Documentation sur Oracle Cloud Infrastructure

Furukawa Electric

Voyez comment configurer un routeur électrique de Furukawa pour un RPV site à site entre votre réseau sur place et votre réseau en nuage.

Cette configuration a été validée à l'aide d'un routeur de la série FITELnet-F220/F221 de Furukawa Electric exécutant le micrologiciel 01.00(00)[0]00.00.0 [2019/07/05 15:00].

Important

Oracle fournit des instructions de configuration pour un ensemble testé de fournisseurs et d'appareils. Utilisez la configuration appropriée pour votre fournisseur et votre version de logiciel.

Si la version de l'appareil ou du logiciel utilisée par Oracle pour vérifier la configuration ne correspond pas exactement à votre appareil ou à votre logiciel, vous pouvez tout de même créer la configuration nécessaire sur votre appareil. Consultez la documentation de votre fournisseur et apportez les ajustements nécessaires.

Si le fabricant de votre appareil ne figure pas dans la liste des fournisseurs et des appareils vérifiés, ou si vous êtes déjà familiarisé avec la configuration de votre appareil pour IPSec, consultez la liste des paramètres IPSec pris en charge et la documentation relative à votre fournisseur pour obtenir de l'aide.

Important

Oracle utilise un routage asymétrique dans les tunnels multiples qui constituent la connexion IPSec. Même si vous configurez un tunnel principal et un autre de secours, le trafic de votre réseau VCN vers votre réseau sur place peut utiliser n'importe quel tunnel "actif" sur votre unité. Configurez vos pare-feux en conséquence. Dans le cas contraire, les tests ping ou le trafic d'application sur la connexion ne fonctionneront pas de manière fiable.

Avant de commencer

Avant de configurer votre équipement local d'abonné, veillez à :

  • Configurer vos paramètres de fournisseur Internet.
  • Configurer des règles de pare-feu pour ouvrir le port UDP 500, le port UDP 4500 et ESP.

Domaine de chiffrement ou ID mandataire pris en charge

Les valeurs du domaine de chiffrement (également appelé ID mandataire, indice de paramètre de sécurité (SPI) ou sélecteur de trafic) dépendent de la prise en charge éventuelle par votre CPE des tunnels basés sur des routes ou des tunnels basés sur des politiques. Pour plus d'informations sur les valeurs de domaine de chiffrement à utiliser, voir Domaine de chiffrement ou ID mandataire pris en charge.

Paramètres provenant de l'API ou de la console

Obtenez les paramètres suivants de la console Oracle Cloud Infrastructure ou de l'API.

${vpn-ip#}

  • Points d'extrémité du tunnel IPSec de tête de réseau RPV Oracle. Il existe une valeur pour chaque tunnel.
  • Exemples de valeurs : 129.146.12.52, 129.146.13.52

${sharedSecret#}

  • Clé prépartagée ISAKMP IPSec. Il existe une valeur pour chaque tunnel.
  • Exemple de valeur : EXAMPLEDPfAMkD7nTH3SWr6OFabdT6exXn6enSlsKbE

${cpePublicIpAddress}

  • Adresse IP publique du CPE (précédemment fournie à Oracle au moyen de la console).

${VcnCidrBlock}

  • Lors de la création du réseau VCN, votre société a sélectionné ce bloc CIDR pour représenter le réseau agrégé d'adresses IP de tous les hôtes VCN.
  • Exemple de valeur : 10.0.0.0/20

Paramètres basés sur la configuration et l'état courants de l'équipement local d'abonné

Les paramètres suivants sont basés sur la configuration actuelle de votre équipement local d'abonné.

${tunnelNumber#}

  • Numéro d'interface identifiant le tunnel particulier. Il vous faut un numéro d'unité non utilisé par tunnel.
  • Exemple de valeur : 1, 2

${isakmpPolicy}

  • Nom de la politique ISAKMP.
  • Exemple de valeur : isakmp-policy

${ipsecPolicy#}

  • Nom de la politique IPSec.
  • Exemple de valeur : ipsec-policy

${isakmpProfile#}

  • Nom du profil ISAKMP. Il vous faut un nom de profil ISAKMP non utilisé par tunnel.
  • Exemples de valeurs : OCI-VPN-profile1, OCI-VPN-profile2

${selector}

  • Nom du sélecteur.
  • Exemple de valeur : OCI-VPN-selector

${map#}

  • Nom du mappage. Il vous faut un nom de mappage non utilisé par tunnel.
  • Exemples de valeurs : OCI-VPN-MAP1, OCI-VPN-MAP2

${customer-bgp-asn}

  • Votre ASN BGP.
  • Exemple de valeur : 65000

${oracle-bgp-asn#}

  • ASN BGP d'Oracle.
  • Exemple de valeur : 31898

${customer-interface-ip#}

  • Interface de tunnel interne pour le CPE.
  • Exemple de valeur : 10.0.0.16/31

${oracle-interface-ip#}

  • Interface de tunnel interne pour ORACLE.
  • Exemple de valeur : 10.0.0.17/31

${router-id}

  • ID routeur BGP.
  • Exemple de valeur : 10.0.0.16

Sommaire des paramètres du modèle de configuration

Chaque région comporte plusieurs têtes de réseau IPSec Oracle. Le modèle suivant vous permet de configurer plusieurs tunnels sur votre CPE, chacun correspondant à une tête de réseau. Dans le tableau suivant, "Utilisateur" vous représente ou votre société.

