Cisco IOS
Cette rubrique décrit une configuration basée sur des routes pour un appareil Cisco IOS. La configuration a été validée à l'aide d'un routeur Cisco 2921 exécutant IOS version 15.4(3)M3.
Oracle fournit des instructions de configuration pour un ensemble testé de fournisseurs et d'appareils. Utilisez la configuration appropriée pour le fournisseur et la version du logiciel.
Si la version de l'appareil ou du logiciel utilisée par Oracle pour vérifier la configuration ne correspond pas exactement à l'appareil ou au logiciel, vous pouvez tout de même créer la configuration nécessaire sur l'appareil. Consultez la documentation du fournisseur et apportez les modifications nécessaires.
Si l'appareil provient d'un fournisseur qui ne figure pas dans la liste des fournisseurs et des appareils vérifiés, ou si vous êtes déjà familiarisé avec la configuration de l'appareil pour IPSec, voir la liste des paramètres IPSec pris en charge et la documentation sur le fournisseur pour obtenir de l'aide.
Oracle Cloud Infrastructure offersSite-to-Site VPN, une connexion IPSec sécurisée entre un réseau sur place et un réseau en nuage virtuel (VCN).
Le diagramme suivant présente une connexion IPSec de base à Oracle Cloud Infrastructure avec des tunnels redondants. Les adresses IP utilisées dans ce diagramme servent uniquement d'exemples.
Meilleures pratiques
Cette section décrit les meilleures pratiques et les points à considérer généraux pour utiliser un RPV site à site.
Configurer tous les tunnels pour chaque connexion IPSec
Oracle déploie deux têtes de réseau IPSec pour les connexions afin de fournir une haute disponibilité pour les charges de travail critiques. Côté Oracle, ces deux têtes de réseau se trouvent sur différents routeurs à des fins de redondance. Nous vous recommandons de configurer tous les tunnels disponibles pour une redondance maximale. Il s'agit d'une partie essentielle de la philosophie "Design for Failure" (conçu pour résister aux pannes).
Disposer d'équipements de client sur place redondants dans des emplacements de réseau sur place
Nous recommandons que chaque site qui se connecte avec IPSec à Oracle Cloud Infrastructure ait des appareils en périphérie de réseau redondants (également connus sous le nom d'équipement local d'abonné (CPE)). Vous ajoutez chaque CPE à la console Oracle et créez une connexion IPSec distincte entre une passerelle de routage dynamique (DRG) et chaque CPE. Pour chaque connexion PSec, Oracle provisionne deux tunnels pour des têtes de réseau IPSec géographiquement redondantes. Pour plus d'informations, voir Guide sur la redondance de connectivité (PDF).
Considérations relatives au protocole de routage
Lorsque vous créez une connexion IPSec de RPV site à site, elle possède deux tunnels IPSec redondants. Oracle vous encourage à configurer l'équipement local d'abonné pour qu'il utilise les deux tunnels (si l'équipement local d'abonné le prend en charge). Auparavant, Oracle créait des connexions IPSec qui possédaient jusqu'à quatre tunnels IPSec.
Les trois types de routage suivants sont disponibles, et vous les sélectionnez séparément pour chaque tunnel du RPV site à site :
- Routage dynamique BGP : Les routes disponibles sont apprises de manière dynamique au moyen de BGP. La DRG apprend dynamiquement les routes du réseau sur place. Côté Oracle, la passerelle DRG annonce les sous-réseaux du VCN.
- Routage statique : Lorsque vous configurez la connexion IPSec à la passerelle DRG, vous spécifiez les routes particulières au réseau sur place que le réseau VCN doit connaître. Vous devez également configurer l'équipement local d'abonné avec des routes statiques vers les sous-réseaux du VCN. Ces routes ne sont pas apprises dynamiquement.
- Routage basé sur des politiques : Lorsque vous configurez la connexion IPSec à la passerelle DRG, vous spécifiez les routes particulières au réseau sur place que le réseau VCN doit connaître. Vous devez également configurer l'équipement local d'abonné avec des routes statiques vers les sous-réseaux du VCN. Ces routes ne sont pas apprises dynamiquement.
