Yamaha serie RTX
Esta configuración se ha validado mediante un RTX1210 que ejecuta el firmware Rev.14.01.28 y un RTX830 que ejecuta el firmware Rev.15.02.03.
Oracle proporciona instrucciones de configuración para un conjunto probado de profesores y dispositivos. Utilice la configuración correcta para su proveedor y versión de software.
Si el dispositivo o la versión de software que Oracle utiliza para verificar que la configuración no coincide exactamente con el dispositivo o el software, puede crear la configuración necesaria en el dispositivo. Consulte la documentación del proveedor y realice los ajustes necesarios.
Si el dispositivo es para un proveedor que no está en la lista de proveedores y dispositivos verificados o si ya está familiarizado con la configuración del dispositivo para IPSec, consulte la lista de parámetros admitidos de IPSec y consulte la documentación del proveedor para obtener ayuda.
Oracle utiliza el enrutamiento asimétrico en varios túneles que forman la conexión IPSec. Incluso si configura un túnel como principal y otro como de copia de seguridad, el tráfico de la VCN a la red local puede utilizar cualquier túnel que esté "activo" en el dispositivo. Configure los firewalls según corresponda. De lo contrario, las pruebas de ping o el tráfico de aplicaciones en la conexión no funcionarán de manera fiable.
Pasos previos al inicio
Antes de configurar su CPE:
- Configure los valores de su proveedor de internet.
- Configurar reglas de firewall para abrir el puerto 500 UDP, el puerto 4500 UDP y ESP.
Identificador de servidor proxy o dominio de cifrado admitidos
Los valores del dominio de cifrado (también conocido como "ID de servidor" proxy", "índice de parámetros de seguridad" [SPI] o "selector de tráfico") dependen de si el CPE admite túneles basados en rutas o túneles basados en políticas. Para obtener más información sobre los valores de dominio de cifrado correctos que se deben utilizar, consulte Identificador de servidor proxy o dominio de cifrado admitidos.
Parámetros de API o consola
Obtenga los siguientes parámetros de la consola o la API de Oracle Cloud Infrastructure.
${ipAddress#}
- Puntos finales del túnel de IPSec de cabecera de VPN de Oracle. Hay un valor para cada túnel.
- Valor de ejemplo: 129.146.12.52
${sharedSecret#}
- Clave precompartida de IKE de IPSec. Hay un valor para cada túnel.
- Valor de ejemplo: EXAMPLEDPfAMkD7nTH3SWr6OFabdT6exXn6enSlsKbE
${cpePublicIpAddress}
- Dirección IP pública para el CPE (antes disponible para Oracle a través de la consola).
${VcnCidrBlock}
- Al crear la VCN, la empresa seleccionó este CIDR para representar la red agregada de IP para todos los hosts de la VCN.
- Valor de ejemplo: 10.0.0.0/20
Parámetros basados en configuración y estado de CPE actual
Los siguientes parámetros se basan en la configuración de CPE actual.
${tunnelInterface#}
- Número de interfaz para identificar el túnel específico.
- Valor de ejemplo: 1
${ipsecPolicy#}
- Política de SA que se utilizará para la interfaz en línea seleccionada.
- Valor de ejemplo: 1
${localAddress}
- Dirección IP pública de su CPE.
- Valor de ejemplo: 146.56.2.52
Resumen de parámetros de plantilla de configuración
Cada región tiene varios extremos IPSec de Oracle. La siguiente plantilla le permite configurar varios túneles en el CPE, cada uno en su cabecera correspondiente. En la tabla, "Usuario" es usted/su empresa.
| Parámetro | Origen | Valor de ejemplo |
|---|---|---|
${ipAddress1}
|
Consola/API | 129.146.12.52 |
${sharedSecret1}
|
Consola/API | (cadena larga) |
${ipAddress2}
|
Consola/API | 129.146.13.52 |
${sharedSecret2}
|
Consola/API | (cadena larga) |
${cpePublicIpAddress}
|
Usuario | 1.2.3.4 |
${VcnCidrBlock}
|
Usuario | 10.0.0.0/20 |
Los siguientes valores de parámetros de política de ISAKMP e IPSec se aplican a la VPN de sitio a sitio en la nube comercial. Para Government Cloud, debe utilizar los valores que se muestran en Parámetros de VPN de sitio a sitio necesarios para Government Cloud.
Opciones de política de ISAKMP
| Parámetro | Valor recomendado |
|---|---|
| Versión del protocolo ISAKMP | Versión 1 |
| Tipo de intercambio | Modo principal |
| Método de autenticación | Claves compartidas previamente |
| Cifrado | AES-256-cbc |
| Algoritmo de autenticación | SHA-256 |
| Grupo Diffie-Hellman | Grupo 5 |
| Duración de la clave de sesión IKE | 28 800 segundos (8 horas) |
Opciones de política de IPSec
| Parámetro | Valor recomendado |
|---|---|
| Protocolo IPSec | ESP, modo túnel |
| Cifrado | AES-256-cbc |
| Algoritmo de autenticación | HMAC-SHA1-96 |
| Grupo Diffie-Hellman | Grupo 5 |
| Confidencialidad directa perfecta | Activado |
| Duración de clave de sesión de IPSec | 3600 segundos (1 hora) |
Configuración de CPE
Configuración de ISAKMP e IPSec
tunnel select 1
description tunnel OCI-VPN1
ipsec tunnel 1
ipsec sa policy 1 1 esp aes256-cbc sha-hmac
ipsec ike duration ipsec-sa 1 3600
ipsec ike duration isakmp-sa 1 28800
ipsec ike encryption 1 aes256-cbc
ipsec ike group 1 modp1536
ipsec ike hash 1 sha256
ipsec ike keepalive log 1 off
ipsec ike keepalive use 1 on dpd 5 4
ipsec ike local address 1 ${cpePublicIpAddress}
ipsec ike local id 1 0.0.0.0/0
ipsec ike nat-traversal 1 on
ipsec ike pfs 1 on
ipsec ike pre-shared-key 1 text ${sharedSecret1}
ipsec ike remote address 1 ${ipAddress1}
ipsec ike remote id 1 0.0.0.0/0
ip tunnel tcp mss limit auto
tunnel enable 1
tunnel select 2
description tunnel OCI-VPN2
ipsec tunnel 2
ipsec sa policy 2 2 esp aes256-cbc sha-hmac
ipsec ike duration ipsec-sa 2 3600
ipsec ike duration isakmp-sa 2 28800
ipsec ike encryption 2 aes256-cbc
ipsec ike group 2 modp1536
ipsec ike hash 2 sha256
ipsec ike keepalive log 2 off
ipsec ike keepalive use 2 on dpd 5 4
ipsec ike local address 2 ${cpePublicIpAddress}
ipsec ike local id 2 0.0.0.0/0
ipsec ike nat-traversal 2 on
ipsec ike pfs 2 on
ipsec ike pre-shared-key 2 text ${sharedSecret2}
ipsec ike remote address 2 ${ipAddress2}
ipsec ike remote id 2 0.0.0.0/0
ip tunnel tcp mss limit auto
tunnel enable 2
ipsec auto refresh on
Configuración de rutas estáticas
ip route ${VcnCidrBlock} gateway tunnel 1 hide gateway tunnel 2 hide