Oracle Cloud Infrastructure - Dokumentation

Unterstützte IPSec-Parameter

In diesem Thema werden die unterstützten Konfigurationsparameter für Phase 1 (ISAKMP) und Phase 2 (IPSec) für Site-to-Site-VPN aufgeführt. Diese Werte wurden von Oracle gewählt, um die Sicherheit zu maximieren und eine Vielzahl von CPE-Geräten abzudecken. Wenn das CPE-Gerät nicht in der Liste der geprüften Geräte enthalten ist, konfigurieren Sie das Gerät anhand der folgenden Informationen.

Sie können mit dem CPE-Konfigurations-Helper auch Informationen erfassen, die ein Netzwerktechniker bei der Konfiguration des CPE-Geräts verwendet.

Wichtig

Oracle verwendet asymmetrisches Routing über die Tunnel, aus denen die IPSec-Verbindung besteht. Selbst wenn Sie einen Tunnel als primären und einen anderen als Backup konfigurieren, kann der Traffic von einem VCN zu einem On-Premise-Netzwerk jeden Tunnel verwenden, der auf einem Gerät "hochgefahren" ist. Konfigurieren Sie die Firewalls entsprechend. Andernfalls können Ping-Tests oder der Anwendungstraffic über die Verbindung hinweg nicht zuverlässig ausgeführt werden.

Unterstützte Verschlüsselungsdomain oder Proxy-ID

Die Werte für die Verschlüsselungsdomain (auch als Proxy-ID, Sicherheitsparameterindex (SPI) oder Trafficselektor bezeichnet) hängen davon ab, ob ein CPE routenbasierte oder policy-basierte Tunnel unterstützt. Weitere Informationen zu den richtigen Werten der Verschlüsselungsdomain finden Sie unter Unterstützte Verschlüsselungsdomain oder Proxy-ID.

Benutzerdefinierte IKE- und IPsec-Parameter

Wenn Sie benutzerdefinierte Internet Key Exchange-(IKE-) oder IPsec-Parameter verwenden und benutzerdefinierte Proposals der Phase 1 auswählen, muss das CPE so konfiguriert sein, dass es den genauen Vorschlag akzeptiert. Eine Unstimmigkeit verhindert, dass IKE die IPsec-Tunnel-Sicherheitszuordnung für Phase 1 einrichtet.

Bei benutzerdefinierten IPsec-Proposals der Phase 2 ist folgendes Verhalten zu erwarten:

  • Wenn Oracle eine neue IPsec-Sicherheitszuordnung der Phase 2 initiiert, enthält das IKE-Proposal nur die benutzerdefinierten Werte.
  • Wenn das CPE eine neue IPsec-Sicherheitszuordnung der Phase 2 initiiert, wird die Sicherheitszuordnung der Phase 2 erstellt, solange Oracle die Parameter unterstützt.

Oracle IKE-Initiierung und IP-Fragmente

Das Standardset von Oracle IKE-Parameter-Proposals ist zu groß für ein einzelnes UDP-Paket. Daher wird die Initiierungsanforderung von der Oracle-Seite der IPsec-Verbindung fragmentiert. Um eine neue IKE-Sicherheitszuordnung erfolgreich zu initiieren, muss jede Firewall oder Sicherheitsliste zwischen der öffentlichen IP-Adresse des Oracle-VPN und dem CPE IP-Fragmente zulassen.

Unterstützte Parameter für die Commercial Cloud

In diesem Abschnitt werden die unterstützten Parameter für Site-to-Site-VPN in der Commercial Cloud aufgelistet. Eine Liste der Commercial Cloud-Regionen finden Sie unter Regionen und Availability-Domains.

Bei einigen Parametern unterstützt Oracle mehrere Werte. Der empfohlene Wert ist angegeben.

Oracle unterstützt die folgenden Parameter für IKEv1 oder IKEv2. In der Dokumentation für ein bestimmtes CPE können Sie feststellen, welche Parameter das CPE für IKEv1 oder IKEv2 unterstützt.

