Furukawa Electric
Descubra cómo configurar un enrutador Furukawa Electric para la VPN de sitio a sitio entre la Red local y la Red en la nube.
Esta configuración se validó mediante un dispositivo FITELnet-F220/F221 de Furukawa Electric con el firmware 01.00(00)[0]00.00.0 [2019/07/05 15:00].
Oracle proporciona instrucciones para la configuración de un conjunto de proveedores y dispositivos probados. Utilice la configuración correcta para el proveedor y la versión de software.
Si el dispositivo o la versión de software que Oracle utiliza para verificar que la configuración no coincide exactamente con el dispositivo o el software, puede crear la configuración necesaria en el dispositivo. Consulte la documentación del proveedor y realice los cambios necesarios.
Si los dispositivos son de un proveedor que no se encuentra en la lista de proveedores y dispositivos verificados o si ya están familiarizados con las configuraciones del dispositivo para IPSec, consulte el listado de parámetros admitidos de la IPSec y consulte el documento del proveedor para obtener ayuda al respecto.
Oracle utiliza el enrutamiento asimétrico en todos los túneles que forman la conexión IPSec. Incluso si configura un túnel como principal y otro como copia de seguridad, el tráfico de una VCN a una red local puede utilizar cualquier túnel que esté "activo" en un dispositivo. Configure los firewalls según corresponda. De lo contrario, las pruebas de ping o el tráfico de aplicaciones a través de la conexión no funcionan de forma fiable.
Pasos previos al inicio
Antes de configurar el CPE, asegúrese de que:
- Configurar los valores del proveedor de Internet.
- Configurar reglas de firewall para abrir el puerto 500 UDP, el puerto 4500 UDP y ESP.
Identificador de servidor proxy o dominio de cifrado admitidos
Los valores del dominio de cifrado (también conocido como ID de proxy, índice de parámetro de seguridad (SPI) o selector de tráfico) dependen del hecho de si un CPE admite túneles basados en rutas o túneles basados en políticas. Para obtener más información sobre los valores de dominio de cifrado correctos que se deben utilizar, consulte Identificador de servidor proxy o dominio de cifrado admitidos.
Parámetros de API o consola
Obtenga los siguientes parámetros de la consola o API de Oracle Cloud Infrastructure.
${vpn-ip#}
- Puntos finales del túnel de IPSec de cabecera de VPN de Oracle. Un valor por túnel.
- Valores de ejemplo: 129.146.12.52, 129.146.13.52
${sharedSecret#}
- Clave compartida previamente de ISAKMP de IPSec. Un valor por túnel.
- Valor de ejemplo: EXAMPLEDPfAMkD7nTH3SWr6OFabdT6exXn6enSlsKbE
${cpePublicIpAddress}
- Dirección IP pública del CPE (que ya está disponible para Oracle a través de la consola).
${VcnCidrBlock}
- Al crear la VCN, la empresa seleccionó este CIDR para representar la red agregada de IP para todos los hosts de la VCN.
- Valor de ejemplo: 10.0.0.0/20
Parámetros basados en configuración y estado de CPE actual
Los siguientes parámetros se basan en la configuración actual de CPE.
${tunnelNumber#}
- Número de interfaz para identificar el túnel específico. Necesita un número de unidad no utilizado por túnel.
- Valor de ejemplo: 1, 2
${isakmpPolicy}
- Nombre de la política de ISAKMP.
- Valor de ejemplo: isakmp-policy
${ipsecPolicy#}
- Nombre de la política de IPSec.
- Valor de ejemplo: ipsec-policy
${isakmpProfile#}
- Nombre del perfil de ISAKMP. Necesita un nombre de perfil de ISAKMP no utilizado por túnel.
- Valores de ejemplo: OCI-VPN-profile1, OCI-VPN-profile2
${selector}
- Nombre del selector.
- Valor de ejemplo: OCI-VPN-selector
${map#}
- Nombre del mapa. Necesita un nombre de mapa no utilizado por túnel.
- Valores de ejemplo: OCI-VPN-MAP1, OCI-VPN-MAP2
${customer-bgp-asn}
- ASN de BGP local.
- Valor de ejemplo: 65000
${oracle-bgp-asn#}
- ASN de BGP de Oracle.
- Valor de ejemplo: 31898
${customer-interface-ip#}
- Interfaz de túnel interna para el CPE.
- Valor de ejemplo: 10.0.0.16/31
${oracle-interface-ip#}
- Interfaz de túnel interna para ORACLE.
- Valor de ejemplo: 10.0.0.17/31
${router-id}
- ID del enrutador de BGP.
