Oracle Cloud Infrastructure - Dokumentation

Mit Site-to-Site-VPN arbeiten

Dieses Thema enthält Details zum Arbeiten mit Site-to-Site-VPN und den zugehörigen Komponenten. Weitere Informationen finden Sie in den folgenden Themen:

Aktualisierter Site-to-Site-VPN-Service

Site-to-Site-VPN v2 verbessert die Verfügbarkeit und Zuverlässigkeit von IPsec-Verbindungen und ermöglicht neue Funktionen. Site-to-Site-VPN v2 ist in allen kommerziellen Regionen verfügbar. Alle neu erstellten IPsec-Verbindungen werden mit Site-to-Site-VPN v2 erstellt. Der Prozess zum Einrichten von Site-to-Site-VPN v2 ist identisch mit dem Einrichten von Site-to-Site-VPN v1.

Neue Funktionen, die sich auf Site-to-Site-VPN v2 stützen:

Oracle unterstützt weiterhin Site-to-Site-VPN v1. Wenn Sie über Site-to-Site-VPN v1 verfügen und eines der zusätzlichen Features für Site-to-Site-VPN v2 verwenden möchten, müssen Sie eine neue Verbindung erstellen und die ältere Verbindung beenden. Es gibt derzeit keinen Migrationspfad zum Ändern einer v1-Verbindung in eine v2-Verbindung.

Zu Policy-basiertem VPN migrieren

Der Site-to-Site-VPN-v2-Service von Oracle Cloud Infrastructure unterstützt Policy-basierte IPsec-VPNs mit bis zu 50 Verschlüsselungsdomains pro Tunnel vollständig.

Um potenzielle Trafficunterbrechungen zu vermeiden, ändern Sie Ihre Tunnelkonfigurationen auf OCI-Seite der Verbindung entsprechend Ihrer CPE-Konfiguration, wenn Sie vom Site-to-Site-VPN-Service v1 zu Site-to-Site-VPN v2 migriert wurden und Ihr CPE mit mehreren Verschlüsselungsdomains konfiguriert haben. In diesem Artikel wird erläutert, warum diese Änderung so wichtig ist, und die erforderlichen Schritte zur Konfiguration von OCI zur Verwendung von policy-basierten IPsec-VPNs.

Warum Sie auf die Policy-basierte VPN-Funktion migrieren sollten

Der Site-to-Site-VPN-Service v1 ist immer als routenbasiertes VPN konfiguriert und verwendet eine beliebige Verschlüsselungsdomain für BGP- und statische Routingtypen. Für Policy-basierte VPN-Interoperabilität unterstützt Site-to-Site-VPN v1 ein CPE, das für Policy-basierte VPNs konfiguriert ist, wenn das CPE als Initiator fungiert und nur eine einzige Verschlüsselungsdomain an OCI gesendet wird. Die Konfiguration mehrerer Verschlüsselungsdomains in diesem Szenario führt zu einer Instabilität des Tunnels, in dem Sie das Flappen des Tunnels beobachten können oder dass der Verkehr, der den Tunnel durchläuft, eine unsichere Erreichbarkeit aufweist.

Mit dem Service Site-to-Site-VPN v2 gibt es jetzt zusätzlich zu den zuvor verfügbaren BGP- und statischen Routingtypen eine Policy-basierte Routingtypoption. Die BGP- und statischen Routingtypen von Site-to-Site-VPN v2 bleiben routenbasiert und unterstützen eine einzelne beliebige Verschlüsselungsdomain. Diese Optionen funktionieren mit einer auf einer einzelnen Verschlüsselungsdomain-Policy basierenden CPE-Konfiguration. Dies wird jedoch nicht empfohlen, und das Senden mehrerer Verschlüsselungsdomains führt zu einer Tunnelinstabilität.

Der Policy-basierte Routingtyp, der für Site-to-Site-VPN v2 verfügbar ist, ist ein Policy-basiertes VPN mit vollem Funktionsumfang. So können Sie die OCI-Seite so konfigurieren, dass sie vollständig mit der Policy-basierten Konfiguration Ihres CPE übereinstimmt, und alle individuellen Sicherheitszuordnungen (SAs) akzeptieren, die für einen stabilen IPSec-VPN-Tunnel erforderlich sind.

Weitere Informationen zu Verschlüsselungsdomains und den verschiedenen IPsec-VPN-Tunneltypen finden Sie unter Supported Encryption Domain or Proxy ID.

