Documentazione dell'infrastruttura Oracle Cloud

Utilizzo della VPN da sito a sito

Questo argomento contiene alcuni dettagli sull'utilizzo della VPN da sito a sito e dei relativi componenti. Inoltre, consulta gli argomenti seguenti:

Migrazione a VPN basata su criteri

Il servizio v2 VPN da sito a sito di Oracle Cloud Infrastructure supporta completamente le VPN IPSec basate su criteri con un massimo di 50 domini di cifratura per tunnel.

Per evitare potenziali interruzioni del traffico, se è stata eseguita la migrazione dal servizio VPN v1 da sito a sito alla VPN da sito a sito v2 e si è configurato un CPE con diversi domini di cifratura, modificare le configurazioni del tunnel sul lato OCI della connessione in modo che corrispondano alla configurazione CPE. Questo articolo spiega perché questa modifica è così importante e i passi necessari per configurare OCI in modo che utilizzi VPN IPSec basate su criteri.

Perché eseguire la migrazione alla funzione VPN basata su criteri

Il servizio VPN v1 Site-to-Site è sempre configurato come VPN basata su instradamento e utilizza un dominio di cifratura qualsiasi/qualsiasi per i tipi di instradamento sia BGP che statico. Per l'interoperabilità VPN basata su criteri, la VPN da sito a sito v1 supporta un CPE configurato per le VPN basate su criteri se il CPE funge da responsabile avvio e viene inviato a OCI un solo dominio di cifratura. La configurazione di più domini di cifratura in questo scenario determina l'instabilità del tunnel in cui è possibile osservare il flapping del tunnel o che il traffico che attraversa il tunnel ha una raggiungibilità instabile.

Il servizio v2 VPN da sito a sito utilizza un'opzione di tipo di instradamento basata su criteri oltre ai tipi di instradamento BGP e statico. I tipi di instradamento BGP e statico della VPN da sito a sito v2 rimangono basati su instradamenti e supportano un singolo dominio di cifratura qualsiasi o qualsiasi. Queste opzioni funzionano con una singola configurazione CPE basata su criteri del dominio di cifratura, ma ciò non è consigliato e l'invio di più domini di cifratura determina instabilità del tunnel.

Il tipo di instradamento basato su criteri disponibile per la VPN da sito a sito v2 è una VPN basata su criteri completamente caratterizzata che consente di configurare il lato OCI in modo che corrisponda completamente alla configurazione basata su criteri di un CPE e di accettare tutte le singole associazioni di sicurezza (SA) necessarie per un tunnel IPSec VPN stabile.

Per ulteriori informazioni sui domini di cifratura e sui diversi tipi di tunnel IPSec VPN, vedere Dominio di cifratura supportato o ID proxy.

Dopo aver eseguito la migrazione dei tunnel dalla VPN da sito a sito v1 alla v2, continuano a utilizzare lo stesso tipo di instradamento (BGP o statico) configurato prima della migrazione. In questa sezione viene descritto il processo dettagliato per modificare i tunnel basati su instradamento esistenti in modo da utilizzare l'instradamento basato su criteri.

  1. Collegarsi a OCI Console.
  2. Aprire il menu di navigazione e selezionare Networking. In Connettività cliente, selezionare VPN Site-to-Site.
  3. Selezionare la connessione IPSec i cui tunnel devono essere modificati per utilizzare l'instradamento basato su criteri.
  4. I tunnel vengono elencati nei dettagli per la connessione IPSec e viene visualizzato il tipo di instradamento per ogni tunnel. Il tipo di instradamento viene elencato come instradamento dinamico BGP o come instradamento statico. Selezionare il nome del tunnel per visualizzarne i dettagli.
  5. Selezionare Modifica per modificare le impostazioni del tunnel che si sta visualizzando.
  6. In Tipo di instradamento selezionare la casella per l'instradamento basato su criteri. Questa opzione presenta un'opzione di configurazione aggiuntiva per le associazioni.
  7. In Associazioni configurare tutti i domini di cifratura rilevanti. Ogni voce in Blocchi CIDR in locale genera un dominio di cifratura con tutte le possibili voci configurate in Blocchi CIDR di Oracle Cloud.

    Per ulteriori informazioni, vedere Domini di cifratura per tunnel basati su criteri.

