Furukawa Electric
Descubra cómo configurar un enrutador Furukawa Electric para una VPN de sitio a sitio entre la red local y la red en la nube.
Esta configuración se validó mediante un dispositivo FITELnet-F220/F221 de Furukawa Electric con el firmware 01.00(00)[0]00.00.0 [2019/07/05 15:00].
Oracle proporciona instrucciones de configuración para un conjunto probado de proveedores y dispositivos. Utilice la configuración correcta para su proveedor y versión de software.
Si el dispositivo o la versión de software que Oracle utiliza para verificar que la configuración no coincide exactamente con el dispositivo o el software, puede que aún pueda crear la configuración necesaria en el dispositivo. Consulte la documentación del proveedor y realice los ajustes necesarios.
Si el dispositivo es para un proveedor que no está en la lista de proveedores y dispositivos verificados o si ya está familiarizado con la configuración del dispositivo para IPSec, consulte la lista de parámetros admitidos de IPSec y consulte la documentación del proveedor para obtener ayuda.
Oracle utiliza el enrutamiento asimétrico en varios túneles que forman la conexión IPSec. Incluso si configura un túnel como principal y otro como de copia de seguridad, el tráfico de la VCN a la red local puede utilizar cualquier túnel que esté "activo" en el dispositivo. Configure los firewalls según corresponda. De lo contrario, las pruebas de ping o el tráfico de aplicaciones en la conexión no funcionarán de manera fiable.
Pasos previos al inicio
Antes de configurar su CPE, asegúrese de que:
- Configurar los valores de su proveedor de internet.
- Configurar reglas de firewall para abrir el puerto 500 UDP, el puerto 4500 UDP y ESP.
Identificador de servidor proxy o dominio de cifrado admitidos
Los valores del dominio de cifrado (también conocido como "ID de servidor" proxy", "índice de parámetros de seguridad" [SPI] o "selector de tráfico") dependen de si el CPE admite túneles basados en rutas o túneles basados en políticas. Para obtener más información sobre los valores de dominio de cifrado correctos que se deben utilizar, consulte Identificador de servidor proxy o dominio de cifrado admitidos.
Parámetros de API o consola
Obtenga los siguientes parámetros de la consola o la API de Oracle Cloud Infrastructure.
${vpn-ip#}
- Puntos finales del túnel de IPSec de cabecera de VPN de Oracle. Hay un valor para cada túnel.
- Valores de ejemplo: 129.146.12.52, 129.146.13.52
${sharedSecret#}
- Clave compartida previamente de ISAKMP de IPSec. Hay un valor para cada túnel.
- Valor de ejemplo: EXAMPLEDPfAMkD7nTH3SWr6OFabdT6exXn6enSlsKbE
${cpePublicIpAddress}
- Dirección IP pública para el CPE (antes disponible para Oracle a través de la consola).
${VcnCidrBlock}
- Al crear la VCN, la empresa seleccionó este CIDR para representar la red agregada de IP para todos los hosts de la VCN.
- Valor de ejemplo: 10.0.0.0/20
Parámetros basados en configuración y estado de CPE actual
Los siguientes parámetros se basan en la configuración de CPE actual.
${tunnelNumber#}
- Número de interfaz para identificar el túnel específico. Necesita un número de unidad no utilizado por túnel.
- Valor de ejemplo: 1, 2
${isakmpPolicy}
- Nombre de la política de ISAKMP.
- Valor de ejemplo: isakmp-policy
${ipsecPolicy#}
- Nombre de la política de IPSec.
- Valor de ejemplo: ipsec-policy
${isakmpProfile#}
- Nombre del perfil de ISAKMP. Necesita un nombre de perfil de ISAKMP no utilizado por túnel.
- Valores de ejemplo: OCI-VPN-profile1, OCI-VPN-profile2
${selector}
- Nombre del selector.
- Valor de ejemplo: OCI-VPN-selector
${map#}
- Nombre del mapa. Necesita un nombre de mapa no utilizado por túnel.
- Valores de ejemplo: OCI-VPN-MAP1, OCI-VPN-MAP2
${customer-bgp-asn}
- ASN de BGP.
- Valor de ejemplo: 65000
${oracle-bgp-asn#}
- ASN de BGP de Oracle.
- Valor de ejemplo: 31898
${customer-interface-ip#}
- Interfaz de túnel interna para el CPE.
- Valor de ejemplo: 10.0.0.16/31
${oracle-interface-ip#}
- Interfaz de túnel interna para ORACLE.
- Valor de ejemplo: 10.0.0.17/31
${router-id}
- ID del enrutador de BGP.
