Yamaha serie RTX

Esta configuración se ha validado mediante un RTX1210 que ejecuta el firmware Rev.14.01.28 y un RTX830 que ejecuta el firmware Rev.15.02.03.

Importante

Oracle proporciona instrucciones de configuración para un conjunto probado de proveedores y dispositivos. Utilice la configuración correcta para el proveedor y la versión de software.

Si el dispositivo o la versión de software que Oracle utiliza para verificar que la configuración no coincide exactamente con el dispositivo o el software, puede crear la configuración necesaria en el dispositivo. Consulte la documentación del proveedor y realice los cambios necesarios.

Si el dispositivo proviene de un proveedor que no está en la lista de proveedores y dispositivos verificados o si ya está familiarizado con la configuración del dispositivo para IPSec, consulte la lista de parámetros admitidos de IPSec y consulte la documentación del proveedor para obtener ayuda.

Importante

Oracle utiliza el enrutamiento asimétrico en todos los túneles que forman la conexión IPSec. Incluso si configura un túnel como principal y otro como copia de seguridad, el tráfico de una VCN a una red local puede utilizar cualquier túnel que esté "activo" en un dispositivo. Configure los firewalls según corresponda. De lo contrario, las pruebas de ping o el tráfico de aplicaciones a través de la conexión no funcionan de forma fiable.

Pasos previos al inicio

Antes de configurar el CPE:

  • Configure los valores del proveedor de Internet.
  • Configurar reglas de firewall para abrir el puerto 500 UDP, el puerto 4500 UDP y ESP.

Identificador de servidor proxy o dominio de cifrado admitidos

Los valores del dominio de cifrado (también conocido como ID de proxy, índice de parámetros de seguridad (SPI) o selector de tráfico) dependen de si un CPE admite túneles basados en rutas o túneles basados en políticas. Para obtener más información sobre los valores de dominio de cifrado correctos que se deben utilizar, consulte Identificador de servidor proxy o dominio de cifrado admitidos.

Parámetros de API o consola

Obtenga los siguientes parámetros de la consola o API de Oracle Cloud Infrastructure.

${ipAddress#}

  • Puntos finales del túnel de IPSec de cabecera de VPN de Oracle. Un valor por túnel.
  • Valor de ejemplo: 129.146.12.52

${sharedSecret#}

  • Clave precompartida de IKE de IPSec. Un valor por túnel.
  • Valor de ejemplo: EXAMPLEDPfAMkD7nTH3SWr6OFabdT6exXn6enSlsKbE

${cpePublicIpAddress}

  • Dirección IP pública del CPE (que ya está disponible para Oracle a través de la consola).

${VcnCidrBlock}

  • Al crear la VCN, la empresa seleccionó este CIDR para representar la red agregada de IP para todos los hosts de la VCN.
  • Valor de ejemplo: 10.0.0.0/20

Parámetros basados en configuración y estado de CPE actual

Los siguientes parámetros se basan en la configuración actual de CPE.

${tunnelInterface#}

  • Número de interfaz para identificar el túnel específico.
  • Valor de ejemplo: 1

${ipsecPolicy#}

  • Política de SA que se utilizará para la interfaz en línea seleccionada.
  • Valor de ejemplo: 1

${localAddress}

  • La dirección IP pública del CPE.
  • Valor de ejemplo: 146.56.2.52

Resumen de parámetros de plantilla de configuración

Cada región tiene varias cabeceras IPSec de Oracle. La siguiente plantilla le ayuda a configurar varios túneles en un CPE, cada uno en una cabecera correspondiente. En la tabla, "Usuario" es usted o su empresa.

Parámetro Origen Valor de ejemplo
${ipAddress1} Consola/API 129.146.12.52
${sharedSecret1} Consola/API (cadena larga)
${ipAddress2} Consola/API 129.146.13.52
${sharedSecret2} Consola/API (cadena larga)
${cpePublicIpAddress} Usuario 1.2.3.4
${VcnCidrBlock} Usuario 10.0.0.0/20
Importante

Los siguientes valores de parámetros de política de ISAKMP y IPSec se aplican a la VPN de sitio a sitio en la nube comercial. Para Gobierno en la nube, debe utilizar los valores que se muestran en P parámetros de VPN de sitio a sitio necesarios para Government Cloud.

Opciones de política de ISAKMP

Parámetro Valor recomendado
Versión del protocolo ISAKMP Versión 1
Tipo de intercambio Modo principal
Método de autenticación Claves compartidas previamente
Cifrado AES-256-cbc
Algoritmo de autenticación SHA-256
Grupo Diffie-Hellman Grupo 5
Duración de la clave de sesión IKE 28 800 segundos (8 horas)

Opciones de política de IPSec

Parámetro Valor recomendado
Protocolo IPSec ESP, modo túnel
Cifrado AES-256-cbc
Algoritmo de autenticación HMAC-SHA1-96
Grupo Diffie-Hellman Grupo 5
Confidencialidad directa perfecta Activado
Duración de clave de sesión de IPSec 3600 segundos (1 hora)

Configuración de CPE

Configuración de ISAKMP e IPSec

tunnel select 1
description tunnel OCI-VPN1 
ipsec tunnel 1
  ipsec sa policy 1 1 esp aes256-cbc sha-hmac
  ipsec ike duration ipsec-sa 1 3600
  ipsec ike duration isakmp-sa 1 28800
  ipsec ike encryption 1 aes256-cbc
  ipsec ike group 1 modp1536
  ipsec ike hash 1 sha256
  ipsec ike keepalive log 1 off
  ipsec ike keepalive use 1 on dpd 5 4
  ipsec ike local address 1 ${cpePublicIpAddress}
  ipsec ike local id 1 0.0.0.0/0
  ipsec ike nat-traversal 1 on
  ipsec ike pfs 1 on
  ipsec ike pre-shared-key 1 text ${sharedSecret1}
  ipsec ike remote address 1 ${ipAddress1}
  ipsec ike remote id 1 0.0.0.0/0
ip tunnel tcp mss limit auto
tunnel enable 1

tunnel select 2
description tunnel OCI-VPN2
ipsec tunnel 2
  ipsec sa policy 2 2 esp aes256-cbc sha-hmac
  ipsec ike duration ipsec-sa 2 3600
  ipsec ike duration isakmp-sa 2 28800
  ipsec ike encryption 2 aes256-cbc
  ipsec ike group 2 modp1536
  ipsec ike hash 2 sha256
  ipsec ike keepalive log 2 off
  ipsec ike keepalive use 2 on dpd 5 4
  ipsec ike local address 2 ${cpePublicIpAddress}
  ipsec ike local id 2 0.0.0.0/0
  ipsec ike nat-traversal 2 on
  ipsec ike pfs 2 on
  ipsec ike pre-shared-key 2 text ${sharedSecret2}
  ipsec ike remote address 2 ${ipAddress2}
  ipsec ike remote id 2 0.0.0.0/0
ip tunnel tcp mss limit auto
tunnel enable 2

ipsec auto refresh on

Configuración de rutas estáticas

ip route ${VcnCidrBlock} gateway tunnel 1 hide gateway tunnel 2 hide