    1. Per i blocchi CIDR on premise, aggiungere tutti i blocchi CIDR on premise che richiedono la connettività a OCI tramite il tunnel IPSec.
    2. Per i blocchi CIDR di Oracle Cloud aggiungere tutti i blocchi CIDR OCI che devono essere raggiungibili dalla rete on premise.
  8. I valori per IPv4 Inside Tunnel Interface - CPE e IPv4 Inside Tunnel Interface - Oracle possono essere conservati quando si modifica il tipo di instradamento del tunnel. Nessuna modifica richiesta per questi valori.
  9. Selezionare Salva modifiche.
  10. Tornare alla connessione IPSec padre e ripetere il processo per l'altro tunnel IPSec.

Visualizzazione dello stato e della configurazione del tunnel

Quando si crea correttamente la connessione IPSec, Oracle produce importanti informazioni di configurazione per ciascuno dei tunnel IPSec risultanti. Per un esempio, vedere task 2h nel processo di impostazione generale. È possibile visualizzare tali informazioni e lo stato dei tunnel in qualsiasi momento. Include lo stato BGP se il tunnel è configurato per utilizzare l'instradamento dinamico BGP.

Per visualizzare le informazioni sullo stato e la configurazione per i tunnel IPSec
  1. Aprire il menu di navigazione e selezionare Networking. In Connettività cliente, selezionare VPN Site-to-Site.

    Viene visualizzata la lista delle connessioni IPSec nel compartimento che si sta visualizzando. Se il criterio che si sta cercando non viene visualizzato, verificare che si stia visualizzando il compartimento corretto. Per visualizzare i criteri collegati a un compartimento diverso, in Ambito lista selezionare tale compartimento dalla lista.

  2. Selezionare la connessione IPSec a cui si è interessati.

    Vengono visualizzati i dettagli di ciascun tunnel, inclusi lo stato IPSec, lo stato BGP (se il tunnel utilizza l'instradamento dinamico BGP) e l'indirizzo IP VPN Oracle (headend VPN).

  3. Per visualizzare il segreto condiviso di un tunnel, effettuare le operazioni riportate di seguito.
    1. Seleziona il tunnel che ti interessa.
    2. Accanto al campo Segreto condiviso, selezionare Mostra.
  4. Per visualizzare i percorsi BGP pubblicizzati e ricevuti di un tunnel (incluso il percorso AS per ogni percorso):
    1. Seleziona il tunnel che ti interessa.
    2. In Risorse, selezionare Routi BGP ricevuti o Routi BGP pubblicati.

Uso dell'applicazione di supporto per la configurazione CPE

Dopo aver impostato la VPN da sito a sito, un tecnico di rete deve configurare il CPE (Customer-premise Equipment) all'estremità on premise della connessione. La configurazione include dettagli sulla rete cloud virtuale (VCN) e sui tunnel IPSec nella VPN da sito a sito. L'applicazione di supporto per la configurazione CPE genera le informazioni per il tecnico di rete. Per ulteriori informazioni, vedere Utilizzo dell'applicazione di supporto per la configurazione CPE.

Modifica degli instradamenti statici

È possibile modificare gli instradamenti statici per una connessione IPSec esistente. È possibile fornire fino a 10 instradamenti statici.

Tenere presente che una connessione IPSec può utilizzare l'instradamento statico o l'instradamento dinamico BGP. Gli instradamenti statici vengono associati alla connessione IPSec complessiva e non ai singoli tunnel. Se a una connessione IPSec sono associati instradamenti statici, Oracle li utilizza per l'instradamento del traffico di un tunnel solo se il tunnel stesso è configurato per utilizzare l'instradamento statico. Se è configurato per utilizzare l'instradamento dinamico BGP, gli instradamenti statici della connessione IPSec vengono ignorati.

Importante

La connessione IPSec non è attiva mentre viene eseguito il provisioning con le modifiche dell'instradamento statico.
Per modificare gli instradamenti statici
  1. Aprire il menu di navigazione e selezionare Networking. In Connettività cliente, selezionare VPN Site-to-Site.

    Viene visualizzata la lista delle connessioni IPSec nel compartimento che si sta visualizzando. Se il criterio che si sta cercando non viene visualizzato, verificare che si stia visualizzando il compartimento corretto. Per visualizzare i criteri collegati a un compartimento diverso, in Ambito lista selezionare tale compartimento dalla lista.

  2. Per la connessione IPSec a cui si è interessati, selezionare il menu Azioni Menu Azioni, quindi Modifica.

    Vengono visualizzati gli instradamenti statici correnti.