Nachdem Ihre Tunnel von Site-to-Site-VPN v1 zu v2 migriert wurden, verwenden sie weiterhin denselben Routingtyp (BGP oder statisch) wie vor der Migration konfiguriert. In diesem Abschnitt wird der schrittweise Prozess beschrieben, mit dem Sie Ihre vorhandenen routenbasierten Tunnel so ändern können, dass sie richtlinienbasiertes Routing verwenden.

  1. Melden Sie sich bei der OCI-Konsole an.
  2. Öffnen Sie das Navigationsmenü, und klicken Sie auf Networking. Klicken Sie unter Kundenkonnektivität auf Site-to-Site-VPN.
  3. Klicken Sie auf die Verbindung IPsec, deren Tunnel geändert werden müssen, um Policy-basiertes Routing zu verwenden.
  4. Die Tunnel werden in den Details für die Verbindung IPsec aufgeführt, und der Routingtyp für jeden Tunnel wird angezeigt. Der Routingtyp wird entweder als dynamisches BGP-Routing oder als statisches Routing aufgeführt. Klicken Sie auf den Tunnelnamen, um alle zugehörigen Details anzuzeigen.
  5. Klicken Sie auf Bearbeiten, um die Einstellungen des Tunnels zu ändern, den Sie gerade anzeigen.
  6. Aktivieren Sie das Kontrollkästchen unter Routingtyp für Policy-basiertes Routing. Dadurch wird eine zusätzliche Konfigurationsoption für Verknüpfungen angezeigt.
  7. Konfigurieren Sie unter Verknüpfungen alle relevanten Verschlüsselungsdomains. Jeder Eintrag unter On-Premise-CIDR-Blöcke generiert eine Verschlüsselungsdomain mit allen möglichen Einträgen, die unter Oracle Cloud-CIDR-Blöcke konfiguriert sind.

    Weitere Informationen finden Sie unter Verschlüsselungsdomains für policybasierte Tunnel

    1. Fügen Sie unter On-Premise-CIDR-Blöcke alle On-Premise-CIDR-Blöcke hinzu, die eine Verbindung zu OCI über den IPSec-Tunnel erfordern.
    2. Fügen Sie für Oracle Cloud-CIDR-Blöcke alle OCI-CIDR-Blöcke hinzu, die über das On-Premise-Netzwerk erreichbar sein müssen.
  8. Die Werte für IPv4 inside tunnel interface - CPE und IPv4 inside tunnel interface - Oracle können beibehalten werden, wenn Sie den Routingtyp des Tunnels ändern. Für diese Werte sind keine Änderungen erforderlich.
  9. Klicken Sie auf Änderungen speichern.
  10. Navigieren Sie zurück zur übergeordneten IPsec-Verbindung, und wiederholen Sie den Prozess für den anderen IPSec-Tunnel.

Tunnelstatus und Konfiguration anzeigen

Wenn Sie die IPSec-Verbindung erfolgreich erstellt haben, erzeugt Oracle wichtige Konfigurationsinformationen für jeden der resultierenden IPSec-Tunnel. Ein Beispiel finden Sie unter Aufgabe 2h im allgemeinen Setupprozess. Sie können diese Informationen und den Status der Tunnel jederzeit anzeigen. Dies umfasst den BGP-Status, wenn der Tunnel für die Verwendung des dynamischen BGP-Routings konfiguriert ist.

So zeigen Sie den Status und die Konfigurationsinformationen für die IPSec-Tunnel an

  1. Öffnen Sie das Navigationsmenü, und klicken Sie auf Networking. Klicken Sie unter Customer Connectivity auf Site-to-Site-VPN.

    Eine Liste der IPSec-Verbindungen in dem Compartment, das Sie geöffnet haben, wird angezeigt. Wenn Sie den gesuchten Compartment nicht sehen, prüfen Sie, ob Sie das korrekte Compartment anzeigen (in der Liste links auf der Seite auswählen).

  2. Klicken Sie auf die gewünschte IPSec-Verbindung.

    Die Details jedes Tunnels werden angezeigt, einschließlich IPSec-Status, BGP-Status (wenn der Tunnel dynamisches BGP-Routing verwendet) und Oracle-VPN-IP-Adresse (VPN-Headend).

  3. So zeigen Sie das Shared Secret eines Tunnels an:
    1. Klicken Sie auf den gewünschten Tunnel.
    2. Klicken Sie neben dem Feld Shared Secret auf Anzeigen.
  4. So zeigen Sie die von BGP veröffentlichten und empfangenen Routen eines Tunnels an (einschließlich AS PATH für jede Route):
    1. Klicken Sie auf den gewünschten Tunnel.
    2. Klicken Sie unter Ressourcen auf Empfangene BGP-Routen oder Angebotene BGP-Routen.

