Trabajar con VPN de sitio a sitio
Este tema contiene algunos detalles sobre el trabajo con VPN de sitio a sitio y los componentes relacionados. Consulte también los temas siguientes:
Migración a VPN basada en políticas
El servicio VPN de sitio a sitio de Oracle Cloud Infrastructure v2 admite completamente VPN IPSec basadas en políticas con hasta 50 dominios de cifrado por túnel.
Para evitar posibles interrupciones de tráfico, si se ha migrado del servicio de VPN de sitio a sitio v1 a la VPN de sitio a sitio v2 y ha configurado un CPE con varios dominios de cifrado, cambie las configuraciones de túnel en el lado de OCI de la conexión para que coincidan con la configuración de CPE. En este artículo se explica por qué esta modificación es tan importante y los pasos necesarios para configurar OCI para que utilice VPN IPSec basadas en políticas.
Por qué migrar a la función VPN basada en políticas
El servicio v1 de VPN de sitio a sitio siempre se configura como una VPN basada en rutas y utiliza un dominio de cifrado cualquiera o cualquiera para los tipos de enrutamiento BGP y estático. Para la interoperabilidad de VPN basada en políticas, la VPN de sitio a sitio v1 soporta un CPE configurado para VPN basadas en políticas si el CPE actúa como iniciador y solo se envía un único dominio de cifrado a OCI. La configuración de varios dominios de cifrado en este escenario provoca la inestabilidad del túnel en el que se pueden observar las solapas del túnel o que el tráfico que atraviesa el túnel tiene un alcance inestable.
El servicio v2 de VPN de sitio a sitio utiliza una opción de tipo de enrutamiento basado en políticas además de los tipos de enrutamiento BGP y estático. Los tipos de BGP y enrutamiento estático de la VPN de sitio a sitio v2 siguen basados en rutas y soportan un único dominio de cifrado cualquiera o cualquiera. Estas opciones funcionan con una única configuración de CPE basada en políticas de dominio de cifrado, sin embargo, esto no se recomienda y enviar más de un dominio de cifrado genera inestabilidad de túnel.
El tipo de enrutamiento basado en políticas disponible para la VPN de sitio a sitio v2 es una VPN basada en políticas con todas las funciones que le permite configurar el lado de OCI para que coincida completamente con la configuración basada en políticas de un CPE y acepte todas las asociaciones de seguridad (SA) individuales necesarias para un túnel VPN IPSec estable.
Para obtener más información sobre los dominios de cifrado y los diferentes tipos de túnel de VPN IPSec, consulte ID de dominio de cifrado o proxy soportados.
Después de migrar los túneles de la VPN de sitio a sitio v1 a v2, siguen utilizando el mismo tipo de enrutamiento (BGP o estático) configurado antes de la migración. En esta sección se detalla el proceso paso a paso para cambiar los túneles basados en rutas existentes para utilizar el enrutamiento basado en políticas.
Visualización del estado y la configuración del túnel
Cuando se crea correctamente la conexión de IPSec, Oracle produce información importante de configuración para cada uno de los túneles de IPSec resultantes. Para ver un ejemplo, consulte la tarea 2h en el proceso de configuración general. Puede ver esa información y el estado de los túneles en cualquier momento. Esto incluye el estado de BGP si el túnel está configurado para utilizar el enrutamiento dinámico de BGP.
- Abra el menú de navegación y seleccione Red. En Conectividad de cliente, seleccione VPN de sitio a sitio.
Se muestra una lista de las conexiones de IPSec en el compartimiento que esté viendo. Si no ve la política que está buscando, verifique que está viendo el compartimento correcto. Para ver las políticas asociadas a un compartimento diferente, en Ámbito de lista, seleccione ese compartimento en la lista.
-
Seleccione la conexión IPSec que le interesa.
Se muestran los detalles de cada túnel, incluido el estado de IPSec, el estado de BGP (si el túnel utiliza el enrutamiento dinámico de BGP) y la dirección IP de la VPN de Oracle (el encabezado de la VPN).
