Furukawa Electric
Descubra cómo configurar un enrutador Furukawa Electric para la VPN de sitio a sitio entre la Red local y la Red en la nube.
Esta configuración se validó mediante un dispositivo FITELnet-F220/F221 de Furukawa Electric con el firmware 01.00(00)[0]00.00.0 [2019/07/05 15:00].
Oracle proporciona instrucciones de configuración para un conjunto probado de proveedores y dispositivos. Utilice la configuración correcta para el proveedor y la versión de software.
Si el dispositivo o la versión de software que Oracle utiliza para verificar que la configuración no coincide exactamente con el dispositivo o el software, puede crear la configuración necesaria en el dispositivo. Consulte la documentación del proveedor y realice los cambios necesarios.
Si el dispositivo proviene de un proveedor que no está en la lista de proveedores y dispositivos verificados o si ya está familiarizado con la configuración del dispositivo para IPSec, consulte la lista de parámetros admitidos de IPSec y consulte la documentación del proveedor para obtener ayuda.
Oracle utiliza el enrutamiento asimétrico en todos los túneles que forman la conexión IPSec. Incluso si configura un túnel como principal y otro como copia de seguridad, el tráfico de una VCN a una red local puede utilizar cualquier túnel que esté "activo" en un dispositivo. Configure los firewalls según corresponda. De lo contrario, las pruebas de ping o el tráfico de aplicaciones a través de la conexión no funcionan de forma fiable.
Pasos previos al inicio
Antes de configurar el CPE, asegúrese de que:
- Configurar los valores del proveedor de Internet.
- Configurar reglas de firewall para abrir el puerto 500 UDP, el puerto 4500 UDP y ESP.
Identificador de servidor proxy o dominio de cifrado admitidos
Los valores del dominio de cifrado (también conocido como ID de proxy, índice de parámetros de seguridad (SPI) o selector de tráfico) dependen de si un CPE admite túneles basados en rutas o túneles basados en políticas. Para obtener más información sobre los valores de dominio de cifrado correctos que se deben utilizar, consulte Identificador de servidor proxy o dominio de cifrado admitidos.
Parámetros de API o consola
Obtenga los siguientes parámetros de la consola o API de Oracle Cloud Infrastructure.
${vpn-ip#}
- Puntos finales del túnel de IPSec de cabecera de VPN de Oracle. Un valor por túnel.
- Valores de ejemplo: 129.146.12.52, 129.146.13.52
${sharedSecret#}
- Clave compartida previamente de ISAKMP de IPSec. Un valor por túnel.
- Valor de ejemplo: EXAMPLEDPfAMkD7nTH3SWr6OFabdT6exXn6enSlsKbE
${cpePublicIpAddress}
- Dirección IP pública del CPE (que ya está disponible para Oracle a través de la consola).
${VcnCidrBlock}
- Al crear la VCN, la empresa seleccionó este CIDR para representar la red agregada de IP para todos los hosts de la VCN.
- Valor de ejemplo: 10.0.0.0/20
Parámetros basados en configuración y estado de CPE actual
Los siguientes parámetros se basan en la configuración actual de CPE.
${tunnelNumber#}
- Número de interfaz para identificar el túnel específico. Necesita un número de unidad no utilizado por túnel.
- Valor de ejemplo: 1, 2
${isakmpPolicy}
- Nombre de la política de ISAKMP.
- Valor de ejemplo: isakmp-policy
${ipsecPolicy#}
- Nombre de la política de IPSec.
- Valor de ejemplo: ipsec-policy
${isakmpProfile#}
- Nombre del perfil de ISAKMP. Necesita un nombre de perfil de ISAKMP no utilizado por túnel.
- Valores de ejemplo: OCI-VPN-profile1, OCI-VPN-profile2
${selector}
- Nombre del selector.
- Valor de ejemplo: OCI-VPN-selector
${map#}
- Nombre del mapa. Necesita un nombre de mapa no utilizado por túnel.
- Valores de ejemplo: OCI-VPN-MAP1, OCI-VPN-MAP2
${customer-bgp-asn}
- ASN de BGP local.
- Valor de ejemplo: 65000
${oracle-bgp-asn#}
- ASN de BGP de Oracle.
- Valor de ejemplo: 31898
${customer-interface-ip#}
- Interfaz de túnel interna para el CPE.
- Valor de ejemplo: 10.0.0.16/31
${oracle-interface-ip#}
- Interfaz de túnel interna para ORACLE.
- Valor de ejemplo: 10.0.0.17/31
${router-id}
- ID del enrutador de BGP.
- Valor de ejemplo: 10.0.0.16
Resumen de parámetros de plantilla de configuración
Cada región tiene varias cabeceras IPSec de Oracle. La siguiente plantilla le ayuda a configurar túneles redundantes en un CPE, cada uno en una cabecera correspondiente. En la siguiente tabla, "Usuario" es usted o su empresa.