Pour plus d'informations sur le routage avec RPV site à site, notamment des recommandations Oracle sur la manipulation de l'algorithme de sélection du meilleur chemin BGP, voir Racheminement pour RPV site à site.
Autres configurations importantes de l'équipement local d'abonné
Assurez-vous que les listes d'accès sur le CPE sont configurées correctement pour ne pas bloquer le trafic nécessaire depuis ou vers Oracle Cloud Infrastructure.
Si plusieurs tunnels sont activés simultanément, le routage peut être asymétrique. Pour tenir compte du routage asymétrique, assurez-vous que le CPE est configuré pour gérer le trafic provenant du VCN sur n'importe quel tunnel. Par exemple, vous devez désactiver l'inspection ICMP, configurer le contournement de l'état TCP. Pour plus de détails sur la configuration appropriée, communiquez avec le soutien technique du fournisseur du CPE. Pour configurer un routage symétrique, voir Routage pour RPV site à site.
Restrictions et limites
Cette section décrit les caractéristiques et les limites générales importantes de RPV site à site. Voir Limites de service pour une liste des limites applicables et des instructions pour demander l'augmentation d'une limite.
Routage asymétrique
Oracle utilise un routage asymétrique dans les tunnels qui constituent la connexion IPSec. Configurez des pare-feu en gardant cela à l'esprit. Dans le cas contraire, les tests ping ou le trafic d'application sur la connexion ne fonctionnent pas de manière fiable.
Lorsque vous utilisez plusieurs tunnels vers Oracle Cloud Infrastructure, nous vous recommandons de configurer le routage pour acheminer le trafic de manière déterministe par le tunnel privilégié. Pour utiliser un tunnel IPSec principal et un autre de sauvegarde, configurez des routes plus spécifiques pour le tunnel principal (BGP) et des routes moins spécifiques (route sommaire ou par défaut) pour le tunnel de sauvegarde (BGP/statique). Sinon, si vous annoncez la même route (par exemple, une route par défaut) par tous les tunnels, le trafic de retour d'un réseau VCN à un réseau sur place est dirigé vers n'importe lequel des tunnels disponibles. En effet, Oracle utilise un routage asymétrique.
Pour des recommandations de routage Oracle spécifiques sur la manière de forcer un routage symétrique, voir Routage pour RPV site à site.
VPN site à site basé sur des routes ou sur des politiques
Le protocole IPSec utilise des associations de sécurité pour décider comment chiffrer des paquets. Au sein de chaque association, pour définir comment chiffrer ou déchiffrer un paquet, il vous faut paramétrer des domaines de chiffrement pour mapper les adresses IP source et cible d'un paquet, ainsi que le type de protocole, sur une entrée de la base de données des associations de sécurité.
Il est possible que d'autres fournisseurs ou que la documentation sectorielle utilisent le terme ID mandataire, index de paramètre de sécurité (SPI) ou sélecteur de trafic pour désigner les associations de sécurité ou les domaines de chiffrement.
Il existe deux méthodes générales pour mettre en oeuvre les tunnels IPSec :
- Tunnels basés sur des routes : Également appelés tunnels basés sur les sauts suivants. Une consultation de la table de routage est effectuée sur l'adresse IP de destination d'un paquet. Si l'interface de sortie de cette route est un tunnel IPSec, le paquet est chiffré et envoyé à l'autre extrémité du tunnel.
- Tunnels basés sur des politiques : Les adresses IP source et cible du paquet sont comparées à une liste d'énoncés de politique. Si une correspondance est trouvée, le paquet est chiffré en fonction des règles de cet énoncé.
Les têtes de réseau du RPV site à site Oracle utilisent des tunnels basés sur des routes, mais fonctionnent avec les tunnels basés sur des politiques. Il existe toutefois certaines restrictions indiquées dans les sections suivantes.
Si le CPE prend en charge les tunnels basés sur des routes, utilisez cette méthode pour configurer le tunnel. Il s'agit de la configuration la plus simple. C'est aussi la plus interopérable avec la tête de réseau du RPV Oracle.