Phase 1 (ISAKMP)

Parameter Optionen
ISAKMP-Protokoll

Version 1
Austauschart

Hauptmodus
Authentifizierungsmethode

Pre-Shared Keys *
Verschlüsselungsalgorithmus

AES-256-CBC (empfohlen)

AES-192-CBC

AES-128-CBC
Authentifizierungsalgorithmus

SHA-2 384 (empfohlen)

SHA-2 256

SHA-1 (auch als SHA oder SHA1-96 bezeichnet)**

Diffie-Hellman-Gruppe

Gruppe 2 (MODP 1024-Bit)

Gruppe 5 (MODP 1536-Bit)

Gruppe 14 (MODP 2048-Bit)

Gruppe 19 (ECP 256-Bit zufällig)

Gruppe 20 (ECP 384-Bit zufällig) (empfohlen)
Gültigkeitsdauer des IKE-Sessionschlüssels

28800 Sekunden (8 Stunden)

* In Pre-Shared Keys sind nur Zahlen, Buchstaben und Leerzeichen zulässig.

** Wir empfehlen gegen die Verwendung von SHA-1. Die Verwendung von SHA-1 wurde 2011 von NIST offiziell als veraltet eingestuft, und die Verwendung für digitale Signaturen wurde 2013 für unzulässig erklärt.

Phase 2 (IPSec)

Parameter Optionen
IPSec-Protokoll

ESP, Tunnelmodus
Verschlüsselungsalgorithmus

AES-256-GCM (empfohlen)

AES-192-GCM

AES-128-GCM

AES-256-CBC

AES-192-CBC

AES-128-CBC
Authentifizierungsalgorithmus

Wenn GCM verwendet wird, ist kein Authentifizierungsalgorithmus erforderlich, weil die Authentifizierung in der GCM-Verschlüsselung enthalten ist.

Wenn Sie GCM nicht verwenden, werden die folgenden Optionen unterstützt:

HMAC-SHA-256-128 (empfohlen)

HMAC-SHA1-128*
Gültigkeitsdauer des IPSec-Sessionschlüssels

3600 Sekunden (1 Stunde)
Perfect Forward Secrecy (PFS)

Aktiviert, Gruppe 5 (Standard, empfohlen)

Unterstützt "Deaktiviert" und "Aktiviert" für Gruppe 2, 5, 14, 19, 20, 24.

* Wir empfehlen gegen die Verwendung von SHA-1. Die Verwendung von SHA-1 wurde 2011 von NIST offiziell als veraltet eingestuft, und die Verwendung für digitale Signaturen wurde 2013 für unzulässig erklärt.

Referenzmaterial

Wenn Sie noch nicht mit den bereits genannten Parametern vertraut sind, finden Sie Links zu relevanten Standards in den folgenden Tabellen.

Option Relevanter Standard
Advanced Encryption Standard (AES) FIPS PUB 197-Standard
Cipher Block Chaining (CBC) SP 800-38A-Standard
Secure Hash Algorithm (SHA) FIPS PUB 180-4-Standard
Diffie-Hellman-(DH-)Gruppen

RFC 2631: Diffie-Hellman Key Agreement Method

RFC 3526: More Modular Exponential (MODP) Diffie-Hellman groups for Internet Key Exchange (IKE)

RFC 4306: Internet Key Exchange (IKEv2) Protocol
DH-Gruppentyp: Modular Exponential (MODP) oder Elliptic Curve Prime (ECP)

MODP RFC 3526: More Modular Exponential (MODP) Diffie-Hellman groups for Internet Key Exchange (IKE)

ECP RFC 5114: Zusätzliche Diffie-Hellman-Gruppen zur Verwendung mit IETF-Standards
Galois Counter Mode (GCM) RFC 5288: AES Galois Counter Mode (GCM) Cipher Suites for TLS
Perfect Forward Secrecy (PFS) RFC 2412: The OAKLEY Key Determination Protocol