- Visualización del secreto compartido de un túnel:
- Seleccione el túnel que esté interesado.
- Junto al campo Secreto compartido, seleccione Mostrar.
- Para ver las rutas anunciadas y recibidas de BGP de un túnel (incluida la ruta de acceso AS PATH para cada ruta):
- Seleccione el túnel que esté interesado.
- En Resources, seleccione BGP Routes Received o BGP Routes Advertised.
Uso del asistente de configuración de CPE
Después de configurar la VPN de sitio a sitio, un ingeniero de redes debe configurar el equipo local de cliente (CPE) en el extremo local de la conexión. La configuración incluye detalles sobre la red virtual en la nube (VCN) y los túneles IPSec de la VPN de sitio a sitio. El asistente de configuración de CPE genera la información para el ingeniero de redes. Para obtener más información, consulte Uso del asistente de configuración de CPE.
Cambio en las rutas estáticas
Puede cambiar las rutas estáticas de una conexión de IPSec existente. Puede proporcionar hasta 10 rutas estáticas.
Recuerde que una conexión de IPSec puede utilizar enrutamiento estático o enrutamiento dinámico con BGP. Las rutas estáticas se asocian con la conexión general de IPSec y no con los túneles individuales. Si una conexión de IPSec tiene rutas estáticas asociadas a ella, Oracle las utiliza para direccionar el tráfico de un túnel solo si el túnel se configura para utilizar un enrutamiento estático. Si se está configurado para utilizar el enrutamiento dinámico de BGP, se han de ignorar las rutas estáticas de la conexión de IPSec.
La conexión IPSec queda inactiva mientras se vuelve a aprovisionar con los cambios de la ruta estática.
- Abra el menú de navegación y seleccione Red. En Conectividad de cliente, seleccione VPN de sitio a sitio.
Se muestra una lista de las conexiones de IPSec en el compartimiento que esté viendo. Si no ve la política que está buscando, verifique que está viendo el compartimento correcto. Para ver las políticas asociadas a un compartimento diferente, en Ámbito de lista, seleccione ese compartimento en la lista.
-
Para la conexión IPSec en la que está interesado, seleccione el menú Acciones (
) y, a continuación, seleccione Editar.Se muestran las rutas estáticas actuales.
- Realice los cambios y seleccione Guardar cambios.
Cambio del identificador IKE de CPE que Oracle utiliza
Si el CPE está detrás de un dispositivo NAT, es posible que deba proporcionar a Oracle el identificador IKE de CPE. Puede especificarlo al crear la conexión de IPSec o editar la conexión con este más tarde y cambiar el valor. Oracle espera que el valor sea una dirección IP o un nombre de dominio completo (FQDN). Al especificar el valor, también puede especificar de qué tipo es.
La conexión IPSec queda inactiva mientras se aprovisiona de nuevo para utilizar el identificador IKE de CPE.
- Abra el menú de navegación y seleccione Red. En Conectividad de cliente, seleccione VPN de sitio a sitio.
Se muestra una lista de las conexiones de IPSec en el compartimiento que esté viendo. Si no ve la política que está buscando, verifique que está viendo el compartimento correcto. Para ver las políticas asociadas a un compartimento diferente, en Ámbito de lista, seleccione ese compartimento en la lista.
-
Para la conexión IPSec en la que está interesado, seleccione el menú Acciones (
) y, a continuación, seleccione Editar.El identificador IKE de CPE actual que utiliza Oracle se muestra en la parte inferior del cuadro de diálogo.
- Introduzca nuevos valores para CPE IKE Identifier Type e CPE IKE Identifier y, a continuación, seleccione Save Changes.
Uso de IKEv2
Oracle admite Internet Key Exchange (IKE) versión 1 y la versión 2 (IKEv2).
Para utilizar IKEv2 con un CPE que lo soporte, debe:
- Configurar cada túnel de IPSec para utilizar IKEv2 en la consola de Oracle. Observe los siguientes procedimientos.
- Configure CPE para utilizar los parámetros de cifrado IKEv2 que soporta CPE. Para obtener una lista de los parámetros que admite Oracle, consulte Parámetros de IPSec admitidos.
