Furukawa Electric
Erfahren Sie, wie Sie einen Furukawa Electric-Router für ein Site-to-Site-VPN zwischen einem On-Premise-Netzwerk und einem Cloud-Netzwerk konfigurieren.
Diese Konfiguration wurde unter Verwendung eines FITELnet-F220/F221-Gerätes der Furukawa Electric-Serie mit Firmware 01.00(00)[0]00.00.0 [2019/07/05 15:00] validiert.
Oracle stellt Konfigurationsanweisungen für eine getestete Gruppe von Herstellern und Geräten bereit. Verwenden Sie die richtige Konfiguration für Ihren Hersteller und Ihre Softwareversion.
Wenn das Gerät oder die Softwareversion, die Oracle zur Überprüfung der Konfiguration verwendet hat, nicht genau mit Ihrem Gerät oder Ihrer Software übereinstimmt, können Sie die erforderliche Konfiguration auf Ihrem Gerät möglicherweise noch erstellen. Ziehen Sie die Dokumentation Ihres Herstellers zu Rate, und nehmen Sie die erforderlichen Anpassungen vor.
Wenn Ihr Gerät für einen Hersteller ausgelegt ist, der nicht in der Liste der verifizierten Hersteller und Geräte enthalten ist, oder wenn Sie bereits mit der Konfiguration Ihres Geräts für IPSec vertraut sind, finden Sie weitere Informationen in der Liste der unterstützten IPSec-Parameter und in der Dokumentation Ihres Herstellers.
Oracle verwendet asymmetrisches Routing über mehrere Tunnel, aus denen die IPsec-Verbindung besteht. Selbst wenn Sie einen Tunnel als primären und einen anderen als Backuptunnel konfigurieren, kann der Traffic vom VCN zum On-Premise-Netzwerk jeden Tunnel, der auf Ihrem Gerät "hochgefahren" ist, verwenden. Konfigurieren Sie Ihre Firewalls entsprechend. Andernfalls können Ping-Tests oder der Anwendungstraffic über die Verbindung hinweg nicht zuverlässig ausgeführt werden.
Vor dem Start
Stellen Sie vor der CPE-Konfiguration Folgendes sicher:
- Konfigurieren Sie die Einstellungen Ihres Internetproviders.
- Konfigurieren Sie Firewallregeln, um UDP-Port 500, UDP-Port 4500 und ESP zu öffnen.
Unterstützte Verschlüsselungsdomain oder Proxy-ID
Die Werte für die Verschlüsselungsdomain (auch als Proxy-ID, Sicherheitsparameterindex (SPI) oder Trafficselektor bezeichnet) hängen davon ab, ob Ihr CPE routenbasierte oder policy-basierte Tunnel unterstützt. Weitere Informationen zu den richtigen Werten der Verschlüsselungsdomain finden Sie unter Unterstützte Verschlüsselungsdomain oder Proxy-ID.
Parameter aus API oder Konsole
Rufen Sie die folgenden Parameter aus der Oracle Cloud Infrastructure-Konsole oder API ab.
${vpn-ip#}
- IPSec-Tunnel-Endpunkte des Oracle -VPN-Headends. Für jeden Tunnel ist ein Wert vorhanden.
- Beispielwerte: 129.146.12.52, 129.146.13.52
$ {sharedSecret#}
- IPSec-ISAKMP-Pre-Shared Key. Für jeden Tunnel ist ein Wert vorhanden.
- Beispielwert: EXAMPLEDPfAMkD7nTH3SWr6OFabdT6exXn6enSlsKbE
$ {cpePublicIpAddress}
- Öffentliche IP-Adresse für das CPE (wurde für Oracle früher über die Konsole zur Verfügung gestellt).
$ {VcnCidrBlock}
- Beim Erstellen des VCN wurde dieses CIDR von Ihrem Unternehmen zur Darstellung des IP-Aggregatnetzwerks für alle VCN-Hosts ausgewählt.
- Beispielwert: 10.0.0.0/20
Parameter basierend auf aktueller CPE-Konfiguration und aktuellem CPE-Status
Die folgenden Parameter basieren auf der aktuellen CPE-Konfiguration.