Une connexion IPSec basée sur des routes utilise un domaine de chiffrement avec les valeurs suivantes :
- Adresse IP source : (0.0.0.0/0)
- Adresse IP de destination : (0.0.0.0/0)
- Protocole : IPv4
Si vous devez être plus spécifique, vous pouvez utiliser une seule route sommaire pour les valeurs de domaine de chiffrement au lieu d'une route par défaut.
Lorsque vous utilisez des tunnels basés sur des politiques, chaque entrée de politique (bloc CIDR d'un côté de la connexion IPSec) que vous définissez génère une association de sécurité IPSec avec chaque entrée admissible à l'autre extrémité du tunnel. Cette paire est appelée domaine de chiffrement.
Dans ce diagramme, l'extrémité DRG Oracle du tunnel IPSec comporte des entrées de politique pour trois blocs CIDR IPv4 et un bloc CIDR IPv6. L'extrémité CPE sur place du tunnel en comporte pour deux blocs CIDR IPv4 et deux blocs CIDR IPv6. Chaque entrée génère un domaine de chiffrement avec toutes les entrées possibles à l'autre extrémité du tunnel. Les deux côtés d'une paire SA doivent utiliser la même version d'IP. On obtient un total de huit domaines de chiffrement.
Si l'équipement local d'abonné ne prend en charge que les tunnels basés sur des politiques, tenez compte des restrictions suivantes.
- Le RPV site à site prend en charge plusieurs domaines de chiffrement, mais a une limite supérieure de 50 domaines de chiffrement.
- Si vous avez rencontré une situation similaire à l'exemple précédent et que vous n'avez configuré que trois des six domaines de chiffrement IPv4 possibles côté CPE, le lien serait listé dans un état "Partiellement actif", car tous les domaines de chiffrement possibles sont toujours créés côté DRG.
- Selon le moment où un tunnel a été créé, vous ne pourrez peut-être pas le modifier pour utiliser un routage basé sur des politiques et il vous faudra peut-être le remplacer par un nouveau tunnel IPSec.
- Les blocs CIDR utilisés à l'extrémité DRG Oracle du tunnel ne peuvent pas chevaucher les blocs CIDR utilisés à l'extrémité CPE sur place du tunnel.
- Un domaine de chiffrement doit toujours être compris entre deux blocs CIDR de la même version d'adresse IP.
Si l'équipement local d'abonné se trouve derrière un appareil NAT
En général, l'identificateur IKE de CPE configuré à l'extrémité sur place de la connexion doit correspondre à celui qu'Oracle utilise. Par défaut, Oracle utilise l'adresse IP publique du CPE, que vous fournissez lorsque vous créez l'objet CPE dans la console Oracle. Toutefois, si un CPE est derrière un appareil NAT, l'identificateur IKE configuré à l'extrémité sur place peut être l'adresse IP privée du CPE, comme illustré dans le diagramme suivant.
Certaines plates-formes CPE ne vous permettent pas de modifier l'identificateur IKE local. Dans ce cas, vous devez remplacer l'ID IKE distant dans la console Oracle par l'ID IKE local du CPE. Vous pouvez entrer cette valeur lorsque vous configurez la connexion à IPSec ou plus tard, lorsque vous la modifiez. Pour Oracle, la valeur doit être une adresse IP ou un nom de domaine complet, tel que cpe.example.com. Pour obtenir des instructions, voir Modification de l'identificateur IKE de CPE utilisé par Oracle.
Paramètres IPSec pris en charge
Pour la liste des paramètres IPSec pris en charge indépendamment du fournisseur pour toutes les régions, voir Paramètres IPSec pris en charge.
Le numéro ASN BGP d'Oracle pour le domaine du nuage commercial est 31898. Si vous configurez un RPV site à site pour le nuage gouvernemental des États-Unis, voir Paramètres de RPV site à site requis pour le nuage gouvernemental et ASN BGP d'Oracle. Pour le nuage gouvernemental du Royaume-Uni, voir Régions.
CPE Configuration (Configuration de l'équipement local d'abonné)
Les instructions de configuration de cette section sont fournies par Oracle Cloud Infrastructure pour cet équipement local d'exploitation. Si vous avez besoin de soutien ou d'aide supplémentaire, communiquez directement avec le soutien du fournisseur d'équipement local d'abonné.