  3. Apportare le modifiche e selezionare Salva modifiche.

Modifica dell'identificativo CPE IKE utilizzato da Oracle

Se il CPE si trova dietro un dispositivo NAT, potrebbe essere necessario fornire a Oracle l'identificativo CPE IKE. È possibile specificarla quando si crea la connessione IPSec oppure modificare la connessione IPSec in un secondo momento e modificare il valore. Oracle prevede che il valore sia un indirizzo IP o un nome di dominio completamente qualificato (FQDN). Quando si specifica il valore, si specifica anche il tipo.

Importante

La connessione IPSec viene disattivata mentre viene eseguito il provisioning per utilizzare l'identificativo CPE IKE.
Per modificare l'identificativo CPE IKE utilizzato da Oracle
  1. Aprire il menu di navigazione e selezionare Networking. In Connettività cliente, selezionare VPN Site-to-Site.

    Viene visualizzata la lista delle connessioni IPSec nel compartimento che si sta visualizzando. Se il criterio che si sta cercando non viene visualizzato, verificare che si stia visualizzando il compartimento corretto. Per visualizzare i criteri collegati a un compartimento diverso, in Ambito lista selezionare tale compartimento dalla lista.

  2. Per la connessione IPSec a cui si è interessati, selezionare il menu Azioni Menu Azioni, quindi Modifica.

    L'identificativo CPE IKE corrente utilizzato da Oracle viene visualizzato nella parte inferiore della finestra di dialogo.

  3. Immettere i nuovi valori per Tipo di identificativo CPE IKE e Identificativo CPE IKE, quindi selezionare Salva modifiche.

Uso di IKEv2

Oracle supporta Internet Key Exchange (IKE) versione 1 e versione 2 (IKEv2).

Per utilizzare IKEv2 con un CPE che lo supporta, è necessario:

  • Configurare ogni tunnel IPSec in modo che utilizzi IKEv2 nella console Oracle. Vedere le procedure seguenti.
  • Configurare il CPE in modo che utilizzi i parametri di cifratura IKEv2 supportati dal CPE. Per un elenco dei parametri supportati da Oracle, vedere Parametri IPSec supportati.
Nuova connessione IPSec: utilizzo di IKEv2
Nota

Se si crea manualmente una nuova connessione IPSec, è possibile specificare IKEv2 quando si crea la connessione IPSec nella console Oracle. Vedi la procedura che segue immediatamente.

Se invece si utilizza il workflow di avvio rapido VPN, la connessione IPSec viene configurata per utilizzare solo IKEv1. Una volta completato il workflow, è tuttavia possibile modificare i tunnel IPSec risultanti nella console Oracle e modificarli in modo che utilizzino IKEv2.

Per impostare manualmente una nuova connessione IPSec che utilizza IKEv2:

  1. Durante la creazione della connessione IPSec nella Oracle Console, nella sezione Opzioni avanzate selezionare la scheda Tunnel 1.
  2. Nel menu Versione IKE, selezionare IKEv2.
  3. Ripetere i passi precedenti per la scheda Tunnel 2.
  4. Successivamente, durante la configurazione del CPE, configurarlo in modo che utilizzi solo i parametri di cifratura IKEv2 e IKEv2 correlati supportati dal CPE.
Connessione IPSec esistente: aggiornamento a IKEv2
Importante

Si consiglia di eseguire il processo seguente per un tunnel alla volta per evitare interruzioni in una connessione IPSec. Se la connessione non è ridondante (ad esempio, non dispone di tunnel ridondanti), prevedere tempi di inattività durante l'aggiornamento a IKEv2.
  1. Modificare la versione IKE del tunnel nella console Oracle:
    1. Aprire il menu di navigazione e selezionare Networking. In Connettività cliente, selezionare VPN Site-to-Site.
    2. Selezionare la connessione IPSec a cui si è interessati.
    3. Selezionare il tunnel per visualizzarne i dettagli.
    4. Selezionare Modifica.
    5. Nel menu Versione IKE, selezionare IKEv2.
    6. Selezionare Salva modifiche.
  2. Aggiornare la configurazione CPE per il tunnel in modo che utilizzi IKEv2 e i parametri di cifratura correlati supportati dal CPE. Per un elenco dei parametri supportati da Oracle, vedere Parametri IPSec supportati.
  3. Se le associazioni di sicurezza non hanno eseguito immediatamente la rekey, forzare una rekey per il tunnel nel CPE. Per fare ciò, cancellare le associazioni di sicurezza di fase 1 e fase 2 e non aspettare che scadano. Alcuni dispositivi CPE attendono la scadenza delle SA prima di eseguire di nuovo la chiave di volta. La forzatura della chiave di volta consente di confermare immediatamente che la configurazione della versione IKE è corretta.
  4. Per verificare, assicurarsi che le associazioni di sicurezza per la chiave di volta del tunnel siano corrette. In caso contrario, verificare che la versione IKE corretta sia impostata nella console Oracle e nel CPE e che il CPE utilizzi i parametri appropriati.

