Série NEC IX
Cette rubrique décrit une configuration de RPV site à site basée sur des routes pour les appareils Série NEC IX. Cette configuration a été validée à l'aide des appareils IX3315 et IX2106 exécutant le micrologiciel version 10.2.16.
Oracle fournit des instructions de configuration pour un ensemble testé de fournisseurs et d'appareils. Utilisez la configuration appropriée pour votre fournisseur et votre version de logiciel.
Si la version de l'appareil ou du logiciel utilisée par Oracle pour vérifier la configuration ne correspond pas exactement à votre appareil ou à votre logiciel, vous pouvez tout de même créer la configuration nécessaire sur votre appareil. Consultez la documentation de votre fournisseur et apportez les ajustements nécessaires.
Si le fabricant de votre appareil ne figure pas dans la liste des fournisseurs et des appareils vérifiés, ou si vous êtes déjà familiarisé avec la configuration de votre appareil pour IPSec, consultez la liste des paramètres IPSec pris en charge et la documentation relative à votre fournisseur pour obtenir de l'aide.
Un RPV site à site fournit une connexion IPSec site à site offerte par Oracle Cloud Infrastructure pour relier votre réseau sur place à un réseau en nuage virtuel (VCN).
Le diagramme suivant présente une connexion IPSec de base à Oracle Cloud Infrastructure avec des tunnels redondants. Les adresses IP de ce diagramme servent uniquement d'exemples et ne doivent pas être utilisées telles quelles.
Meilleures pratiques
Cette section décrit les meilleures pratiques et les points à considérer généraux pour utiliser un RPV site à site.
Configurer tous les tunnels pour chaque connexion IPSec
Oracle déploie deux têtes de réseau IPSec pour chacune des connexions afin d'offrir une haute disponibilité pour les charges de travail critiques. Côté Oracle, ces deux têtes de réseau se trouvent sur différents routeurs à des fins de redondance. Oracle recommande de configurer tous les tunnels disponibles pour une redondance maximale. Il s'agit d'une partie essentielle de la philosophie "Design for Failure" (conçu pour résister aux pannes).
Disposer de CPE redondants dans vos emplacements de réseau sur place
Chacun de vos sites qui se connecte avec IPSec à Oracle Cloud Infrastructure doit disposer d'appareils en périphérie de réseau redondants (également appelés équipements locaux d'abonné (CPE)). Vous ajoutez chaque équipement local d'abonné à la console Oracle et créez une connexion IPSec distincte entre votre passerelle de routage dynamique (DRG) et chaque CPE. Pour chaque connexion PSec, Oracle provisionne deux tunnels pour des têtes de réseau IPSec géographiquement redondantes. Pour plus d'informations, voir Guide sur la redondance de connectivité (PDF).
Considérations relatives au protocole de routage
Lorsque vous créez une connexion IPSec de RPV site à site, elle possède deux tunnels IPSec redondants. Oracle vous encourage à configurer votre équipement local d'abonné pour utiliser les deux tunnels (si votre CPE le prend en charge). Auparavant, Oracle créait des connexions IPSec qui possédaient jusqu'à quatre tunnels IPSec.
Les trois types de routage suivants sont disponibles, et vous en choisissez un séparément pour chaque tunnel du RPV site à site :
- Routage dynamique BGP : Les routes disponibles sont apprises de manière dynamique au moyen de BGP. La passerelle DRG apprend dynamiquement les routes de votre réseau sur place. Côté Oracle, la passerelle DRG annonce les sous-réseaux du VCN.
- Routage statique : Lorsque vous configurez la connexion IPSec à la passerelle DRG, vous spécifiez les routes particulières à votre réseau sur place que le réseau VCN doit connaître. Vous devez également configurer votre CPE avec des routes statiques vers les sous-réseaux du VCN. Ces routes ne sont pas apprises dynamiquement.
- Routage basé sur des politiques : Lorsque vous configurez la connexion IPSec à la passerelle DRG, vous spécifiez les routes particulières à votre réseau sur place que le réseau VCN doit connaître. Vous devez également configurer votre CPE avec des routes statiques vers les sous-réseaux du VCN. Ces routes ne sont pas apprises dynamiquement.