La figure ci-dessous illustre la disposition de base de la connexion IPSec.
Le modèle de configuration a été validé à l'aide d'un routeur Cisco 2921 exécutant IOS version 15.4(3)M3. Le modèle fournit des informations pour chaque tunnel à configurer. Nous vous recommandons de configurer tous les tunnels configurés pour une redondance maximale.
Le modèle de configuration fait référence aux éléments que vous devez fournir :
- Adresse IP publique du CPE : Adresse IP routable par Internet affectée à l'interface externe du CPE. Vous, ou l'administrateur d'Oracle, fournissez cette valeur à Oracle lors de la création de l'objet CPE dans la console Oracle.
- Interface de tunnel interne (obligatoire si BGP est utilisé) : Adresses IP des côtés CPE et Oracle de l'interface de tunnel interne. Vous indiquez ces valeurs lors de la création de la connexion IPSec dans la console Oracle.
- ASN BGP (obligatoire si BGP est utilisé) : ASN BGP sur place.
De plus, vous devez :
- Configurer le routage interne qui dirige le trafic entre l'équipement client sur place et le réseau local.
- Assurez-vous d'autoriser le trafic entre l'équipement local d'abonné et le VCN Oracle.
- Identifier le profil IPSec utilisé (dans le modèle de configuration suivant, cette politique de groupe est désignée par
oracle-vpn). - Identifier le jeu de transformation utilisé pour le mappage crypto (dans le modèle de configuration suivant, ce jeu de transformation est désigné par
oracle-vpn-transform).
Ce modèle de configuration suivant d'Oracle Cloud Infrastructure est un point de départ de ce que vous devez appliquer à l'équipement local d'abonné. Certains paramètres référencés dans le modèle doivent être uniques sur le CPE, et cela ne peut être trouvé qu'en accédant au CPE. Assurez-vous que les paramètres sont valides pour le CPE et qu'ils ne remplacent pas des valeurs configurées précédemment. Assurez-vous particulièrement que les valeurs suivantes sont uniques :
- Noms ou numéros de politique
- Noms d'interface
-
Valeurs keyring
- Noms ou numéros de liste d'accès (le cas échéant)
Oracle prend en charge le protocole Internet Key Exchange version 1 (IKEv1) et version 2 (IKEv2). Si vous configurez la connexion IPSec dans la console pour utiliser IKEv2, vous devez configurer l'équipement local d'abonné pour qu'il n'utilise que IKEv2 et les paramètres de chiffrement IKEv2 connexes pris en charge par l'équipement local d'abonné. Pour obtenir la liste des paramètres pris en charge par Oracle pour IKEv1 ou IKEv2, voir Paramètres IPSec pris en charge.
Il existe des modèles de configuration distincts pour IKEv1 et IKEv2.
Affichez le modèle de configuration IKEv1 au format plein écran pour en faciliter la lecture.
!-------------------------------------------------------------------------------------------------------------------------------------------------------------
! IKEv1 Configuration Template
! The configuration consists of two IPSec tunnels. Oracle highly recommends that you configure both tunnels for maximum redundancy.
!-------------------------------------------------------------------------------------------------------------------------------------------------------------
! The configuration template involves setting up the following:
! Keyring (Pre-Shared Key)
! Basic ISAKMP Options
! ISAKMP and IPSec Policy Configuration
! IPSec Peers
! Virtual Tunnel Interfaces
! IP Routing (BGP or Static)
! Update Any Internet Facing Access List to Allow IPSec and ISAKMP Packets
!-------------------------------------------------------------------------------------------------------------------------------------------------------------
! The configuration template has various parameters that you must define before applying the configuration.
!-------------------------------------------------------------------------------------------------------------------------------------------------------------
! PARAMETERS REFERENCED:
! ${OracleInsideTunnelIpAddress1} = Inside tunnel IP address of Oracle-side for the first tunnel. You provide these values when creating the IPSec connection in the Oracle Console.
! ${OracleInsideTunnelIpAddress2} = Inside tunnel IP address of Oracle-side for the second tunnel. You provide these values when creating the IPSec connection in the Oracle Console.
