Documentação do Oracle Cloud Infrastructure

Trabalhando com a VPN Site a Site

Este tópico contém alguns detalhes sobre como trabalhar com a VPN Site a Site e os componentes relacionados. Consulte também estes tópicos:

Alterando as Rotas Estáticas

Você pode alterar as rotas estáticas para uma conexão IPSec existente. Você pode fornecer até 10 rotas estáticas.

Lembre-se de que uma conexão IPSec pode usar roteamento estático, roteamento dinâmico BGP ou roteamento baseado em política. Ao usar o roteamento estático, associe as rotas estáticas à conexão geral IPSec e não aos túneis individuais. Se uma conexão IPSec tiver rotas estáticas associadas a ela, o sistema Oracle as usará para rotear o tráfego de um túnel somente se o próprio túnel estiver configurado para usar roteamento estático. Se o sistema estiver configurado para usar o roteamento dinâmico BGP, as rotas estáticas da conexão IPSec serão ignoradas.

Importante

A conexão IPSec permanece inativa enquanto é reprovisionada com as alterações de rota estática.

Consulte Atualizando uma Conexão IPSec para obter as etapas necessárias para alterar as rotas estáticas.

Alterando de Roteamento Estático para Roteamento Dinâmico BGP

Para alterar uma VPN Site a Site existente de usar roteamento estático para usar roteamento dinâmico BGP, consulte Atualizando um Túnel IPSec.

Cuidado

Quando você altera o tipo de roteamento de um túnel, o status IPSec do túnel não é alterado durante o reprovisionamento. No entanto, o roteamento pelo túnel é afetado. O tráfego é interrompido temporariamente até que um engenheiro da rede configure o dispositivo CPE de acordo com a alteração do tipo de roteamento. Se uma VPN Site a Site existente estiver configurada para usar apenas um túnel, esse processo interromperá a conexão com a Oracle. Se uma VPN Site a Site usar vários túneis, recomendamos reconfigurar um túnel de cada vez para evitar interromper a conexão com a Oracle.

Migrando para VPN Baseada em Política

O serviço v2 da VPN Site a Site do Oracle Cloud Infrastructure suporta totalmente VPNs IPSec baseadas em política com até 50 domínios de criptografia por túnel.

Para evitar possíveis interrupções de tráfego, se você tiver sido migrado do serviço VPN Site a Site v1 para a VPN Site a Site v2 e tiver configurado um CPE com vários domínios de criptografia, altere as configurações de túnel no lado do OCI da conexão para corresponder à configuração do CPE. Este artigo explica por que essa modificação é tão importante e as etapas necessárias para configurar o OCI para usar VPNs IPSec baseadas em política.

Por que migrar para o recurso VPN Baseado em Política

O serviço v1 da VPN Site a Site é sempre configurado como uma VPN baseada em rota e usa um domínio de criptografia qualquer/qualquer para os tipos de roteamento BGP e estático. Para interoperabilidade de VPN baseada em política, a VPN Site a Site v1 suporta um CPE configurado para VPNs baseadas em política se o CPE atuar como iniciador e apenas um único domínio de criptografia for enviado ao OCI. A configuração de vários domínios de criptografia nesse cenário resulta na instabilidade do túnel em que você pode observar o bater do túnel ou que o tráfego que atravessa o túnel tem acessibilidade instável.

O serviço v2 da VPN Site a Site usa uma opção de tipo de roteamento baseado em política, além de tipos de roteamento BGP e estático. O BGP da VPN entre Sites v2 e os tipos de roteamento estático permanecem baseados em rota e suportam um único domínio de criptografia qualquer/qualquer. Essas opções funcionam com uma única configuração de CPE baseada em política de domínio de criptografia, no entanto, isso não é recomendado e o envio de mais de um domínio de criptografia resulta em instabilidade de túnel.

O tipo de roteamento baseado em política disponível para a VPN Site a Site v2 é uma VPN baseada em política com todos os recursos que permite configurar o OCI para corresponder totalmente à configuração baseada em política de um CPE e aceitar todas as associações de segurança individuais (SAs) necessárias para um túnel IPSec VPN estável.

Para obter mais informações sobre domínios de criptografia e os diferentes tipos de túnel IPSec VPN, consulte Domínio de Criptografia ou ID de Proxy Suportado.

Depois que os túneis forem migrados da VPN Site a Site v1 para v2, eles continuarão usando o mesmo tipo de roteamento (BGP ou estático) configurado antes da migração. Consulte o processo passo a passo para alterar os túneis baseados em rota existentes para usar o roteamento baseado em política.