CPE-Konfigurations-Helper verwenden

Nachdem Sie Site-to-Site-VPN eingerichtet haben, muss der Netzwerktechniker das CPE (Customer Premises Equipment) auf Ihrer Seite der Verbindung konfigurieren. Die Konfiguration umfasst Details zu Ihrem virtuellen Cloud-Netzwerk (VCN) und den IPsec-Tunneln im Site-to-Site-VPN. Der CPE-Konfigurations-Helper generiert die Informationen für den Netzwerktechniker. Weitere Informationen finden Sie unter CPE-Konfigurations-Helper verwenden.

Statische Routen ändern

Sie können die statischen Routen für eine vorhandene IPSec-Verbindung ändern. Sie können bis zu 10 statische Routen angeben.

Beachten Sie, dass eine IPSec-Verbindung statisches Routing oder dynamisches BGP-Routing verwenden kann. Sie verknüpfen die statischen Routen mit der gesamten IPSec-Verbindung und nicht mit den einzelnen Tunneln. Wenn einer IPSec-Verbindung statische Routen zugeordnet sind, verwendet Oracle sie nur zum Routing des Traffics eines Tunnels, wenn für den Tunnel selbst statisches Routing konfiguriert ist. Wenn für den Tunnel dynamisches BGP-Routing konfiguriert ist, werden die statischen Routen der IPSec-Verbindung ignoriert.

Wichtig

Die IPSec-Verbindung wird heruntergefahren, während die Änderungen an den statischen Routen erneut durch Provisioning bereitgestellt werden.
So bearbeiten Sie die statischen Routen

  1. Öffnen Sie das Navigationsmenü, und klicken Sie auf Networking. Klicken Sie unter Customer Connectivity auf Site-to-Site-VPN.

    Eine Liste der IPSec-Verbindungen in dem Compartment, das Sie geöffnet haben, wird angezeigt. Wenn Sie den gesuchten Compartment nicht sehen, prüfen Sie, ob Sie das korrekte Compartment anzeigen (in der Liste links auf der Seite auswählen).

  2. Klicken Sie für die gewünschte Verbindung IPSec auf das Menü Aktionen (Menü Aktionen), und klicken Sie dann auf Bearbeiten.

    Die aktuellen statischen Routen werden angezeigt.

  3. Nehmen Sie die gewünschten Änderungen vor, und klicken Sie auf Änderungen speichern.

Von Oracle verwendete CPE-IKE-ID ändern

Wenn sich Ihr CPE hinter einem NAT-Gerät befindet, müssen Sie Oracle möglicherweise die CPE-IKE-ID mitteilen. Sie können sie entweder beim Erstellen der IPSec-Verbindung angeben oder die IPSec-Verbindung später bearbeiten und den entsprechenden Wert ändern. Oracle erwartet, dass der Wert eine IP-Adresse oder ein vollqualifizierter Domainname (FQDN) ist. Wenn Sie den Wert angeben, geben Sie auch den entsprechenden Typ an.

Wichtig

Die IPSec-Verbindung wird heruntergefahren, während sie für die Verwendung der CPE-IKE-ID neu bereitgestellt wird.
So ändern Sie die von Oracle verwendete CPE-IKE-ID

  1. Öffnen Sie das Navigationsmenü, und klicken Sie auf Networking. Klicken Sie unter Customer Connectivity auf Site-to-Site-VPN.

    Eine Liste der IPSec-Verbindungen in dem Compartment, das Sie geöffnet haben, wird angezeigt. Wenn Sie den gesuchten Compartment nicht sehen, prüfen Sie, ob Sie das korrekte Compartment anzeigen (in der Liste links auf der Seite auswählen).

  2. Klicken Sie für die gewünschte Verbindung IPSec auf das Menü Aktionen (Menü Aktionen), und klicken Sie dann auf Bearbeiten.

    Die von Oracle verwendete, aktuelle CPE-IKE-ID wird unten im Dialogfeld angezeigt.

  3. Geben Sie die neuen Werte für den CPE-IKE-ID-Typ und die CPE-IKE-ID ein, und klicken Sie auf Änderungen speichern.

IKEv2 verwenden

Oracle unterstützt Internet Key Exchange (IKE) Version 1 und Version 2 (IKEv2).