Si crea una nueva conexión IPSec manualmente, puede especificar IKEv2 al crear la conexión IPSec en la consola de Oracle. Consulte el procedimiento que aparece inmediatamente a continuación.
Si, en cambio, utiliza el flujo de trabajo de inicio rápido de la VPN, la conexión de IPSec se configura para utilizar solo IKEv1. Sin embargo, una vez completado el flujo de trabajo, puede editar los túneles IPSec resultantes en la consola de Oracle y cambiarlos para utilizar IKEv2.
Para configurar manualmente una nueva conexión de IPSec que utiliza el IKEv2:
- Al crear la conexión IPSec en la consola de Oracle, en la sección Opciones avanzadas, seleccione el separador Túnel 1.
- En el menú Versión de IKE, seleccione IKEv2.
- Repita el paso anterior en el separador Túnel 2.
- Más tarde, al configurar CPE, configúrelo para que utilice solo IKEv2 y los parámetros de cifrado IKEv2 relacionados que soporta CPE.
Recomendamos realizar el siguiente proceso de un túnel a la vez para evitar interrupciones en una conexión IPSec. Si la conexión no es redundante (por ejemplo, no tiene túneles redundantes), se espera un tiempo de inactividad al actualizar a IKEv2.
- Cambie la versión de IKE del túnel en la consola de Oracle:
- Abra el menú de navegación y seleccione Red. En Conectividad de cliente, seleccione VPN de sitio a sitio.
- Seleccione la conexión IPSec que le interesa.
- Seleccione el túnel para ver sus detalles.
- Seleccione Editar.
- En el menú Versión de IKE, seleccione IKEv2.
- Seleccione Guardar cambios.
- Actualice la configuración de CPE del túnel para utilizar IKEv2 y los parámetros de cifrado relacionados que admite CPE. Para obtener una lista de los parámetros que admite Oracle, consulte Parámetros de IPSec admitidos.
- Si las asociaciones de seguridad no volvieron a generarse inmediatamente, fuerce una nueva clave para ese túnel en el CPE. Para ello, borre las asociaciones de seguridad de la fase 1 y la fase 2 y no espere a que caduquen. Algunos dispositivos CPE esperan a que los SA caduquen antes de volver a generar la clave. Forzar la regeneración permite confirmar inmediatamente que la configuración de la versión de IKE es correcta.
- Para verificar, asegúrese de que las asociaciones de seguridad del túnel se vuelvan a generar correctamente. Si no es así, confirme que la versión correcta de IKE esté definida en la consola de Oracle y en el CPE, y que el CPE utiliza los parámetros adecuados.
Después de confirmar que el primer túnel está activo y en ejecución de nuevo, repita los pasos anteriores para el segundo túnel.
Cambio del secreto compartido utilizado por un túnel de IPSec
Al configurar la VPN de sitio a sitio, por defecto, Oracle proporciona el secreto compartido de cada túnel (también denominado clave compartida previamente). Es posible que tenga un secreto compartido en particular que desee utilizar en su lugar. Puede especificar el secreto compartido de cada túnel al crear la conexión de IPSec, o bien editar los túneles y proporcionar, a continuación, cada nuevo secreto compartido. Para el secreto compartido, solo se permiten números, letras y espacios. Recomendamos utilizar un secreto compartido diferente para cada túnel.
Al cambiar el secreto compartido de un túnel, tanto la conexión general de IPSec como el túnel pasan al estado En aprovisionamiento mientras el túnel se vuelve a aprovisionar con el nuevo secreto compartido. El otro túnel de la conexión de IPSec permanece en estado Disponible. Sin embargo, si se vuelve a aprovisionar el primer túnel, no podrá cambiar la configuración del segundo túnel.
Cambio de enrutamiento estático a enrutamiento dinámico BGP
Para cambiar una VPN de sitio a sitio existente de uso de enrutamiento estático a uso de enrutamiento dinámico BGP, siga el proceso en esta sección.
