Cisco ASA : configuration basée sur un routage

Cette rubrique propose une configuration basée sur un routage pour un routeur Cisco ASA exécutant la version 9.7.1 du logiciel (ou une version ultérieure).

Important

Oracle fournit des instructions de configuration pour un ensemble testé de fournisseurs et dispositifs. Utilisez la configuration qui correspond à votre fournisseur et à la version de votre logiciel.

Si la version de l'appareil ou du logiciel qu'Oracle utilise pour vérifier la configuration ne correspond pas exactement à votre appareil ou logiciel, vous pouvez toujours créer la configuration nécessaire sur votre appareil. Consultez la documentation de votre fournisseur et effectuez tous les ajustements nécessaires.

Si votre dispositif correspond à un fournisseur ne figurant pas dans la liste des fournisseurs et des dispositifs vérifiés, ou si vous savez déjà configurer votre dispositif pour IPSec, consultez la liste des paramètres IPSec pris en charge et la documentation de votre fournisseur afin d'obtenir de l'aide.

Pour rappel, Oracle propose différentes configurations en fonction du logiciel ASA :

  • Version 9.7.1 ou ultérieure : configuration basée sur un routage (rubrique en cours)
  • Versions 8.5 à 9.7.0 : configuration basée sur une stratégie
  • Versions antérieures à 8.5 : non prises en charge par les instructions de configuration Oracle. Envisagez une mise à niveau vers une version plus récente.
Important

Oracle fournit des instructions de configuration pour un ensemble testé de fournisseurs et dispositifs. Utilisez la configuration qui correspond à votre fournisseur et à la version de votre logiciel.

Si la version de l'appareil ou du logiciel qu'Oracle utilise pour vérifier la configuration ne correspond pas exactement à votre appareil ou logiciel, vous pouvez toujours créer la configuration nécessaire sur votre appareil. Consultez la documentation de votre fournisseur et effectuez tous les ajustements nécessaires.

Si votre dispositif correspond à un fournisseur ne figurant pas dans la liste des fournisseurs et des dispositifs vérifiés, ou si vous savez déjà configurer votre dispositif pour IPSec, consultez la liste des paramètres IPSec pris en charge et la documentation de votre fournisseur afin d'obtenir de l'aide.

Oracle Cloud Infrastructure offre un VPN site à site, connexion IPSec sécurisée entre votre réseau sur site et un réseau cloud virtuel.

Le diagramme suivant présente une connexion IPSec de base à Oracle Cloud Infrastructure avec des tunnels redondants. Les adresses IP utilisées dans ce diagramme sont fournies à titre d'exemple uniquement et ne sont pas destinées à être employées telles quelles.

Cette image présente schématiquement votre réseau sur site, les tunnels IPSec de VPN site à site et le réseau cloud virtuel.

Meilleures pratiques

Cette section présente les remarques et les meilleures pratiques générales relatives à l'utilisation d'un VPN site à site.

Configuration de tous les tunnels pour chaque connexion IPSec

Oracle déploie deux têtes de réseau IPSec pour chacune de vos connexions afin d'offrir une haute disponibilité à vos charges globales stratégiques. Côté Oracle, ces deux têtes de réseau se trouvent sur des routeurs différents à des fins de redondance. Pour une redondance maximale, Oracle recommande de configurer tous les tunnels disponibles. Il s'agit d'une notion clé de la philosophie "Design for Failure".

Présence de CPE redondants dans les emplacements réseau sur site

Chacun de vos sites se connectant à Oracle Cloud Infrastructure via IPSec doit disposer de dispositifs en périphérie redondants (également appelés CPE, pour Customer-Premises Equipment). Vous ajoutez chaque CPE à la console Oracle et créez une connexion IPSec distincte entre la passerelle de routage dynamique  et chaque CPE. Pour chaque connexion IPSec, Oracle fournit deux tunnels sur des têtes de réseau IPSec géographiquement redondantes. Pour plus d'informations, reportez-vous au guide pour la redondance de la connectivité (PDF).

Remarques concernant le protocole de routage

Lorsque vous créez une connexion IPSec de VPN site à site, cette dernière possède deux tunnels IPSec redondants. Oracle vous recommande de configurer le CPE de manière à ce qu'il utilise les deux tunnels (s'il prend en charge cette configuration). Par le passé, Oracle a créé des connexions IPSec comportant jusqu'à quatre tunnels IPSec.

