Série Yamaha RTX
Cette configuration a été validée à l'aide des appareils RTX1210 exécutant le micrologiciel version 14.01.28 et RTX830 exécutant le micrologiciel version 15.02.03.
Oracle fournit des instructions de configuration pour un ensemble testé de fournisseurs et d'appareils. Utilisez la configuration appropriée pour le fournisseur et la version du logiciel.
Si la version de l'appareil ou du logiciel utilisée par Oracle pour vérifier la configuration ne correspond pas exactement à l'appareil ou au logiciel, vous pouvez tout de même créer la configuration nécessaire sur l'appareil. Consultez la documentation du fournisseur et apportez les modifications nécessaires.
Si l'appareil provient d'un fournisseur qui ne figure pas dans la liste des fournisseurs et des appareils vérifiés, ou si vous êtes déjà familiarisé avec la configuration de l'appareil pour IPSec, voir la liste des paramètres IPSec pris en charge et la documentation sur le fournisseur pour obtenir de l'aide.
Oracle utilise un routage asymétrique dans les tunnels qui constituent la connexion IPSec. Même si vous configurez un tunnel principal et un autre de secours, le trafic d'un réseau VCN vers un réseau sur place peut utiliser n'importe quel tunnel "actif" sur un appareil. Configurez les pare-feu selon le cas. Dans le cas contraire, les tests ping ou le trafic d'application sur la connexion ne fonctionnent pas de manière fiable.
Avant de commencer
Avant de configurer l'équipement local d'abonné :
- Configurez les paramètres du fournisseur Internet.
- Configurer des règles de pare-feu pour ouvrir le port UDP 500, le port UDP 4500 et ESP.
Domaine de chiffrement ou ID mandataire pris en charge
Les valeurs du domaine de chiffrement (également connu sous le nom d'ID mandataire, d'index de paramètre de sécurité (SPI) ou de sélecteur de trafic) dépendent de la prise en charge éventuelle par un CPE des tunnels basés sur des routes ou des tunnels basés sur des politiques. Pour plus d'informations sur les valeurs de domaine de chiffrement à utiliser, voir Domaine de chiffrement ou ID mandataire pris en charge.
Paramètres provenant de l'API ou de la console
Obtenez les paramètres suivants de la console Oracle Cloud Infrastructure ou de l'API Oracle Cloud Infrastructure.
${ipAddress#}
- Points d'extrémité du tunnel IPSec de tête de réseau RPV Oracle Une valeur par tunnel.
- Exemple de valeur : 129.146.12.52
${sharedSecret#}
- Clé prépartagée IKE IPSec. Une valeur par tunnel.
- Exemple de valeur : EXAMPLEDPfAMkD7nTH3SWr6OFabdT6exXn6enSlsKbE
${cpePublicIpAddress}
- Adresse IP publique du CPE (déjà mise à la disposition d'Oracle au moyen de la console).
${VcnCidrBlock}
- Lors de la création du réseau VCN, votre société a sélectionné ce bloc CIDR pour représenter le réseau agrégé d'adresses IP de tous les hôtes VCN.
- Exemple de valeur : 10.0.0.0/20
Paramètres basés sur la configuration et l'état courants de l'équipement local d'abonné
Les paramètres suivants sont basés sur la configuration actuelle de l'équipement local d'abonné.
${tunnelInterface#}
- Numéro d'interface identifiant le tunnel particulier.
- Exemple de valeur : 1
${ipsecPolicy#}
- Politique AS à utiliser pour l'interface intégrée sélectionnée.
- Exemple de valeur : 1
${localAddress}
- L'adresse IP publique du CPE.