Al cambiar el tipo de enrutamiento de un túnel, el estado de IPSec del túnel no cambia durante el nuevo aprovisionamiento. Sin embargo, el enrutamiento a través del túnel se ve afectado. El tráfico se interrumpe temporalmente hasta que un ingeniero de redes configure el dispositivo CPE de acuerdo con el cambio de tipo de enrutamiento. Si una VPN de sitio a sitio existente está configurada para utilizar solo un túnel, este proceso interrumpe la conexión a Oracle. Si una VPN de sitio a sitio utiliza en su lugar varios túneles, recomendamos volver a configurar un túnel cada vez para evitar la interrupción de la conexión a Oracle.
Previos necesarios:
- Lea Routing for Site-to-Site VPN
-
Recopile la información de enrutamiento BGP necesaria:
- El ASN de la red. El ASN de BGP de Oracle para la nube comercial es 31898, excepto la región Serbia Central (Jovanovac), que es 14544. Para Government Cloud, consulte ASN de BGP de Oracle.
- Para cada túnel: la dirección IP BGP de cada extremo del túnel (las dos direcciones para un túnel concreto deben ser un par de una subred /30 o /31, y deben formar parte del dominio de cifrado de la VPN de sitio a sitio)
Repita el siguiente proceso para cada túnel en la conexión de IPSec:
-
Vuelva a configurar el tipo de enrutamiento del túnel desde el enrutamiento estático hasta el enrutamiento dinámico de BGP:
- Abra el menú de navegación y seleccione Red. En Conectividad de cliente, seleccione VPN de sitio a sitio.
-
Seleccione la conexión IPSec que le interesa.
Se muestran los túneles y el estado de cada uno de ellos. Cuando el estado de BGP del túnel en el que está interesado muestra solo un guión (ningún valor) que significa que el túnel está configurado para utilizar enrutamiento estático.
- Seleccione el túnel para ver todos sus detalles.
- Seleccione Editar.
-
Haga lo siguiente:
- Tipo de enrutamiento: seleccione el botón de radio para el enrutamiento dinámico de BGP.
- ASN de BGP: introduzca el ASN de BGP de la red.
- Interfaz de túnel interna - CPE: introduzca la dirección IP de BGP con la máscara de subred (/30 o /31) para el fin CPE del túnel. Por ejemplo: 10.0.0.16/31.
- Interfaz de túnel interna - Oracle: introduzca la dirección IP de BGP con la máscara de subred (/30 o /31) para el extremo de Oracle del túnel. Por ejemplo: 10.0.0.17/31.
- Seleccione Guardar cambios.
El estado de BGP del túnel cambia a Inactivo.
- Haga que un ingeniero de redes actualice la configuración de túnel del dispositivo CPE para utilizar el BGP.
- En el lado local de la conexión, confirme que la sesión BGP del túnel tiene un estado establecido. Si no es así, asegúrese de que la configuración de las direcciones IP para el túnel sea correcta en la consola de Oracle y también para el dispositivo CPE.
- En la consola de Oracle, confirme que el estado de BGP del túnel es ahora Activo.
- Confirme que el dispositivo CPE está aprendiendo las rutas desde Oracle y que el dispositivo CPE está anunciando las rutas a Oracle. Para volver a publicitar las rutas de Oracle desde BGP a la red local, asegúrese de que el dispositivo CPE esté configurado para aceptarlo. Una política existente para anunciar las rutas estáticas a una red local puede no funcionar para las rutas conocidas de BGP.
- Haga clic en la dirección IP BGP de Oracle de un lado de la conexión para confirmar que el tráfico está fluyendo.
Después de confirmar que el primer túnel está activo y en ejecución con BGP, repita el proceso para el segundo túnel.
Como se indica en Enrutamiento de la VPN de sitio a sitio, las rutas estáticas que todavía están configuradas para la conexión general IPSec no sustituyen el enrutamiento BGP. Estas rutas estáticas se ignoran cuando Oracle enruta el tráfico mediante un túnel configurado para utilizar BGP.
