Documentazione dell'infrastruttura Oracle Cloud

Utilizzo della VPN da sito a sito

Questo argomento contiene alcuni dettagli sull'utilizzo della VPN da sito a sito e dei relativi componenti. Inoltre, consulta gli argomenti seguenti:

Modifica degli instradamenti statici

È possibile modificare gli instradamenti statici per una connessione IPSec esistente. È possibile fornire fino a 10 instradamenti statici.

Tenere presente che una connessione IPSec può utilizzare un instradamento statico, un instradamento dinamico BGP o un instradamento basato su criteri. Quando si utilizza l'instradamento statico, è possibile associare gli instradamenti statici alla connessione IPSec complessiva e non ai singoli tunnel. Se a una connessione IPSec sono associati instradamenti statici, Oracle li utilizza per instradare il traffico di un tunnel solo se il tunnel stesso è configurato per utilizzare l'instradamento statico. Se è configurato per utilizzare l'instradamento dinamico BGP, gli instradamenti statici della connessione IPSec vengono ignorati.

Importante

La connessione IPSec non è attiva mentre viene eseguito il provisioning con le modifiche dell'instradamento statico.

Vedere Aggiornamento di una connessione IPSec per i passi necessari per modificare gli instradamenti statici.

Passaggio dall'instradamento statico all'instradamento dinamico BGP

Per modificare una VPN da sito a sito esistente utilizzando l'instradamento statico all'utilizzo dell'instradamento dinamico BGP, vedere Aggiornamento di un tunnel IPSec.

Attenzione

Quando si modifica il tipo di instradamento di un tunnel, lo stato IPSec del tunnel non cambia durante il riesecuzione del provisioning. Tuttavia, il routing attraverso il tunnel è interessato. Il traffico viene temporaneamente interrotto fino a quando un tecnico di rete non configura il dispositivo CPE in base alla modifica del tipo di instradamento. Se una VPN da sito a sito esistente è configurata per utilizzare solo un singolo tunnel, questo processo interrompe la connessione a Oracle. Se invece una VPN da sito a sito utilizza diversi tunnel, si consiglia di riconfigurare un tunnel alla volta per evitare di interrompere la connessione a Oracle.

Migrazione a VPN basata su criteri

Il servizio v2 VPN da sito a sito di Oracle Cloud Infrastructure supporta completamente le VPN IPSec basate su criteri con un massimo di 50 domini di cifratura per tunnel.

Per evitare potenziali interruzioni del traffico, se è stata eseguita la migrazione dal servizio VPN v1 da sito a sito alla VPN da sito a sito v2 e si è configurato un CPE con diversi domini di cifratura, modificare le configurazioni del tunnel sul lato OCI della connessione in modo che corrispondano alla configurazione CPE. Questo articolo spiega perché questa modifica è così importante e i passi necessari per configurare OCI in modo che utilizzi VPN IPSec basate su criteri.

Perché eseguire la migrazione alla funzione VPN basata su criteri

Il servizio VPN v1 Site-to-Site è sempre configurato come VPN basata su instradamento e utilizza un dominio di cifratura qualsiasi/qualsiasi per i tipi di instradamento sia BGP che statico. Per l'interoperabilità VPN basata su criteri, la VPN da sito a sito v1 supporta un CPE configurato per le VPN basate su criteri se il CPE funge da responsabile avvio e viene inviato a OCI un solo dominio di cifratura. La configurazione di più domini di cifratura in questo scenario determina l'instabilità del tunnel in cui è possibile osservare il flapping del tunnel o che il traffico che attraversa il tunnel ha una raggiungibilità instabile.

Il servizio v2 VPN da sito a sito utilizza un'opzione di tipo di instradamento basata su criteri oltre ai tipi di instradamento BGP e statico. I tipi di instradamento BGP e statico della VPN da sito a sito v2 rimangono basati su instradamenti e supportano un singolo dominio di cifratura qualsiasi o qualsiasi. Queste opzioni funzionano con una singola configurazione CPE basata su criteri del dominio di cifratura, ma ciò non è consigliato e l'invio di più domini di cifratura determina instabilità del tunnel.

Il tipo di instradamento basato su criteri disponibile per la VPN da sito a sito v2 è una VPN basata su criteri completamente caratterizzata che consente di configurare il lato OCI in modo che corrisponda completamente alla configurazione basata su criteri di un CPE e di accettare tutte le singole associazioni di sicurezza (SA) necessarie per un tunnel IPSec VPN stabile.

Per ulteriori informazioni sui domini di cifratura e sui diversi tipi di tunnel IPSec VPN, vedere Dominio di cifratura supportato o ID proxy.

Dopo la migrazione dei tunnel da Site-to-Site VPN v1 a v2, continuano a utilizzare lo stesso tipo di instradamento (BGP o statico) configurato prima della migrazione. Vedere il processo passo-passo per modificare i tunnel esistenti basati su instradamento in modo da utilizzare l'instradamento basato su criteri.

