Oracle Cloud Infrastructureドキュメント

IPSecトンネルの更新

IPSec接続でIPSecトンネルの設定を編集します。

IPSec接続を作成せずにIPSecトンネルを作成することはできません。

ルーティング・タイプ(BGP動的ルーティング、静的ルーティングまたはポリシー・ベース)などのトンネル属性を変更する場合は、次の点を考慮する必要があります。

  • トンネルのルーティング・タイプまたはBGPセッション構成を変更すると、再プロビジョニング中にトンネルがダウンします。

  • トンネルのroutingSTATICからBGPに切り替える場合は、トンネルのBGPセッション構成属性が設定されていることを確認してください。

  • トンネルのroutingBGPからSTATICに切り替える場合は、IPSec接続に少なくとも1つの有効なCIDR静的ルートがすでにあることを確認してください。

    1. 「サイト間VPN」リスト・ページで、操作するトンネルを含むIPSec接続を選択します。リスト・ページまたはIPSec接続の検索に関するヘルプが必要な場合は、IPSec接続のリストを参照してください。
    2. 詳細ページで、表示されるオプションに応じて、次のいずれかのアクションを実行します。
      • 「トンネル」タブを選択します。
      • IPSec接続の詳細に従って、IPSec接続内のIPSecトンネルをリストする表まで下にスクロールします。
    3. 「トンネル」リストでトンネルを検索し、その「アクション」メニュー「処理」メニューを選択して、「編集」を選択します。
      1. 必要に応じて設定を更新します。機密情報の入力は避けてください。設定の詳細は、「IPSec接続の作成」を参照してください。
      2. 「Save changes」を選択します。
    4. トンネルの共有シークレットを変更するには、表示されるオプションに応じて次のいずれかのアクションを実行します:
      • トンネル詳細タブの「共有シークレット」の横にある「アクション」メニュー「処理」メニューを選択し、「編集」を選択します。変更を行い、「変更の保存」を選択します。
      • トンネル情報タブの「共有シークレット」の横にある「編集」を選択します。変更を行い、「変更の保存」を選択します。
    5. 静的ルーティングからBGP動的ルーティングにトンネルを変更するには:
      注意

      トンネルのルーティング・タイプを変更する場合、再プロビジョニング中にトンネルのIPSecステータスは変わりしません。ただし、トンネルを介するルーティングには影響します。ネットワーク・エンジニアがルーティング・タイプの変更に従ってCPEデバイスを構成するまで、トラフィックは一時的に中断されます。 既存のサイト間VPNが単一のトンネルのみを使用するように構成されている場合、このプロセスによってOracleへの接続が中断されます。かわりにサイト間VPNで複数のトンネルを使用する場合は、Oracleへの接続が中断されないように、一度に1つのトンネルを再構成することをお薦めします。

      サイト間VPNのルーティングを読み、必要なBGPルーティング情報を収集します:

      • ネットワークのASN。Oracleの商用クラウド用のBGP ASNは31898です。ただし、セルビア中央部(ジョバノヴァック)リージョンは14544です。Government Cloudについては、OracleのBGP ASNに関する項を参照してください。
      • 各トンネルの情報: トンネル各端のBGP IPアドレス(トンネルの2つのアドレスは/30または/31サブネットからの1組であり、かつサイト間VPNの暗号化ドメインに属している必要があります)
      1. IPSec接続の各トンネルについて、次の設定を変更し、「変更の保存」を選択します。
        • ルーティング・タイプ: 「BGP動的ルーティング」を選択します。
        • BGP ASN:ネットワークのBGP ASNを入力します。
        • トンネル内インタフェース - CPE: トンネルのCPE側にサブネット・マスク(/30または/31)を使用するBGP IPアドレスを入力します。例: 10.0.0.16/31。
        • トンネル内インタフェース - Oracle: トンネルのOracle側にサブネット・マスク(/30または/31)を使用するBGP IPアドレスを入力します。例: 10.0.0.17/31。