Wenn Sie IKEv2 verwenden möchten und Ihr CPE dies unterstützt, müssen Sie Folgendes tun:

  • Konfigurieren Sie für jeden IPSec-Tunnel die Verwendung von IKEv2 in der Oracle-Konsole. Lesen Sie dazu die folgenden Anweisungen.
  • Konfigurieren Sie das CPE so, dass IKEv2-Verschlüsselungsparameter verwendet werden, die das CPE unterstützt. Eine Liste der von Oracle unterstützten Parameter finden Sie unter Unterstützte IPSec-Parameter.
Neue IPSec-Verbindung: IKEv2 verwenden
Hinweis

Wenn Sie eine neue IPSec-Verbindung manuell erstellen, können Sie IKEv2 beim Erstellen der IPSec-Verbindung in der Oracle-Konsole angeben. Hierzu wird auf das folgende Verfahren verwiesen.

Wenn Sie stattdessen den VPN-Schnellstartworkflow verwenden, wird die IPSec-Verbindung nur für IKEv1 konfiguriert. Nach Abschluss des Workflows können Sie jedoch die resultierenden IPSec-Tunnel in der Oracle-Konsole bearbeiten und so ändern, dass sie IKEv2 verwenden.

So richten Sie manuell eine neue IPSec-Verbindung ein, die IKEv2 verwendet:

  1. Klicken Sie beim Erstellen der IPSec-Verbindung in der Oracle-Konsole im Abschnitt Erweiterte Optionen auf die Registerkarte Tunnel 1.
  2. Wählen Sie im Menü IKE-Version die Option IKEv2 aus.
  3. Wiederholen Sie den vorherigen Schritt für die Registerkarte Tunnel 2.
  4. Achten Sie bei der späteren Konfiguration des CPE darauf, dass nur IKEv2 und zugehörige IKEv2-Verschlüsselungsparameter verwendet werden, die das CPE unterstützt.
Vorhandene IPSec-Verbindung: Upgrade auf IKEv2
Wichtig

Oracle empfiehlt, den folgenden Prozess immer nur für einen Tunnel gleichzeitig auszuführen, um eine Unterbrechung der Gesamtverbindung zu vermeiden. Wenn Ihre Verbindung nicht redundant ausgelegt ist (z.B. nicht über mehrere Tunnel verfügt), müssen Sie mit einer Ausfallzeit rechnen, während Sie ein Upgrade auf IKEv2 durchführen.
  1. Ändern Sie die IKE-Version des Tunnels in der Oracle-Konsole:

    1. Öffnen Sie das Navigationsmenü, und klicken Sie auf Networking. Klicken Sie unter Customer Connectivity auf Site-to-Site-VPN.

    2. Klicken Sie auf die gewünschte IPSec-Verbindung.
    3. Klicken Sie auf den Tunnel, um dessen Details anzuzeigen.
    4. Klicken Sie auf Bearbeiten.
    5. Wählen Sie im Menü IKE-Version die Option IKEv2 aus.
    6. Klicken Sie auf Änderungen speichern.
  2. Aktualisieren Sie die CPE-Konfiguration für den Tunnel so, dass IKEv2 verwendet wird, und aktualisieren Sie die zugehörigen Verschlüsselungsparameter, die das CPE unterstützt. Eine Liste der von Oracle unterstützten Parameter finden Sie unter Unterstützte IPSec-Parameter.
  3. Wenn für die Sicherheitszuordnungen nicht sofort neue Schlüssel erstellt wurden, erzwingen Sie ein Rekeying für diesen Tunnel auf Ihrem CPE. Anders ausgedrückt, löschen Sie die Sicherheitszuordnungen der Phase 1 und Phase 2, und warten Sie nicht, bis sie ablaufen. Einige CPE-Geräte warten, bis die Sicherheitszuordnungen ablaufen, bevor sie ein Rekeying ausführen. Durch Erzwingen der erneuten Schlüsselerstellung bestätigen Sie sofort, dass die Konfiguration der IKE-Version korrekt ist.
  4. Um dies zu prüfen, stellen Sie sicher, dass das Rekeying der Sicherheitszuordnungen für den Tunnel korrekt ausgeführt wird. Wenn dies nicht der Fall ist, bestätigen Sie, dass die korrekte IKE-Version in der Oracle-Konsole und auf Ihrem CPE festgelegt ist, und dass das CPE die gewünschten Parameter verwendet.

Nachdem Sie bestätigt haben, dass der erste Tunnel erneut hochgefahren wurde, wiederholen Sie die vorherigen Schritte für den zweiten Tunnel.