Consulte Atualizando um Túnel IPSec para obter etapas específicas para migrar para uma VPN baseada em política.

Alterando o Identificador de CPE IKE Usado pelo Oracle

Se o CPE estiver protegido por um dispositivo NAT, talvez você precise fornecer ao sistema Oracle o identificador IKE do CPE. Você pode especificá-lo ao criar a conexão IPSec ou pode editar a conexão IPSec posteriormente e alterar o valor. O sistema Oracle espera que o valor seja um endereço IP ou um nome de domínio totalmente qualificado (FQDN). Ao determinar o valor, especifique seu tipo também.

Importante

A conexão IPSec permanece inativa enquanto é reprovisionada para usar o identificador IKE do CPE.

Consulte Atualizando uma Conexão IPSec para obter as etapas necessárias para alterar o identificador IKE do CPE que o sistema Oracle usa.

Como Usar IKEv2

O sistema Oracle suporta o IKE (Internet Key Exchange) versão 1 e o IKE versão 2 (IKEv2).

Para usar IKEv2 com um CPE compatível com ele, você deve:

  • Configure cada túnel IPSec para usar IKEv2 na Console do Oracle. Consulte Criando uma Conexão IPSec.
  • Configure o CPE para usar parâmetros de criptografia IKEv2 suportados pelo CPE. Para obter uma lista de parâmetros suportados pelo sistema Oracle, consulte Parâmetros IPSec Suportados.

Fazendo upgrade de uma conexão IPSec existente para IKEv2

Importante

Recomendamos executar o processo a seguir para um túnel de cada vez para evitar interrupção em uma conexão IPSec. Se a conexão não for redundante (por exemplo, não tiver túneis redundantes), haverá um período de indisponibilidade durante o upgrade para IKEv2.
  1. Altere a versão do IKE do túnel na Console do sistema Oracle para usar IKEv2 e os parâmetros de criptografia relacionados suportados pelo CPE. Para obter uma lista de parâmetros que o sistema Oracle suporta, consulte Parâmetros IPSec Suportados.
  2. Se as associações de segurança não refazerem a chave imediatamente, force uma rechave para esse túnel no CPE. Para fazer isso, limpe as associações da fase 1 e 2 de segurança e mal espere a expiração. Alguns dispositivos CPE aguardam que as SAs expirem antes da recodificação. Forçar a recodificação permite confirmar imediatamente se a configuração da versão do IKE está correta.
  3. Para confirmar, certifique-se de que as associações de segurança do túnel sejam corretamente recodificadas. Se isso não ocorrer, verifique se a versão correta do IKE está definida na Console do Oracle e no CPE. Confirme também se o CPE está usando os parâmetros apropriados.

Depois de confirmar que o primeiro túnel está funcionando, repita as etapas anteriores para o segundo túnel.

Alterando o Segredo Compartilhado Usado por um Túnel IPSec

Quando você configura uma VPN Site a Site, por padrão, a Oracle fornece o segredo compartilhado (também chamado de chave pré-compartilhada) de cada túnel. Você pode ter um segredo compartilhado específico que deseja usar. Você pode especificar o segredo compartilhado de cada túnel ao criar a conexão IPSec ou pode editar os túneis e fornecer um novo segredo compartilhado. Para o segredo compartilhado, só são permitidos números, letras e espaços. Recomendamos o uso de um segredo compartilhado diferente para cada túnel.

Importante

Quando você altera o segredo compartilhado de um túnel, tanto a conexão IPSec geral quanto o túnel passam para o estado Provisionando enquanto o túnel é reprovisionado com o novo segredo compartilhado. O outro túnel na conexão IPSec permanece no estado Disponível. No entanto, enquanto o primeiro túnel estiver sendo reprovisionado, não será possível alterar a configuração do segundo túnel.

Consulte Obtendo Detalhes de um Túnel IPSec para obter as etapas necessárias para alterar o segredo compartilhado que um túnel IPSec usa.

Monitorando a VPN Site a Site

Você pode monitorar a integridade, a capacidade e o desempenho dos recursos do Oracle Cloud Infrastructure usando métricas, alarmes e notificações. Para obter mais informações, consulte os serviços Monitoring e Notifications.

Para obter informações sobre o monitoramento de uma conexão, consulte Métricas da VPN Site a Site.

Mensagens de Log da VPN Site a Site

Você pode ativar o registro em log e exibir as mensagens de log geradas para vários aspectos operacionais da VPN Site a Site, como as negociações que ocorrem para trazer um túnel IPSec. A ativação e o acesso às mensagens de log da VPN Site a Site podem ser feitos usando a VPN Site a Site ou o Serviço de Registro em Log.