Vedere Aggiornamento di un tunnel IPSec per i passi specifici per la migrazione alla VPN basata su criteri.

Modifica dell'identificativo IKE CPE utilizzato da Oracle

Se il CPE si trova dietro un dispositivo NAT, potrebbe essere necessario fornire a Oracle l'identificativo CPE IKE. È possibile specificarla quando si crea la connessione IPSec oppure modificare la connessione IPSec in un secondo momento e modificare il valore. Oracle prevede che il valore sia un indirizzo IP o un nome di dominio completamente qualificato (FQDN). Quando si specifica il valore, si specifica anche il tipo.

Importante

La connessione IPSec viene disattivata mentre viene eseguito il provisioning per utilizzare l'identificativo CPE IKE.

Vedere Aggiornamento di una connessione IPSec per i passi necessari per modificare l'identificativo IKE CPE utilizzato da Oracle.

Utilizzo di IKEv2

Oracle supporta Internet Key Exchange (IKE) versione 1 e versione 2 (IKEv2).

Per utilizzare IKEv2 con un CPE che lo supporta, è necessario:

Aggiornamento di una connessione esistente IPSec a IKEv2

Importante

Si consiglia di eseguire il processo seguente per un tunnel alla volta per evitare interruzioni in una connessione IPSec. Se la connessione non è ridondante (ad esempio, non dispone di tunnel ridondanti), prevedere tempi di inattività durante l'aggiornamento a IKEv2.
  1. Modificare la versione IKE del tunnel nella console di Oracle per utilizzare IKEv2 e i parametri di cifratura correlati supportati dal CPE. Per un elenco dei parametri supportati da Oracle, vedere Parametri IPSec supportati.
  2. Se le associazioni di sicurezza non eseguono immediatamente la rekey, forzare una rekey per il tunnel sul CPE. Per fare questo, cancellare le associazioni di sicurezza di fase 1 e fase 2 e non aspettare che scadano. Alcuni dispositivi CPE attendono la scadenza degli SA prima di eseguire la nuova chiave. La forzatura della rekey consente di confermare immediatamente che la configurazione della versione IKE è corretta.
  3. Per verificare, assicurarsi che le associazioni di sicurezza per la chiave di volta del tunnel siano corrette. In caso contrario, verificare che la versione IKE corretta sia impostata nella console Oracle e nel CPE e che il CPE utilizzi i parametri appropriati.

Dopo aver confermato che il primo tunnel è nuovamente attivo, ripetere i passi precedenti per il secondo tunnel.

Modifica del segreto condiviso utilizzato da un tunnel IPSec

Quando si imposta la VPN da sito a sito, per impostazione predefinita Oracle fornisce il segreto condiviso di ogni tunnel (chiamato anche chiave precondivisa). È possibile che si disponga di un segreto condiviso specifico che si desidera utilizzare al suo posto. È possibile specificare il segreto condiviso di ogni tunnel quando si crea la connessione IPSec oppure è possibile modificare i tunnel e fornire ogni nuovo segreto condiviso. Per il segreto condiviso, sono consentiti solo numeri, lettere e spazi. Si consiglia di utilizzare un segreto condiviso diverso per ogni tunnel.

Importante

Quando si modifica il segreto condiviso di un tunnel, sia la connessione IPSec complessiva che il tunnel passano allo stato Provisioning mentre il tunnel viene rieseguito con il nuovo segreto condiviso. L'altro tunnel nella connessione IPSec rimane nello stato Disponibile. Tuttavia, mentre viene eseguito il provisioning del primo tunnel, non è possibile modificare la configurazione del secondo tunnel.

Vedere Recupero dei dettagli di un tunnel IPSec per i passi necessari per modificare il segreto condiviso utilizzato da un tunnel IPSec.

Monitoraggio della VPN da sito a sito

Puoi monitorare lo stato, la capacità e le prestazioni delle risorse Oracle Cloud Infrastructure utilizzando metriche, allarmi e notifiche. Per ulteriori informazioni vedere Monitoraggio e Notifiche.

Per informazioni sul monitoraggio di una connessione, vedere Metriche VPN da sito a sito.

Messaggi di log VPN da sito a sede

È possibile abilitare la registrazione e visualizzare i messaggi di log generati per vari aspetti operativi della VPN da sito a sito, ad esempio le negazioni che si verificano durante l'attivazione di un tunnel IPSec. L'abilitazione e l'accesso ai messaggi di log VPN da sito a sito possono essere eseguiti utilizzando la VPN da sito a sito o il servizio di log.

  • Per una panoramica generale del servizio Logging, vedere Panoramica del log.
  • Per informazioni dettagliate sull'abilitazione e l'accesso ai messaggi di log VPN da sito a sito mediante il servizio di log, vedere Log dei servizi.

  • Per i dettagli sullo schema dei messaggi di log VPN da sito a sito, vedere Dettagli per la VPN da sito a sito.