Von einem IPSec-Tunnel verwendetes Shared Secret ändern

Wenn Sie ein Site-to-Site-VPN einrichten, stellt Oracle standardmäßig das Shared Secret jedes Tunnels bereit (auch als Pre-Shared Key bezeichnet). Möglicherweise haben Sie ein bestimmtes Shared Secret, das Sie stattdessen verwenden möchten. Sie können das Shared Secret jedes Tunnels beim Erstellen der IPSec-Verbindung angeben, oder Sie können die Tunnel bearbeiten und die einzelnen neuen Shared Secrets dann bereitstellen. Für das Shared Secret sind nur Zahlen, Buchstaben und Leerzeichen zulässig. Oracle empfiehlt, dass Sie für jeden Tunnel ein anderes Shared Secret verwenden.

Wichtig

Wenn Sie das Shared Secret eines Tunnels ändern, werden sowohl die gesamte IPSec-Verbindung als auch der Tunnel in den Status "Provisioning wird ausgeführt" versetzt, während der Tunnel mit dem neuen Shared Secret erneut bereitgestellt wird. Der andere Tunnel in der IPSec-Verbindung verbleibt im Status "Verfügbar". Sie können die Konfiguration des zweiten Tunnels jedoch nicht ändern, während der erste Tunnel neu bereitgestellt wird.
So ändern Sie das von einem IPSec-Tunnel verwendete Shared Secret

  1. Öffnen Sie das Navigationsmenü, und klicken Sie auf Networking. Klicken Sie unter Customer Connectivity auf Site-to-Site-VPN.

    Eine Liste der IPSec-Verbindungen in dem Compartment, das Sie geöffnet haben, wird angezeigt. Wenn Sie den gesuchten Compartment nicht sehen, prüfen Sie, ob Sie das korrekte Compartment anzeigen (in der Liste links auf der Seite auswählen).

  2. Klicken Sie auf die gewünschte IPSec-Verbindung.
  3. Klicken Sie auf den gewünschten Tunnel.
  4. Klicken Sie neben dem Feld Shared Secret auf Bearbeiten.
  5. Geben Sie den neuen Wert ein. Es sind nur Buchstaben, Zahlen und Leerzeichen zulässig.
  6. Klicken Sie auf Änderungen speichern.

Von statischem Routing zu dynamischem BGP-Routing wechseln

Wenn Sie in einem vorhandenen Site-to-Site-VPN vom statischen Routing zum dynamischen BGP-Routing wechseln möchten, befolgen Sie die Anweisungen in diesem Abschnitt.

Achtung

Wenn Sie den Routingtyp eines Tunnels ändern, ändert sich der IPsec-Status des Tunnels beim erneuten Provisioning nicht. Das Routing durch den Tunnel ist jedoch betroffen. Der Traffic wird vorübergehend unterbrochen, bis Ihr Netzwerktechniker Ihr CPE-Gerät entsprechend der Änderung des Routingtyps konfiguriert hat.Wenn Ihr vorhandenes Site-to-Site-VPN derzeit nur für einen einzelnen Tunnel konfiguriert ist, unterbricht dieser Prozess die Verbindung zu Oracle. Wenn das Site-to-Site-VPN stattdessen mehrere Tunnel verwendet, empfiehlt Oracle, jeweils nur einen Tunnel gleichzeitig neu zu konfigurieren, um zu vermeiden, dass die Verbindung zu Oracle unterbrochen wird.
So wechseln Sie von statischem Routing zu dynamischem BGP-Routing

Voraussetzungen:

  • Sie haben den folgenden Abschnitt gelesen: Routing für Site-to-Site-VPN

  • Sie haben die erforderlichen BGP-Routinginformationen erfasst:

    • ASN Ihres Netzwerks. Die BGP-ASN von Oracle für die Commercial Cloud beträgt 31898, mit Ausnahme der Region Serbia Central (Jovanovac) von 14544. Informationen zur Government Cloud finden Sie unter BGP-ASN von Oracle.
    • Für jeden Tunnel: Die BGP-IP-Adresse für jedes Ende des Tunnels (die beiden Adressen für einen bestimmten Tunnel müssen ein Paar aus einem /30- oder /31-Subnetz sein, und diese müssen Bestandteil der Verschlüsselungsdomain des Site-to-Site-VPN sein)

Wiederholen Sie den folgenden Prozess für jeden Tunnel in der IPSec-Verbindung:

  1. Konfigurieren Sie den Routingtyp des Tunnels neu, sodass anstelle von statischem Routing dynamisches BGP-Routing verwendet wird:

    1. Öffnen Sie das Navigationsmenü, und klicken Sie auf Networking. Klicken Sie unter Customer Connectivity auf Site-to-Site-VPN.

    2. Klicken Sie auf die gewünschte IPSec-Verbindung.

      Die Tunnel werden aufgeführt, und der Status jedes Tunnels wird angezeigt. Der BGP-Status für den Tunnel, an dem Sie interessiert sind, sollte nur einen Bindestrich (keinen Wert) anzeigen. Dies bedeutet, dass der Tunnel derzeit zur Verwendung des statischen Routings konfiguriert ist.