! ${bgpASN} = Your BGP ASN
! ${cpePublicIpAddress} = The public IP address for the CPE. This is the IP address of your outside interface
! ${oracleHeadend1} = Oracle public IP endpoint obtained from the Oracle Console.
! ${oracleHeadend2} = Oracle public IP endpoint obtained from the Oracle Console.
! ${sharedSecret1} = You provide when you set up the IPSec connection in the Oracle Console, or you can use the default Oracle-provided value.
! ${sharedSecret2} = You provide when you set up the IPSec connection in the Oracle Console, or you can use the default Oracle-provided value.
! ${outsideInterface} = The public interface or outside of tunnel interface which is configured with the CPE public IP address.
! ${vcnCidrNetwork} = VCN IP range
! ${vcnCidrNetmask} = Subnet mask for VCN
! ${onPremCidrNetwork} = On-premises IP range
! ${onPremCidrNetmask} = ON-premises subnet mask
!-------------------------------------------------------------------------------------------------------------------------------------------------------------
! Keyring (Pre-Shared Key)
! For authentication during IKE a separate keyring is defined for each Oracle VPN Headend peer.
! Add the pre-shared key for each Oracle VPN headend under the corresponding keyring.
crypto keyring oracle-vpn-${oracleHeadend1}
local-address ${cpePublicIpAddress}
pre-shared-key address ${oracleHeadend1} key ${sharedSecret1}
crypto keyring oracle-vpn-${oracleHeadend2}
local-address ${cpePublicIpAddress}
pre-shared-key address ${oracleHeadend2} key ${sharedSecret2}
! Basic ISAKMP Options
! Optional IPSec settings are included here.
! All optional settings included are recommended by Oracle. Remove or comment out any unneeded commands prior to applying this configuration.
! WARNING: These settings are global and may impact other IPSec connections
! Enables fragmentation of IKE packets prior to encryption.
crypto isakmp fragmentation
! Enables Dead Peer Detection (DPD)
crypto isakmp keepalive 10 10
! The Router will clear the DF-bit in the IP header. Allows the packet to be fragmented and sen to the end host in Oracle Cloud Infrastructure for reassembly.
crypto ipsec df-bit clear
! Increases security association anti-replay window. An increased window size is helpful for scenarios where packets are regularly being dropped due to delays.
crypto ipsec security-association replay window-size 128
! ISAKMP and IPSec Policy Configuration
! An ISAKMP policy is created for Phase 1 which specifies to use a Pre-Shared Key, AES256, SHA384, Diffie-Hellman Group 5, and a Phase 1 lifetime of 28800 seconds (8 hours).
! If different parameters are required, modify this template before applying the configuration.
! WARNING: The ISAKMP group policy is created with a priority of 10. Make sure this doesn't conflict with any pre-existing configuration before applying.
crypto isakmp policy 10
encr aes 256
hash sha384
authentication pre-share
group 5
lifetime 28800
! Create an IPSec transform set named 'oracle-vpn-transform' which defines a combination of IPSec (Phase 2) policy options. Specifically, AES256 for encryption and SHA1 for authentication. This is also where tunnel mode is set for IPSec.
! If different parameters are required, modify this template before applying the configuration.
crypto ipsec transform-set oracle-vpn-transform esp-aes 256 esp-sha-hmac
mode tunnel
! A IPSec profile named 'oracle-vpn' is created.
! The previously created transform set is added to this policy along with settings for enabling PFS Group 5 and the security association lifetime to 3600 seconds (1 hour).
! If different parameters are required, modify this template before applying the configuration.
crypto ipsec profile oracle-vpn
set pfs group5
set security-association lifetime seconds 3600
set transform-set oracle-vpn-transform
! IPSec Peers
! Two ISAKMP profiles are created for each Oracle VPN Headend.
! An ISAKMP profile is used as a repository for various Phase 1 commands tied to a specific IPSec peer. In this case, we match the previously created keyrings to an Oracle VPN headend.
crypto isakmp profile oracle-vpn-${oracleHeadend1}
keyring oracle-vpn-${oracleHeadend1}
self-identity address
match identity address ${oracleHeadend1} 255.255.255.255
crypto isakmp profile oracle-vpn-${oracleHeadend2}
keyring oracle-vpn-${oracleHeadend2}
self-identity address
match identity address ${oracleHeadend2} 255.255.255.255
! Virtual Tunnel Interfaces
! Each tunnel interface is a logical interface representing the local end of a VPN tunnel to a remote VPN peer. Each tunnel interface represents a single tunnel to a different Oracle VPN Headend. The IP address of each VPN headend is provided when you create your IPSec connection in Oracle Console.
