Documentazione dell'infrastruttura Oracle Cloud

Aggiornamento di un tunnel IPSec

Modificare le impostazioni per un tunnel IPSec in una connessione IPSec.

Impossibile creare un tunnel IPSec senza creare una connessione IPSec.

Quando si modificano gli attributi del tunnel, ad esempio il tipo di instradamento (instradamento dinamico BGP, instradamento statico o basato su criteri), è possibile tenere presente quanto riportato di seguito.

  • Se si modifica il tipo di instradamento del tunnel o la configurazione della sessione BGP, il tunnel diventa inattivo durante il processo di provisioning.

  • Se si passa a routing del tunnel da STATIC a BGP, assicurarsi che gli attributi di configurazione della sessione BGP del tunnel siano stati impostati.

  • Se si passa a routing del tunnel da BGP a STATIC, assicurarsi che la connessione IPSec disponga già di almeno un instradamento statico CIDR valido.

    1. Nella pagina elenco VPN da sito a sito, selezionare la connessione IPSec che contiene il tunnel che si desidera utilizzare. Se è necessaria assistenza per la ricerca della pagina elenco o della connessione IPSec, vedere Elenco delle connessioni IPSec.
    2. Nella pagina dei dettagli eseguire una delle azioni riportate di seguito a seconda dell'opzione visualizzata.
      • Selezionare la scheda Tunnel.
      • Scorrere fino alla tabella seguendo i dettagli di connessione IPSec, in cui sono elencati i tunnel IPSec nella connessione IPSec.
    3. Trovare il tunnel nella lista Tunnel, selezionare il menu Azioni (tre punti) corrispondente, quindi selezionare Modifica.
      1. Aggiornare le impostazioni in base alle esigenze. Evitare di fornire informazioni riservate. Per una descrizione delle impostazioni, vedere Creazione di una connessione IPSec.
      2. Selezionare Salva modifiche.
    4. Per modificare il segreto condiviso di un tunnel, eseguire una delle azioni riportate di seguito a seconda dell'opzione visualizzata.
      • Accanto a Segreto condiviso nella scheda Dettagli tunnel, selezionare il menu Azioni (tre punti), quindi selezionare Modifica. Apportare le modifiche, quindi selezionare Salva modifiche.
      • Accanto a Segreto condiviso nella scheda Informazioni tunnel, selezionare Modifica. Apportare le modifiche, quindi selezionare Salva modifiche.
    5. Per modificare un tunnel dall'instradamento statico all'instradamento dinamico BGP:
      Attenzione

      Quando si modifica il tipo di instradamento di un tunnel, lo stato IPSec del tunnel non cambia durante il provisioning. Tuttavia, l'instradamento attraverso il tunnel è interessato. Il traffico viene temporaneamente interrotto fino a quando un tecnico di rete non configura il dispositivo CPE in base alla modifica del tipo di instradamento. Se una VPN da sito a sito esistente è configurata per utilizzare un solo tunnel, questo processo interrompe la connessione a Oracle. Se una VPN da sito a sito utilizza invece diversi tunnel, si consiglia di riconfigurare un tunnel alla volta per evitare di interrompere la connessione a Oracle.

      Leggi l'instradamento per la VPN da sito a sito e raccogli le informazioni di instradamento BGP necessarie:

      • L'ASN della rete. L'ASN BGP di Oracle per il cloud commerciale è 31898, ad eccezione dell'area centrale della Serbia (Jovanovac) che è 14544. Per il cloud governativo, consulta l'ASN BGP di Oracle.
      • Per ogni tunnel: l'indirizzo IP BGP per ogni estremità del tunnel (i due indirizzi per un particolare tunnel devono essere una coppia da una subnet /30 o /31, e devono far parte del dominio di crittografia VPN da sito a sito)
      1. Per ogni tunnel della connessione IPSec, modificare le seguenti impostazioni, quindi selezionare Salva modifiche.
        • Tipo di instradamento: selezionare Instradamento dinamico BGP.
        • ASN BGP: immettere l'ASN BGP della rete.
        • Interfaccia tunnel interna - CPE: immettere l'indirizzo IP BGP con maschera di sottorete ( /30 o /31) per l'estremità CPE del tunnel. Ad esempio: 10.0.0.16/31.
        • Interfaccia tunnel interna - Oracle: immettere l'indirizzo IP BGP con maschera di sottorete ( /30 o /31) per l'estremità Oracle del tunnel. Ad esempio: 10.0.0.17/31.

