Furukawa Electric

Erfahren Sie, wie Sie einen Furukawa-Elektro-Router für einen Site-to-Site-VPN zwischen ein On-Premise-Netzwerk und ein Cloud-Netzwerk konfigurieren.

Diese Konfiguration wurde unter Verwendung eines FITELnet-F220/F221-Gerätes der Furukawa Electric-Serie mit Firmware 01.00(00)[0]00.00.0 [2019/07/05 15:00] validiert.

Wichtig

Oracle bietet Konfigurationsanweisungen für eine getestete Gruppe von Herstellern und Geräten. Verwenden Sie die richtige Konfiguration für den Hersteller und die Softwareversion.

Wenn das Gerät oder die Softwareversion, die Oracle zur Überprüfung der Konfiguration verwendet hat, nicht exakt mit dem Gerät oder der Software übereinstimmt, können Sie dennoch die erforderliche Konfiguration auf dem Gerät erstellen. Lesen Sie die Dokumentation des Herstellers, und nehmen Sie die erforderlichen Änderungen vor.

Wenn das Gerät von einem Hersteller stammt, der nicht in der Liste der verifizierten Hersteller und Geräte enthalten ist, oder wenn Sie bereits mit der Konfiguration des Geräts für IPSec vertraut sind, finden Sie weitere Informationen in der Liste der IPSec-Parameter und in der Dokumentation des Herstellers.

Wichtig

Oracle verwendet asymmetrisches Routing über die Tunnel, aus denen die IPSec-Verbindung besteht. Selbst wenn Sie einen Tunnel als primären und anderen als Backuptunnel konfigurieren, kann der Traffic vom VCN zum On-Premise-Netzwerk jeden Tunnel verwenden, der auf einem Gerät "hochgefahren" ist. Konfigurieren Sie Firewalls nach Bedarf. Andernfalls können Ping-Tests oder der Anwendungstraffic über die Verbindung hinweg nicht zuverlässig ausgeführt werden.

Vor dem Start

Stellen Sie vor der Konfiguration des CPE Folgendes sicher:

  • Internetprovidereinstellungen konfigurieren
  • Konfigurieren Sie Firewallregeln, um UDP-Port 500, UDP-Port 4500 und ESP zu öffnen.

Unterstützte Verschlüsselungsdomain oder Proxy-ID

Die Werte für die Verschlüsselungsdomain (auch als Proxy-ID, Sicherheitsparameterindex (SPI) oder Trafficselektor bezeichnet) hängen davon ab, ob ein CPE routenbasierte oder policy-basierte Tunnel unterstützt. Weitere Informationen zu den richtigen Werten der Verschlüsselungsdomain finden Sie unter Unterstützte Verschlüsselungsdomain oder Proxy-ID.

Parameter aus API oder Konsole

Erhalten Sie die folgenden Parameter aus der Oracle Cloud Infrastructure-Konsole oder API.

${vpn-ip#}

  • IPSec-Tunnel-Endpunkte des Oracle -VPN-Headends. Ein Wert pro Tunnel.
  • Beispielwerte: 129.146.12.52, 129.146.13.52

$ {sharedSecret#}

  • IPSec-ISAKMP-Pre-Shared Key. Ein Wert pro Tunnel.
  • Beispielwert: EXAMPLEDPfAMkD7nTH3SWr6OFabdT6exXn6enSlsKbE

$ {cpePublicIpAddress}

  • Die öffentliche IP-Adresse für das CPE (wird Oracle bereits über die Konsole zur Verfügung gestellt).

$ {VcnCidrBlock}

  • Beim Erstellen des VCN wurde dieses CIDR von Ihrem Unternehmen zur Darstellung des IP-Aggregatnetzwerks für alle VCN-Hosts ausgewählt.
  • Beispielwert: 10.0.0.0/20

Parameter basierend auf aktueller CPE-Konfiguration und aktuellem CPE-Status

Die folgenden Parameter basieren auf der aktuellen CPE-Konfiguration.