! All traffic routed to a tunnel interface will be encrypted and sent across the tunnel towards Oracle Cloud Infrastructure.
! Each tunnel interface configuration also references the previously created IPSec profile 'oracle-vpn' for its IPSec parameters.
interface Tunnel${tunnelNumber1}
ip address ${cpeInsideTunnelIpAddress1} ${cpeInsideTunnelNetmask1}
tunnel source ${cpePublicIpAddress}
tunnel mode ipsec ipv4
tunnel destination ${oracleHeadend1}
tunnel protection ipsec profile oracle-vpn
interface Tunnel${tunnelNumber2}
ip address ${cpeInsideTunnelIpAddress2} ${cpeInsideTunnelNetmask2}
tunnel source ${cpePublicIpAddress}
tunnel mode ipsec ipv4
tunnel destination ${oracleHeadend2}
tunnel protection ipsec profile oracle-vpn
! IP Routing
! Pick either dynamic (BGP) or static routing. Uncomment the corresponding commands prior to applying configuration.
! Border Gateway Protocol (BGP) Configuration
! Uncomment below lines if you want to use BGP.
! router bgp ${bgpASN}
! neighbor ${OracleInsideTunnelIpAddress1} remote-as 31898
! neighbor ${OracleInsideTunnelIpAddress2} remote-as 31898
! network ${onPremCidrNetwork} mask ${onPremCidrNetmask}
! Static Route Configuration
! Uncomment below lines if you want to use static routing.
! ip route ${vcnCidrNetwork} ${vcnCidrNetmask} Tunnel${tunnelNumber1}
! ip route ${vcnCidrNetwork} ${vcnCidrNetmask} Tunnel${tunnelNumber2}
! Update Any Internet Facing Access List to Allow IPSec and ISAKMP Packets
! You may need to allow IPSec and ISAKMP packets out your internet facing interface.
! Uncomment below lines to create a new ACL allowing IPSec and ISAKMP traffic and apply it to the outside interface.
! ip access-list extended INTERNET-INGRESS
! permit udp host ${oracleHeadend1} host ${cpePublicIpAddress} eq isakmp
! permit esp host ${oracleHeadend1} host ${cpePublicIpAddress}
! permit udp host ${oracleHeadend2} host ${cpePublicIpAddress} eq isakmp
! permit esp host ${oracleHeadend2} host ${cpePublicIpAddress}
! permit icmp any any echo
! permit icmp any any echo-reply
! permit icmp any any unreachable
! interface ${outsideInterface}
! ip address ${cpePublicIpAddress} $(netmask}
! ip access-group INTERNET-INGRESS inAffichez le modèle de configuration IKEv2 au format plein écran pour en faciliter la lecture.
!-------------------------------------------------------------------------------------------------------------------------------------------------------------
! IKEv2 Configuration Template
! The configuration consists of two IPSec tunnels. Oracle highly recommends that you configure both tunnels for maximum redundancy.
!-------------------------------------------------------------------------------------------------------------------------------------------------------------
! The configuration template involves setting up the following:
! Keyring (Pre-Shared Key)
! IKEv2 and IPSec Policy Configuration
! IPSec Peers
! Virtual Tunnel Interfaces
! IP Routing (BGP or Static)
! Update Any Internet Facing Access List to Allow IPSec and ISAKMP Packets
!-------------------------------------------------------------------------------------------------------------------------------------------------------------
! The configuration template has various parameters that you must define before applying the configuration.
!-------------------------------------------------------------------------------------------------------------------------------------------------------------
! PARAMETERS REFERENCED:
! ${OracleInsideTunnelIpAddress1} = Inside tunnel IP address of Oracle-side for the first tunnel. You provide these values when creating the IPSec connection in the Oracle Console.
