Furukawa Electric
Voyez comment configurer un routeur électrique de Furukawa pour un RPV site à site entre votre réseau sur place et votre réseau en nuage.
Cette configuration a été validée à l'aide d'un routeur de la série FITELnet-F220/F221 de Furukawa Electric exécutant le micrologiciel 01.00(00)[0]00.00.0 [2019/07/05 15:00].
Oracle fournit des instructions de configuration pour un ensemble testé de fournisseurs et d'appareils. Utilisez la configuration appropriée pour votre fournisseur et votre version de logiciel.
Si la version de l'appareil ou du logiciel utilisée par Oracle pour vérifier la configuration ne correspond pas exactement à votre appareil ou à votre logiciel, vous pouvez tout de même créer la configuration nécessaire sur votre appareil. Consultez la documentation de votre fournisseur et apportez les ajustements nécessaires.
Si le fabricant de votre appareil ne figure pas dans la liste des fournisseurs et des appareils vérifiés, ou si vous êtes déjà familiarisé avec la configuration de votre appareil pour IPSec, consultez la liste des paramètres IPSec pris en charge et la documentation relative à votre fournisseur pour obtenir de l'aide.
Oracle utilise un routage asymétrique dans les tunnels multiples qui constituent la connexion IPSec. Même si vous configurez un tunnel principal et un autre de secours, le trafic de votre réseau VCN vers votre réseau sur place peut utiliser n'importe quel tunnel "actif" sur votre unité. Configurez vos pare-feux en conséquence. Dans le cas contraire, les tests ping ou le trafic d'application sur la connexion ne fonctionneront pas de manière fiable.
Avant de commencer
Avant de configurer votre équipement local d'abonné, veillez à :
- Configurer vos paramètres de fournisseur Internet.
- Configurer des règles de pare-feu pour ouvrir le port UDP 500, le port UDP 4500 et ESP.
Domaine de chiffrement ou ID mandataire pris en charge
Les valeurs du domaine de chiffrement (également appelé ID mandataire, indice de paramètre de sécurité (SPI) ou sélecteur de trafic) dépendent de la prise en charge éventuelle par votre CPE des tunnels basés sur des routes ou des tunnels basés sur des politiques. Pour plus d'informations sur les valeurs de domaine de chiffrement à utiliser, voir Domaine de chiffrement ou ID mandataire pris en charge.
Paramètres provenant de l'API ou de la console
Obtenez les paramètres suivants de la console Oracle Cloud Infrastructure ou de l'API.
${vpn-ip#}
- Points d'extrémité du tunnel IPSec de tête de réseau RPV Oracle. Il existe une valeur pour chaque tunnel.
- Exemples de valeurs : 129.146.12.52, 129.146.13.52
${sharedSecret#}
- Clé prépartagée ISAKMP IPSec. Il existe une valeur pour chaque tunnel.
- Exemple de valeur : EXAMPLEDPfAMkD7nTH3SWr6OFabdT6exXn6enSlsKbE
${cpePublicIpAddress}
- Adresse IP publique du CPE (précédemment fournie à Oracle au moyen de la console).
${VcnCidrBlock}
- Lors de la création du réseau VCN, votre société a sélectionné ce bloc CIDR pour représenter le réseau agrégé d'adresses IP de tous les hôtes VCN.
- Exemple de valeur : 10.0.0.0/20
Paramètres basés sur la configuration et l'état courants de l'équipement local d'abonné
Les paramètres suivants sont basés sur la configuration actuelle de votre équipement local d'abonné.
${tunnelNumber#}
- Numéro d'interface identifiant le tunnel particulier. Il vous faut un numéro d'unité non utilisé par tunnel.
- Exemple de valeur : 1, 2
${isakmpPolicy}
- Nom de la politique ISAKMP.
- Exemple de valeur : isakmp-policy
${ipsecPolicy#}
- Nom de la politique IPSec.