${tunnelNumber#}

  • Schnittstellennummer zur Identifizierung eines bestimmten Tunnels. Sie benötigen eine nicht verwendete Einheitennummer pro Tunnel.
  • Beispielwert: 1, 2

${isakmpPolicy}

  • Name der ISAKMP-Policy.
  • Beispielwert: isakmp-policy

${ipsecPolicy#}

  • Name der IPSec-Policy.
  • Beispielwert: ipsec-policy

${isakmpProfile#}

  • Name des ISAKMP-Profils. Sie benötigen einen nicht verwendeten Namen für das ISAKMP-Profil pro Tunnel.
  • Beispielwerte: OCI-VPN-profile1, OCI-VPN-profile2

${selector}

  • Name des Selektors.
  • Beispielwert: OCI-VPN-selector

${map#}

  • Name der Zuordnung. Sie benötigen einen nicht verwendeten Namen für die Zuordnung pro Tunnel.
  • Beispielwerte: OCI-VPN-MAP1, OCI-VPN-MAP2

${customer-bgp-asn}

  • Die On-Premise-BGP-ASN.
  • Beispielwert: 65000

${oracle-bgp-asn#}

  • BGP-ASN von Oracle.
  • Beispielwert: 31898

${customer-interface-ip#}

  • Innere Tunnelschnittstelle für das CPE.
  • Beispielwert: 10.0.0.16/31

${oracle-interface-ip#}

  • Innere Tunnelschnittstelle für ORACLE.
  • Beispielwert: 10.0.0.17/31

${router-id}

  • BGP-Router-ID.
  • Beispielwert: 10.0.0.16

Zusammenfassung der Konfigurationsvorlagenparameter

Jede Region verfügt über mehrere IPSec-Headends von Oracle. Mit der folgenden Vorlage können Sie redundante Tunnel auf einem CPE einrichten, die jeweils zu einem entsprechenden Headend gehören. In der folgenden Tabelle steht "Benutzer" für Sie oder Ihr Unternehmen.

Parameter Quelle Beispielwert
${vpn-ip1} Konsole/API 129.146.12.52
${sharedSecret1} Konsole/API (lange Zeichenfolge)
${vpn-ip2} Konsole/API 129.146.13.52
${sharedSecret2} Konsole/API (lange Zeichenfolge)
${cpePublicIpAddress} Benutzer 203.0.113.1
${VcnCidrBlock} Benutzer 10.0.0.0/20
${tunnelNumber1} Benutzer 1
${tunnelNumber1} Benutzer 2
${isakmpPolicy} Benutzer isakmp-policy
${ipsecPolicy} Benutzer ipsec-policy
${isakmpProfile1} Benutzer OCI-VPN-profile1
${isakmpProfile2} Benutzer OCI-VPN-profile2
${selector} Benutzer OCI-VPN-selector
${map1} Benutzer OCI-VPN-MAP1
${map2} Benutzer OCI-VPN-MAP2
${customer-bgp-asn} Konsole/API/Benutzer 65000
${oracle-bgp-asn1} Konsole/API 31.898 *
${oracle-bgp-asn2} Konsole/API 31.898 *
${customer-interface-ip1} Konsole/API/Benutzer 10.0.0.16/31
${customer-interface-ip2} Konsole/API/Benutzer 10.0.0.18/31
${oracle-interface-ip1} Konsole/API/Benutzer 10.0.0.17
${oracle-interface-ip2} Konsole/API/Benutzer 10.0.0.19
${router-id} Benutzer 10.0.0.16
* Die BGP-ASN von Oracle für die kommerzielle Cloud ist 31898, mit Ausnahme der Region Serbia Central (Jovanovac) mit 14544.