    3. Klicken Sie auf den Tunnel, um alle zugehörigen Details anzuzeigen.
    4. Klicken Sie auf Bearbeiten.

    5. Gehen Sie folgendermaßen vor:

      • Routingtyp: Aktivieren Sie das Optionsfeld Dynamisches BGP-Routing.
      • BGP-ASN: Geben Sie die BGP-ASN Ihres Netzwerks ein.
      • Innere Tunnelschnittstelle - CPE: Geben Sie die BGP-IP-Adresse mit Subnetzmaske (/30 oder /31) für das CPE-Ende des Tunnels ein. Beispiel: 10.0.0.16/31.
      • Innere Tunnelschnittstelle - Oracle: Geben Sie die BGP-IP-Adresse mit Subnetzmaske (/30 oder /31) für das Oracle-Ende des Tunnels ein. Beispiel: 10.0.0.17/31.
    6. Klicken Sie auf Änderungen speichern.

    Der BGP-Status des Tunnels wechselt zu "Heruntergefahren".

  2. Lassen Sie die Tunnelkonfiguration des CPE-Geräts vom Netzwerktechniker so aktualisieren, dass BGP verwendet wird.
  3. Überprüfen Sie auf Ihrer Seite der Verbindung, ob die BGP-Session des Tunnels erfolgreich hergestellt wurde. Ist dies nicht der Fall, stellen Sie sicher, dass Sie die richtigen IP-Adressen für den Tunnel in der Oracle-Konsole sowie für Ihr CPE-Gerät konfiguriert haben.
  4. Bestätigen Sie in der Oracle-Konsole, dass der BGP-Status des Tunnels nun "Hochgefahren" lautet.
  5. Bestätigen Sie, dass Ihr CPE-Gerät Routen von Oracle lernt und Ihr CPE-Gerät Oracle Routen anbietet. Wenn Sie die Oracle-Routen von BGP in Ihrem On-Premise-Netzwerk erneut anbieten möchten, stellen Sie sicher, dass das CPE-Gerät entsprechend konfiguriert ist. Ihre vorhandene Policy zum Anbieten der statischen Routen in Ihrem On-Premise-Netzwerk funktioniert möglicherweise nicht für die über BGP gelernten Routen.
  6. Pingen Sie die Oracle-BGP-IP-Adresse von Ihrer Seite der Verbindung, um zu bestätigen, dass der Traffic fließt.

Nachdem Sie bestätigt haben, dass der erste Tunnel mit BGP hochgefahren ist, wiederholen Sie den Prozess für den zweiten Tunnel.

Wichtig

Wie unter Routing für Site-to-Site-VPN erwähnt, setzen die statischen Routen, die noch für die gesamte IPsec-Verbindung konfiguriert sind, das BGP-Routing nicht außer Kraft. Diese statischen Routen werden ignoriert, wenn Oracle Traffic über einen Tunnel weiterleitet, für den die Verwendung von BGP konfiguriert ist.

Bei Bedarf können Sie den Routingtyp eines Tunnels wieder auf statisches Routing zurücksetzen. Sie entscheiden sich möglicherweise dafür, wenn das geplante Ausfallzeitfenster für das CPE-Gerät bald beendet ist und Sie Probleme beim Aufbau der BGP-Session haben. Wenn Sie auf statisches Routing zurücksetzen, stellen Sie sicher, dass für die IPSec-Verbindung insgesamt die gewünschten statischen Routen noch konfiguriert sind.

Site-to-Site-VPN überwachen

Mit Metriken, Alarmen und Benachrichtigungen können Sie den Zustand, die Kapazität und die Performance Ihrer Oracle Cloud Infrastructure-Ressourcen überwachen. Weitere Informationen finden Sie unter Monitoring und Notifications.

Weitere Informationen zum Monitoring der Verbindung finden Sie unter Site-to-Site-VPN.

Site-to-Site-VPN-Logmeldungen anzeigen

Sie können die Logmeldungen anzeigen, die für verschiedene betriebliche Aspekte von Site-to-Site-VPN generiert werden, z.B. für die Aushandlungen beim Hochfahren eines IPsec-Tunnels. Die Logmeldungen für Site-to-Site-VPN können über Site-to-Site-VPN oder den Logging-Service aktiviert und aufgerufen werden.