Para ativar o log de mensagens, consulte Obtendo Detalhes da Conexão IPSec.

Para exibir mensagens de log, consulte Obtendo Detalhes da Conexão IPSec.

Movendo uma Conexão IPSec ou um Objeto CPE para um Compartimento Distinto

Você pode mover recursos de um compartimento para outro. Após você mover o recurso para o novo compartimento, as políticas inerentes serão aplicadas imediatamente e afetarão o acesso ao recurso por meio da Console. Mover o objeto CPE para outro compartimento não afeta a conexão entre um data center local e o Oracle Cloud Infrastructure. Para obter mais informações, consulte Trabalhando com Compartimentos.

Consulte Movendo uma Conexão do IPSec entre Compartimentos e Movendo um CPE para Outro Compartimento para obter mais detalhes.

Mantendo Túneis IPSec

Para garantir a segurança, a estabilidade e o desempenho do nosso sistema, a Oracle atualiza regularmente o software em toda a plataforma OCI. Essas atualizações incluem correções críticas, como patches de vulnerabilidade, novos recursos e correções de bugs, o que melhora a funcionalidade e a confiabilidade gerais. Durante o processo de atualização, um túnel IPSec é movido de um headend de VPN para outro headend, o que leva à redefinição da conexão IPSec quando apenas um túnel é usado. Somente um túnel IPSec em uma conexão IPSec é movido. Embora não possamos evitar essa breve interrupção no túnel, otimizamos o mecanismo de atualização para minimizar o tempo de inatividade. Quando o CPE (Customer Premise Equipment) tenta continuamente restabelecer a conexão, o tempo de inatividade normal do túnel IPSec é inferior a um minuto. Esse design permite que a Oracle mantenha um equilíbrio entre manter o sistema seguro e confiável, minimizando a interrupção da conectividade. Às vezes, a restauração do túnel IPSec pode levar até 10 minutos:

  • Quando o túnel é definido como respondedor apenas no lado do OCI e o CPE não está tentando ativar o túnel imediatamente
  • Quando o CPE não responde à negociação do IKE iniciada pelo lado do OCI

Embora a aba do túnel IPSec durante atualizações de software seja inevitável, o OCI fornece túneis redundantes. Esses túneis redundantes são projetados para manter o fluxo de tráfego contínuo, mesmo durante o breve período em que um túnel experimenta tempo de inatividade. Se a redundância tiver sido configurada corretamente, todo o tráfego roteado pelo túnel principal alternará perfeitamente para o túnel redundante durante uma aba de túnel. Esse mecanismo de failover garante que os serviços permaneçam ininterruptos e que o fluxo de tráfego seja preservado sem atrasos significativos. A OCI garante que os túneis redundantes pousem em dois headends de VPN distintos. Durante nossas atualizações de software, apenas um túnel é afetado por vez.

Recomendamos e esperamos que você teste a redundância derrubando o túnel VPN principal, tanto durante a configuração inicial quanto em uma cadência regular posteriormente. Confirme se as instâncias da VCN permanecem acessíveis enquanto o túnel principal está off-line e se o tráfego está mudando para o túnel redundante. A seção Redundância de VPN neste Guia de Redundância fornece mais informações sobre como configurar a redundância para túneis de VPN em diferentes casos de uso.

Você pode usar as seguintes etapas para desativar temporariamente um túnel para testar o failover de redundância de um túnel IPSec principal para um túnel IPSec secundário:

  1. Vá para a página de detalhes do túnel conforme descrito em Atualizando um Túnel IPSec e edite o Segredo Compartilhado.
  2. Para desativar temporariamente um túnel:
    1. Corte o texto no campo de segredo compartilhado e substitua-o por algumas letras ou números aleatórios. Isso faz com que a sessão BGP fique inativa e o tráfego possa fazer failover para o outro túnel. Este campo não pode ficar vazio.
      Cole a string original no campo de segredo compartilhado em um arquivo de texto. Você precisa disso para restabelecer a sessão BGP depois de confirmar que a redundância está funcionando conforme esperado.
    2. Selecione Salvar alterações.
    3. Confirme se o tráfego ainda está fluindo no túnel IPSec secundário na conexão.
  3. Para restaurar um túnel temporariamente desativado:
    1. Vá para a página de detalhes do túnel conforme descrito em Atualizando um Túnel IPSec e edite o Segredo Compartilhado.
    2. Cole no texto original no campo de segredo compartilhado.
    3. Selecione Salvar alterações.
    4. Aguarde o restabelecimento da sessão BGP.