Parámetro | Origen | Valor de ejemplo |
---|---|---|
${vpn-ip1}
|
Consola/API | 129.146.12.52 |
${sharedSecret1}
|
Consola/API | (cadena larga) |
${vpn-ip2}
|
Consola/API | 129.146.13.52 |
${sharedSecret2}
|
Consola/API | (cadena larga) |
${cpePublicIpAddress }
|
Usuario | 203.0.113.1 |
${VcnCidrBlock}
|
Usuario | 10.0.0.0/20 |
${tunnelNumber1}
|
Usuario | 1 |
${tunnelNumber1}
|
Usuario | 2 |
${isakmpPolicy}
|
Usuario | isakmp-policy |
${ipsecPolicy}
|
Usuario | ipsec-policy |
${isakmpProfile1}
|
Usuario | OCI-VPN-profile1 |
${isakmpProfile2}
|
Usuario | OCI-VPN-profile2 |
${selector}
|
Usuario | OCI-VPN-selector |
${map1}
|
Usuario | OCI-VPN-MAP1 |
${map2}
|
Usuario | OCI-VPN-MAP2 |
${customer-bgp-asn}
|
Consola/API/Usuario | 65000 |
${oracle-bgp-asn1}
|
Consola/API | 31.898 * |
${oracle-bgp-asn2}
|
Consola/API | 31.898 * |
${customer-interface-ip1}
|
Consola/API/Usuario | 10.0.0.16/31 |
${customer-interface-ip2}
|
Consola/API/Usuario | 10.0.0.18/31 |
${oracle-interface-ip1}
|
Consola/API/Usuario | 10.0.0.17 |
${oracle-interface-ip2}
|
Consola/API/Usuario | 10.0.0.19 |
${router-id}
|
Usuario | 10.0.0.16 |
* El ASN de BGP de Oracle para la nube comercial es 31898, excepto para la región Serbia Central (Jovanovac), que es 14544. |
Los siguientes valores de parámetros de política de ISAKMP y IPSec se aplican a la VPN de sitio a sitio en la nube comercial. Para Gobierno en la nube, debe utilizar los valores que se muestran en P parámetros de VPN de sitio a sitio necesarios para Government Cloud.
Opciones de política de ISAKMP
Parámetro | Valor recomendado |
---|---|
Versión del protocolo ISAKMP | Versión 1 |
Tipo de intercambio | Modo principal |
Método de autenticación | Claves compartidas previamente |
Cifrado | AES-256-cbc |
Algoritmo de autenticación | HMAC-SHA1-96 |
Grupo Diffie-Hellman | Grupo 5 |
Duración de la clave de sesión IKE | 28 800 segundos (8 horas) |
Opciones de política de IPSec
Parámetro | Valor recomendado |
---|---|
Protocolo IPSec | ESP, modo túnel |
Cifrado | AES-CBC/256 |
Algoritmo de autenticación | HMAC-SHA1-96/160 |
Grupo Diffie-Hellman | Grupo 5 |
Confidencialidad directa perfecta | Activado |
Duración de clave de sesión de IPSec | 3600 segundos (1 hora) |
Configuración de CPE
Configuración de ISAKMP e IPSec
crypto ipsec policy ${ipsecPolicy}
set pfs group5
set security-association transform-keysize aes 256 256 256
set security-association transform esp-aes esp-sha-hmac
exit
!
crypto ipsec selector ${selector}
src 1 ipv4 any
dst 1 ipv4 any
exit
!
crypto isakmp policy ${isakmpPolicy}
authentication pre-share
encryption aes
encryption-keysize aes 256 256 256
group 5
hash sha
exit
!
crypto isakmp profile ${isakmpProfile1}
local-address ${cpePublicIpAddress}
set isakmp-policy ${isakmpPolicy}
set ipsec-policy ${ipsecPolicy}
set peer ${vpn-ip1}
ike-version 1
local-key ascii ${sharedSecret1}
exit
!
crypto isakmp profile ${isakmpProfile2}
local-address ${cpePublicIpAddress}
set isakmp-policy ${isakmpPolicy}
set ipsec-policy ${ipsecPolicy}
set peer ${vpn-ip2}
ike-version 1
local-key ascii ${sharedSecret2}
exit
!
crypto map ${map1} ipsec-isakmp
match address ${selector}
set isakmp-profile ${isakmpProfile1}
exit
!
crypto map ${map2} ipsec-isakmp
match address ${selector}
set isakmp-profile ${isakmpProfile2}
exit
!
interface Tunnel ${tunnelNumber1}
tunnel mode ipsec map ${map1}
ip address ${customer-interface-ip1}
exit
!
interface Tunnel ${tunnelNumber2}
tunnel mode ipsec map ${map2}
ip address ${customer-interface-ip2}
exit
Configuración de BGP
ip route ${vcnCidrBlock} Tunnel ${tunnelNumber1}
ip route ${vcnCidrBlock} Tunnel ${tunnelNumber2}
Configuración de rutas estáticas
router bgp ${customer-bgp-asn}
bgp router-id ${router-id}
bgp log-neighbor-changes
neighbor ${oracle-interface-ip1} ebgp-multihop 10
neighbor ${oracle-interface-ip1} enforce-multihop
neighbor ${oracle-interface-ip1} remote-as ${oracle-bgp-asn1}
neighbor ${oracle-interface-ip1} update-source tunnel ${tunnelNumber1}
neighbor ${oracle-interface-ip2} ebgp-multihop 10
neighbor ${oracle-interface-ip2} enforce-multihop
neighbor ${oracle-interface-ip2} remote-as ${oracle-bgp-asn2}
neighbor ${oracle-interface-ip2} update-source tunnel ${tunnelNumber2}
!
address-family ipv4 unicast
redistribute connected
exit