Pour plus d'informations sur le routage avec RPV site à site, notamment des recommandations Oracle sur la manipulation de l'algorithme de sélection du meilleur chemin BGP, voir Routage pour RPV site à site.
Autres configurations importantes de l'équipement local d'abonné
Assurez-vous que les listes d'accès sur votre équipement local d'abonné sont configurées correctement pour ne pas bloquer le trafic nécessaire depuis ou vers Oracle Cloud Infrastructure.
Si plusieurs tunnels fonctionnent simultanément, le routage peut être asymétrique. Pour permettre le routage asymétrique, assurez-vous que votre équipement local d'abonné est configuré pour gérer le trafic provenant de votre VCN sur n'importe quel tunnel. Par exemple, vous devez désactiver l'inspection ICMP, configurer le contournement de l'état TCP. Pour plus de détails sur la configuration appropriée, communiquez avec le soutien technique du fournisseur de votre CPE. Pour configurer un routage symétrique, consultez Routage pour RPV site à site.
Restrictions et limites
Cette section décrit les caractéristiques et les limites générales importantes de RPV site à site.
Routage asymétrique
Oracle utilise un routage asymétrique sur les multiples tunnels qui composent la connexion IPSec. Configurez vos pare-feux en conséquence. Dans le cas contraire, les tests ping ou le trafic d'application sur la connexion ne fonctionnent pas de manière fiable.
Lorsque vous utilisez plusieurs tunnels vers Oracle Cloud Infrastructure, Oracle vous recommande de configurer votre routage de façon à guider le trafic de manière déterministe à travers le tunnel privilégié. Pour utiliser un tunnel IPSec principal et un autre de secours, configurez des routes plus spécifiques pour le tunnel principal (BGP) et des routes moins spécifiques (route sommaire ou par défaut) pour le tunnel de sauvegarde (BGP/statique). Sinon, si vous annoncez la même route (par exemple, une route par défaut) par tous les tunnels, le trafic de retour de votre réseau VCN à votre réseau sur place est dirigé vers n'importe lequel des tunnels disponibles. En effet, Oracle utilise un routage asymétrique.
Pour des recommandations de routage Oracle spécifiques sur la manière de forcer un routage symétrique, voir Routage pour RPV site à site.
RPV site à site basé sur des routes ou sur des politiques
Le protocole IPSec utilise des associations de sécurité (AS) pour déterminer comment chiffrer les paquets. Au sein de chaque association, pour définir comment chiffrer ou déchiffrer un paquet, il vous faut paramétrer des domaines de chiffrement pour mapper les adresses IP source et cible d'un paquet, ainsi que le type de protocole, sur une entrée de la base de données des associations de sécurité.
Il est possible que d'autres fournisseurs ou que la documentation sectorielle utilisent le terme ID mandataire, index de paramètre de sécurité (SPI) ou sélecteur de trafic pour désigner les associations de sécurité ou les domaines de chiffrement.
Il existe deux méthodes générales pour mettre en oeuvre les tunnels IPSec :
- Tunnels basés sur des routes : Également appelés tunnels basés sur les sauts suivants. Une consultation de la table de routage est effectuée sur l'adresse IP de destination d'un paquet. Si l'interface de sortie de cette route est un tunnel IPSec, le paquet est chiffré et envoyé à l'autre extrémité du tunnel.
- Tunnels basés sur des politiques : Les adresses IP source et cible du paquet sont comparées à une liste d'énoncés de politique. Si une correspondance est trouvée, le paquet est chiffré en fonction des règles de cet énoncé.
Les têtes de réseau du RPV site à site Oracle utilisent des tunnels basés sur des routes, mais fonctionnent avec les tunnels basés sur des politiques. Il existe toutefois certaines restrictions indiquées dans les sections suivantes.
Si votre équipement local d'abonné prend en charge les tunnels basés sur des routes, utilisez cette méthode pour configurer le tunnel. Il s'agit de la configuration la plus simple. C'est aussi celle qui offre le plus d'interopérabilité avec la tête de réseau du RPV Oracle.