Paramètre Source Exemple de valeur
${vpn-ip1} Console/API 129.146.12.52
${sharedSecret1} Console/API (chaîne longue)
${vpn-ip2} Console/API 129.146.13.52
${sharedSecret2} Console/API (chaîne longue)
${cpePublicIpAddress} Utilisateur 203.0.113.1
${VcnCidrBlock} Utilisateur 10.0.0.0/20
${tunnelNumber1} Utilisateur 1
${tunnelNumber1} Utilisateur 2
${isakmpPolicy} Utilisateur isakmp-policy
${ipsecPolicy} Utilisateur ipsec-policy
${isakmpProfile1} Utilisateur OCI-VPN-profile1
${isakmpProfile2} Utilisateur OCI-VPN-profile2
${selector} Utilisateur OCI-VPN-selector
${map1} Utilisateur OCI-VPN-MAP1
${map2} Utilisateur OCI-VPN-MAP2
${customer-bgp-asn} Console/API/Utilisateur 65000
${oracle-bgp-asn1} Console/API 31,898 *
${oracle-bgp-asn2} Console/API 31,898 *
${customer-interface-ip1} Console/API/Utilisateur 10.0.0.16/31
${customer-interface-ip2} Console/API/Utilisateur 10.0.0.18/31
${oracle-interface-ip1} Console/API/Utilisateur 10.0.0.17
${oracle-interface-ip2} Console/API/Utilisateur 10.0.0.19
${router-id} Utilisateur 10.0.0.16
* Le numéro ASN BGP d'Oracle pour le nuage commercial est 31898, à l'exception de la région Serbie - Centre (Jovanovac) qui est 14544.

Important

Les valeurs de paramètres de politique ISAKMP et IPSec suivantes concernent un RPV site à site dans le nuage commercial. Pour le nuage gouvernemental, vous devez utiliser les valeurs figurant dans Paramètres de RPV site à site requis pour le nuage gouvernemental.

Options de politique ISAKMP

Paramètre Valeur recommandée
ISAKMP protocol version (Version du protocole ISAKMP) Version 1
Exchange type (Type d'échange) Main mode (Mode principal)
Authentication method (Méthode d'authentification) Pre-shared keys (Clés prépartagées)
Encryption (Chiffrement) AES-256-cbc
Authentication algorithm (Algorithme d'authentification) HMAC-SHA1-96
Diffie-Hellman group (Groupe Diffie-Hellman) Group 5 (Groupe 5)
IKE session key lifetime (Durée de vie de la clé de session IKE) 28 800 secondes (8 heures)

Options de politique IPSec

Paramètre Valeur recommandée
IPSec protocol (Protocole IPSec) ESP, tunnel-mode (ESP, mode tunnel)
Encryption (Chiffrement) AES-CBC/256
Authentication algorithm (Algorithme d'authentification) HMAC-SHA1-96/160
Diffie-Hellman group (Groupe Diffie-Hellman) Group 5 (Groupe 5)
Perfect Forward Secrecy (Confidentialité persistante) Enabled (Activée)
IPSec session key lifetime (Durée de vie de la clé de session IPSec) 3 600 secondes (1 heure)

CPE Configuration (Configuration de l'équipement local d'abonné)

Configuration ISAKMP et IPSec

crypto ipsec policy ${ipsecPolicy}
 set pfs group5
 set security-association transform-keysize aes 256 256 256
 set security-association transform esp-aes esp-sha-hmac
exit
!
crypto ipsec selector ${selector}
 src 1 ipv4 any
 dst 1 ipv4 any
exit
!
crypto isakmp policy ${isakmpPolicy}
 authentication pre-share
 encryption aes
 encryption-keysize aes 256 256 256
 group 5
 hash sha
exit
!
crypto isakmp profile ${isakmpProfile1}
 local-address ${cpePublicIpAddress}
 set isakmp-policy ${isakmpPolicy}
 set ipsec-policy ${ipsecPolicy}
 set peer ${vpn-ip1}
 ike-version 1
 local-key ascii ${sharedSecret1}
exit
!
crypto isakmp profile ${isakmpProfile2}
 local-address ${cpePublicIpAddress}
 set isakmp-policy ${isakmpPolicy}
set ipsec-policy ${ipsecPolicy}
set peer ${vpn-ip2}
ike-version 1
 local-key ascii ${sharedSecret2}
exit
!
crypto map ${map1} ipsec-isakmp
 match address ${selector}
set isakmp-profile ${isakmpProfile1}
exit
!
crypto map ${map2} ipsec-isakmp
 match address ${selector}
 set isakmp-profile ${isakmpProfile2}
exit
!
interface Tunnel ${tunnelNumber1}
 tunnel mode ipsec map ${map1}
ip address ${customer-interface-ip1}
exit
!
interface Tunnel ${tunnelNumber2}
 tunnel mode ipsec map ${map2}
 ip address ${customer-interface-ip2}
exit

Configuration BGP

ip route ${vcnCidrBlock} Tunnel ${tunnelNumber1}
ip route ${vcnCidrBlock} Tunnel ${tunnelNumber2}

Configuration de routes statiques

router bgp ${customer-bgp-asn}
 bgp router-id ${router-id}
 bgp log-neighbor-changes
 neighbor ${oracle-interface-ip1} ebgp-multihop 10
 neighbor ${oracle-interface-ip1} enforce-multihop
 neighbor ${oracle-interface-ip1} remote-as ${oracle-bgp-asn1}
 neighbor ${oracle-interface-ip1} update-source tunnel ${tunnelNumber1}
 neighbor ${oracle-interface-ip2} ebgp-multihop 10
 neighbor ${oracle-interface-ip2} enforce-multihop
 neighbor ${oracle-interface-ip2} remote-as ${oracle-bgp-asn2}
 neighbor ${oracle-interface-ip2} update-source tunnel ${tunnelNumber2}
 !
 address-family ipv4 unicast
  redistribute connected
exit