Dopo aver confermato che il primo tunnel è nuovamente attivo, ripetere i passi precedenti per il secondo tunnel.

Modifica del segreto condiviso utilizzato da un tunnel IPSec

Quando si imposta la VPN da sito a sito, per impostazione predefinita Oracle fornisce il segreto condiviso di ogni tunnel (chiamato anche chiave precondivisa). È possibile che si disponga di un segreto condiviso specifico che si desidera utilizzare al suo posto. È possibile specificare il segreto condiviso di ogni tunnel quando si crea la connessione IPSec oppure è possibile modificare i tunnel e fornire ogni nuovo segreto condiviso. Per il segreto condiviso, sono consentiti solo numeri, lettere e spazi. Si consiglia di utilizzare un segreto condiviso diverso per ogni tunnel.

Importante

Quando si modifica il segreto condiviso di un tunnel, sia la connessione IPSec complessiva che il tunnel passano allo stato Provisioning mentre il tunnel viene rieseguito con il nuovo segreto condiviso. L'altro tunnel nella connessione IPSec rimane nello stato Disponibile. Tuttavia, mentre viene eseguito il provisioning del primo tunnel, non è possibile modificare la configurazione del secondo tunnel.
Per modificare il segreto condiviso utilizzato da un tunnel IPSec
  1. Aprire il menu di navigazione e selezionare Networking. In Connettività cliente, selezionare VPN Site-to-Site.

    Viene visualizzata la lista delle connessioni IPSec nel compartimento che si sta visualizzando. Se il criterio che si sta cercando non viene visualizzato, verificare che si stia visualizzando il compartimento corretto. Per visualizzare i criteri collegati a un compartimento diverso, in Ambito lista selezionare tale compartimento dalla lista.

  2. Selezionare la connessione IPSec a cui si è interessati.
  3. Seleziona il tunnel che ti interessa.
  4. Accanto al campo Segreto condiviso, selezionare Modifica.
  5. Immettere un nuovo valore. Sono consentiti solo numeri, lettere e spazi.
  6. Selezionare Salva modifiche.

Passaggio dall'instradamento statico all'instradamento dinamico BGP

Per modificare una VPN Site-to-Site esistente dall'utilizzo dell'instradamento statico all'utilizzo dell'instradamento dinamico BGP, attenersi alla procedura descritta in questa sezione.

Attenzione

Quando si modifica il tipo di instradamento di un tunnel, lo stato IPSec del tunnel non cambia durante il riesecuzione del provisioning. Tuttavia, il routing attraverso il tunnel è interessato. Il traffico viene temporaneamente interrotto fino a quando un tecnico di rete non configura il dispositivo CPE in base alla modifica del tipo di instradamento. Se una VPN da sito a sito esistente è configurata per utilizzare solo un singolo tunnel, questo processo interrompe la connessione a Oracle. Se invece una VPN da sito a sito utilizza diversi tunnel, si consiglia di riconfigurare un tunnel alla volta per evitare di interrompere la connessione a Oracle.
Per passare dall'instradamento statico all'instradamento dinamico BGP

Requisiti indispensabili:

  • Leggi il Routing for Site-to-Site VPN

  • Raccogliere le informazioni necessarie sull'instradamento BGP:

    • ASN della rete. L'ASN BGP di Oracle per il cloud commerciale è 31898, ad eccezione dell'area centrale della Serbia (Jovanovac), che è 14544. Per Government Cloud, consulta ASN BGP di Oracle.
    • Per ogni tunnel: l'indirizzo IP BGP per ogni estremità del tunnel (i due indirizzi per un determinato tunnel devono essere una coppia da una subnet /30 o /31 e devono far parte del dominio di cifratura VPN da sito a sito)

Ripetere il processo seguente per ogni tunnel nella connessione IPSec:

  1. Riconfigurare il tipo di instradamento del tunnel dall'instradamento statico all'instradamento dinamico BGP:

    1. Aprire il menu di navigazione e selezionare Networking. In Connettività cliente, selezionare VPN Site-to-Site.

    2. Selezionare la connessione IPSec a cui si è interessati.

      Vengono elencati i tunnel e viene visualizzato lo stato di ciascun tunnel. Quando lo stato BGP del tunnel a cui si è interessati mostra solo un trattino (nessun valore) che indica che il tunnel è configurato per utilizzare l'instradamento statico.