Además, puede volver a cambiar el tipo de enrutamiento de un túnel a un enrutamiento estático. Puede hacer esto si la ventana de tiempo de inactividad programada para el dispositivo CPE termina pronto y tiene problemas para establecer la sesión BGP. Al volver a cambiar al enrutamiento estático, asegúrese de que la conexión general IPSec siga teniendo las rutas estáticas adecuadas configuradas.
Supervisión de la VPN de sitio a sitio
Puede supervisar el estado, la capacidad y el rendimiento de los recursos de Oracle Cloud Infrastructure mediante métricas, alarmas y notificaciones. Para obtener más información, consulte Supervisión y Notificaciones.
Para obtener información sobre la supervisión de una conexión, consulte Métricas de VPN de sitio a sitio.
Visualización de mensajes de log de VPN de sitio a sitio
Puede ver los mensajes de log generados para diversos aspectos operativos de la VPN de sitio a sitio, como las negociaciones que se han producido al activar un túnel IPSec. La activación y el acceso a los mensajes de log de la VPN de sitio a sitio se pueden realizar mediante la VPN de sitio a sitio o el servicio Logging.
- Para obtener una visión general del servicio Logging en general, consulte Visión general de Logging.
- Para obtener más información sobre la activación y el acceso a los mensajes de log de la VPN de sitio a sitio mediante el servicio Logging, consulte Logs de servicio.
-
Para obtener más información sobre el esquema de mensaje de log de la VPN de sitio a sitio, consulte Detalles de la VPN de sitio a sitio.
- Abra el menú de navegación y seleccione Red. En Conectividad de cliente, seleccione VPN de sitio a sitio.
-
Se muestra una lista de las conexiones de IPSec en el compartimiento que esté viendo. Si no ve la política que está buscando, verifique que está viendo el compartimento correcto. Para ver las políticas asociadas a un compartimento diferente, en Ámbito de lista, seleccione ese compartimento en la lista.
-
En la conexión IPSec que le interesa, seleccione el nombre de la conexión.
Aparecerá la página de detalles de la conexión.
- En la parte izquierda de la pantalla, en Recursos, seleccione Logs.
Si no se muestra esta opción, la conexión tiene el tipo v1 de VPN de sitio a sitio anterior. El registro de mensajes requiere VPN de sitio a sitio v2.
- En la página de detalles Logs, defina el campo Activar log en Activado. Aparecerá una nueva pantalla.
Los detalles de las opciones de la pantalla se encuentran en Activación del registro para un recurso. Los logs se gestionan de la misma manera, independientemente del tipo de recurso que genera el log.
- Seleccione Activar Log.
Aparecerá la página de detalles de log y el log estará en proceso de creación (aparecerá el mensaje "Creando log").
Debe tener activado el registro para ver el log de mensajes. Para ver el log de mensajes:
- Abra el menú de navegación y seleccione Red. En Conectividad de cliente, seleccione VPN de sitio a sitio.
-
Se muestra una lista de las conexiones de IPSec en el compartimiento que esté viendo. Si no ve la política que está buscando, verifique que está viendo el compartimento correcto. Para ver las políticas asociadas a un compartimento diferente, en Ámbito de lista, seleccione ese compartimento en la lista.
- En la parte izquierda de la pantalla, en Recursos, seleccione Logs.
Si no se muestra esta opción, la conexión tiene el tipo v1 de VPN de sitio a sitio anterior. El registro de mensajes requiere VPN de sitio a sitio v2.
- Seleccione el nombre de log del log en el que está interesado. Se abre un nuevo separador del explorador que muestra el log solicitado.
Consulte Obtención de detalles de un log para obtener más información sobre el uso de la pantalla de log.
Desactivación o terminación de la VPN de sitio a sitio
Para desactivar la VPN de sitio a sitio entre una red local y VCN, puede desconectar el DRG de la VCN en lugar de suprimir la conexión IPSec. Si también utiliza el DRG con FastConnect, la desasociación del DRG también interrumpirá el flujo de tráfico a través de FastConnect.