! ${OracleInsideTunnelIpAddress2} = Inside tunnel IP address of Oracle-side for the second tunnel. You provide these values when creating the IPSec connection in the Oracle Console.
! ${bgpASN} = Your BGP ASN
! ${cpePublicIpAddress} = The public IP address for the CPE. This is the IP address of your outside interface
! ${oracleHeadend1} = Oracle public IP endpoint obtained from the Oracle Console.
! ${oracleHeadend2} = Oracle public IP endpoint obtained from the Oracle Console.
! ${sharedSecret1} = You provide when you set up the IPSec connection in the Oracle Console, or you can use the default Oracle-provided value.
! ${sharedSecret2} = You provide when you set up the IPSec connection in the Oracle Console, or you can use the default Oracle-provided value.
! ${outsideInterface} = The public interface or outside of tunnel interface which is configured with the CPE public IP address.
! ${vcnCidrNetwork} = VCN IP range
! ${vcnCidrNetmask} = Subnet mask for VCN
! ${onPremCidrNetwork} = On-premises IP range
! ${onPremCidrNetmask} = ON-premises subnet mask
!-------------------------------------------------------------------------------------------------------------------------------------------------------------
! Keyring (Pre-Shared Key)
! For authentication during IKE a separate keyring is defined for each Oracle VPN Headend peer.
! Add the pre-shared key for each Oracle VPN headend under the corresponding keyring.
crypto ikev2 keyring oracle-vpn-${oracleHeadend1}
peer oracle_vpn
address ${oracleHeadend1}
pre-shared-key local ${sharedSecret1}
pre-shared-key remote ${sharedSecret1}
crypto ikev2 keyring oracle-vpn-${oracleHeadend2}
peer oracle_vpn
address ${oracleHeadend2}
pre-shared-key local ${sharedSecret2}
pre-shared-key remote ${sharedSecret2}
! Optional IPSec settings are included here.
! All optional settings included are recommended by Oracle. Remove or comment out any unneeded commands prior to applying this configuration.
! WARNING: These settings are global and may impact other IPSec connections
! The Router will clear the DF-bit in the IP header. Allows the packet to be fragmented and sen to the end host in Oracle Cloud Infrastructure for reassembly.
crypto ipsec df-bit clear
! Increases security association anti-replay window. An increased window size is helpful for scenarios where packets are regularly being dropped due to delays.
crypto ipsec security-association replay window-size 128
! IKEv2 and IPSec Policy Configuration
! An IKEv2 proposal is created and specifies use of a Pre-Shared Key, AES256, SHA384, and Diffie-Hellman Group 5.
! If different parameters are required, modify this template before applying the configuration.
crypto ikev2 proposal oracle_v2_proposal
encryption aes-cbc-256
integrity sha384
group 5
crypto ikev2 policy oracle_v2_policy
proposal oracle_v2_proposal
! Create an IPSec transform set named 'oracle-vpn-transform' which defines a combination of IPSec (Phase 2) policy options. Specifically, AES256 for encryption and SHA1 for authentication. This is also where tunnel mode is set for IPSec.
! If different parameters are required, modify this template before applying the configuration.
crypto ipsec transform-set oracle-vpn-transform esp-aes 256 esp-sha-hmac
mode tunnel
! An IPSec profile named 'oracle_v2_ipsec_profile_tunnel#' is created for each tunnel.
! The previously created transform set is added to this policy along with settings for enabling PFS Group 5 and the security association lifetime to 3600 seconds (1 hour).
! If different parameters are required, modify this template before applying the configuration.
crypto ipsec profile oracle_v2_ipsec_profile_tunnel1
set ikev2-profile oracle_v2_profile_tunnel1
set pfs group5
set security-association lifetime seconds 3600
set transform-set oracle-vpn-transform
crypto ipsec profile oracle_v2_ipsec_profile_tunnel2
set ikev2-profile oracle_v2_profile_tunnel2
set pfs group5
set security-association lifetime seconds 3600
set transform-set oracle-vpn-transform
! IPSec Peers
! Two IKEv2 profiles are created for each Oracle VPN Headend.
