Yamaha RTX-Serie
Diese Konfiguration wurde mit einem RTX1210 mit Firmwarerevision 14.01.28 und RTX830 mit Firmwarerevision 15.02.03 validiert.
Oracle bietet Konfigurationsanweisungen für eine getestete Gruppe von Herstellern und Geräten. Verwenden Sie die richtige Konfiguration für den Hersteller und die Softwareversion.
Wenn das Gerät oder die Softwareversion, die Oracle zur Überprüfung der Konfiguration verwendet hat, nicht exakt mit dem Gerät oder der Software übereinstimmt, können Sie dennoch die erforderliche Konfiguration auf dem Gerät erstellen. Lesen Sie die Dokumentation des Herstellers, und nehmen Sie die erforderlichen Änderungen vor.
Wenn das Gerät von einem Hersteller stammt, der nicht in der Liste der verifizierten Hersteller und Geräte enthalten ist, oder wenn Sie bereits mit der Konfiguration des Geräts für IPSec vertraut sind, finden Sie weitere Informationen in der Liste der IPSec-Parameter und in der Dokumentation des Herstellers.
Oracle verwendet asymmetrisches Routing über die Tunnel, aus denen die IPSec-Verbindung besteht. Selbst wenn Sie einen Tunnel als primären und anderen als Backuptunnel konfigurieren, kann der Traffic vom VCN zum On-Premise-Netzwerk jeden Tunnel verwenden, der auf einem Gerät "hochgefahren" ist. Konfigurieren Sie Firewalls nach Bedarf. Andernfalls können Ping-Tests oder der Anwendungstraffic über die Verbindung hinweg nicht zuverlässig ausgeführt werden.
Vor dem Start
Vor der Konfiguration des CPE:
- Konfigurieren Sie die Internetprovidereinstellungen.
- Konfigurieren Sie Firewallregeln, um UDP-Port 500, UDP-Port 4500 und ESP zu öffnen.
Unterstützte Verschlüsselungsdomain oder Proxy-ID
Die Werte für die Verschlüsselungsdomain (auch als Proxy-ID, Sicherheitsparameterindex (SPI) oder Trafficselektor bezeichnet) hängen davon ab, ob ein CPE routenbasierte oder policy-basierte Tunnel unterstützt. Weitere Informationen zu den richtigen Werten der Verschlüsselungsdomain finden Sie unter Unterstützte Verschlüsselungsdomain oder Proxy-ID.
Parameter aus API oder Konsole
Erhalten Sie die folgenden Parameter aus der Oracle Cloud Infrastructure-Konsole oder API.
${ipAddress#}
- IPSec-Tunnel-Endpunkte des Oracle -VPN-Headends. Ein Wert pro Tunnel.
- Beispielwert: 129.146.12.52
$ {sharedSecret#}
- Der IPSec-IKE-Pre-Shared Key. Ein Wert pro Tunnel.
- Beispielwert: EXAMPLEDPfAMkD7nTH3SWr6OFabdT6exXn6enSlsKbE
$ {cpePublicIpAddress}
- Die öffentliche IP-Adresse für das CPE (wird Oracle bereits über die Konsole zur Verfügung gestellt).
$ {VcnCidrBlock}
- Beim Erstellen des VCN wurde dieses CIDR von Ihrem Unternehmen zur Darstellung des IP-Aggregatnetzwerks für alle VCN-Hosts ausgewählt.
- Beispielwert: 10.0.0.0/20
Parameter basierend auf aktueller CPE-Konfiguration und aktuellem CPE-Status
Die folgenden Parameter basieren auf der aktuellen CPE-Konfiguration.
$ {tunnelInterface#}
- Schnittstellennummer zur Identifizierung eines bestimmten Tunnels.
- Beispielwert: 1
$ {ipsecPolicy#}
- SA-Policy, die für die gewählte Inline-Schnittstelle verwendet wird.
- Beispielwert: 1
${localAddress}
- Die öffentliche IP-Adresse des CPE.