    3. Selezionare il tunnel per visualizzarne tutti i dettagli.
    4. Selezionare Modifica.

    5. Procedere come segue:

      • Tipo di instradamento: selezionare il pulsante di opzione per Instradamento dinamico BGP.
      • ASN BGP: immettere l'ASN BGP della rete.
      • Interfaccia tunnel interna - CPE: immettere l'indirizzo IP BGP con la subnet mask ( /30 o /31) per l'estremità CPE del tunnel. Ad esempio: 10.0.0.16/31.
      • Interfaccia tunnel interna - Oracle: immettere l'indirizzo IP BGP con la subnet mask ( /30 o /31) per l'estremità Oracle del tunnel. Ad esempio: 10.0.0.17/31.
    6. Selezionare Salva modifiche.

    Lo stato BGP del tunnel viene impostato su Inattivo.

  2. Richiedere a un tecnico di rete di aggiornare la configurazione del tunnel del dispositivo CPE per utilizzare il protocollo BGP.
  3. Sul lato on premise della connessione, confermare che la sessione BGP del tunnel è in uno stato stabilito. In caso contrario, assicurarsi che la configurazione degli indirizzi IP per il tunnel sia corretta nella console Oracle e anche per il dispositivo CPE.
  4. Nella console Oracle, confermare che lo stato BGP del tunnel è ora attivo.
  5. Verifica che il dispositivo CPE stia imparando gli instradamenti da Oracle e che il dispositivo CPE stia pubblicando gli instradamenti a Oracle. Per ripubblicare gli instradamenti Oracle da BGP alla rete in locale, assicurarsi che il dispositivo CPE sia configurato per accettarlo. Un criterio esistente per pubblicizzare gli instradamenti statici a una rete in locale potrebbe non funzionare per gli instradamenti appresi in BGP.
  6. Ping dell'indirizzo IP BGP Oracle da un lato della connessione per confermare che il traffico scorre.

Dopo aver confermato che il primo tunnel è attivo e funzionante con BGP, ripetere il processo per il secondo tunnel.

Importante

Come indicato in Instradamento per VPN da sito a sito, gli instradamenti statici ancora configurati per la connessione IPSec complessiva non eseguono l'override dell'instradamento BGP. Tali instradamenti statici vengono ignorati quando Oracle instrada il traffico attraverso un tunnel configurato per l'uso di BGP.

È inoltre possibile ripristinare il routing statico per il tipo di instradamento di un tunnel. È possibile eseguire questa operazione se la finestra del tempo di inattività pianificato per il dispositivo CPE terminerà a breve e si riscontrano problemi durante la creazione della sessione BGP. Quando si torna al routing statico, assicurarsi che nella connessione IPSec complessiva siano ancora configurati gli instradamenti statici appropriati.

Monitoraggio della VPN da sito a sito

Puoi monitorare lo stato, la capacità e le prestazioni delle risorse Oracle Cloud Infrastructure utilizzando metriche, allarmi e notifiche. Per ulteriori informazioni vedere Monitoraggio e Notifiche.

Per informazioni sul monitoraggio di una connessione, vedere Metriche VPN da sito a sito.

Visualizzazione dei messaggi di log VPN da sito a sito

È possibile visualizzare i messaggi di log generati per vari aspetti operativi della VPN da sito a sito, ad esempio le negazioni che si verificano durante l'attivazione di un tunnel IPSec. L'abilitazione e l'accesso ai messaggi di log VPN da sito a sito possono essere eseguiti utilizzando la VPN da sito a sito o il servizio di log.

  • Per una panoramica generale del servizio Logging, vedere Panoramica del log.
  • Per informazioni dettagliate sull'abilitazione e l'accesso ai messaggi di log VPN da sito a sito mediante il servizio di log, vedere Log dei servizi.

  • Per i dettagli sullo schema dei messaggi di log VPN da sito a sito, vedere Dettagli per la VPN da sito a sito.

Per abilitare la registrazione dei messaggi
  1. Aprire il menu di navigazione e selezionare Networking. In Connettività cliente, selezionare VPN Site-to-Site.