Une connexion IPSec basée sur des routes utilise un domaine de chiffrement avec les valeurs suivantes :
- Adresse IP source : (0.0.0.0/0)
- Adresse IP de destination : (0.0.0.0/0)
- Protocole : IPv4
Si vous devez être plus spécifique, vous pouvez utiliser une seule route sommaire pour vos valeurs de domaine de chiffrement au lieu d'une route par défaut.
Lorsque vous utilisez des tunnels basés sur des politiques, chaque entrée de politique (bloc CIDR d'un côté de la connexion IPSec) que vous définissez génère une association de sécurité IPSec avec chaque entrée admissible à l'autre extrémité du tunnel. Cette paire est appelée domaine de chiffrement.
Dans ce diagramme, l'extrémité DRG Oracle du tunnel IPSec comporte des entrées de politique pour trois blocs CIDR IPv4 et un bloc CIDR IPv6. L'extrémité CPE sur place du tunnel en comporte pour deux blocs CIDR IPv4 et deux blocs CIDR IPv6. Chaque entrée génère un domaine de chiffrement avec toutes les entrées possibles à l'autre extrémité du tunnel. Les deux côtés d'une paire SA doivent utiliser la même version d'IP. On obtient un total de huit domaines de chiffrement.
Si votre CPE ne prend en charge que les tunnels basés sur des politiques, tenez compte des restrictions suivantes.
- Le RPV site à site prend en charge plusieurs domaines de chiffrement, mais a une limite supérieure de 50 domaines de chiffrement.
- Si vous avez rencontré une situation similaire à l'exemple ci-dessus et que vous n'avez configuré que trois des six domaines de chiffrement IPv4 possibles du côté de l'équipement local d'abonné, le lien serait répertorié dans un état "Partiellement actif", car tous les domaines de chiffrement possibles sont toujours créés du côté de la passerelle DRG.
- Le routage basé sur des politiques dépend de RPV site à site v2. Voir Service de RPV site à site mis à jour pour plus d'informations sur le RPV site à site v2.
- Selon le moment où votre tunnel a été créé, vous ne pourrez peut-être pas le modifier pour utiliser un routage basé sur des politiques et il vous faudra peut-être le remplacer par un nouveau tunnel IPSec.
- Les blocs CIDR utilisés à l'extrémité DRG Oracle du tunnel ne peuvent pas chevaucher les blocs CIDR utilisés à l'extrémité CPE sur place du tunnel.
- Un domaine de chiffrement doit toujours être compris entre deux blocs CIDR de la même version d'adresse IP.
Si votre équipement local d'abonné est derrière un appareil NAT
En général, l'identificateur IKE de CPE configuré à votre extrémité de la connexion doit correspondre à celui qu'Oracle utilise. Par défaut, Oracle utilise l'adresse IP publique du CPE, que vous fournissez lorsque vous créez l'objet CPE dans la console Oracle. Toutefois, si votre équipement local d'abonné est derrière un appareil NAT, l'identificateur IKE configuré à votre extrémité peut être l'adresse IP privée du CPE, comme illustré dans le diagramme suivant.
Certaines plates-formes CPE ne permettent pas de modifier l'identificateur IKE local. Dans ce cas, vous devez remplacer l'ID IKE distant dans la console Oracle par l'ID IKE local de votre CPE. Vous pouvez entrer cette valeur lorsque vous configurez la connexion à IPSec ou plus tard, lorsque vous la modifiez. Pour Oracle, la valeur doit être une adresse IP ou un nom de domaine complet, tel que cpe.example.com. Pour obtenir des instructions, voir Modification de l'identificateur IKE de CPE utilisé par Oracle.
Paramètres IPSec pris en charge
Pour la liste des paramètres IPSec pris en charge indépendamment du fournisseur pour toutes les régions, voir Paramètres IPSec pris en charge.
Le numéro ASN BGP d'Oracle pour le domaine du nuage commercial est 31898. Si vous configurez un RPV site à site pour le nuage gouvernemental des États-Unis, voir Paramètres de RPV site à site requis pour le nuage gouvernemental et ASN BGP d'Oracle. Pour le nuage gouvernemental du Royaume-Uni, voir ASN BGP d'Oracle.
