Atualizando um Túnel IPSec

Edite as definições de um túnel IPSec em uma conexão IPSec.

Não é possível criar um túnel IPSec sem criar uma conexão IPSec.

Quando você altera atributos de túnel, como o tipo de roteamento (roteamento dinâmico BGP, roteamento estático ou baseado em política), aqui estão algumas coisas a serem consideradas:

  • Se você alterar o tipo de roteamento do túnel ou a configuração da sessão BGP, o túnel será desativado enquanto for reprovisionado.

  • Se você alternar o routing do túnel de STATIC para BGP, certifique-se de que os atributos de configuração da sessão BGP do túnel tenham sido definidos.

  • Se você alternar o routing do túnel de BGP para STATIC, certifique-se de que a conexão IPSec já tenha pelo menos uma rota estática CIDR válida.

    1. Na página de lista VPN Site a Site, selecione a conexão IPSec que contém o túnel com o qual você deseja trabalhar. Se precisar de ajuda para localizar a página de lista ou a conexão IPSec, consulte Listando Conexões IPSec.
    2. Na página de detalhes, execute uma das seguintes ações, dependendo da opção que você vê:
      • Selecione a guia Túneis.
      • Role para baixo até a tabela após os detalhes da conexão IPSec, que lista os túneis IPSec na conexão IPSec.
    3. Localize o túnel na lista Túneis, selecione o menu Ações (três pontos) para ele e, em seguida, selecione Editar.
      1. Atualize as definições, conforme necessário. Evite inserir informações confidenciais. Para obter descrições das definições, consulte Criando uma Conexão IPSec.
      2. Selecione Salvar alterações.
    4. Para alterar o segredo compartilhado de um túnel, execute uma das seguintes ações, dependendo da opção exibida:
      • Ao lado de Segredo compartilhado na guia de detalhes do túnel, selecione o menu Ações (três pontos) e selecione Editar. Faça alterações e selecione Salvar alterações.
      • Ao lado de Segredo compartilhado na guia de informações do túnel, selecione Editar. Faça alterações e selecione Salvar alterações.
    5. Para alterar um túnel do roteamento estático para o roteamento dinâmico BGP:
      Cuidado

      Quando você altera um tipo de roteamento de túnel, o status IPSec do túnel é alterado durante a reprovisionação. No entanto, o roteamento pelo túnel é afetado. O tráfego foi temporariamente interrompido até que um engenheiro de rede configure o dispositivo CPE de acordo com a alteração do tipo de roteamento. Se uma VPN Site a Site existente estiver configurada para usar apenas um único túnel, esse processo interromperá a conexão com a Oracle. Se uma VPN Site a Site usar vários túneis, recomendamos reconfigurar um túnel por vez para evitar interromper a conexão com o sistema Oracle.

      Leia Roteamento da VPN Site a Site e reúna as informações de roteamento BGP necessárias:

      • O ASN da rede. O ASN do BGP da Oracle para a nuvem comercial é 31898, exceto a região Central da Sérvia (Jovanovac), que é 14544. Para a Cloud do Governo, consulte ASN BGP da Oracle.
      • Para cada túnel: O endereço IP BGP para cada extremidade do túnel (os dois endereços para um túnel específico devem ser um par de uma sub-rede /30 ou /31, e devem ser parte do domínio de criptografia da VPN Site a Site)
      1. Para cada túnel na conexão IPSec, altere as definições a seguir e selecione Salvar Alterações.
        • Tipo de Roteamento: Selecione Roteamento Dinâmico BGP.
        • ASN BGP: Informe o ASN BGP da rede.
        • Interface de Túnel Interno - CPE: informe o endereço IP BGP com máscara de sub-rede (/30 ou /31) para a extremidade CPE do túnel. Por exemplo: 10.0.0.16/31.
        • Interface de Túnel Interno - Oracle: informe o endereço IP BGP com máscara de sub-rede (/30 ou /31) para a extremidade Oracle do túnel. Por exemplo: 10.0.0.17/31.