Puede suprimir la conexión a IPSec. Sin embargo, si más tarde desea restablecerlo, un ingeniero de redes debe configurar el dispositivo CPE de nuevo con un nuevo conjunto de información de configuración de túneles desde Oracle.
Para suprimir de forma permanente la VPN de sitio a sitio, primero debe terminar la conexión IPSec. A continuación, puede suprimir el objeto CPE. Si no está utilizando el DRG para otra conexión a una red local, puede separarlo de la VCN y, a continuación, suprimirlo.
- Abra el menú de navegación y seleccione Red. En Conectividad de cliente, seleccione VPN de sitio a sitio.
Se muestra una lista de las conexiones de IPSec en el compartimiento que está visualizando. Si no ve la política que está buscando, verifique que está viendo el compartimento correcto. Para ver las políticas asociadas a un compartimento diferente, en Ámbito de lista, seleccione ese compartimento en la lista.
- Seleccione la conexión IPSec que le interesa.
- Seleccione Finalizar.
- Confirme la finalización cuando sea solicitada.
La conexión IPSec tiene el estado Terminando durante un período corto mientras se suprime.
Previo necesario: no debe haber una conexión de IPSec entre el objeto CPE y un DRG.
- Abra el menú de navegación y seleccione Red. En Conectividad de cliente, seleccione Equipo local de cliente.
Se muestra una lista de los objetos CPE en el compartimiento que está visualizando. Si no ve la política que está buscando, verifique que está viendo el compartimento correcto. Para ver las políticas asociadas a un compartimento diferente, en Ámbito de lista, seleccione ese compartimento en la lista.
- Para el objeto de CPE que desea suprimir, seleccione el menú Acciones () y, a continuación, seleccione Suprimir.
- Confirme la finalización cuando sea solicitada.
El objeto tiene el estado Terminando durante un período corto mientras se suprime.
Gestión de etiquetas para una conexión de IPSec o un objeto CPE
Aplique etiquetas a los recursos para facilitar su organización en función de las necesidades del negocio. Aplique etiquetas al crear un recurso o actualice el recurso más tarde con las etiquetas que desee. Para obtener información general sobre la aplicación de etiquetas, consulte Etiquetas de recursos.
Mover una conexión IPSec o un objeto CPE a un compartimento diferente
Puede mover recursos de un compartimento a otro. Después de que mueva el recurso al nuevo compartimiento, las políticas inherentes se aplican inmediatamente y afectan al acceso al recurso mediante la consola. Mover el objeto CPE a un compartimiento diferente no afecta a la conexión entre un centro de datos local y Oracle Cloud Infrastructure. Para obtener más información, consulte Trabajar con compartimentos.
- Abra el menú de navegación y seleccione Red. En Conectividad de cliente, seleccione Equipo local de cliente.
- Busque el objeto CPE en la lista, seleccione el menú Acciones () y, a continuación, seleccione Mover recurso.
- Seleccione el compartimento de destino en la lista.
- Seleccione Mover recurso.
Gestión de DRG
Para conocer las tareas relacionadas con DRG, consulte Dynamic Routing Gateways.