CPE Configuration (Configuration de l'équipement local d'abonné)
Les instructions de configuration de cette section sont fournies par Oracle Cloud Infrastructure pour votre équipement local d'abonné. Si vous avez besoin d'une assistance supplémentaire, communiquez directement avec le soutien technique de votre fournisseur.
La figure ci-dessous illustre la disposition de base de la connexion IPSec.
Le modèle de configuration fourni concerne un appareil IX3315 exécutant le micrologiciel version 10.2.16 ou IX2106 exécutant le micrologiciel version 10.2.16 (ou ultérieure). Le modèle fournit des informations pour chaque tunnel à configurer. Oracle recommande de paramétrer tous les tunnels configurés pour une redondance maximale.
Le modèle de configuration fait référence aux éléments que vous devez fournir :
- Adresse IP publique du CPE : Adresse IP routable par Internet affectée à l'interface externe du CPE. Vous, ou l'administrateur d'Oracle, fournissez cette valeur à Oracle lors de la création de l'objet CPE dans la console Oracle.
- Interface de tunnel interne (obligatoire si BGP est utilisé) : Adresses IP des côtés CPE et Oracle de l'interface de tunnel interne. Vous indiquez ces valeurs lors de la création de la connexion IPSec dans la console Oracle.
- ASN BGP (obligatoire si BGP est utilisé) : Votre numéro ASN BGP.
De plus, vous devez :
-
Configurer le routage interne pour le trafic entre l'équipement local d'abonné et votre réseau local.
-
Vérifier que le trafic est autorisé entre votre appareil Série NEC IX et votre réseau VCN Oracle.
- Identifier la politique IKE utilisée (le modèle de configuration suivant désigne cette politique IKE sous la forme $<ikePolicy1> et $<ikePolicy2>).
- Identifier la politique IPSec utilisée (le modèle de configuration suivant désigne cette politique IPSec sous la forme $<ipsecPolicy1> et $<ipsecPolicy2>).
- Identifier les noms d'interface de tunnel virtuel utilisés (dans le modèle de configuration suivant, les variables sont désignées par $<tunnelInterfaceNumber1> et $<tunnelInterfaceNumber2>).
Servez-vous du modèle de configuration suivant d'Oracle Cloud Infrastructure comme point de départ de ce que vous devez appliquer à votre équipement local d'abonné.Certains paramètres référencés dans le modèle doivent être uniques sur le CPE, et cela ne peut être déterminé qu'en accédant au CPE. Assurez-vous que les paramètres sont valides pour votre CPE et qu'ils ne remplacent pas des valeurs configurées précédemment. Assurez-vous particulièrement que les valeurs suivantes sont uniques :
- Noms ou numéros de politique
- Noms d'interface
- Noms ou numéros de liste d'accès (le cas échéant)
Pour trouver les paramètres que vous devez définir avant d'appliquer la configuration, recherchez le mot clé USER_DEFINED dans le modèle.
À propos de l'utilisation de IKEv2
Oracle prend en charge le protocole Internet Key Exchange version 1 (IKEv1) et version 2 (IKEv2). Si vous configurez la connexion IPSec dans la console pour utiliser IKEv2, vous devez limiter votre CPE aux paramètres de chiffrement IKEv2 et connexes qu'il prend en charge. Pour obtenir la liste des paramètres pris en charge par Oracle pour IKEv1 ou IKEv2, voir Paramètres IPSec pris en charge.
Vous spécifiez la version IKE lorsque vous définissez la passerelle IKE. Dans la configuration suivante, un commentaire explique comment configurer la passerelle IKE pour IKEv2 plutôt qu'IKEv1.
Affichez le modèle de configuration IKEv1 au format plein écran pour en faciliter la lecture.
!-------------------------------------------------------------------------------------------------------------------------------------------------------------
! IKEv1 Configuration Template
! The configuration consists of two IPSec tunnels. Oracle highly recommends that you configure both tunnels for maximum redundancy.
