Documentation sur Oracle Cloud Infrastructure

Furukawa Electric

Voyez comment configurer un routeur Furukawa Electric pour un RPV site à site entre un réseau sur place et un réseau en nuage.

Cette configuration a été validée à l'aide d'un routeur de la série FITELnet-F220/F221 de Furukawa Electric exécutant le micrologiciel 01.00(00)[0]00.00.0 [2019/07/05 15:00].

Important

Oracle fournit des instructions de configuration pour un ensemble testé de fournisseurs et d'appareils. Utilisez la configuration appropriée pour le fournisseur et la version du logiciel.

Si la version de l'appareil ou du logiciel utilisée par Oracle pour vérifier la configuration ne correspond pas exactement à l'appareil ou au logiciel, vous pouvez tout de même créer la configuration nécessaire sur l'appareil. Consultez la documentation du fournisseur et apportez les modifications nécessaires.

Si l'appareil provient d'un fournisseur qui ne figure pas dans la liste des fournisseurs et des appareils vérifiés, ou si vous êtes déjà familiarisé avec la configuration de l'appareil pour IPSec, voir la liste des paramètres IPSec pris en charge et la documentation sur le fournisseur pour obtenir de l'aide.

Important

Oracle utilise un routage asymétrique dans les tunnels qui constituent la connexion IPSec. Même si vous configurez un tunnel principal et un autre de secours, le trafic d'un réseau VCN vers un réseau sur place peut utiliser n'importe quel tunnel "actif" sur un appareil. Configurez les pare-feu selon le cas. Dans le cas contraire, les tests ping ou le trafic d'application sur la connexion ne fonctionnent pas de manière fiable.

Avant de commencer

Avant de configurer l'équipement local d'abonné, assurez-vous d'effectuer les opérations suivantes :

  • Configurer les paramètres du fournisseur Internet.
  • Configurer des règles de pare-feu pour ouvrir le port UDP 500, le port UDP 4500 et ESP.

Domaine de chiffrement ou ID mandataire pris en charge

Les valeurs du domaine de chiffrement (également connu sous le nom d'ID mandataire, d'index de paramètre de sécurité (SPI) ou de sélecteur de trafic) dépendent de la prise en charge éventuelle par un CPE des tunnels basés sur des routes ou des tunnels basés sur des politiques. Pour plus d'informations sur les valeurs de domaine de chiffrement à utiliser, voir Domaine de chiffrement ou ID mandataire pris en charge.

Paramètres provenant de l'API ou de la console

Obtenez les paramètres suivants de la console Oracle Cloud Infrastructure ou de l'API Oracle Cloud Infrastructure.

${vpn-ip#}

  • Points d'extrémité du tunnel IPSec de tête de réseau RPV Oracle. Une valeur par tunnel.
  • Exemples de valeurs : 129.146.12.52, 129.146.13.52

${sharedSecret#}

  • Clé prépartagée ISAKMP IPSec. Une valeur par tunnel.
  • Exemple de valeur : EXAMPLEDPfAMkD7nTH3SWr6OFabdT6exXn6enSlsKbE

${cpePublicIpAddress}

  • Adresse IP publique du CPE (déjà mise à la disposition d'Oracle au moyen de la console).

${VcnCidrBlock}

  • Lors de la création du réseau VCN, votre société a sélectionné ce bloc CIDR pour représenter le réseau agrégé d'adresses IP de tous les hôtes VCN.
  • Exemple de valeur : 10.0.0.0/20

Paramètres basés sur la configuration et l'état courants de l'équipement local d'abonné

Les paramètres suivants sont basés sur la configuration actuelle de l'équipement local d'abonné.

${tunnelNumber#}

  • Numéro d'interface identifiant le tunnel particulier. Il vous faut un numéro d'unité non utilisé par tunnel.
  • Exemple de valeur : 1, 2

${isakmpPolicy}

  • Nom de la politique ISAKMP.
  • Exemple de valeur : isakmp-policy

${ipsecPolicy#}

  • Nom de la politique IPSec.
  • Exemple de valeur : ipsec-policy

${isakmpProfile#}

  • Nom du profil ISAKMP. Il vous faut un nom de profil ISAKMP non utilisé par tunnel.
  • Exemples de valeurs : OCI-VPN-profile1, OCI-VPN-profile2

${selector}

  • Nom du sélecteur.
  • Exemple de valeur : OCI-VPN-selector

${map#}

  • Nom du mappage. Il vous faut un nom de mappage non utilisé par tunnel.
  • Exemples de valeurs : OCI-VPN-MAP1, OCI-VPN-MAP2

${customer-bgp-asn}

  • Numéro ASN BGP sur place.
  • Exemple de valeur : 65000

${oracle-bgp-asn#}

  • ASN BGP d'Oracle.
  • Exemple de valeur : 31898

${customer-interface-ip#}

  • Interface de tunnel interne pour le CPE.
  • Exemple de valeur : 10.0.0.16/31

${oracle-interface-ip#}

  • Interface de tunnel interne pour ORACLE.
  • Exemple de valeur : 10.0.0.17/31

${router-id}

  • ID routeur BGP.
  • Exemple de valeur : 10.0.0.16

Sommaire des paramètres du modèle de configuration

Chaque région comporte plusieurs têtes de réseau Oracle IPSec. Le modèle suivant vous aide à configurer des tunnels redondants pour un équipement local d'abonné, chacun avec une tête de réseau correspondante. Dans le tableau suivant, "Utilisateur" vous représente ou votre société.