- Exemple de valeur : ipsec-policy
${isakmpProfile#}
- Nom du profil ISAKMP. Il vous faut un nom de profil ISAKMP non utilisé par tunnel.
- Exemples de valeurs : OCI-VPN-profile1, OCI-VPN-profile2
${selector}
- Nom du sélecteur.
- Exemple de valeur : OCI-VPN-selector
${map#}
- Nom du mappage. Il vous faut un nom de mappage non utilisé par tunnel.
- Exemples de valeurs : OCI-VPN-MAP1, OCI-VPN-MAP2
${customer-bgp-asn}
- Votre ASN BGP.
- Exemple de valeur : 65000
${oracle-bgp-asn#}
- ASN BGP d'Oracle.
- Exemple de valeur : 31898
${customer-interface-ip#}
- Interface de tunnel interne pour le CPE.
- Exemple de valeur : 10.0.0.16/31
${oracle-interface-ip#}
- Interface de tunnel interne pour ORACLE.
- Exemple de valeur : 10.0.0.17/31
${router-id}
- ID routeur BGP.
- Exemple de valeur : 10.0.0.16
Sommaire des paramètres du modèle de configuration
Chaque région comporte plusieurs têtes de réseau IPSec Oracle. Le modèle suivant vous permet de configurer plusieurs tunnels sur votre CPE, chacun correspondant à une tête de réseau. Dans le tableau suivant, "Utilisateur" vous représente ou votre société.
Paramètre | Source | Exemple de valeur |
---|---|---|
${vpn-ip1}
|
Console/API | 129.146.12.52 |
${sharedSecret1}
|
Console/API | (chaîne longue) |
${vpn-ip2}
|
Console/API | 129.146.13.52 |
${sharedSecret2}
|
Console/API | (chaîne longue) |
${cpePublicIpAddress }
|
Utilisateur | 203.0.113.1 |
${VcnCidrBlock}
|
Utilisateur | 10.0.0.0/20 |
${tunnelNumber1}
|
Utilisateur | 1 |
${tunnelNumber1}
|
Utilisateur | 2 |
${isakmpPolicy}
|
Utilisateur | isakmp-policy |
${ipsecPolicy}
|
Utilisateur | ipsec-policy |
${isakmpProfile1}
|
Utilisateur | OCI-VPN-profile1 |
${isakmpProfile2}
|
Utilisateur | OCI-VPN-profile2 |
${selector}
|
Utilisateur | OCI-VPN-selector |
${map1}
|
Utilisateur | OCI-VPN-MAP1 |
${map2}
|
Utilisateur | OCI-VPN-MAP2 |
${customer-bgp-asn}
|
Console/API/Utilisateur | 65000 |
${oracle-bgp-asn1}
|
Console/API | 31,898 * |
${oracle-bgp-asn2}
|
Console/API | 31,898 * |
${customer-interface-ip1}
|
Console/API/Utilisateur | 10.0.0.16/31 |
${customer-interface-ip2}
|
Console/API/Utilisateur | 10.0.0.18/31 |
${oracle-interface-ip1}
|
Console/API/Utilisateur | 10.0.0.17 |
${oracle-interface-ip2}
|
Console/API/Utilisateur | 10.0.0.19 |
${router-id}
|
Utilisateur | 10.0.0.16 |
* Le numéro ASN BGP d'Oracle pour le nuage commercial est 31898, à l'exception de la région Serbie - Centre (Jovanovac) qui est 14544. |
Les valeurs de paramètres de politique ISAKMP et IPSec suivantes concernent un RPV site à site dans le nuage commercial. Pour le nuage gouvernemental, vous devez utiliser les valeurs figurant dans Paramètres de RPV site à site requis pour le nuage gouvernemental.