        Lo stato BGP del tunnel diventa inattivo.

      2. Sul lato on premise della connessione, confermare che la sessione BGP del tunnel si trova in uno stato stabilito. In caso contrario, assicurarsi che la configurazione degli indirizzi IP per il tunnel sia corretta nella console di Oracle e anche per il dispositivo CPE.
      3. Verificare che lo stato BGP del tunnel sia ora attivo nella console Oracle.
      4. Conferma che il dispositivo CPE sta tracciando percorsi di apprendimento da Oracle e che il dispositivo CPE sta inserendo percorsi pubblicitari verso Oracle. Per riconvertire gli instradamenti Oracle da BGP alla rete on premise, assicurarsi che il dispositivo CPE sia configurato per accettarlo. Un criterio esistente per pubblicizzare gli instradamenti statici a una rete in locale potrebbe non funzionare per gli instradamenti appresi BGP.
      5. Esegue il ping dell'indirizzo IP BGP Oracle da un lato della connessione per confermare che il traffico scorre.
      6. Dopo aver confermato che il primo tunnel è attivo e in esecuzione con BGP, ripetere il processo per il secondo tunnel.
        Importante

        Come indicato in Instradamento per VPN da sito a sito, gli instradamenti statici ancora configurati per la connessione IPSec complessiva non sostituiscono l'instradamento BGP. Tali instradamenti statici vengono ignorati quando Oracle instrada il traffico attraverso un tunnel configurato per utilizzare BGP.

        Inoltre, è possibile ripristinare l'instradamento statico del tipo di instradamento di un tunnel. È possibile eseguire questa operazione se la finestra del tempo di inattività pianificato per il dispositivo CPE sta per terminare a breve e si verificano problemi durante la creazione della sessione BGP. Quando si torna all'instradamento statico, assicurarsi che per la connessione IPSec globale siano ancora configurati gli instradamenti statici appropriati.

    6. Per modificare i tunnel esistenti basati su instradamento per utilizzare l'instradamento basato su criteri:
      1. Per Tipo di ciclo, selezionare Ciclo di produzione basato su criteri. Questa opzione presenta un'opzione di configurazione aggiuntiva per le associazioni.
      2. Le associazioni configurano tutti i domini di cifratura pertinenti. Ogni voce in blocchi CIDR in locale genera un dominio di cifratura con tutte le voci possibili configurate in blocchi CIDR di Oracle Cloud.

        Per ulteriori informazioni, vedere Domini di cifratura per i tunnel basati su criteri.

      3. Per i blocchi CIDR on-premise aggiungere tutti i blocchi CIDR on-premise che richiedono la connettività a OCI nel tunnel IPSec.
      4. Per i blocchi CIDR di Oracle Cloud aggiungere tutti i blocchi CIDR OCI che devono essere raggiungibili dalla rete on-premise.
      5. I valori per IPv4 all'interno dell'interfaccia tunnel - CPE e IPv4 all'interno dell'interfaccia tunnel - Oracle possono essere conservati quando si modifica il tipo di instradamento del tunnel. Non sono necessarie modifiche per questi valori.
      6. Selezionare Salva modifiche.
      7. Tornare alla connessione IPSec padre e ripetere il processo per l'altro tunnel IPSec.

  • Utilizzare il comando network ip-sec-tunnel update e i parametri necessari per aggiornare le impostazioni per un tunnel IPSec.

    oci network ip-sec-tunnel update --ipsc-id ipsec-ocid --tunnel-id tunnel-ocid ... [OPTIONS]

    Utilizzare il comando network ip-sec-psk update e i parametri necessari per aggiornare il segreto condiviso (chiave precondivisa) per il tunnel specificato:

    oci network ip-sec-psk update --ipsc-id ipsec-ocid --tunnel-id tunnel-ocid ... [OPTIONS]

    Per un elenco completo dei parametri e dei valori per i comandi CLI, consultare il manuale CLI Command Reference.

  • Eseguire l'operazione UpdateIPSecConnectionTunnel per aggiornare le impostazioni di un tunnel IPSec.

    Eseguire l'operazione UpdateIPSecConnectionTunnelSharedSecret per aggiornare il segreto condiviso (chiave precondivisa) per un tunnel specificato.