- Beispielwert: 146.56.2.52
Zusammenfassung der Konfigurationsvorlagenparameter
Jede Region verfügt über mehrere IPSec-Headends von Oracle. Mit der folgenden Vorlage können Sie mehrere Tunnel auf einem CPE einrichten, die jeweils zu einem entsprechenden Headend gehören. In der Tabelle steht "Benutzer" für Sie oder Ihr Unternehmen.
Parameter | Quelle | Beispielwert |
---|---|---|
${ipAddress1}
|
Konsole/API | 129.146.12.52 |
${sharedSecret1}
|
Konsole/API | (lange Zeichenfolge) |
${ipAddress2}
|
Konsole/API | 129.146.13.52 |
${sharedSecret2}
|
Konsole/API | (lange Zeichenfolge) |
${cpePublicIpAddress }
|
Benutzer | 1.2.3.4 |
${VcnCidrBlock}
|
Benutzer | 10.0.0.0/20 |
Die folgenden Werte für die Policy-Parameter ISAKMP und IPSec gelten für Site-to-Site-VPN in der Commercial Cloud. Für die Government Cloud müssen Sie die unter Erforderliche Site-to-Site-VPN-Parameter für Government Cloud aufgeführten Werte verwenden.
ISAKMP-Policy-Optionen
Parameter | Empfohlener Wert |
---|---|
ISAKMP-Protokollversion | Version 1 |
Austauschart | Hauptmodus |
Authentifizierungsmethode | Pre-Shared Keys |
Verschlüsselung | AES-256-cbc |
Authentifizierungsalgorithmus | SHA-256 |
Diffie-Hellman-Gruppe | Gruppe 5 |
Gültigkeitsdauer des IKE-Sessionschlüssels | 28800 Sekunden (8 Stunden) |
IPSec-Policy-Optionen
Parameter | Empfohlener Wert |
---|---|
IPSec-Protokoll | ESP, Tunnelmodus |
Verschlüsselung | AES-256-cbc |
Authentifizierungsalgorithmus | HMAC-SHA1-96 |
Diffie-Hellman-Gruppe | Gruppe 5 |
Perfect Forward Secrecy | Aktiviert |
Gültigkeitsdauer des IPSec-Sessionschlüssels | 3600 ekunden (1 Stunde) |
CPE-Konfiguration
ISAKMP- und IPSec-Konfiguration
tunnel select 1
description tunnel OCI-VPN1
ipsec tunnel 1
ipsec sa policy 1 1 esp aes256-cbc sha-hmac
ipsec ike duration ipsec-sa 1 3600
ipsec ike duration isakmp-sa 1 28800
ipsec ike encryption 1 aes256-cbc
ipsec ike group 1 modp1536
ipsec ike hash 1 sha256
ipsec ike keepalive log 1 off
ipsec ike keepalive use 1 on dpd 5 4
ipsec ike local address 1 ${cpePublicIpAddress}
ipsec ike local id 1 0.0.0.0/0
ipsec ike nat-traversal 1 on
ipsec ike pfs 1 on
ipsec ike pre-shared-key 1 text ${sharedSecret1}
ipsec ike remote address 1 ${ipAddress1}
ipsec ike remote id 1 0.0.0.0/0
ip tunnel tcp mss limit auto
tunnel enable 1
tunnel select 2
description tunnel OCI-VPN2
ipsec tunnel 2
ipsec sa policy 2 2 esp aes256-cbc sha-hmac
ipsec ike duration ipsec-sa 2 3600
ipsec ike duration isakmp-sa 2 28800
ipsec ike encryption 2 aes256-cbc
ipsec ike group 2 modp1536
ipsec ike hash 2 sha256
ipsec ike keepalive log 2 off
ipsec ike keepalive use 2 on dpd 5 4
ipsec ike local address 2 ${cpePublicIpAddress}
ipsec ike local id 2 0.0.0.0/0
ipsec ike nat-traversal 2 on
ipsec ike pfs 2 on
ipsec ike pre-shared-key 2 text ${sharedSecret2}
ipsec ike remote address 2 ${ipAddress2}
ipsec ike remote id 2 0.0.0.0/0
ip tunnel tcp mss limit auto
tunnel enable 2
ipsec auto refresh on
Statische Routenkonfiguration
ip route ${VcnCidrBlock} gateway tunnel 1 hide gateway tunnel 2 hide