Options de politique ISAKMP
Paramètre | Valeur recommandée |
---|---|
ISAKMP protocol version (Version du protocole ISAKMP) | Version 1 |
Exchange type (Type d'échange) | Main mode (Mode principal) |
Authentication method (Méthode d'authentification) | Pre-shared keys (Clés prépartagées) |
Encryption (Chiffrement) | AES-256-cbc |
Authentication algorithm (Algorithme d'authentification) | HMAC-SHA1-96 |
Diffie-Hellman group (Groupe Diffie-Hellman) | Group 5 (Groupe 5) |
IKE session key lifetime (Durée de vie de la clé de session IKE) | 28 800 secondes (8 heures) |
Options de politique IPSec
Paramètre | Valeur recommandée |
---|---|
IPSec protocol (Protocole IPSec) | ESP, tunnel-mode (ESP, mode tunnel) |
Encryption (Chiffrement) | AES-CBC/256 |
Authentication algorithm (Algorithme d'authentification) | HMAC-SHA1-96/160 |
Diffie-Hellman group (Groupe Diffie-Hellman) | Group 5 (Groupe 5) |
Perfect Forward Secrecy (Confidentialité persistante) | Enabled (Activée) |
IPSec session key lifetime (Durée de vie de la clé de session IPSec) | 3 600 secondes (1 heure) |
CPE Configuration (Configuration de l'équipement local d'abonné)
Configuration ISAKMP et IPSec
crypto ipsec policy ${ipsecPolicy}
set pfs group5
set security-association transform-keysize aes 256 256 256
set security-association transform esp-aes esp-sha-hmac
exit
!
crypto ipsec selector ${selector}
src 1 ipv4 any
dst 1 ipv4 any
exit
!
crypto isakmp policy ${isakmpPolicy}
authentication pre-share
encryption aes
encryption-keysize aes 256 256 256
group 5
hash sha
exit
!
crypto isakmp profile ${isakmpProfile1}
local-address ${cpePublicIpAddress}
set isakmp-policy ${isakmpPolicy}
set ipsec-policy ${ipsecPolicy}
set peer ${vpn-ip1}
ike-version 1
local-key ascii ${sharedSecret1}
exit
!
crypto isakmp profile ${isakmpProfile2}
local-address ${cpePublicIpAddress}
set isakmp-policy ${isakmpPolicy}
set ipsec-policy ${ipsecPolicy}
set peer ${vpn-ip2}
ike-version 1
local-key ascii ${sharedSecret2}
exit
!
crypto map ${map1} ipsec-isakmp
match address ${selector}
set isakmp-profile ${isakmpProfile1}
exit
!
crypto map ${map2} ipsec-isakmp
match address ${selector}
set isakmp-profile ${isakmpProfile2}
exit
!
interface Tunnel ${tunnelNumber1}
tunnel mode ipsec map ${map1}
ip address ${customer-interface-ip1}
exit
!
interface Tunnel ${tunnelNumber2}
tunnel mode ipsec map ${map2}
ip address ${customer-interface-ip2}
exit
Configuration BGP
ip route ${vcnCidrBlock} Tunnel ${tunnelNumber1}
ip route ${vcnCidrBlock} Tunnel ${tunnelNumber2}
Configuration de routes statiques
router bgp ${customer-bgp-asn}
bgp router-id ${router-id}
bgp log-neighbor-changes
neighbor ${oracle-interface-ip1} ebgp-multihop 10
neighbor ${oracle-interface-ip1} enforce-multihop
neighbor ${oracle-interface-ip1} remote-as ${oracle-bgp-asn1}
neighbor ${oracle-interface-ip1} update-source tunnel ${tunnelNumber1}
neighbor ${oracle-interface-ip2} ebgp-multihop 10
neighbor ${oracle-interface-ip2} enforce-multihop
neighbor ${oracle-interface-ip2} remote-as ${oracle-bgp-asn2}
neighbor ${oracle-interface-ip2} update-source tunnel ${tunnelNumber2}
!
address-family ipv4 unicast
redistribute connected
exit