Documentation sur Oracle Cloud Infrastructure

Série Yamaha RTX

Cette configuration a été validée à l'aide des appareils RTX1210 exécutant le micrologiciel version 14.01.28 et RTX830 exécutant le micrologiciel version 15.02.03.

Important

Oracle fournit des instructions de configuration pour un ensemble testé de fournisseurs et d'appareils. Utilisez la configuration appropriée pour votre fournisseur et votre version de logiciel.

Si la version de l'appareil ou du logiciel utilisée par Oracle pour vérifier la configuration ne correspond pas exactement à votre appareil ou à votre logiciel, vous pouvez tout de même créer la configuration nécessaire sur votre appareil. Consultez la documentation de votre fournisseur et apportez les ajustements nécessaires.

Si le fabricant de votre appareil ne figure pas dans la liste des fournisseurs et des appareils vérifiés, ou si vous êtes déjà familiarisé avec la configuration de votre appareil pour IPSec, consultez la liste des paramètres IPSec pris en charge et la documentation relative à votre fournisseur pour obtenir de l'aide.

Important

Oracle utilise un routage asymétrique dans les tunnels multiples qui constituent la connexion IPSec. Même si vous configurez un tunnel principal et un autre de secours, le trafic de votre réseau VCN vers votre réseau sur place peut utiliser n'importe quel tunnel "actif" sur votre unité. Configurez vos pare-feux en conséquence. Dans le cas contraire, les tests ping ou le trafic d'application sur la connexion ne fonctionneront pas de manière fiable.

Avant de commencer

Avant de configurer votre équipement local d'abonné, vous devez :

  • Configurer vos paramètres de fournisseur Internet.
  • Configurer des règles de pare-feu pour ouvrir le port UDP 500, le port UDP 4500 et ESP.

Domaine de chiffrement ou ID mandataire pris en charge

Les valeurs du domaine de chiffrement (également appelé ID mandataire, indice de paramètre de sécurité (SPI) ou sélecteur de trafic) dépendent de la prise en charge éventuelle par votre CPE des tunnels basés sur des routes ou des tunnels basés sur des politiques. Pour plus d'informations sur les valeurs de domaine de chiffrement à utiliser, voir Domaine de chiffrement ou ID mandataire pris en charge.

Paramètres provenant de l'API ou de la console

Obtenez les paramètres suivants de la console Oracle Cloud Infrastructure ou de l'API.

${ipAddress#}

  • Points d'extrémité du tunnel IPSec de tête de réseau RPV Oracle Il existe une valeur pour chaque tunnel.
  • Exemple de valeur : 129.146.12.52

${sharedSecret#}

  • Clé prépartagée IKE IPSec. Il existe une valeur pour chaque tunnel.
  • Exemple de valeur : EXAMPLEDPfAMkD7nTH3SWr6OFabdT6exXn6enSlsKbE

${cpePublicIpAddress}

  • Adresse IP publique du CPE (précédemment fournie à Oracle au moyen de la console).

${VcnCidrBlock}

  • Lors de la création du réseau VCN, votre société a sélectionné ce bloc CIDR pour représenter le réseau agrégé d'adresses IP de tous les hôtes VCN.
  • Exemple de valeur : 10.0.0.0/20

Paramètres basés sur la configuration et l'état courants de l'équipement local d'abonné

Les paramètres suivants sont basés sur la configuration actuelle de votre équipement local d'abonné.

${tunnelInterface#}

  • Numéro d'interface identifiant le tunnel particulier.
  • Exemple de valeur : 1

${ipsecPolicy#}

  • Politique AS à utiliser pour l'interface intégrée sélectionnée.
  • Exemple de valeur : 1

${localAddress}

  • Adresse IP publique de votre CPE.
  • Exemple de valeur : 146.56.2.52

Sommaire des paramètres du modèle de configuration

Chaque région comporte plusieurs têtes de réseau IPSec Oracle. Le modèle suivant vous permet de configurer plusieurs tunnels sur votre CPE, chacun correspondant à une tête de réseau. Dans le tableau, le terme "Utilisateur" vous représente ou votre société.