        O Status do BGP do túnel passa para Inativo.

      2. No lado on-premises da conexão, confirme se a sessão BGP do túnel está em um estado estabelecido. Caso contrário, certifique-se de que a configuração dos endereços IP do túnel esteja correta na Console do sistema Oracle e também no dispositivo CPE.
      3. Confirme se o Status BGP do túnel agora está Ativo na Console Oracle.
      4. Confirme se o dispositivo CPE está aprendendo rotas do Oracle e se o dispositivo CPE está propagando rotas para o Oracle. Para fazer readvertise das rotas Oracle do BGP de volta para a rede local, certifique-se de que o dispositivo CPE esteja configurado para aceitar isso. Uma política existente para divulgar as rotas estáticas para uma rede on-premises pode não funcionar para as rotas aprendidas do BGP.
      5. Faça um ping no endereço IP do Oracle BGP de um lado da conexão para confirmar que o tráfego está fluindo.
      6. Depois de confirmar que o primeiro túnel está ativo e em execução com BGP, repita o processo para o segundo túnel.
        Importante

        Conforme observado em Roteamento para VPN Site a Local, as rotas estáticas que ainda estão configuradas para a conexão IPSec geral não substituem o roteamento BGP. Essas rotas estáticas são ignoradas quando o Oracle roteia tráfego por meio de um túnel configurado para usar BGP.

        Além disso, você pode alterar um tipo de roteamento do túnel de volta para roteamento estático. Você poderá fazer isso se a janela de tempo de indisponibilidade programada para o dispositivo CPE estiver terminando em breve e houver problemas para estabelecer a sessão BGP. Quando você voltar para o roteamento estático, certifique-se de que a conexão IPSec geral ainda tenha as rotas estáticas apropriadas configuradas.

    6. Para alterar túneis baseados em rota existentes para usar o roteamento baseado em política:
      1. Para Tipo de roteamento, selecione Roteamento baseado em política. Isso apresenta uma opção de configuração extra para Associações.
      2. Em Associações, configure todos os domínios de criptografia relevantes. Cada entrada em blocos CIDR on-premises gera um domínio de criptografia com todas as entradas possíveis configuradas em blocos CIDR do Oracle Cloud.

        Para obter mais informações, consulte Domínios de Criptografia para túneis baseados em políticas.

      3. Para Blocos CIDR on-premises, adicione todos os blocos CIDR on-premises que exigem conectividade com o OCI pelo túnel IPSec.
      4. Para blocos CIDR do Oracle Cloud, adicione todos os blocos CIDR do OCI que devem ser acessíveis pela rede local.
      5. Os valores de IPv4 dentro da interface de túnel - CPE e IPv4 dentro da interface de túnel - Oracle podem ser retidos à medida que você alterou o tipo de roteamento do túnel. Nenhuma alteração é necessária para esses valores.
      6. Selecione Salvar Alterações.
      7. Navegue de volta para a conexão pai IPSec e repita o processo para o outro túnel IPSec.
  • Use o comando network ip-sec-tunnel update e os parâmetros necessários para atualizar as definições de um túnel IPSec:

    oci network ip-sec-tunnel update --ipsc-id ipsec-ocid --tunnel-id tunnel-ocid ... [OPTIONS]

    Use o comando network ip-sec-psk update e os parâmetros necessários para atualizar o segredo compartilhado (chave pré-compartilhada) do túnel especificado:

    oci network ip-sec-psk update --ipsc-id ipsec-ocid --tunnel-id tunnel-ocid ... [OPTIONS]

    Para obter uma lista completa de parâmetros e valores para comandos da CLI, consulte a Referência de Comandos da CLI.

  • Execute a operação UpdateIPSecConnectionTunnel para atualizar as definições de um túnel IPSec.

    Execute a operação UpdateIPSecConnectionTunnelSharedSecret para atualizar o segredo compartilhado (chave pré-compartilhada) para um túnel especificado.