- Exemple de valeur : 146.56.2.52
Sommaire des paramètres du modèle de configuration
Chaque région comporte plusieurs têtes de réseau Oracle IPSec. Le modèle suivant vous aide à configurer plusieurs tunnels sur un équipement local d'abonné, chacun vers une tête de réseau correspondante. Dans le tableau, "Utilisateur" vous ou votre société.
| Paramètre | Source | Exemple de valeur |
|---|---|---|
${ipAddress1}
|
Console/API | 129.146.12.52 |
${sharedSecret1}
|
Console/API | (chaîne longue) |
${ipAddress2}
|
Console/API | 129.146.13.52 |
${sharedSecret2}
|
Console/API | (chaîne longue) |
${cpePublicIpAddress}
|
Utilisateur | 1.2.3.4 |
${VcnCidrBlock}
|
Utilisateur | 10.0.0.0/20 |
Les valeurs de paramètres de politique ISAKMP et IPSec suivantes s'appliquent à un RPV site à site dans le nuage commercial. Pour le infonuagique gouvernemental, vous devez utiliser les valeurs figurant dans Paramètres de RPV site à site requis pour le nuage gouvernemental.
Options de politique ISAKMP
| Paramètre | Valeur recommandée |
|---|---|
| ISAKMP protocol version (Version du protocole ISAKMP) | Version 1 |
| Exchange type (Type d'échange) | Main mode (Mode principal) |
| Authentication method (Méthode d'authentification) | Pre-shared keys (Clés prépartagées) |
| Encryption (Chiffrement) | AES-256-cbc |
| Authentication algorithm (Algorithme d'authentification) | SHA-256 |
| Diffie-Hellman group (Groupe Diffie-Hellman) | Group 5 (Groupe 5) |
| IKE session key lifetime (Durée de vie de la clé de session IKE) | 28 800 secondes (8 heures) |
Options de politique IPSec
| Paramètre | Valeur recommandée |
|---|---|
| IPSec protocol (Protocole IPSec) | ESP, tunnel-mode (ESP, mode tunnel) |
| Encryption (Chiffrement) | AES-256-cbc |
| Authentication algorithm (Algorithme d'authentification) | HMAC-SHA1-96 |
| Diffie-Hellman group (Groupe Diffie-Hellman) | Group 5 (Groupe 5) |
| Perfect Forward Secrecy (Confidentialité persistante) | Enabled (Activée) |
| IPSec session key lifetime (Durée de vie de la clé de session IPSec) | 3 600 secondes (1 heure) |
CPE Configuration (Configuration de l'équipement local d'abonné)
Configuration ISAKMP et IPSec
tunnel select 1
description tunnel OCI-VPN1
ipsec tunnel 1
ipsec sa policy 1 1 esp aes256-cbc sha-hmac
ipsec ike duration ipsec-sa 1 3600
ipsec ike duration isakmp-sa 1 28800
ipsec ike encryption 1 aes256-cbc
ipsec ike group 1 modp1536
ipsec ike hash 1 sha256
ipsec ike keepalive log 1 off
ipsec ike keepalive use 1 on dpd 5 4
ipsec ike local address 1 ${cpePublicIpAddress}
ipsec ike local id 1 0.0.0.0/0
ipsec ike nat-traversal 1 on
ipsec ike pfs 1 on
ipsec ike pre-shared-key 1 text ${sharedSecret1}
ipsec ike remote address 1 ${ipAddress1}
ipsec ike remote id 1 0.0.0.0/0
ip tunnel tcp mss limit auto
tunnel enable 1
tunnel select 2
description tunnel OCI-VPN2
ipsec tunnel 2
ipsec sa policy 2 2 esp aes256-cbc sha-hmac
ipsec ike duration ipsec-sa 2 3600
ipsec ike duration isakmp-sa 2 28800
ipsec ike encryption 2 aes256-cbc
ipsec ike group 2 modp1536
ipsec ike hash 2 sha256
ipsec ike keepalive log 2 off
ipsec ike keepalive use 2 on dpd 5 4
ipsec ike local address 2 ${cpePublicIpAddress}
ipsec ike local id 2 0.0.0.0/0
ipsec ike nat-traversal 2 on
ipsec ike pfs 2 on
ipsec ike pre-shared-key 2 text ${sharedSecret2}
ipsec ike remote address 2 ${ipAddress2}
ipsec ike remote id 2 0.0.0.0/0
ip tunnel tcp mss limit auto
tunnel enable 2
ipsec auto refresh on
Configuration de routes statiques
ip route ${VcnCidrBlock} gateway tunnel 1 hide gateway tunnel 2 hide