous avez configuré un CPE avec plusieurs domaines de cryptage, modifiez les configurations de tunnel du côté OCI de la connexion pour qu'elles correspondent à la configuration du CPE. Cet article explique pourquoi cette modification est si importante et les étapes requises pour configurer OCI afin d'utiliser des VPN IPSec basés sur une stratégie.

Pourquoi migrer vers la fonctionnalité VPN basée sur une stratégie

Le service VPN site à site v1 est toujours configuré en tant que VPN basé sur un routage et utilise un domaine de cryptage quelconque pour les types de routage BGP et statique. Pour l'interopérabilité des VPN basés sur une stratégie, le VPN site à site v1 prend en charge un CPE configuré pour les VPN basés sur une stratégie si le CPE agit en tant qu'initiateur et qu'un seul domaine de cryptage est envoyé à OCI. La configuration de plusieurs domaines de chiffrement dans ce scénario entraîne l'instabilité du tunnel où vous pouvez observer le battement du tunnel ou que le trafic traversant le tunnel présente une accessibilité instable.

Le service VPN site à site v2 utilise une option de type de routage basée sur une stratégie en plus des types de routage BGP et statique. Les types de routage BGP et statique de VPN site à site v2 restent basés sur un routage et prennent en charge un seul domaine de cryptage quelconque. Ces options fonctionnent avec une configuration de CPE basée sur une stratégie de domaine de cryptage unique. Cependant, cela n'est pas recommandé et l'envoi de plusieurs domaines de cryptage entraîne l'instabilité du tunnel.

Le type de routage basé sur une stratégie disponible pour le VPN site à site v2 est un VPN basé sur une stratégie complet qui vous permet de configurer le côté OCI pour qu'il corresponde entièrement à la configuration basée sur une stratégie d'un CPE et accepte toutes les associations de sécurité individuelles requises pour un tunnel VPN IPSec stable.

Pour plus d'informations sur les domaines de cryptage et les différents types de tunnel VPN IPSec, reportez-vous à Domaine de cryptage ou ID de proxy pris en charge.

Une fois que les tunnels ont été migrés du VPN site à site v1 vers v2, ils continuent à utiliser le même type de routage (BGP ou statique) que celui configuré avant la migration. Reportez-vous au processus pas à pas pour modifier les tunnels basés sur un routage existants afin d'utiliser un routage basé sur une stratégie.

Reportez-vous à Mise à jour d'un tunnel IPSec pour connaître les étapes spécifiques de migration vers un VPN basé sur une stratégie.

Modification de l'identificateur IKE CPE que Oracle utilise

Si le CPE se trouve derrière un périphérique NAT, vous devrez peut-être fournir à Oracle l'identificateur IKE CPE. Vous pouvez l'indiquer lors de la création de la connexion IPSec, ou modifier ultérieurement cette dernière afin de changer la valeur. Oracle s'attend à ce que la valeur soit une adresse IP ou un nom de domaine qualifié complet. Lorsque vous spécifiez la valeur, vous spécifiez également son type.

Important

La connexion IPSec est arrêtée lorsqu'elle est de nouveau provisionnée pour utiliser l'identificateur IKE CPE.

Reportez-vous à Mise à jour d'une connexion IPSec pour connaître les étapes nécessaires à la modification de l'identificateur IKE CPE qu'Oracle utilise.

Utilisation de IKEv2

Oracle prend en charge IKE (Internet Key Exchange) version 1 et 2 (IKEv2).

Pour utiliser IKEv2 avec un CPE qui le prend en charge, procédez comme suit :

  • Configurez chaque tunnel IPSec de sorte à utiliser IKEv2 dans la console Oracle. Reportez-vous à Création d'une connexion IPSec.
  • Configurez le CPE afin qu'il utilise les paramètres de cryptage IKEv2 pris en charge. Pour obtenir la liste des paramètres pris en charge par Oracle, reportez-vous à Paramètres IPSec pris en charge.