Paramètre Source Exemple de valeur
${vpn-ip1} Console/API 129.146.12.52
${sharedSecret1} Console/API (chaîne longue)
${vpn-ip2} Console/API 129.146.13.52
${sharedSecret2} Console/API (chaîne longue)
${cpePublicIpAddress} Utilisateur 203.0.113.1
${VcnCidrBlock} Utilisateur 10.0.0.0/20
${tunnelNumber1} Utilisateur 1
${tunnelNumber1} Utilisateur 2
${isakmpPolicy} Utilisateur isakmp-policy
${ipsecPolicy} Utilisateur ipsec-policy
${isakmpProfile1} Utilisateur OCI-VPN-profile1
${isakmpProfile2} Utilisateur OCI-VPN-profile2
${selector} Utilisateur OCI-VPN-selector
${map1} Utilisateur OCI-VPN-MAP1
${map2} Utilisateur OCI-VPN-MAP2
${customer-bgp-asn} Console/API/Utilisateur 65000
${oracle-bgp-asn1} Console/API 31,898 *
${oracle-bgp-asn2} Console/API 31,898 *
${customer-interface-ip1} Console/API/Utilisateur 10.0.0.16/31
${customer-interface-ip2} Console/API/Utilisateur 10.0.0.18/31
${oracle-interface-ip1} Console/API/Utilisateur 10.0.0.17
${oracle-interface-ip2} Console/API/Utilisateur 10.0.0.19
${router-id} Utilisateur 10.0.0.16
* Le numéro ASN BGP d'Oracle pour le nuage commercial est 31898, à l'exception de la région Serbie - Centre (Jovanovac) qui est 14544.

Important

Les valeurs de paramètres de politique ISAKMP et IPSec suivantes s'appliquent à un RPV site à site dans le nuage commercial. Pour le infonuagique gouvernemental, vous devez utiliser les valeurs figurant dans Paramètres de RPV site à site requis pour le nuage gouvernemental.

Options de politique ISAKMP

Paramètre Valeur recommandée
ISAKMP protocol version (Version du protocole ISAKMP) Version 1
Exchange type (Type d'échange) Main mode (Mode principal)
Authentication method (Méthode d'authentification) Pre-shared keys (Clés prépartagées)
Encryption (Chiffrement) AES-256-cbc
Authentication algorithm (Algorithme d'authentification) HMAC-SHA1-96
Diffie-Hellman group (Groupe Diffie-Hellman) Group 5 (Groupe 5)
IKE session key lifetime (Durée de vie de la clé de session IKE) 28 800 secondes (8 heures)

Options de politique IPSec

Paramètre Valeur recommandée
IPSec protocol (Protocole IPSec) ESP, tunnel-mode (ESP, mode tunnel)
Encryption (Chiffrement) AES-CBC/256
Authentication algorithm (Algorithme d'authentification) HMAC-SHA1-96/160
Diffie-Hellman group (Groupe Diffie-Hellman) Group 5 (Groupe 5)
Perfect Forward Secrecy (Confidentialité persistante) Enabled (Activée)
IPSec session key lifetime (Durée de vie de la clé de session IPSec) 3 600 secondes (1 heure)

CPE Configuration (Configuration de l'équipement local d'abonné)

Configuration ISAKMP et IPSec

crypto ipsec policy ${ipsecPolicy}
 set pfs group5
 set security-association transform-keysize aes 256 256 256
 set security-association transform esp-aes esp-sha-hmac
exit
!
crypto ipsec selector ${selector}
 src 1 ipv4 any
 dst 1 ipv4 any
exit
!
crypto isakmp policy ${isakmpPolicy}
 authentication pre-share
 encryption aes
 encryption-keysize aes 256 256 256
 group 5
 hash sha
exit
!
crypto isakmp profile ${isakmpProfile1}
 local-address ${cpePublicIpAddress}
 set isakmp-policy ${isakmpPolicy}
 set ipsec-policy ${ipsecPolicy}
 set peer ${vpn-ip1}
 ike-version 1
 local-key ascii ${sharedSecret1}
exit
!
crypto isakmp profile ${isakmpProfile2}
 local-address ${cpePublicIpAddress}
 set isakmp-policy ${isakmpPolicy}
set ipsec-policy ${ipsecPolicy}
set peer ${vpn-ip2}
ike-version 1
 local-key ascii ${sharedSecret2}
exit
!
crypto map ${map1} ipsec-isakmp
 match address ${selector}
set isakmp-profile ${isakmpProfile1}
exit
!
crypto map ${map2} ipsec-isakmp
 match address ${selector}
 set isakmp-profile ${isakmpProfile2}
exit
!
interface Tunnel ${tunnelNumber1}
 tunnel mode ipsec map ${map1}
ip address ${customer-interface-ip1}
exit
!
interface Tunnel ${tunnelNumber2}
 tunnel mode ipsec map ${map2}
 ip address ${customer-interface-ip2}
exit

Configuration BGP

ip route ${vcnCidrBlock} Tunnel ${tunnelNumber1}
ip route ${vcnCidrBlock} Tunnel ${tunnelNumber2}

Configuration de routes statiques

router bgp ${customer-bgp-asn}
 bgp router-id ${router-id}
 bgp log-neighbor-changes
 neighbor ${oracle-interface-ip1} ebgp-multihop 10
 neighbor ${oracle-interface-ip1} enforce-multihop
 neighbor ${oracle-interface-ip1} remote-as ${oracle-bgp-asn1}
 neighbor ${oracle-interface-ip1} update-source tunnel ${tunnelNumber1}
 neighbor ${oracle-interface-ip2} ebgp-multihop 10
 neighbor ${oracle-interface-ip2} enforce-multihop
 neighbor ${oracle-interface-ip2} remote-as ${oracle-bgp-asn2}
 neighbor ${oracle-interface-ip2} update-source tunnel ${tunnelNumber2}
 !
 address-family ipv4 unicast
  redistribute connected
exit