- Valor de ejemplo: 10.0.0.16
Resumen de parámetros de plantilla de configuración
Cada región tiene varios extremos IPSec de Oracle. La siguiente plantilla le permite configurar varios túneles en el CPE, cada uno en su cabecera correspondiente. En la siguiente tabla, "Usuario" es usted/su empresa.
| Parámetro | Origen | Valor de ejemplo |
|---|---|---|
${vpn-ip1}
|
Consola/API | 129.146.12.52 |
${sharedSecret1}
|
Consola/API | (cadena larga) |
${vpn-ip2}
|
Consola/API | 129.146.13.52 |
${sharedSecret2}
|
Consola/API | (cadena larga) |
${cpePublicIpAddress}
|
Usuario | 203.0.113.1 |
${VcnCidrBlock}
|
Usuario | 10.0.0.0/20 |
${tunnelNumber1}
|
Usuario | 1 |
${tunnelNumber1}
|
Usuario | 2 |
${isakmpPolicy}
|
Usuario | isakmp-policy |
${ipsecPolicy}
|
Usuario | ipsec-policy |
${isakmpProfile1}
|
Usuario | OCI-VPN-profile1 |
${isakmpProfile2}
|
Usuario | OCI-VPN-profile2 |
${selector}
|
Usuario | OCI-VPN-selector |
${map1}
|
Usuario | OCI-VPN-MAP1 |
${map2}
|
Usuario | OCI-VPN-MAP2 |
${customer-bgp-asn}
|
Consola/API/Usuario | 65000 |
${oracle-bgp-asn1}
|
Consola/API | 31898 * |
${oracle-bgp-asn2}
|
Consola/API | 31898 * |
${customer-interface-ip1}
|
Consola/API/Usuario | 10.0.0.16/31 |
${customer-interface-ip2}
|
Consola/API/Usuario | 10.0.0.18/31 |
${oracle-interface-ip1}
|
Consola/API/Usuario | 10.0.0.17 |
${oracle-interface-ip2}
|
Consola/API/Usuario | 10.0.0.19 |
${router-id}
|
Usuario | 10.0.0.16 |
| * El ASN de BGP de Oracle para la nube comercial es 31898, excepto la región Serbia Central (Jovanovac), que es 14544. | ||
Los siguientes valores de parámetros de política de ISAKMP e IPSec se aplican a la VPN de sitio a sitio en la nube comercial. Para Government Cloud, debe utilizar los valores que se muestran en Parámetros de VPN de sitio a sitio necesarios para Government Cloud.
Opciones de política de ISAKMP
| Parámetro | Valor recomendado |
|---|---|
| Versión del protocolo ISAKMP | Versión 1 |
| Tipo de intercambio | Modo principal |
| Método de autenticación | Claves compartidas previamente |
| Cifrado | AES-256-cbc |
| Algoritmo de autenticación | HMAC-SHA1-96 |
| Grupo Diffie-Hellman | Grupo 5 |
| Duración de la clave de sesión IKE | 28 800 segundos (8 horas) |
Opciones de política de IPSec
| Parámetro | Valor recomendado |
|---|---|
| Protocolo IPSec | ESP, modo túnel |
| Cifrado | AES-CBC/256 |
| Algoritmo de autenticación | HMAC-SHA1-96/160 |
| Grupo Diffie-Hellman | Grupo 5 |
| Confidencialidad directa perfecta | Activado |
| Duración de clave de sesión de IPSec | 3600 segundos (1 hora) |
Configuración de CPE
Configuración de ISAKMP e IPSec
crypto ipsec policy ${ipsecPolicy}
set pfs group5
set security-association transform-keysize aes 256 256 256
set security-association transform esp-aes esp-sha-hmac
exit
!
crypto ipsec selector ${selector}
src 1 ipv4 any
dst 1 ipv4 any
exit
!
crypto isakmp policy ${isakmpPolicy}
authentication pre-share
encryption aes
encryption-keysize aes 256 256 256
group 5
hash sha
exit
!
crypto isakmp profile ${isakmpProfile1}
local-address ${cpePublicIpAddress}
set isakmp-policy ${isakmpPolicy}
set ipsec-policy ${ipsecPolicy}
set peer ${vpn-ip1}
ike-version 1
local-key ascii ${sharedSecret1}
exit
!
crypto isakmp profile ${isakmpProfile2}
local-address ${cpePublicIpAddress}
set isakmp-policy ${isakmpPolicy}
set ipsec-policy ${ipsecPolicy}
set peer ${vpn-ip2}
ike-version 1
local-key ascii ${sharedSecret2}
exit
!
crypto map ${map1} ipsec-isakmp
match address ${selector}
set isakmp-profile ${isakmpProfile1}
exit
!
crypto map ${map2} ipsec-isakmp
match address ${selector}
set isakmp-profile ${isakmpProfile2}
exit
!
interface Tunnel ${tunnelNumber1}
tunnel mode ipsec map ${map1}
ip address ${customer-interface-ip1}
exit
!
interface Tunnel ${tunnelNumber2}
tunnel mode ipsec map ${map2}
ip address ${customer-interface-ip2}
exitConfiguración de BGP
ip route ${vcnCidrBlock} Tunnel ${tunnelNumber1}
ip route ${vcnCidrBlock} Tunnel ${tunnelNumber2}Configuración de rutas estáticas
router bgp ${customer-bgp-asn}
bgp router-id ${router-id}
bgp log-neighbor-changes
neighbor ${oracle-interface-ip1} ebgp-multihop 10
neighbor ${oracle-interface-ip1} enforce-multihop
neighbor ${oracle-interface-ip1} remote-as ${oracle-bgp-asn1}
neighbor ${oracle-interface-ip1} update-source tunnel ${tunnelNumber1}
neighbor ${oracle-interface-ip2} ebgp-multihop 10
neighbor ${oracle-interface-ip2} enforce-multihop
neighbor ${oracle-interface-ip2} remote-as ${oracle-bgp-asn2}
neighbor ${oracle-interface-ip2} update-source tunnel ${tunnelNumber2}
!
address-family ipv4 unicast
redistribute connected
exit