!-------------------------------------------------------------------------------------------------------------------------------------------------------------
! The configuration template involves setting up the following:
! Configure ISAKMPv1 and IPSec Policies
! Configure Keepalive Setting of ICMP
! Configure Virtual Tunnel Interfaces
! IP Routing (BGP or Static)
!-------------------------------------------------------------------------------------------------------------------------------------------------------------
! The configuration template has various parameters that you must define before applying the configuration.
!-------------------------------------------------------------------------------------------------------------------------------------------------------------
! PARAMETERS REFERENCED:
! $<OracleHeadendIpAddress1> = Oracle public IP endpoint obtained from the Oracle Console.
! $<OracleHeadendIpAddress2> = Oracle public IP endpoint obtained from the Oracle Console.
! $<sharedSecret1> = You provide when you set up the IPSec connection in the Oracle Console, or you can use the default Oracle-provided value.
! $<sharedSecret2> = You provide when you set up the IPSec connection in the Oracle Console, or you can use the default Oracle-provided value.
! $<cpePublicIpAddress> = The public IP address for the CPE. This is the IP address of your outside interface.
! $<vcnCidrBlock> = VCN CIDR block. For example, 10.0.0.0/20.
! $<tunnelInterfaceNumber1> = The number of your tunnel interface for the first tunnel. For example, 1.
! $<tunnelInterfaceNumber2> = The number of your tunnel interface for the second tunnel. For example, 2.
! $<ikePolicy1> = The name of your IKE Policy. For example, ike-policy1.
! $<ikePolicy2> = The name of your IKE Policy. For example, ike-policy2.
! $<ipsecPolicy1> = The name of your IPSec Policy. For example, ipsec-policy1.
! $<ipsecPolicy2> = The name of your IPSec Policy. For example, ipsec-policy2.
! $<lanInterfaceNumber> = The number of your LAN interface. For example, 1.0.
! $<lanIpAddress> = The IP address of the LAN interface for your CPE.
! $<OracleInsideTunnelIpAddress1> = Inside tunnel IP address of Oracle-side for the first tunnel. You provide these values when creating the IPSec connection in the Oracle Console.
! $<OracleInsideTunnelIpAddress2> = Inside tunnel IP address of Oracle-side for the second tunnel. You provide these values when creating the IPSec connection in the Oracle Console.
! $<cpeInsideTunnelIpAddress1> = The CPE's inside tunnel IP for the first tunnel.
! $<cpeInsideTunnelIpAddress2> = The CPE's inside tunnel IP for the second tunnel.
! $<bgpASN> = Your BGP ASN.
!-------------------------------------------------------------------------------------------------------------------------------------------------------------
! Configure ISAKMPv1 and IPSec Policies
ip access-list sec-list permit ip src any dest any
ike nat-traversal
ike proposal ike-prop encryption aes-256 hash sha2-256 group 1536-bit
ike policy $<ikePolicy1> peer $<OracleHeadendIpAddress1> key $<sharedSecret1> ike-prop
ike policy $<ikePolicy2> peer $<OracleHeadendIpAddress2> key $<sharedSecret2> ike-prop
ipsec autokey-proposal ipsec-prop esp-aes-256 esp-sha lifetime time 3600
ipsec autokey-map $<ipsecPolicy1> sec-list peer $<OracleHeadendIpAddress1> ipsec-prop pfs 1536-bit
ipsec autokey-map $<ipsecPolicy2> sec-list peer $<OracleHeadendIpAddress2> ipsec-prop pfs 1536-bit
! Configure Keepalive Setting of ICMP
watch-group watch_tunnel1 10
event 20 ip unreach-host $<lanIpAddress> Tunnel$<tunnelInterfaceNumber1> source GigaEthernet$<lanInterfaceNumber>
action 10 ip shutdown-route $<vcnCidrBlock> Tunnel$<tunnelInterfaceNumber1>
action 20 ipsec clear-sa Tunnel$<tunnelInterfaceNumber1>
network-monitor watch_tunnel1 enable
watch-group watch_tunnel2 10
event 20 ip unreach-host $<lanIpAddress> Tunnel$<tunnelInterfaceNumber2> source GigaEthernet$<lanInterfaceNumber>
action 10 ip shutdown-route $<vcnCidrBlock> Tunnel$<tunnelInterfaceNumber2>
action 20 ipsec clear-sa Tunnel$<tunnelInterfaceNumber2>
network-monitor watch_tunnel2 enable
! Configure Virtual Tunnel Interfaces
interface Tunnel$<tunnelInterfaceNumber1>
tunnel mode ipsec
ip address $<cpeInsideTunnelIpAddress1>
ip tcp adjust-mss auto
ipsec policy tunnel ipsec-policy1 out
no shutdown
interface Tunnel$<tunnelInterfaceNumber2>
tunnel mode ipsec
ip address $<cpeInsideTunnelIpAddress2>
ip tcp adjust-mss auto
ipsec policy tunnel ipsec-policy2 out
no shutdown
! IP Routing
! Select dynamic (BGP) or static routing. Uncomment the corresponding commands prior to applying configuration.