        トンネルの「BGPステータス」が「停止中」に変わります。

      2. 接続のオンプレミス側で、トンネルのBGPセッションが確立された状態になっていることを確認します。そうでない場合は、Oracle ConsoleおよびCPEデバイスで、トンネルのIPアドレスの構成が正しいことを確認してください。
      3. Oracle Consoleで、トンネルの「BGPステータス」が「稼働中」になったことを確認します。
      4. CPEデバイスがOracleからルートの学習中であり、CPEデバイスがOracleへのルートの通知中であることを確認します。OracleルートをBGPからオンプレミス・ネットワークに戻すには、CPEデバイスがそれを受け入れるように構成されていることを確認してください。オンプレミス・ネットワークに静的ルートを通知する既存のポリシーは、BGPで学習されたルートに対して機能しない可能性があります。
      5. Oracle BGP IPアドレスを接続側からPingし、トラフィックが流れていることを確認します。
      6. 1つ目のトンネルがBGPに対して稼働しているを確認した後、2つ目のトンネルについてプロセスを繰り返します。
        重要

        サイト間VPNのルーティングで示されたように、IPSec接続全体に対してまだ構成されている静的ルートがBGPルーティングをオーバーライドすることはありません。BGPを使用するように構成されたトンネルを介してOracleがトラフィックをルーティングするとき、これらの静的ルートが無視されます。

        また、必要に応じてトンネルのルーティング・タイプを静的ルーティングに戻すことができます。CPEデバイスの予定された停止時間が間もなく終わるのに、BGPセッションの確立で問題が発生している場合などは、そうする必要があります。静的ルーティングに戻す場合は、全体的なIPSec接続に適切な静的ルートが構成されていることを確認してください。

    6. ポリシーベースのルーティングを使用するように既存のルートベースのトンネルを変更するには:
      1. 「ルーティング・タイプ」で、「ポリシー・ベースのルーティング」を選択します。これは、「アソシエーション」の追加の構成オプションを示します。
      2. 「アソシエーション」で、関連するすべての暗号化ドメインを構成します。オンプレミスCIDRブロックの各エントリは、Oracle Cloud CIDRブロックで構成可能なすべてのエントリを含む暗号化ドメインを生成します。

        詳細は、ポリシーベース・トンネルの暗号化ドメインに関する項を参照してください。

      3. オンプレミスCIDRブロックの場合、IPSecトンネルを介してOCIに接続する必要があるすべてのオンプレミスCIDRブロックを追加します。
      4. Oracle Cloud CIDRブロックの場合は、オンプレミス・ネットワークから到達できる必要があるすべてのOCI CIDRブロックを追加します。
      5. トンネル・インタフェース内のIPv4 - CPEおよびIPv4 - Oracleの値は、トンネルのルーティング・タイプを変更しても保持できます。これらの値に変更は必要ありません。
      6. 「変更の保存」を選択します。
      7. 親のIPSec接続に戻り、他のIPSecトンネルのプロセスを繰り返します。

  • IPSecトンネルの設定を更新するには、network ip-sec-tunnel updateコマンドおよび必須パラメータを使用します:

    oci network ip-sec-tunnel update --ipsc-id ipsec-ocid --tunnel-id tunnel-ocid ... [OPTIONS]

    network ip-sec-psk updateコマンドと必要なパラメータを使用して、指定されたトンネルの共有シークレット(事前共有鍵)を更新します。

    oci network ip-sec-psk update --ipsc-id ipsec-ocid --tunnel-id tunnel-ocid ... [OPTIONS]

    CLIコマンドのパラメータおよび値の完全なリストは、CLIコマンド・リファレンスを参照してください。

  • UpdateIPSecConnectionTunnel操作を実行して、IPSecトンネルの設定を更新します。

    UpdateIPSecConnectionTunnelSharedSecret操作を実行して、指定したトンネルの共有シークレット(事前共有キー)を更新します。