Paramètre Source Exemple de valeur
${ipAddress1} Console/API 129.146.12.52
${sharedSecret1} Console/API (chaîne longue)
${ipAddress2} Console/API 129.146.13.52
${sharedSecret2} Console/API (chaîne longue)
${cpePublicIpAddress} Utilisateur 1.2.3.4
${VcnCidrBlock} Utilisateur 10.0.0.0/20
Important

Les valeurs de paramètres de politique ISAKMP et IPSec suivantes concernent un RPV site à site dans le nuage commercial. Pour le nuage gouvernemental, vous devez utiliser les valeurs figurant dans Paramètres de RPV site à site requis pour le nuage gouvernemental.

Options de politique ISAKMP

Paramètre Valeur recommandée
ISAKMP protocol version (Version du protocole ISAKMP) Version 1
Exchange type (Type d'échange) Main mode (Mode principal)
Authentication method (Méthode d'authentification) Pre-shared keys (Clés prépartagées)
Encryption (Chiffrement) AES-256-cbc
Authentication algorithm (Algorithme d'authentification) SHA-256
Diffie-Hellman group (Groupe Diffie-Hellman) Group 5 (Groupe 5)
IKE session key lifetime (Durée de vie de la clé de session IKE) 28 800 secondes (8 heures)

Options de politique IPSec

Paramètre Valeur recommandée
IPSec protocol (Protocole IPSec) ESP, tunnel-mode (ESP, mode tunnel)
Encryption (Chiffrement) AES-256-cbc
Authentication algorithm (Algorithme d'authentification) HMAC-SHA1-96
Diffie-Hellman group (Groupe Diffie-Hellman) Group 5 (Groupe 5)
Perfect Forward Secrecy (Confidentialité persistante) Enabled (Activée)
IPSec session key lifetime (Durée de vie de la clé de session IPSec) 3 600 secondes (1 heure)

CPE Configuration (Configuration de l'équipement local d'abonné)

Configuration ISAKMP et IPSec

tunnel select 1
description tunnel OCI-VPN1 
ipsec tunnel 1
  ipsec sa policy 1 1 esp aes256-cbc sha-hmac
  ipsec ike duration ipsec-sa 1 3600
  ipsec ike duration isakmp-sa 1 28800
  ipsec ike encryption 1 aes256-cbc
  ipsec ike group 1 modp1536
  ipsec ike hash 1 sha256
  ipsec ike keepalive log 1 off
  ipsec ike keepalive use 1 on dpd 5 4
  ipsec ike local address 1 ${cpePublicIpAddress}
  ipsec ike local id 1 0.0.0.0/0
  ipsec ike nat-traversal 1 on
  ipsec ike pfs 1 on
  ipsec ike pre-shared-key 1 text ${sharedSecret1}
  ipsec ike remote address 1 ${ipAddress1}
  ipsec ike remote id 1 0.0.0.0/0
ip tunnel tcp mss limit auto
tunnel enable 1

tunnel select 2
description tunnel OCI-VPN2
ipsec tunnel 2
  ipsec sa policy 2 2 esp aes256-cbc sha-hmac
  ipsec ike duration ipsec-sa 2 3600
  ipsec ike duration isakmp-sa 2 28800
  ipsec ike encryption 2 aes256-cbc
  ipsec ike group 2 modp1536
  ipsec ike hash 2 sha256
  ipsec ike keepalive log 2 off
  ipsec ike keepalive use 2 on dpd 5 4
  ipsec ike local address 2 ${cpePublicIpAddress}
  ipsec ike local id 2 0.0.0.0/0
  ipsec ike nat-traversal 2 on
  ipsec ike pfs 2 on
  ipsec ike pre-shared-key 2 text ${sharedSecret2}
  ipsec ike remote address 2 ${ipAddress2}
  ipsec ike remote id 2 0.0.0.0/0
ip tunnel tcp mss limit auto
tunnel enable 2

ipsec auto refresh on

Configuration de routes statiques

ip route ${VcnCidrBlock} gateway tunnel 1 hide gateway tunnel 2 hide