! Border Gateway Protocol (BGP) Configuration
! Uncomment below lines if you select BGP.
! ip ufs-cache enable cache
! route-map pri1 permit 10
! set metric 5
! set local-preference 200
! route-map pri2 permit 10
! set metric 10
! set local-preference 150
! router bgp $<bgpASN>
! neighbor $<OracleInsideTunnelIpAddress1> remote-as 31898
! neighbor $<OracleInsideTunnelIpAddress1> timers 10 30
! neighbor $<OracleInsideTunnelIpAddress2> remote-as 31898
! neighbor $<OracleInsideTunnelIpAddress2> timers 10 30
! address-family ipv4 unicast
! neighbor $<OracleInsideTunnelIpAddress1> route-map pri1 in
! neighbor $<OracleInsideTunnelIpAddress1> route-map pri1 out
! neighbor $<OracleInsideTunnelIpAddress2> route-map pri2 in
! neighbor $<OracleInsideTunnelIpAddress2> route-map pri2 out
! network 192.168.100.0/24
! Static Route Configuration
! Uncomment below lines if you select static routing.
! ip ufs-cache enable
! ip route $<vcnCidrBlock> Tunnel0.0
! ip route $<vcnCidrBlock> Tunnel1.0
Affichez le modèle de configuration IKEv2 au format plein écran pour en faciliter la lecture.
!-------------------------------------------------------------------------------------------------------------------------------------------------------------
! IKEv2 Configuration Template
! The configuration consists of two IPSec tunnels. Oracle highly recommends that you configure both tunnels for maximum redundancy.
!-------------------------------------------------------------------------------------------------------------------------------------------------------------
! The configuration template involves setting up the following:
! Keyring (Pre-Shared Key)
! Configure ISAKMP and IPSec Policies
! Configure Virtual Tunnel Interfaces
! IP Routing (BGP or Static)
!-------------------------------------------------------------------------------------------------------------------------------------------------------------
! The configuration template has various parameters that you must define before applying the configuration.
!-------------------------------------------------------------------------------------------------------------------------------------------------------------
! PARAMETERS REFERENCED:
! $<OracleHeadendIpAddress1> = Oracle public IP endpoint obtained from the Oracle Console.
! $<OracleHeadendIpAddress2> = Oracle public IP endpoint obtained from the Oracle Console.
! $<sharedSecret1> = You provide when you set up the IPSec connection in the Oracle Console, or you can use the default Oracle-provided value.
! $<sharedSecret2> = You provide when you set up the IPSec connection in the Oracle Console, or you can use the default Oracle-provided value.
! $<cpePublicIpAddress> = The public IP address for the CPE. This is the IP address of your outside interface.
! $<vcnCidrBlock> = VCN CIDR block. For example, 10.0.0.0/20.
! $<tunnelInterfaceNumber1> = The number of your tunnel interface for the first tunnel. For example, 1.
! $<tunnelInterfaceNumber2> = The number of your tunnel interface for the second tunnel. For example, 2.
! $<lanInterfaceNumber> = The number of your LAN interface. For example, 1.0.