${tunnelNumber#}
- Schnittstellennummer zur Identifizierung eines bestimmten Tunnels. Sie benötigen eine nicht verwendete Einheitennummer pro Tunnel.
- Beispielwert: 1, 2
${isakmpPolicy}
- Name der ISAKMP-Policy.
- Beispielwert: isakmp-policy
${ipsecPolicy#}
- Name der IPSec-Policy.
- Beispielwert: ipsec-policy
${isakmpProfile#}
- Name des ISAKMP-Profils. Sie benötigen einen nicht verwendeten Namen für das ISAKMP-Profil pro Tunnel.
- Beispielwerte: OCI-VPN-profile1, OCI-VPN-profile2
${selector}
- Name des Selektors.
- Beispielwert: OCI-VPN-selector
${map#}
- Name der Zuordnung. Sie benötigen einen nicht verwendeten Namen für die Zuordnung pro Tunnel.
- Beispielwerte: OCI-VPN-MAP1, OCI-VPN-MAP2
${customer-bgp-asn}
- Ihre BGP-ASN.
- Beispielwert: 65000
${oracle-bgp-asn#}
- BGP-ASN von Oracle.
- Beispielwert: 31898
${customer-interface-ip#}
- Innere Tunnelschnittstelle für das CPE.
- Beispielwert: 10.0.0.16/31
${oracle-interface-ip#}
- Innere Tunnelschnittstelle für ORACLE.
- Beispielwert: 10.0.0.17/31
${router-id}
- BGP-Router-ID.
- Beispielwert: 10.0.0.16
Zusammenfassung der Konfigurationsvorlagenparameter
Jede Region hat mehrere Oracle-IPSec-Headends. Mit der folgenden Vorlage können Sie mehrere Tunnel in Ihrem CPE einrichten (jeweils zu einem entsprechenden Headend). In der folgenden Tabelle steht "Benutzer" für Sie/Ihr Unternehmen.
Parameter | Quelle | Beispielwert |
---|---|---|
${vpn-ip1}
|
Konsole/API | 129.146.12.52 |
${sharedSecret1}
|
Konsole/API | (lange Zeichenfolge) |
${vpn-ip2}
|
Konsole/API | 129.146.13.52 |
${sharedSecret2}
|
Konsole/API | (lange Zeichenfolge) |
${cpePublicIpAddress }
|
Benutzer | 203.0.113.1 |
${VcnCidrBlock}
|
Benutzer | 10.0.0.0/20 |
${tunnelNumber1}
|
Benutzer | 1 |
${tunnelNumber1}
|
Benutzer | 2 |
${isakmpPolicy}
|
Benutzer | isakmp-policy |
${ipsecPolicy}
|
Benutzer | ipsec-policy |
${isakmpProfile1}
|
Benutzer | OCI-VPN-profile1 |
${isakmpProfile2}
|
Benutzer | OCI-VPN-profile2 |
${selector}
|
Benutzer | OCI-VPN-selector |
${map1}
|
Benutzer | OCI-VPN-MAP1 |
${map2}
|
Benutzer | OCI-VPN-MAP2 |
${customer-bgp-asn}
|
Konsole/API/Benutzer | 65000 |
${oracle-bgp-asn1}
|
Konsole/API | 31.898 * |
${oracle-bgp-asn2}
|
Konsole/API | 31.898 * |
${customer-interface-ip1}
|
Konsole/API/Benutzer | 10.0.0.16/31 |
${customer-interface-ip2}
|
Konsole/API/Benutzer | 10.0.0.18/31 |
${oracle-interface-ip1}
|
Konsole/API/Benutzer | 10.0.0.17 |
${oracle-interface-ip2}
|
Konsole/API/Benutzer | 10.0.0.19 |
${router-id}
|
Benutzer | 10.0.0.16 |
* Die BGP-ASN von Oracle für die kommerzielle Cloud ist 31898, mit Ausnahme der Region Serbia Central (Jovanovac), die 14544 lautet. |
Die folgenden ISAKMP- und IPsec-Policy-Parameterwerte sind für Site-to-Site-VPN in der Commercial Cloud anwendbar. Für die Government Cloud müssen Sie die unter Erforderliche Site-to-Site-VPN-Parameter für Government Cloud aufgeführten Werte verwenden.