Mise à niveau d'une connexion IPSec existante vers IKEv2

Important

Nous vous recommandons d'effectuer le processus suivant pour un tunnel à la fois afin d'éviter toute interruption dans une connexion IPSec. Si la connexion n'est pas redondante (par exemple, si elle ne comporte pas de tunnels redondants), attendez-vous à subir un temps d'inactivité lors de la mise à niveau vers IKEv2.
  1. Modifiez la version IKE du tunnel dans la console Oracle pour utiliser IKEv2 et les paramètres de cryptage associés pris en charge par le CPE. Pour obtenir la liste des paramètres qu'Oracle prend en charge, reportez-vous à Paramètres IPSec prisen charge.
  2. Si les associations de sécurité ne recréent pas immédiatement de clé, forcez ce processus pour ce tunnel sur le CPE. Pour ce faire, effacez les Associations de sécurité de phase 1 et 2, et n'attendez plus qu'elles expirent. Certains dispositifs CPE attendent que les associations de sécurité expirent avant de recréer une clé. Le fait de forcer cette opération permet de vérifier immédiatement que la configuration de la version IKE est correcte.
  3. Pour vérifier cela, assurez-vous que les associations de sécurité du tunnel recréent correctement la clé. Si ce n'est pas le cas, confirmez que la version IKE correcte est définie dans la console Oracle et sur le CPE, et que le CPE utilise les paramètres appropriés.

Une fois que vous avez vérifié que le premier tunnel fonctionne à nouveau, répétez les étapes précédentes pour le deuxième tunnel.

Modification de la clé secrète partagée utilisée par un tunnel IPSec

Lorsque vous configurez un VPN site à site, Oracle fournit par défaut la clé secrète partagée de chaque tunnel (également appelée clé prépartagée). Vous pouvez avoir une clé secrète partagée spécifique à utiliser à la place. Vous pouvez spécifier la clé secrète partagée de chaque tunnel lorsque vous créez la connexion IPSec, ou vous pouvez modifier les tunnels et indiquer chaque nouvelle clé secrète partagée. Pour la clé secrète partagée, seuls les chiffres, les lettres et les espaces sont autorisés. Nous vous recommandons d'utiliser une clé secrète partagée différente pour chaque tunnel.

Important

Lorsque vous modifiez la clé secrète partagée d'un tunnel, la connexion IPSec globale et le tunnel passent à l'état Provisionnement alors que le tunnel est à nouveau provisionné avec la nouvelle clé secrète partagée. L'autre tunnel de la connexion IPSec garde l'état Disponible. Cependant, lorsque le premier tunnel est reprovisionné, vous ne pouvez pas modifier la configuration du deuxième tunnel.

Reportez-vous à Obtention des détails d'un tunnel IPSec pour connaître les étapes nécessaires à la modification de la clé secrète partagée utilisée par un tunnel IPSec.

Surveillance du VPN site à site

Vous pouvez surveiller l'état, la capacité et les performances des ressources Oracle Cloud Infrastructure à l'aide de mesures, d'alarmes et de notifications. Pour plus d'informations, reportez-vous à Monitoring et à Notifications.

Pour plus d'informations sur la surveillance d'une connexion, reportez-vous à Mesures de VPN site à site.

Messages de journal VPN site-à-site

Vous pouvez activer la journalisation et afficher les messages du journal générés pour divers aspects opérationnels du VPN site à site, tels que les négations qui se produisent lors de la mise en service d'un tunnel IPSec. L'activation et l'accès aux messages du journal VPN site à site peuvent s'effectuer via le service Logging ou le VPN site à site.

  • Pour une présentation générale du service Logging, reportez-vous à Présentation de Logging.
  • Pour plus de détails sur l'activation des messages de journal VPN site à site et l'accès à ces derniers à l'aide du service Logging, reportez-vous à Journaux de service.

  • Pour plus de détails sur le schéma de message journal VPN site à site, reportez-vous à Détails relatifs au VPN site à site.

Pour activer la journalisation des messages, reportez-vous à Obtention des détails de connexion IPSec.

Pour visualiser les messages de journal, reportez-vous à Obtention des détails de connexion IPSec.

Déplacement d'une connexion IPSec ou d'un objet CPE vers un autre compartiment

Vous pouvez déplacer des ressources d'un compartiment vers un autre. Une fois que vous avez déplacé la ressource vers le nouveau compartiment, les stratégies inhérentes s'appliquent immédiatement et affectent l'accès à la ressource via la console. Le déplacement de l'objet CPE vers un autre compartiment n'a aucune incidence sur la connexion entre un centre de données on-premise et Oracle Cloud Infrastructure. Pour plus d'informations, reportez-vous à Utilisation des compartiments.