Wichtig

Die folgenden Werte für die Policy-Parameter ISAKMP und IPSec gelten für Site-to-Site-VPN in der Commercial Cloud. Für die Government Cloud müssen Sie die unter Erforderliche Site-to-Site-VPN-Parameter für Government Cloud aufgeführten Werte verwenden.

ISAKMP-Policy-Optionen

Parameter Empfohlener Wert
ISAKMP-Protokollversion Version 1
Austauschart Hauptmodus
Authentifizierungsmethode Pre-Shared Keys
Verschlüsselung AES-256-cbc
Authentifizierungsalgorithmus HMAC-SHA1-96
Diffie-Hellman-Gruppe Gruppe 5
Gültigkeitsdauer des IKE-Sessionschlüssels 28.800 Sekunden (8 Stunden)

IPSec-Policy-Optionen

Parameter Empfohlener Wert
IPSec-Protokoll ESP, Tunnelmodus
Verschlüsselung AES-CBC/256
Authentifizierungsalgorithmus HMAC-SHA1-96/160
Diffie-Hellman-Gruppe Gruppe 5
Perfect Forward Secrecy Aktiviert
Gültigkeitsdauer des IPSec-Sessionschlüssels 3600 Sekunden (1 Stunde)

CPE-Konfiguration

ISAKMP- und IPSec-Konfiguration

crypto ipsec policy ${ipsecPolicy}
 set pfs group5
 set security-association transform-keysize aes 256 256 256
 set security-association transform esp-aes esp-sha-hmac
exit
!
crypto ipsec selector ${selector}
 src 1 ipv4 any
 dst 1 ipv4 any
exit
!
crypto isakmp policy ${isakmpPolicy}
 authentication pre-share
 encryption aes
 encryption-keysize aes 256 256 256
 group 5
 hash sha
exit
!
crypto isakmp profile ${isakmpProfile1}
 local-address ${cpePublicIpAddress}
 set isakmp-policy ${isakmpPolicy}
 set ipsec-policy ${ipsecPolicy}
 set peer ${vpn-ip1}
 ike-version 1
 local-key ascii ${sharedSecret1}
exit
!
crypto isakmp profile ${isakmpProfile2}
 local-address ${cpePublicIpAddress}
 set isakmp-policy ${isakmpPolicy}
set ipsec-policy ${ipsecPolicy}
set peer ${vpn-ip2}
ike-version 1
 local-key ascii ${sharedSecret2}
exit
!
crypto map ${map1} ipsec-isakmp
 match address ${selector}
set isakmp-profile ${isakmpProfile1}
exit
!
crypto map ${map2} ipsec-isakmp
 match address ${selector}
 set isakmp-profile ${isakmpProfile2}
exit
!
interface Tunnel ${tunnelNumber1}
 tunnel mode ipsec map ${map1}
ip address ${customer-interface-ip1}
exit
!
interface Tunnel ${tunnelNumber2}
 tunnel mode ipsec map ${map2}
 ip address ${customer-interface-ip2}
exit

BGP-Konfiguration

ip route ${vcnCidrBlock} Tunnel ${tunnelNumber1}
ip route ${vcnCidrBlock} Tunnel ${tunnelNumber2}

Statische Routenkonfiguration

router bgp ${customer-bgp-asn}
 bgp router-id ${router-id}
 bgp log-neighbor-changes
 neighbor ${oracle-interface-ip1} ebgp-multihop 10
 neighbor ${oracle-interface-ip1} enforce-multihop
 neighbor ${oracle-interface-ip1} remote-as ${oracle-bgp-asn1}
 neighbor ${oracle-interface-ip1} update-source tunnel ${tunnelNumber1}
 neighbor ${oracle-interface-ip2} ebgp-multihop 10
 neighbor ${oracle-interface-ip2} enforce-multihop
 neighbor ${oracle-interface-ip2} remote-as ${oracle-bgp-asn2}
 neighbor ${oracle-interface-ip2} update-source tunnel ${tunnelNumber2}
 !
 address-family ipv4 unicast
  redistribute connected
exit