ISAKMP-Policy-Optionen
Parameter | Empfohlener Wert |
---|---|
ISAKMP-Protokollversion | Version 1 |
Austauschart | Hauptmodus |
Authentifizierungsmethode | Pre-Shared Keys |
Verschlüsselung | AES-256-cbc |
Authentifizierungsalgorithmus | HMAC-SHA1-96 |
Diffie-Hellman-Gruppe | Gruppe 5 |
Gültigkeitsdauer des IKE-Sessionschlüssels | 28.800 Sekunden (8 Stunden) |
IPSec-Policy-Optionen
Parameter | Empfohlener Wert |
---|---|
IPSec-Protokoll | ESP, Tunnelmodus |
Verschlüsselung | AES-CBC/256 |
Authentifizierungsalgorithmus | HMAC-SHA1-96/160 |
Diffie-Hellman-Gruppe | Gruppe 5 |
Perfect Forward Secrecy | Aktiviert |
Gültigkeitsdauer des IPSec-Sessionschlüssels | 3600 Sekunden (1 Stunde) |
CPE-Konfiguration
ISAKMP- und IPSec-Konfiguration
crypto ipsec policy ${ipsecPolicy}
set pfs group5
set security-association transform-keysize aes 256 256 256
set security-association transform esp-aes esp-sha-hmac
exit
!
crypto ipsec selector ${selector}
src 1 ipv4 any
dst 1 ipv4 any
exit
!
crypto isakmp policy ${isakmpPolicy}
authentication pre-share
encryption aes
encryption-keysize aes 256 256 256
group 5
hash sha
exit
!
crypto isakmp profile ${isakmpProfile1}
local-address ${cpePublicIpAddress}
set isakmp-policy ${isakmpPolicy}
set ipsec-policy ${ipsecPolicy}
set peer ${vpn-ip1}
ike-version 1
local-key ascii ${sharedSecret1}
exit
!
crypto isakmp profile ${isakmpProfile2}
local-address ${cpePublicIpAddress}
set isakmp-policy ${isakmpPolicy}
set ipsec-policy ${ipsecPolicy}
set peer ${vpn-ip2}
ike-version 1
local-key ascii ${sharedSecret2}
exit
!
crypto map ${map1} ipsec-isakmp
match address ${selector}
set isakmp-profile ${isakmpProfile1}
exit
!
crypto map ${map2} ipsec-isakmp
match address ${selector}
set isakmp-profile ${isakmpProfile2}
exit
!
interface Tunnel ${tunnelNumber1}
tunnel mode ipsec map ${map1}
ip address ${customer-interface-ip1}
exit
!
interface Tunnel ${tunnelNumber2}
tunnel mode ipsec map ${map2}
ip address ${customer-interface-ip2}
exit
BGP-Konfiguration
ip route ${vcnCidrBlock} Tunnel ${tunnelNumber1}
ip route ${vcnCidrBlock} Tunnel ${tunnelNumber2}
Statische Routenkonfiguration
router bgp ${customer-bgp-asn}
bgp router-id ${router-id}
bgp log-neighbor-changes
neighbor ${oracle-interface-ip1} ebgp-multihop 10
neighbor ${oracle-interface-ip1} enforce-multihop
neighbor ${oracle-interface-ip1} remote-as ${oracle-bgp-asn1}
neighbor ${oracle-interface-ip1} update-source tunnel ${tunnelNumber1}
neighbor ${oracle-interface-ip2} ebgp-multihop 10
neighbor ${oracle-interface-ip2} enforce-multihop
neighbor ${oracle-interface-ip2} remote-as ${oracle-bgp-asn2}
neighbor ${oracle-interface-ip2} update-source tunnel ${tunnelNumber2}
!
address-family ipv4 unicast
redistribute connected
exit