  • Einen allgemeinen Überblick über den Logging-Service finden Sie unter Logging - Überblick.
  • Einzelheiten zum Aktivieren und Aufrufen der Logmeldungen für Site-to-Site-VPN über den Logging-Service finden Sie unter Servicelogs.

  • Einzelheiten zum Schema der Logmeldungen für Site-to-Site-VPN finden Sie unter Details zu Site-to-Site-VPN.

So aktivieren Sie das Nachrichtenlogging

  1. Öffnen Sie das Navigationsmenü, und klicken Sie auf Networking. Klicken Sie unter Customer Connectivity auf Site-to-Site-VPN.

  2. Eine Liste der IPSec-Verbindungen in dem Compartment, das Sie geöffnet haben, wird angezeigt. Wenn Sie den gesuchten Compartment nicht sehen, prüfen Sie, ob Sie das korrekte Compartment anzeigen (in der Liste links auf der Seite auswählen).

  3. Klicken Sie auf den Namen der gewünschten IPsec-Verbindung.

    Die Detailseite der Verbindung wird angezeigt.

  4. Klicken Sie links auf dem Bildschirm unter "Ressourcen" auf Logs.

    Wenn diese Option nicht angezeigt wird, weist die Verbindung den älteren Typ Site-to-Site-VPN v1 auf. Das Nachrichtenlogging erfordert Site-to-Site-VPN v2.

  5. Setzen Sie auf der Detailseite Logs das Feld "Log aktivieren" auf Aktiviert. Ein neuer Bildschirm wird angezeigt.

    Details zu den Optionen auf dem Bildschirm finden Sie unter Logging für eine Ressource aktivieren. Logs werden unabhängig vom Ressourcentyp, der das Log generiert, auf dieselbe Art und Weise verarbeitet.

  6. Klicken Sie auf Log aktivieren.

Die Seite "Logdetails" wird angezeigt, und das Log wird erstellt (die Meldung "Log wird erstellt" wird angezeigt).

So zeigen Sie Logmeldungen an

Sie müssen das Logging bereits aktiviert haben, um das Nachrichtenlog anzuzeigen. So zeigen Sie das Nachrichtenlog an:

  1. Öffnen Sie das Navigationsmenü, und klicken Sie auf Networking. Klicken Sie unter Customer Connectivity auf Site-to-Site-VPN.

  2. Eine Liste der IPSec-Verbindungen in dem Compartment, das Sie geöffnet haben, wird angezeigt. Wenn Sie den gesuchten Compartment nicht sehen, prüfen Sie, ob Sie das korrekte Compartment anzeigen (in der Liste links auf der Seite auswählen).

  3. Klicken Sie links auf dem Bildschirm unter "Ressourcen" auf Logs.

    Wenn diese Option nicht angezeigt wird, weist die Verbindung den älteren Typ Site-to-Site-VPN v1 auf. Das Nachrichtenlogging erfordert Site-to-Site-VPN v2.

  4. Klicken Sie auf den Lognamen des gewünschten Logs. Dadurch wird eine neue Browserregisterkarte mit dem angeforderten Log geöffnet.

Weitere Informationen zur Verwendung des Loganzeigebildschirms finden Sie unter Logdetails abrufen.

Site-to-Site-VPN deaktivieren oder beenden

Wenn Sie das Site-to-Site-VPN zwischen Ihrem On-Premise-Netzwerk und VCN deaktivieren möchten, können Sie das DRG einfach vom VCN trennen, anstatt die IPsec-Verbindung zu löschen. Wenn Sie das DRG auch mit FastConnect verwenden, würde das Trennen des DRGs auch den Trafficfluss über FastConnect unterbrechen.

Sie können die IPSec-Verbindung löschen. Wenn Sie sie jedoch später wiederherstellen möchten, muss der Netzwerktechniker das CPE-Gerät erneut mit neuen Tunnelkonfigurationsinformationen von Oracle konfigurieren.

Wenn Sie das gesamte Site-to-Site-VPN endgültig löschen möchten, müssen Sie zuerst die IPsec-Verbindung beenden. Anschließend können Sie das CPE-Objekt löschen. Wenn Sie das DRG nicht für eine andere Verbindung zu Ihrem On-Premise-Netzwerk verwenden, können Sie es vom VCN trennen und es anschließend löschen.

So löschen Sie eine IPSec-Verbindung

  1. Öffnen Sie das Navigationsmenü, und klicken Sie auf Networking. Klicken Sie unter Customer Connectivity auf Site-to-Site-VPN.

    Eine Liste der IPSec-Verbindungen in dem angezeigten Compartment, wird angezeigt. Wenn Sie den gesuchten Compartment nicht sehen, prüfen Sie, ob Sie das korrekte Compartment anzeigen (in der Liste links auf der Seite auswählen).