Per abilitare la registrazione dei messaggi, vedere Recupero dei dettagli di connessione a IPSec.

Per visualizzare i messaggi di log, vedere Recupero dei dettagli di connessione a IPSec.

Spostamento di una connessione IPSec o di un oggetto CPE in un altro compartimento

Puoi spostare le risorse da un compartimento a un altro. Dopo aver spostato la risorsa nel nuovo compartimento, i criteri intrinseci si applicano immediatamente e influiscono sull'accesso alla risorsa tramite la console. Lo spostamento dell'oggetto CPE in un altro compartimento non influisce sulla connessione tra un data center on premise e Oracle Cloud Infrastructure. Per ulteriori informazioni, vedere Utilizzo dei compartimenti.

Per ulteriori dettagli, vedere Spostamento di una connessione IPSec tra compartimenti e Spostamento di un CPE in un altro compartimento.

Gestione dei tunnel IPSec

Per garantire la sicurezza, la stabilità e le prestazioni del nostro sistema, Oracle aggiorna regolarmente il software in tutta la piattaforma OCI. Questi aggiornamenti includono correzioni critiche come patch di vulnerabilità, nuove funzioni e correzioni di bug, che migliorano la funzionalità e l'affidabilità complessive. Durante il processo di aggiornamento, un tunnel IPSec viene spostato da un headend VPN a un altro headend, il che porta alla reimpostazione della connessione IPSec quando viene utilizzato un solo tunnel. Viene spostato un solo tunnel IPSec in una connessione IPSec. Anche se non possiamo prevenire questa breve interruzione del tunnel, abbiamo ottimizzato il meccanismo di aggiornamento per ridurre al minimo i tempi di inattività. Quando il CPE (Customer Premise Equipment) tenta continuamente di ristabilire la connessione, il tempo di inattività normale del tunnel IPSec è inferiore a un minuto. Questa struttura consente a Oracle di mantenere un equilibrio tra la sicurezza e l'affidabilità del sistema e la riduzione al minimo dell'interruzione della connettività. A volte il ripristino del tunnel IPSec può richiedere fino a 10 minuti:

  • Quando il tunnel è impostato come rispondente solo sul lato OCI e il CPE non sta tentando di attivare immediatamente il tunnel
  • Quando il CPE non risponde alla negoziazione IKE avviata dal lato OCI

Sebbene il flag del tunnel IPSec durante gli aggiornamenti software sia inevitabile, OCI fornisce tunnel ridondanti. Questi tunnel ridondanti sono progettati per mantenere un flusso di traffico continuo, anche durante il breve periodo in cui un tunnel subisce tempi di inattività. Se la ridondanza è stata impostata correttamente, tutto il traffico instradato attraverso il tunnel primario passa senza problemi al tunnel ridondante durante un lembo del tunnel. Questo meccanismo di failover garantisce che i servizi rimangano ininterrotti e che il flusso di traffico venga conservato senza ritardi significativi. OCI garantisce che i tunnel ridondanti vengano posizionati su due headend VPN distinti. Durante gli aggiornamenti software viene interessato solo un tunnel alla volta.

Consigliamo e prevediamo di testare la ridondanza eliminando il tunnel VPN primario, sia durante l'installazione iniziale che in seguito con cadenza regolare. Verificare che le istanze VCN rimangano raggiungibili mentre il tunnel primario è offline e che il traffico stia passando al tunnel ridondante. La sezione Ridondanza VPN in questa Guida alla ridondanza fornisce ulteriori informazioni sull'impostazione della ridondanza per i tunnel VPN in casi d'uso diversi.

È possibile utilizzare i passi riportati di seguito per disabilitare temporaneamente un tunnel per eseguire il test del failover della ridondanza da un tunnel IPSec primario a un tunnel IPSec secondario.

  1. Andare alla pagina dei dettagli del tunnel come descritto in Aggiornamento di un tunnel IPSec e modificare il segreto condiviso.
  2. Per disabilitare temporaneamente un tunnel:
    1. Tagliare il testo nel campo del segreto condiviso e sostituirlo con alcune lettere o numeri casuali. Ciò comporta l'interruzione della sessione BGP e il failover del traffico verso l'altro tunnel. Questo campo non può essere vuoto.
      Incollare la stringa originale nel campo del segreto condiviso in un file di testo. È necessario ripristinare la sessione BGP dopo aver confermato che la ridondanza funziona come previsto.
    2. Selezionare Salva modifiche.
    3. Verificare che il traffico continui a fluire sul tunnel IPSec secondario nella connessione.
  3. Per ripristinare un tunnel disabilitato temporaneamente, effettuare le operazioni riportate di seguito.
    1. Andare alla pagina dei dettagli del tunnel come descritto in Aggiornamento di un tunnel IPSec e modificare il segreto condiviso.
    2. Incolla nel testo originale nel campo del segreto condiviso.
    3. Selezionare Salva modifiche.
    4. Attendere il ripristino della sessione BGP.