Mantenimiento de túneles IPSec
Para garantizar la seguridad, la estabilidad y el rendimiento de nuestro sistema, Oracle actualiza regularmente el software en toda la plataforma OCI. Estas actualizaciones incluyen correcciones críticas, como parches de vulnerabilidad, nuevas funciones y correcciones de bugs, lo que mejora la funcionalidad y la fiabilidad generales. Durante el proceso de actualización, se mueve un túnel IPSec de una cabecera de VPN a otra cabecera, lo que lleva a que la conexión IPSec se restablezca cuando solo se utiliza un túnel. Solo se mueve un túnel IPSec en una conexión IPSec. Si bien no podemos evitar esta breve interrupción del túnel, hemos optimizado el mecanismo de actualización para minimizar el tiempo de inactividad. Cuando el equipo local del cliente (CPE) intenta restablecer continuamente la conexión, el tiempo de inactividad normal del túnel IPSec es inferior a un minuto. Este diseño permite a Oracle mantener un equilibrio entre mantener el sistema seguro y fiable, al tiempo que minimiza la interrupción de la conectividad. A veces, la restauración del túnel IPSec puede tardar hasta 10 minutos:
- Cuando el túnel se define como responsable de respuesta solo en el lado de OCI y el CPE no está intentando activar el túnel inmediatamente
- Cuando el CPE no responde a la negociación de IKE iniciada por OCI
Aunque la solapa de túnel IPSec durante las actualizaciones de software es inevitable, OCI proporciona túneles redundantes. Estos túneles redundantes están diseñados para mantener el flujo de tráfico continuo, incluso durante el breve período en el que un túnel experimenta tiempo de inactividad. Si la redundancia se ha configurado correctamente, todo el tráfico enrutado a través del túnel principal cambia sin problemas al túnel redundante durante una aleta de túnel. Este mecanismo de failover garantiza que los servicios permanezcan ininterrumpidos y que el flujo de tráfico se mantenga sin retrasos significativos. OCI garantiza que los túneles redundantes aterricen en dos cabeceras de VPN distintas. Durante nuestras actualizaciones de software, solo se ve afectado un túnel a la vez.
Recomendamos y esperamos que pruebe la redundancia bajando el túnel VPN principal, tanto durante la configuración inicial como con una frecuencia regular a partir de entonces. Confirme que las instancias de VCN siguen siendo accesibles mientras el túnel principal está fuera de línea y el tráfico cambia al túnel redundante. La sección Redundancia de VPN de esta Guía de redundancia proporciona más información sobre la configuración de la redundancia para túneles VPN en diferentes casos de uso.
Puede utilizar los siguientes pasos para desactivar temporalmente un túnel para probar el failover de redundancia de un túnel IPSec principal a un túnel IPSec secundario:
Uso de la API para VPN de sitio a sitio
Estas son las operaciones de API del servicio Networking para gestionar los componentes de la VPN de sitio a sitio.
Para obtener más información sobre el uso de la API y la firma de solicitudes, consulte la documentación de la API de REST y Credenciales de seguridad. Para obtener información sobre los SDK, consulte Los SDK y la CLI.
Para gestionar la VCN y las subredes, utilice estas operaciones:
- ListVcns
- CreateVcn
- GetVcn
- UpdateVcn
- DeleteVcn
- ChangeVcnCompartment
- ListSubnets
- CreateSubnet
- GetSubnet
- UpdateSubnet
- DeleteSubnet
- ChangeSubnetCompartment
Para gestionar el DRG, utilice estas operaciones:
- ListDrgs
- CreateDrg
- GetDrg
- UpdateDrg
- DeleteDrg
- ListDrgAttachments
- CreateDrgAttachment: esta operación asocia un DRG a una VCN y da como resultado un objeto
DrgAttachmentcon su propio OCID. - GetDrgAttachment
- UpdateDrgAttachment
- DeleteDrgAttachment: esta operación desasocia un DRG de la VCN suprimiendo el objeto
DrgAttachment.
Para gestionar el enrutamiento de VCN, utilice estas operaciones:
Para gestionar listas de seguridad para la VCN, utilice estas operaciones:
Para gestionar los CPE, utilice estas operaciones:
Para gestionar conexiones IPSec, utilice estas operaciones:
- ListIPSecConnections
- CreateIPSecConnection: utilice esta operación para definir la información de configuración de cada túnel, incluida la dirección IP del DRG (el extremo de VPN) y el secreto compartido. Consulte CPE Configuration. La creación de un túnel aporta una mayor flexibilidad si se utiliza CreateIPSecConnectionTunnelDetails.
- GetIPSecConnection
- UpdateIPSecConnection: la actualización de un túnel aporta una mayor flexibilidad si se utiliza UpdateIPSecConnectionTunnelDetails.
- DeleteIPSecConnection
- ChangeIPSecConnectionCompartment
- GetIPSecConnectionDeviceStatus: utilice esta operación para buscar el estado de los túneles IPSec (activos o inactivos).
- GetIPSecConnectionDeviceConfig: utilice esta operación para obtener la información de configuración de cada túnel.