  2. Klicken Sie auf die gewünschte IPSec-Verbindung.
  3. Klicken Sie auf Beenden.
  4. Bestätigen Sie den Löschvorgang, wenn Sie dazu aufgefordert werden.

Die IPSec-Verbindung weist während des Löschens für kurze Zeit den Status "Wird beendet" auf.

So löschen Sie ein CPE-Objekt

Voraussetzung: Es darf keine IPSec-Verbindung zwischen dem CPE-Objekt und einem DRG vorhanden sein.

  1. Öffnen Sie das Navigationsmenü, und klicken Sie auf Networking. Klicken Sie unter Kundenkonnektivität auf Kunden-Premise-Geräte.

    Eine Liste der CPE-Objekte in dem Compartment, das Sie anzeigen, wird angezeigt. Wenn Sie den gesuchten Compartment nicht sehen, prüfen Sie, ob Sie das korrekte Compartment anzeigen (in der Liste links auf der Seite auswählen).

  2. Klicken Sie für das zu löschende CPE-Objekt auf das Aktionsmenü (Menü Aktionen) und dann auf Löschen.
  3. Bestätigen Sie den Löschvorgang, wenn Sie dazu aufgefordert werden.

Das Objekt weist während des Löschens kurzfristig den Status "Wird beendet" auf.

Tags für eine IPSec-Verbindung oder ein CPE-Objekt verwalten

Wenden Sie Tags auf Ihre Ressourcen an, um diese entsprechend Ihren Geschäftsanforderungen zu organisieren. Wenden Sie Tags beim Erstellen einer Ressource an, oder aktualisieren Sie die Ressource später mit den gewünschten Tags. Allgemeine Informationen zum Anwenden von Tags finden Sie unter Ressourcentags.

So verwalten Sie Tags für eine IPSec-Verbindung

  1. Öffnen Sie das Navigationsmenü, und klicken Sie auf Networking. Klicken Sie unter Customer Connectivity auf Site-to-Site-VPN.

    Eine Liste der IPSec-Verbindungen in dem angezeigten Compartment, wird angezeigt. Wenn Sie den gesuchten Compartment nicht sehen, prüfen Sie, ob Sie das korrekte Compartment anzeigen (in der Liste links auf der Seite auswählen).

  2. Klicken Sie auf die gewünschte IPSec-Verbindung.
  3. Klicken Sie auf die Registerkarte Tags, um die vorhandenen Tags anzuzeigen oder zu bearbeiten. Sie können auch auf Tags hinzufügen klicken, um neue Tags hinzuzufügen.
So verwalten Sie Tags für ein CPE-Objekt

  1. Öffnen Sie das Navigationsmenü, und klicken Sie auf Networking. Klicken Sie unter Kundenkonnektivität auf Kunden-Premise-Geräte.

    Eine Liste der CPE-Objekte in dem Compartment, das Sie anzeigen, wird angezeigt. Wenn Sie den gesuchten Compartment nicht sehen, prüfen Sie, ob Sie das korrekte Compartment anzeigen (in der Liste links auf der Seite auswählen).

  2. Klicken Sie auf das gewünschte CPE-Objekt.
  3. Klicken Sie auf die Registerkarte Tags, um die vorhandenen Tags anzuzeigen oder zu bearbeiten. Sie können auch auf Tag(s) anwenden klicken, um neue Tags hinzuzufügen.

IPSec-Verbindung oder CPE-Objekt in ein anderes Compartment verschieben

Sie können Ihre Ressourcen von einem Compartment in ein anderes verschieben. Nachdem Sie die Ressource in das neue Compartment verschoben haben, werden umgehend inhärente Policys wirksam, die sich auf den Zugriff auf die Ressource über die Konsole auswirken. Wenn das CPE-Objekt in ein anderes Compartment verschoben wird, wirkt sich dies nicht auf die Verbindung zwischen dem Data Center und Oracle Cloud Infrastructure aus. Weitere Informationen finden Sie unter Mit Compartments arbeiten.

So verschieben Sie ein CPE-Objekt in ein anderes Compartment

  1. Öffnen Sie das Navigationsmenü, und klicken Sie auf Networking. Klicken Sie unter Kundenkonnektivität auf Kunden-Premise-Geräte.

  2. Suchen Sie das CPE-Objekt in der Liste. Klicken Sie auf das Aktionsmenü (Menü Aktionen) und dann auf Ressource verschieben.
  3. Wählen Sie das Ziel-Compartment in der Liste aus.
  4. Klicken Sie auf Ressource verschieben.