Yamaha serie RTX
Esta configuración se ha validado mediante un RTX1210 que ejecuta el firmware Rev.14.01.28 y un RTX830 que ejecuta el firmware Rev.15.02.03.
Oracle proporciona instrucciones de configuración para un conjunto probado de proveedores y dispositivos. Utilice la configuración correcta para el proveedor y la versión de software.
Si el dispositivo o la versión de software que Oracle utiliza para verificar que la configuración no coincide exactamente con el dispositivo o el software, puede crear la configuración necesaria en el dispositivo. Consulte la documentación del proveedor y realice los cambios necesarios.
Si el dispositivo proviene de un proveedor que no está en la lista de proveedores y dispositivos verificados o si ya está familiarizado con la configuración del dispositivo para IPSec, consulte la lista de parámetros admitidos de IPSec y consulte la documentación del proveedor para obtener ayuda.
Oracle utiliza el enrutamiento asimétrico en todos los túneles que forman la conexión IPSec. Incluso si configura un túnel como principal y otro como copia de seguridad, el tráfico de una VCN a una red local puede utilizar cualquier túnel que esté "activo" en un dispositivo. Configure los firewalls según corresponda. De lo contrario, las pruebas de ping o el tráfico de aplicaciones a través de la conexión no funcionan de forma fiable.
Pasos previos al inicio
Antes de configurar el CPE:
- Configure los valores del proveedor de Internet.
- Configurar reglas de firewall para abrir el puerto 500 UDP, el puerto 4500 UDP y ESP.
Identificador de servidor proxy o dominio de cifrado admitidos
Los valores del dominio de cifrado (también conocido como ID de proxy, índice de parámetros de seguridad (SPI) o selector de tráfico) dependen de si un CPE admite túneles basados en rutas o túneles basados en políticas. Para obtener más información sobre los valores de dominio de cifrado correctos que se deben utilizar, consulte Identificador de servidor proxy o dominio de cifrado admitidos.
Parámetros de API o consola
Obtenga los siguientes parámetros de la consola o API de Oracle Cloud Infrastructure.
${ipAddress#}
- Puntos finales del túnel de IPSec de cabecera de VPN de Oracle. Un valor por túnel.
- Valor de ejemplo: 129.146.12.52
${sharedSecret#}
- Clave precompartida de IKE de IPSec. Un valor por túnel.
- Valor de ejemplo: EXAMPLEDPfAMkD7nTH3SWr6OFabdT6exXn6enSlsKbE
${cpePublicIpAddress}
- Dirección IP pública del CPE (que ya está disponible para Oracle a través de la consola).
${VcnCidrBlock}
- Al crear la VCN, la empresa seleccionó este CIDR para representar la red agregada de IP para todos los hosts de la VCN.
- Valor de ejemplo: 10.0.0.0/20
Parámetros basados en configuración y estado de CPE actual
Los siguientes parámetros se basan en la configuración actual de CPE.
${tunnelInterface#}
- Número de interfaz para identificar el túnel específico.
- Valor de ejemplo: 1
${ipsecPolicy#}
- Política de SA que se utilizará para la interfaz en línea seleccionada.
- Valor de ejemplo: 1
${localAddress}
- La dirección IP pública del CPE.
- Valor de ejemplo: 146.56.2.52
Resumen de parámetros de plantilla de configuración
Cada región tiene varias cabeceras IPSec de Oracle. La siguiente plantilla le ayuda a configurar varios túneles en un CPE, cada uno en una cabecera correspondiente. En la tabla, "Usuario" es usted o su empresa.
Parámetro | Origen | Valor de ejemplo |
---|---|---|
${ipAddress1}
|
Consola/API | 129.146.12.52 |
${sharedSecret1}
|
Consola/API | (cadena larga) |
${ipAddress2}
|
Consola/API | 129.146.13.52 |
${sharedSecret2}
|
Consola/API | (cadena larga) |
${cpePublicIpAddress }
|
Usuario | 1.2.3.4 |
${VcnCidrBlock}
|
Usuario | 10.0.0.0/20 |
Los siguientes valores de parámetros de política de ISAKMP y IPSec se aplican a la VPN de sitio a sitio en la nube comercial. Para Gobierno en la nube, debe utilizar los valores que se muestran en P parámetros de VPN de sitio a sitio necesarios para Government Cloud.
Opciones de política de ISAKMP
Parámetro | Valor recomendado |
---|---|
Versión del protocolo ISAKMP | Versión 1 |
Tipo de intercambio | Modo principal |
Método de autenticación | Claves compartidas previamente |
Cifrado | AES-256-cbc |
Algoritmo de autenticación | SHA-256 |
Grupo Diffie-Hellman | Grupo 5 |
Duración de la clave de sesión IKE | 28 800 segundos (8 horas) |
Opciones de política de IPSec
Parámetro | Valor recomendado |
---|---|
Protocolo IPSec | ESP, modo túnel |
Cifrado | AES-256-cbc |
Algoritmo de autenticación | HMAC-SHA1-96 |
Grupo Diffie-Hellman | Grupo 5 |
Confidencialidad directa perfecta | Activado |
Duración de clave de sesión de IPSec | 3600 segundos (1 hora) |
Configuración de CPE
Configuración de ISAKMP e IPSec
tunnel select 1
description tunnel OCI-VPN1
ipsec tunnel 1
ipsec sa policy 1 1 esp aes256-cbc sha-hmac
ipsec ike duration ipsec-sa 1 3600
ipsec ike duration isakmp-sa 1 28800
ipsec ike encryption 1 aes256-cbc
ipsec ike group 1 modp1536
ipsec ike hash 1 sha256
ipsec ike keepalive log 1 off
ipsec ike keepalive use 1 on dpd 5 4
ipsec ike local address 1 ${cpePublicIpAddress}
ipsec ike local id 1 0.0.0.0/0
ipsec ike nat-traversal 1 on
ipsec ike pfs 1 on
ipsec ike pre-shared-key 1 text ${sharedSecret1}
ipsec ike remote address 1 ${ipAddress1}
ipsec ike remote id 1 0.0.0.0/0
ip tunnel tcp mss limit auto
tunnel enable 1
tunnel select 2
description tunnel OCI-VPN2
ipsec tunnel 2
ipsec sa policy 2 2 esp aes256-cbc sha-hmac
ipsec ike duration ipsec-sa 2 3600
ipsec ike duration isakmp-sa 2 28800
ipsec ike encryption 2 aes256-cbc
ipsec ike group 2 modp1536
ipsec ike hash 2 sha256
ipsec ike keepalive log 2 off
ipsec ike keepalive use 2 on dpd 5 4
ipsec ike local address 2 ${cpePublicIpAddress}
ipsec ike local id 2 0.0.0.0/0
ipsec ike nat-traversal 2 on
ipsec ike pfs 2 on
ipsec ike pre-shared-key 2 text ${sharedSecret2}
ipsec ike remote address 2 ${ipAddress2}
ipsec ike remote id 2 0.0.0.0/0
ip tunnel tcp mss limit auto
tunnel enable 2
ipsec auto refresh on
Configuración de rutas estáticas
ip route ${VcnCidrBlock} gateway tunnel 1 hide gateway tunnel 2 hide