  2. Viene visualizzata la lista delle connessioni IPSec nel compartimento che si sta visualizzando. Se il criterio che si sta cercando non viene visualizzato, verificare che si stia visualizzando il compartimento corretto. Per visualizzare i criteri collegati a un compartimento diverso, in Ambito lista selezionare tale compartimento dalla lista.

  3. Per la connessione IPSec a cui si è interessati, selezionare il nome della connessione.

    Viene visualizzata la pagina dei dettagli della connessione.

  4. Sul lato sinistro della schermata in Risorse, selezionare Log.

    Se questa opzione non viene visualizzata, la connessione dispone del tipo v1 VPN da sito a sito precedente. La registrazione dei messaggi richiede la VPN da sito a sito v2.

  5. Nella pagina dei dettagli Log, impostare il campo Abilita log su Abilitato. Viene visualizzata una nuova schermata.

    I dettagli delle opzioni nella schermata si trovano in Abilitazione del log per una risorsa. I log vengono gestiti allo stesso modo, indipendentemente dal tipo di risorsa che genera il log.

  6. Selezionare Abilita log.

Viene visualizzata la pagina dei dettagli del log e il log è in fase di creazione (viene visualizzato un messaggio di creazione del log).

Per visualizzare i messaggi di log

Per visualizzare il log dei messaggi è necessario avere già abilitato il log. Per visualizzare il log dei messaggi:

  1. Aprire il menu di navigazione e selezionare Networking. In Connettività cliente, selezionare VPN Site-to-Site.

  2. Viene visualizzata la lista delle connessioni IPSec nel compartimento che si sta visualizzando. Se il criterio che si sta cercando non viene visualizzato, verificare che si stia visualizzando il compartimento corretto. Per visualizzare i criteri collegati a un compartimento diverso, in Ambito lista selezionare tale compartimento dalla lista.

  3. Sul lato sinistro della schermata in Risorse, selezionare Log.

    Se questa opzione non viene visualizzata, la connessione dispone del tipo v1 VPN da sito a sito precedente. La registrazione dei messaggi richiede la VPN da sito a sito v2.

  4. Selezionare il Nome log del log a cui si è interessati. Viene aperta una nuova scheda del browser che mostra il log richiesto.

Per ulteriori informazioni sull'utilizzo della schermata di log, vedere Recupero dei dettagli di un log.

Disabilitazione o interruzione della VPN da sito a sito

Per disabilitare la VPN da sito a sito tra una rete in locale e una VCN, è possibile scollegare il gateway DRG dalla VCN anziché eliminare la connessione IPSec. Se si utilizza anche il gateway DRG con FastConnect, anche lo scollegamento del gateway DRG interromperà il flusso di traffico su FastConnect.

È possibile eliminare la connessione IPSec. Tuttavia, se in seguito si desidera ristabilirlo, un tecnico di rete deve configurare di nuovo il dispositivo CPE con un nuovo set di informazioni di configurazione del tunnel di Oracle.

Per eliminare definitivamente la VPN da sito a sito, è necessario prima terminare la connessione IPSec. È quindi possibile eliminare l'oggetto CPE. Se non stai utilizzando il gateway DRG per un'altra connessione a una rete in locale, puoi scollegarlo dalla rete VCN ed eliminarlo.

Per eliminare una connessione IPSec
  1. Aprire il menu di navigazione e selezionare Networking. In Connettività cliente, selezionare VPN Site-to-Site.

    Viene visualizzata la lista delle connessioni IPSec nel compartimento che si sta visualizzando. Se il criterio che si sta cercando non viene visualizzato, verificare che si stia visualizzando il compartimento corretto. Per visualizzare i criteri collegati a un compartimento diverso, in Ambito lista selezionare tale compartimento dalla lista.

  2. Selezionare la connessione IPSec a cui si è interessati.
  3. Selezionare Termina.
  4. Confermare l'eliminazione quando richiesto.

La connessione IPSec si trova nello stato In fase di interruzione per un breve periodo durante l'eliminazione.

Per eliminare un oggetto CPE

Prerequisito: non deve esistere una connessione IPSec tra l'oggetto CPE e un DRG.

  1. Aprire il menu di navigazione e selezionare Networking. In Connettività cliente, selezionare Attrezzatura cliente-premise.

    Viene visualizzata la lista degli oggetti CPE nel compartimento che si sta visualizzando. Se il criterio che si sta cercando non viene visualizzato, verificare che si stia visualizzando il compartimento corretto. Per visualizzare i criteri collegati a un compartimento diverso, in Ambito lista selezionare tale compartimento dalla lista.