! $<wanInterfaceNumber> = The WAN interface or outside of tunnel interface which is configured with the CPE public IP address. For example, 0.1.
! $<lanIpAddress> = The IP address of the LAN interface for your CPE.
! $<OracleInsideTunnelIpAddress1> = Inside tunnel IP address of Oracle-side for the first tunnel. You provide these values when creating the IPSec connection in the Oracle Console.
! $<OracleInsideTunnelIpAddress2> = Inside tunnel IP address of Oracle-side for the second tunnel. You provide these values when creating the IPSec connection in the Oracle Console.
! $<cpeInsideTunnelIpAddress1> = The CPE's inside tunnel IP for the first tunnel.
! $<cpeInsideTunnelIpAddress2> = The CPE's inside tunnel IP for the second tunnel.
! $<bgpASN> = Your BGP ASN.
!-------------------------------------------------------------------------------------------------------------------------------------------------------------
! Keyring (Pre-Shared Key)
! For authentication during IKE a separate keyring is defined for each Oracle VPN Headend peer.
! Add the pre-shared key for each Oracle VPN headend under the corresponding keyring.
ikev2 authentication psk id ipv4 $<OracleHeadendIpAddress1> key char $<sharedSecret1>
ikev2 authentication psk id ipv4 $<OracleHeadendIpAddress2> key char $<sharedSecret2>
! Configure ISAKMP and IPSec Policies
ikev2 default-profile
dpd interval 10
source-address GigaEthernet$<wanInterfaceNumber>
child-pfs 1536-bit
child-proposal enc aes-cbc-256
child-proposal integrity sha1
sa-proposal enc aes-cbc-256
sa-proposal integrity sha2-384
sa-proposal dh 1536-bit
! Configure Virtual Tunnel Interfaces
interface Tunnel$<tunnelInterfaceNumber1>
tunnel mode ipsec-ikev2
ip address $<cpeInsideTunnelIpAddress1>
ip tcp adjust-mss auto
ikev2 connect-type auto
ikev2 ipsec pre-fragment
ikev2 outgoing-interface GigaEthernet$<wanInterfaceNumber>
ikev2 peer $<OracleHeadendIpAddress1> authentication psk id ipv4 $<OracleHeadendIpAddress1>
no shutdown
interface Tunnel$<tunnelInterfaceNumber2>
tunnel mode ipsec-ikev2
ip address $<cpeInsideTunnelIpAddress2>
ip tcp adjust-mss auto
ikev2 connect-type auto
ikev2 ipsec pre-fragment
ikev2 outgoing-interface GigaEthernet$<wanInterfaceNumber>
ikev2 peer $<OracleHeadendIpAddress2> authentication psk id ipv4 $<OracleHeadendIpAddress2>
no shutdown
! IP Routing
! Select dynamic (BGP) or static routing. Uncomment the corresponding commands prior to applying configuration.
! Border Gateway Protocol (BGP) Configuration
! Uncomment below lines if you select BGP.
! ip ufs-cache enable cache
! route-map pri1 permit 10
! set metric 5
! set local-preference 200
! route-map pri2 permit 10
! set metric 10
! set local-preference 150
! router bgp $<bgpASN>
! neighbor $<OracleInsideTunnelIpAddress1> remote-as 31898
! neighbor $<OracleInsideTunnelIpAddress1> timers 10 30
! neighbor $<OracleInsideTunnelIpAddress2> remote-as 31898
! neighbor $<OracleInsideTunnelIpAddress2> timers 10 30
! address-family ipv4 unicast
! neighbor $<OracleInsideTunnelIpAddress1> route-map pri1 in
! neighbor $<OracleInsideTunnelIpAddress1> route-map pri1 out
! neighbor $<OracleInsideTunnelIpAddress2> route-map pri2 in
! neighbor $<OracleInsideTunnelIpAddress2> route-map pri2 out
! network 192.168.100.0/24
! Static Route Configuration
! Uncomment below lines if you select static routing.
! ip ufs-cache enable
! ip route $<vcnCidrBlock> Tunnel0.0
! ip route $<vcnCidrBlock> Tunnel1.0