- Valor de ejemplo: 10.0.0.16
Resumen de parámetros de plantilla de configuración
Cada región tiene varias cabeceras IPSec de Oracle. La siguiente plantilla le ayuda a configurar túneles redundantes en un CPE, cada uno en una cabecera correspondiente. En la siguiente tabla, "Usuario" es usted o su empresa.
| Parámetro | Origen | Valor de ejemplo |
|---|---|---|
${vpn-ip1}
|
Consola/API | 129.146.12.52 |
${sharedSecret1}
|
Consola/API | (cadena larga) |
${vpn-ip2}
|
Consola/API | 129.146.13.52 |
${sharedSecret2}
|
Consola/API | (cadena larga) |
${cpePublicIpAddress }
|
Usuario | 203.0.113.1 |
${VcnCidrBlock}
|
Usuario | 10.0.0.0/20 |
${tunnelNumber1}
|
Usuario | 1 |
${tunnelNumber1}
|
Usuario | 2 |
${isakmpPolicy}
|
Usuario | isakmp-policy |
${ipsecPolicy}
|
Usuario | ipsec-policy |
${isakmpProfile1}
|
Usuario | OCI-VPN-profile1 |
${isakmpProfile2}
|
Usuario | OCI-VPN-profile2 |
${selector}
|
Usuario | OCI-VPN-selector |
${map1}
|
Usuario | OCI-VPN-MAP1 |
${map2}
|
Usuario | OCI-VPN-MAP2 |
${customer-bgp-asn}
|
Consola/API/Usuario | 65000 |
${oracle-bgp-asn1}
|
Consola/API | 31.898 * |
${oracle-bgp-asn2}
|
Consola/API | 31.898 * |
${customer-interface-ip1}
|
Consola/API/Usuario | 10.0.0.16/31 |
${customer-interface-ip2}
|
Consola/API/Usuario | 10.0.0.18/31 |
${oracle-interface-ip1}
|
Consola/API/Usuario | 10.0.0.17 |
${oracle-interface-ip2}
|
Consola/API/Usuario | 10.0.0.19 |
${router-id}
|
Usuario | 10.0.0.16 |
| * El ASN de BGP de Oracle para la nube comercial es 31898, excepto para la región Serbia Central (Jovanovac), que es 14544. | ||
Los siguientes valores de parámetros de política de ISAKMP y IPSec se aplican a la VPN de sitio a sitio en la nube comercial. Para Gobierno en la nube, debe utilizar los valores que se muestran en P parámetros de VPN de sitio a sitio necesarios para Government Cloud.
Opciones de política de ISAKMP
| Parámetro | Valor recomendado |
|---|---|
| Versión del protocolo ISAKMP | Versión 1 |
| Tipo de intercambio | Modo principal |
| Método de autenticación | Claves compartidas previamente |
| Cifrado | AES-256-cbc |
| Algoritmo de autenticación | HMAC-SHA1-96 |
| Grupo Diffie-Hellman | Grupo 5 |
| Duración de la clave de sesión IKE | 28 800 segundos (8 horas) |
Opciones de política de IPSec
| Parámetro | Valor recomendado |
|---|---|
| Protocolo IPSec | ESP, modo túnel |
| Cifrado | AES-CBC/256 |
| Algoritmo de autenticación | HMAC-SHA1-96/160 |
| Grupo Diffie-Hellman | Grupo 5 |
| Confidencialidad directa perfecta | Activado |
| Duración de clave de sesión de IPSec | 3600 segundos (1 hora) |
Configuración de CPE
Configuración de ISAKMP e IPSec
crypto ipsec policy ${ipsecPolicy}
set pfs group5
set security-association transform-keysize aes 256 256 256
set security-association transform esp-aes esp-sha-hmac
exit
!
crypto ipsec selector ${selector}
src 1 ipv4 any
dst 1 ipv4 any
exit
!
crypto isakmp policy ${isakmpPolicy}
authentication pre-share
encryption aes
encryption-keysize aes 256 256 256
group 5
hash sha
exit
!
crypto isakmp profile ${isakmpProfile1}
local-address ${cpePublicIpAddress}
set isakmp-policy ${isakmpPolicy}
set ipsec-policy ${ipsecPolicy}
set peer ${vpn-ip1}
ike-version 1
local-key ascii ${sharedSecret1}
exit
!
crypto isakmp profile ${isakmpProfile2}
local-address ${cpePublicIpAddress}
set isakmp-policy ${isakmpPolicy}
set ipsec-policy ${ipsecPolicy}
set peer ${vpn-ip2}
ike-version 1
local-key ascii ${sharedSecret2}
exit
!
crypto map ${map1} ipsec-isakmp
match address ${selector}
set isakmp-profile ${isakmpProfile1}
exit
!
crypto map ${map2} ipsec-isakmp
match address ${selector}
set isakmp-profile ${isakmpProfile2}
exit
!
interface Tunnel ${tunnelNumber1}
tunnel mode ipsec map ${map1}
ip address ${customer-interface-ip1}
exit
!
interface Tunnel ${tunnelNumber2}
tunnel mode ipsec map ${map2}
ip address ${customer-interface-ip2}
exitConfiguración de BGP
ip route ${vcnCidrBlock} Tunnel ${tunnelNumber1}
ip route ${vcnCidrBlock} Tunnel ${tunnelNumber2}Configuración de rutas estáticas
router bgp ${customer-bgp-asn}
bgp router-id ${router-id}
bgp log-neighbor-changes
neighbor ${oracle-interface-ip1} ebgp-multihop 10
neighbor ${oracle-interface-ip1} enforce-multihop
neighbor ${oracle-interface-ip1} remote-as ${oracle-bgp-asn1}
neighbor ${oracle-interface-ip1} update-source tunnel ${tunnelNumber1}
neighbor ${oracle-interface-ip2} ebgp-multihop 10
neighbor ${oracle-interface-ip2} enforce-multihop
neighbor ${oracle-interface-ip2} remote-as ${oracle-bgp-asn2}
neighbor ${oracle-interface-ip2} update-source tunnel ${tunnelNumber2}
!
address-family ipv4 unicast
redistribute connected
exit