Yamaha serie RTX
Esta configuración se ha validado mediante un RTX1210 que ejecuta el firmware Rev.14.01.28 y un RTX830 que ejecuta el firmware Rev.15.02.03.
Oracle proporciona instrucciones para la configuración de un conjunto de proveedores y dispositivos probados. Utilice la configuración correcta para el proveedor y la versión de software.
Si el dispositivo o la versión de software que Oracle utiliza para verificar que la configuración no coincide exactamente con el dispositivo o el software, puede crear la configuración necesaria en el dispositivo. Consulte la documentación del proveedor y realice los cambios necesarios.
Si los dispositivos son de un proveedor que no se encuentra en la lista de proveedores y dispositivos verificados o si ya están familiarizados con las configuraciones del dispositivo para IPSec, consulte el listado de parámetros admitidos de la IPSec y consulte el documento del proveedor para obtener ayuda al respecto.
Oracle utiliza el enrutamiento asimétrico en todos los túneles que forman la conexión IPSec. Incluso si configura un túnel como principal y otro como copia de seguridad, el tráfico de una VCN a una red local puede utilizar cualquier túnel que esté "activo" en un dispositivo. Configure los firewalls según corresponda. De lo contrario, las pruebas de ping o el tráfico de aplicaciones a través de la conexión no funcionan de forma fiable.
Pasos previos al inicio
Antes de configurar el CPE:
- Configure los valores del proveedor de Internet.
- Configurar reglas de firewall para abrir el puerto 500 UDP, el puerto 4500 UDP y ESP.
Identificador de servidor proxy o dominio de cifrado admitidos
Los valores del dominio de cifrado (también conocido como ID de proxy, índice de parámetro de seguridad (SPI) o selector de tráfico) dependen del hecho de si un CPE admite túneles basados en rutas o túneles basados en políticas. Para obtener más información sobre los valores de dominio de cifrado correctos que se deben utilizar, consulte Identificador de servidor proxy o dominio de cifrado admitidos.
Parámetros de API o consola
Obtenga los siguientes parámetros de la consola o API de Oracle Cloud Infrastructure.
${ipAddress#}
- Puntos finales del túnel de IPSec de cabecera de VPN de Oracle. Un valor por túnel.
- Valor de ejemplo: 129.146.12.52
${sharedSecret#}
- Clave precompartida de IKE de IPSec. Un valor por túnel.
- Valor de ejemplo: EXAMPLEDPfAMkD7nTH3SWr6OFabdT6exXn6enSlsKbE
${cpePublicIpAddress}
- Dirección IP pública del CPE (que ya está disponible para Oracle a través de la consola).
${VcnCidrBlock}
- Al crear la VCN, la empresa seleccionó este CIDR para representar la red agregada de IP para todos los hosts de la VCN.
- Valor de ejemplo: 10.0.0.0/20
Parámetros basados en configuración y estado de CPE actual
Los siguientes parámetros se basan en la configuración actual de CPE.
${tunnelInterface#}
- Número de interfaz para identificar el túnel específico.
- Valor de ejemplo: 1
${ipsecPolicy#}
- Política de SA que se utilizará para la interfaz en línea seleccionada.
- Valor de ejemplo: 1
${localAddress}
- La dirección IP pública del CPE.
- Valor de ejemplo: 146.56.2.52
Resumen de parámetros de plantilla de configuración
Cada región tiene varias cabeceras IPSec de Oracle. La siguiente plantilla le ayuda a configurar varios túneles en un CPE, cada uno en una cabecera correspondiente. En la tabla, "Usuario" es usted o su empresa.
| Parámetro | Origen | Valor de ejemplo |
|---|---|---|
${ipAddress1}
|
Consola/API | 129.146.12.52 |
${sharedSecret1}
|
Consola/API | (cadena larga) |
${ipAddress2}
|
Consola/API | 129.146.13.52 |
${sharedSecret2}
|
Consola/API | (cadena larga) |
${cpePublicIpAddress }
|
Usuario | 1.2.3.4 |
${VcnCidrBlock}
|
Usuario | 10.0.0.0/20 |
Los siguientes valores de parámetros de política de ISAKMP y IPSec se aplican a la VPN de sitio a sitio en la nube comercial. Para Gobierno en la nube, debe utilizar los valores que se muestran en P parámetros de VPN de sitio a sitio necesarios para Government Cloud.
Opciones de política de ISAKMP
| Parámetro | Valor recomendado |
|---|---|
| Versión del protocolo ISAKMP | Versión 1 |
| Tipo de intercambio | Modo principal |
| Método de autenticación | Claves compartidas previamente |
| Cifrado | AES-256-cbc |
| Algoritmo de autenticación | SHA-256 |
| Grupo Diffie-Hellman | Grupo 5 |
| Duración de la clave de sesión IKE | 28 800 segundos (8 horas) |
Opciones de política de IPSec
| Parámetro | Valor recomendado |
|---|---|
| Protocolo IPSec | ESP, modo túnel |
| Cifrado | AES-256-cbc |
| Algoritmo de autenticación | HMAC-SHA1-96 |
| Grupo Diffie-Hellman | Grupo 5 |
| Confidencialidad directa perfecta | Activado |
| Duración de clave de sesión de IPSec | 3600 segundos (1 hora) |
Configuración de CPE
Configuración de ISAKMP e IPSec
tunnel select 1
description tunnel OCI-VPN1
ipsec tunnel 1
ipsec sa policy 1 1 esp aes256-cbc sha-hmac
ipsec ike duration ipsec-sa 1 3600
ipsec ike duration isakmp-sa 1 28800
ipsec ike encryption 1 aes256-cbc
ipsec ike group 1 modp1536
ipsec ike hash 1 sha256
ipsec ike keepalive log 1 off
ipsec ike keepalive use 1 on dpd 5 4
ipsec ike local address 1 ${cpePublicIpAddress}
ipsec ike local id 1 0.0.0.0/0
ipsec ike nat-traversal 1 on
ipsec ike pfs 1 on
ipsec ike pre-shared-key 1 text ${sharedSecret1}
ipsec ike remote address 1 ${ipAddress1}
ipsec ike remote id 1 0.0.0.0/0
ip tunnel tcp mss limit auto
tunnel enable 1
tunnel select 2
description tunnel OCI-VPN2
ipsec tunnel 2
ipsec sa policy 2 2 esp aes256-cbc sha-hmac
ipsec ike duration ipsec-sa 2 3600
ipsec ike duration isakmp-sa 2 28800
ipsec ike encryption 2 aes256-cbc
ipsec ike group 2 modp1536
ipsec ike hash 2 sha256
ipsec ike keepalive log 2 off
ipsec ike keepalive use 2 on dpd 5 4
ipsec ike local address 2 ${cpePublicIpAddress}
ipsec ike local id 2 0.0.0.0/0
ipsec ike nat-traversal 2 on
ipsec ike pfs 2 on
ipsec ike pre-shared-key 2 text ${sharedSecret2}
ipsec ike remote address 2 ${ipAddress2}
ipsec ike remote id 2 0.0.0.0/0
ip tunnel tcp mss limit auto
tunnel enable 2
ipsec auto refresh on
Configuración de rutas estáticas
ip route ${VcnCidrBlock} gateway tunnel 1 hide gateway tunnel 2 hide