  2. Per l'oggetto CPE che si desidera eliminare, selezionare il menu Azioni Menu Azioni, quindi selezionare Elimina.
  3. Confermare l'eliminazione quando richiesto.

L'oggetto si trova nello stato di interruzione per un breve periodo durante l'eliminazione.

Gestione delle tag per una connessione IPSec o un oggetto CPE

Applica tag alle risorse per organizzarle in base alle esigenze aziendali. È possibile applicare le tag quando si crea una risorsa ed è possibile aggiornare una risorsa in un secondo momento per aggiungere, rivedere o rimuovere le tag. Per informazioni generali sull'applicazione delle tag, vedere Tag risorsa.

Per gestire le tag per una connessione IPSec

  1. Aprire il menu di navigazione e selezionare Networking. In Connettività cliente, selezionare VPN Site-to-Site.

    Viene visualizzata la lista delle connessioni IPSec nel compartimento che si sta visualizzando. Se il criterio che si sta cercando non viene visualizzato, verificare che si stia visualizzando il compartimento corretto. Per visualizzare i criteri collegati a un compartimento diverso, in Ambito lista selezionare tale compartimento dalla lista.

  2. Selezionare la connessione IPSec a cui si è interessati.
  3. Selezionare la scheda Tag per visualizzare o modificare le tag esistenti. In alternativa, selezionare Aggiungi tag per aggiungerne di nuove.
Per gestire le tag per un oggetto CPE
  1. Aprire il menu di navigazione e selezionare Networking. In Connettività cliente, selezionare Attrezzatura cliente-premise.

    Viene visualizzata la lista degli oggetti CPE nel compartimento che si sta visualizzando. Se il criterio che si sta cercando non viene visualizzato, verificare che si stia visualizzando il compartimento corretto. Per visualizzare i criteri collegati a un compartimento diverso, in Ambito lista selezionare tale compartimento dalla lista.

  2. Selezionare l'oggetto CPE a cui si è interessati.
  3. Selezionare la scheda Tag per visualizzare o modificare le tag esistenti. In alternativa, selezionare Applica tag per aggiungerne di nuovi.

Spostamento di una connessione IPSec o di un oggetto CPE in un altro compartimento

Puoi spostare le risorse da un compartimento a un altro. Dopo aver spostato la risorsa nel nuovo compartimento, i criteri intrinseci si applicano immediatamente e influiscono sull'accesso alla risorsa tramite la console. Lo spostamento dell'oggetto CPE in un altro compartimento non influisce sulla connessione tra un data center on premise e Oracle Cloud Infrastructure. Per ulteriori informazioni, vedere Utilizzo dei compartimenti.

Per spostare un oggetto CPE in un altro compartimento
  1. Aprire il menu di navigazione e selezionare Networking. In Connettività cliente, selezionare Attrezzatura cliente-premise.
  2. Trovare l'oggetto CPE nell'elenco, selezionare il menu Azioni Menu Azioni, quindi selezionare Sposta risorsa.
  3. Selezionare il compartimento di destinazione dalla lista.
  4. Selezionare Sposta risorsa.

Gestione dei tunnel IPSec

Per garantire la sicurezza, la stabilità e le prestazioni del nostro sistema, Oracle aggiorna regolarmente il software in tutta la piattaforma OCI. Questi aggiornamenti includono correzioni critiche come patch di vulnerabilità, nuove funzioni e correzioni di bug, che migliorano la funzionalità e l'affidabilità complessive. Durante il processo di aggiornamento, un tunnel IPSec viene spostato da un headend VPN a un altro headend, il che porta alla reimpostazione della connessione IPSec quando viene utilizzato un solo tunnel. Viene spostato un solo tunnel IPSec in una connessione IPSec. Anche se non possiamo prevenire questa breve interruzione del tunnel, abbiamo ottimizzato il meccanismo di aggiornamento per ridurre al minimo i tempi di inattività. Quando il CPE (Customer Premise Equipment) tenta continuamente di ristabilire la connessione, il tempo di inattività normale del tunnel IPSec è inferiore a un minuto. Questa struttura consente a Oracle di mantenere un equilibrio tra la sicurezza e l'affidabilità del sistema e la riduzione al minimo dell'interruzione della connettività. A volte il ripristino del tunnel IPSec può richiedere fino a 10 minuti:

  • Quando il tunnel è impostato come rispondente solo sul lato OCI e il CPE non sta tentando di attivare immediatamente il tunnel
  • Quando il CPE non risponde alla negoziazione IKE avviata dal lato OCI

Sebbene il flag del tunnel IPSec durante gli aggiornamenti software sia inevitabile, OCI fornisce tunnel ridondanti. Questi tunnel ridondanti sono progettati per mantenere un flusso di traffico continuo, anche durante il breve periodo in cui un tunnel subisce tempi di inattività. Se la ridondanza è stata impostata correttamente, tutto il traffico instradato attraverso il tunnel primario passa senza problemi al tunnel ridondante durante un lembo del tunnel. Questo meccanismo di failover garantisce che i servizi rimangano ininterrotti e che il flusso di traffico venga conservato senza ritardi significativi. OCI garantisce che i tunnel ridondanti vengano posizionati su due headend VPN distinti. Durante gli aggiornamenti software viene interessato solo un tunnel alla volta.

Consigliamo e prevediamo di testare la ridondanza eliminando il tunnel VPN primario, sia durante l'installazione iniziale che in seguito con cadenza regolare. Verificare che le istanze VCN rimangano raggiungibili mentre il tunnel primario è offline e che il traffico stia passando al tunnel ridondante. La sezione Ridondanza VPN in questa Guida alla ridondanza fornisce ulteriori informazioni sull'impostazione della ridondanza per i tunnel VPN in casi d'uso diversi.

È possibile utilizzare i passi riportati di seguito per disabilitare temporaneamente un tunnel per eseguire il test del failover della ridondanza da un tunnel IPSec primario a un tunnel IPSec secondario.

  1. Aprire il menu di navigazione e selezionare Networking. In Connettività cliente, selezionare VPN Site-to-Site.

    Viene visualizzata la lista delle connessioni IPSec nel compartimento che si sta visualizzando. Se il criterio che si sta cercando non viene visualizzato, verificare che si stia visualizzando il compartimento corretto. Per visualizzare i criteri collegati a un compartimento diverso, in Ambito lista selezionare tale compartimento dalla lista.

  2. Selezionare il nome della connessione IPSec a cui si è interessati.
    Vengono visualizzati i dettagli di ciascun tunnel, inclusi lo stato IPSec, lo stato BGP (se il tunnel utilizza l'instradamento dinamico BGP) e l'indirizzo IP VPN Oracle (headend VPN).
  3. Selezionare il nome del tunnel IPSec primario (o secondario).
  4. Per disabilitare temporaneamente un tunnel:
    1. Nella scheda Informazioni tunnel visualizzata, accanto al campo Segreto condiviso, selezionare Modifica.
    2. Tagliare il testo nel campo del segreto condiviso e sostituirlo con alcune lettere o numeri casuali. Ciò comporta l'interruzione della sessione BGP e il failover del traffico verso l'altro tunnel. Questo campo non può essere vuoto.
      Incollare la stringa originale nel campo del segreto condiviso in un file di testo. È necessario ripristinare la sessione BGP dopo aver confermato che la ridondanza funziona come previsto.
    3. Selezionare Salva modifiche.
    4. Verificare che il traffico continui a fluire sul tunnel IPSec secondario nella connessione.
  5. Per ripristinare un tunnel disabilitato temporaneamente, effettuare le operazioni riportate di seguito.
    1. Nella scheda Informazioni tunnel visualizzata, accanto al campo Segreto condiviso, selezionare Modifica.
    2. Incolla nel testo originale nel campo del segreto condiviso.
    3. Selezionare Salva modifiche.
    4. Attendere il ripristino della sessione BGP.

Utilizzo dell'API per la VPN da sito a sito

Queste sono le operazioni API del servizio di networking per la gestione dei componenti VPN da sito a sito.

Per informazioni sull'uso dell'API e delle richieste di firma, consulta la documentazione dell'API REST e le credenziali di sicurezza. Per informazioni sugli SDK, vedere SDK e l'interfaccia CLI.

Per gestire la VCN e le subnet, utilizzare le operazioni riportate di seguito.

Per gestire il DRG, utilizzare le operazioni riportate di seguito.

Per gestire l'instradamento per la VCN, utilizzare le operazioni riportate di seguito.

Per gestire gli elenchi di sicurezza per la VCN, utilizzare le operazioni riportate di seguito.

Per gestire i CPE, utilizzare le operazioni riportate di seguito.

Per gestire le connessioni IPSec, utilizzare le operazioni riportate di seguito.