crypto ikev2 profile oracle-vpn-${oracleHeadend1}
keyring oracle-vpn-${oracleHeadend1}
identity local address ${cpePublicIpAddress}
match identity remote address ${oracleHeadend1} 255.255.255.255
authentication remote pre-share
authentication local pre-share
crypto ikev2 profile oracle-vpn-${oracleHeadend2}
keyring oracle-vpn-${oracleHeadend2}
identity local address ${cpePublicIpAddress}
match identity remote address ${oracleHeadend2} 255.255.255.255
authentication remote pre-share
authentication local pre-share
! Virtual Tunnel Interfaces
! Each tunnel interface is a logical interface representing the local end of a VPN tunnel to a remote VPN peer. Each tunnel interface represents a single tunnel to a different Oracle VPN Headend. The IP address of each VPN headend is provided when you create your IPSec connection in Oracle Console.
! All traffic routed to a tunnel interface will be encrypted and sent across the tunnel towards Oracle Cloud Infrastructure.
! Each tunnel interface configuration also references the previously created IPSec profile 'oracle-vpn' for its IPSec parameters.
interface Tunnel${tunnelNumber1}
ip address ${cpeInsideTunnelIpAddress1} ${cpeInsideTunnelNetmask1}
tunnel source ${cpePublicIpAddress}
tunnel mode ipsec ipv4
tunnel destination ${oracleHeadend1}
tunnel protection ipsec profile oracle_v2_ipsec_profile_tunnel1
interface Tunnel${tunnelNumber2}
ip address ${cpeInsideTunnelIpAddress2} ${cpeInsideTunnelNetmask2}
tunnel source ${cpePublicIpAddress}
tunnel mode ipsec ipv4
tunnel destination ${oracleHeadend2}
tunnel protection ipsec profile oracle_v2_ipsec_profile_tunnel2
! IP Routing
! Pick either dynamic (BGP) or static routing. Uncomment the corresponding commands prior to applying configuration.
! Border Gateway Protocol (BGP) Configuration
! Uncomment below lines if you want to use BGP.
! router bgp ${bgpASN}
! neighbor ${OracleInsideTunnelIpAddress1} remote-as 31898
! neighbor ${OracleInsideTunnelIpAddress2} remote-as 31898
! network ${onPremCidrNetwork} mask ${onPremCidrNetmask}
! Static Route Configuration
! Uncomment below lines if you want to use static routing.
! ip route ${vcnCidrNetwork} ${vcnCidrNetmask} Tunnel${tunnelNumber1}
! ip route ${vcnCidrNetwork} ${vcnCidrNetmask} Tunnel${tunnelNumber2}
! Update Any Internet Facing Access List to Allow IPSec and ISAKMP Packets
! You may need to allow IPSec and ISAKMP packets out your internet facing interface.
! Uncomment below lines to create a new ACL allowing IPSec and ISAKMP traffic and apply it to the outside interface.
! ip access-list extended INTERNET-INGRESS
! permit udp host ${oracleHeadend1} host ${cpePublicIpAddress} eq isakmp
! permit esp host ${oracleHeadend1} host ${cpePublicIpAddress}
! permit udp host ${oracleHeadend2} host ${cpePublicIpAddress} eq isakmp
! permit esp host ${oracleHeadend2} host ${cpePublicIpAddress}
! permit icmp any any echo
! permit icmp any any echo-reply
! permit icmp any any unreachable
! interface ${outsideInterface}
! ip address ${cpePublicIpAddress} $(netmask}
! ip access-group INTERNET-INGRESS inVérification
Les commandes IOS suivantes sont incluses pour le dépannage de base.
Utilisez la commande suivante pour vérifier que les associations de sécurité ISAKMP sont créées entre les deux pairs.
show crypto isakmp saUtilisez la commande suivante pour vérifier le statut de tous les voisins ou connexions BGP.
show ip bgp summary
show ip bgp neighborsUtilisez la commande suivante pour vérifier la table de routage.
show ip routeUn service de surveillance est également disponible dans Oracle Cloud Infrastructure pour la surveillance active et passive des ressources en nuage. Pour des informations sur la surveillance d'un réseau privé virtuel site à site, voir Mesures du réseau privé virtuel site à site.
En cas de problèmes, voir Dépannage du RPV site à site.