Pour plus d'informations, reportez-vous à Déplacement d'une connexion IPSec entre des compartiments et à Déplacement d'un CPE vers un autre compartiment.

Gérer les passerelles de routage dynamique

Pour connaître les tâches relatives aux passerelles de routage dynamique, reportez-vous à Passerelles de routage dynamique.

Maintenance des tunnels IPSec

Pour assurer la sécurité, la stabilité et les performances de notre système, Oracle met régulièrement à jour les logiciels sur la plate-forme OCI. Ces mises à jour incluent des correctifs critiques tels que des correctifs de vulnérabilité, de nouvelles fonctionnalités et des correctifs de bugs, ce qui améliore la fonctionnalité et la fiabilité globales. Pendant le processus de mise à jour, un tunnel IPSec est déplacé d'une tête de réseau VPN vers une autre tête de réseau, ce qui entraîne la réinitialisation de la connexion IPSec lorsqu'un seul tunnel est utilisé. Un seul tunnel IPSec dans une connexion IPSec est déplacé. Bien que nous ne puissions pas empêcher cette brève interruption du tunnel, nous avons optimisé le mécanisme de mise à jour pour minimiser le temps d'arrêt. Lorsque le CPE (Customer Premise Equipment) tente continuellement de rétablir la connexion, le temps d'inactivité normal du tunnel IPSec est inférieur à une minute. Cette conception permet à Oracle de maintenir un équilibre entre la sécurité et la fiabilité du système tout en minimisant les perturbations de la connectivité. Parfois, la restauration du tunnel IPSec peut prendre jusqu'à 10 minutes :

  • Lorsque le tunnel est défini en tant que répondeur uniquement côté OCI et que le CPE n'essaie pas de le mettre en service immédiatement
  • Lorsque le CPE ne répond pas à la négociation IKE démarrée par le côté OCI

Bien que le volet de tunnel IPSec pendant les mises à jour logicielles soit inévitable, OCI fournit des tunnels redondants. Ces tunnels redondants sont conçus pour maintenir un flux de trafic continu, même pendant la courte période pendant laquelle un tunnel subit un temps d'arrêt. Si la redondance a été configurée correctement, tout le trafic acheminé via le tunnel principal passe de manière transparente au tunnel redondant pendant un volet de tunnel. Ce mécanisme de basculement garantit que les services restent ininterrompus et que le flux de trafic est préservé sans retards importants. OCI garantit que les tunnels redondants atterrissent sur deux têtes de réseau VPN distinctes. Lors de nos mises à jour logicielles, un seul tunnel est affecté à la fois.

Nous vous recommandons et prévoyons de tester la redondance en supprimant le tunnel VPN principal, à la fois lors de la configuration initiale et à une fréquence régulière par la suite. Confirmez que les instances VCN restent accessibles pendant que le tunnel principal est hors ligne et que le trafic passe au tunnel redondant. La section Redondance VPN du présent guide de redondance fournit des informations supplémentaires sur la configuration de la redondance pour les tunnels VPN dans différents cas d'emploi.

Vous pouvez utiliser les étapes suivantes pour désactiver temporairement un tunnel vous-même afin de tester le basculement de redondance d'un tunnel IPSec principal vers un tunnel IPSec secondaire :

  1. Accédez à la page de détails du tunnel comme décrit dans Mise à jour d'un tunnel IPSec et modifiez la clé secrète partagée.
  2. Pour désactiver temporairement un tunnel :
    1. Coupez le texte dans le champ secret partagé et remplacez-le par quelques lettres ou chiffres aléatoires. Cela entraîne l'arrêt de la session BGP et le basculement du trafic vers l'autre tunnel. Ce champ ne peut pas être vide.
      Collez la chaîne d'origine dans le champ de clé secrète partagée dans un fichier texte. Vous devez le faire pour rétablir la session BGP après avoir vérifié que la redondance fonctionne comme prévu.
    2. Sélectionnez Enregistrer les modifications.
    3. Vérifiez que le trafic circule toujours sur le tunnel IPSec secondaire de la connexion.
  3. Pour restaurer un tunnel temporairement désactivé :
    1. Accédez à la page de détails du tunnel comme décrit dans Mise à jour d'un tunnel IPSec et modifiez la clé secrète partagée.
    2. Collez le texte d'origine dans le champ secret partagé.
    3. Sélectionnez Enregistrer les modifications.
    4. Attendez que la session BGP soit rétablie.