Les trois types de routage suivants sont disponibles. Vous choisissez le type de routage de chaque tunnel du VPN site à site séparément :

  • Routage dynamique BGP : les routages disponibles sont appris dynamiquement via BGP. La passerelle de routage dynamique apprend dynamiquement les routages à partir du réseau sur site. Côté Oracle, la passerelle de routage dynamique publie les sous-réseaux du réseau cloud virtuel.
  • Routage statique : lorsque vous configurez la connexion IPSec à la passerelle de routage dynamique, vous indiquez les routages spécifiques vers le réseau sur site que le réseau cloud virtuel doit connaître. Vous devez également configurer votre dispositif CPE avec des routages statiques vers les sous-réseaux du réseau cloud virtuel. Ces routages ne sont pas appris dynamiquement.
  • Routage basé sur une stratégie : lorsque vous configurez la connexion IPSec à la passerelle de routage dynamique, vous indiquez les routages spécifiques vers le réseau sur site que le réseau cloud virtuel doit connaître. Vous devez également configurer votre dispositif CPE avec des routages statiques vers les sous-réseaux du réseau cloud virtuel. Ces routages ne sont pas appris dynamiquement.

Pour obtenir plus d'informations sur le routage avec un VPN site à site, notamment des recommandations Oracle sur la façon d'utiliser l'algorithme de sélection du meilleur chemin BGP, reportez-vous à Routage du VPN site à site.

Autres configurations de CPE importantes

Assurez-vous que les listes d'accès sur le CPE sont configurées correctement afin de ne pas bloquer le trafic nécessaire depuis et vers Oracle Cloud Infrastructure.

Si plusieurs tunnels fonctionnent simultanément, le routage peut être asymétrique. Afin d'autoriser le routage asymétrique, assurez-vous que le CPE est configuré pour gérer le trafic provenant de votre réseau cloud virtuel sur l'un des tunnels. Par exemple, vous devez désactiver l'inspection ICMP, configurer le contournement de l'état TCP. Pour plus d'informations sur la configuration appropriée, contactez le support technique du fournisseur du CPE. Pour configurer le routage de sorte qu'il soit symétrique, reportez-vous à Routage du VPN site à site.

Eléments propres à Cisco ASA : avertissements et limites

Cette section couvre les caractéristiques et les limites importantes propres à Cisco ASA. Reportez-vous à Limites de service pour obtenir la liste des limites applicables et consulter les instructions permettant de demander une augmentation de limite.

Repérage des MTU de tunnel et de chemin

Deux options s'offrent à vous pour le repérage des MTU de tunnel et de chemin avec Cisco ASA :

Option 1 : ajustement de la MSS TCP

L'unité de transmission maximale (taille de paquet) via le tunnel IPSec est inférieure à 1 500 octets. Vous pouvez fragmenter les paquets trop volumineux pour le tunnel. Vous pouvez également signaler aux hôtes qui communiquent via le tunnel qu'ils doivent envoyer des paquets plus petits.

Vous pouvez configurer Cisco ASA de sorte à modifier la taille maximale de segment (MSS) pour tous les nouveaux flux TCP circulant dans le tunnel. ASA examine tous les paquets TCP où l'indicateur SYN est défini et remplace la valeur MSS par la valeur configurée. Grâce à cette configuration, les nouveaux flux TCP peuvent éviter de recourir au repérage d'unité de transmission maximale de chemin (PMTUD).

Utilisez la commande suivante pour modifier la MSS. Cette commande ne fait pas partie de l'exemple de configuration de la section Configuration du CPE de cette rubrique. Si nécessaire, appliquez la commande d'ajustement de la MSS TCP manuellement.

sysopt connection tcpmss 1387

Option 2 : effacement/définition du bit Ne pas fragmenter

Le repérage de MTU de chemin exige que le bit Ne pas fragmenter (DF, Don't Fragment) soit défini pour tous les paquets TCP. Si le bit DF est défini et qu'un paquet est trop volumineux pour passer par le tunnel, ASA supprime le paquet lorsqu'il se présente. ASA renvoie un paquet ICMP à l'expéditeur en indiquant que le paquet reçu était trop volumineux pour le tunnel. ASA offre trois options de gestion du bit DF. Choisissez-en une et appliquez-la à la configuration :

  • Définir le bit DF (recommandé) : le bit DF est défini dans l'en-tête IP des paquets. ASA peut toujours fragmenter le paquet si le paquet reçu initialement a effacé le bit DF.

    crypto ipsec df-bit set-df ${outsideInterface}
  • Supprimer le bit DF : le bit DF est effacé dans l'en-tête IP du paquet. Permet de fragmenter le paquet et de l'envoyer à l'hôte final dans Oracle Cloud Infrastructure pour réassemblage.

    crypto ipsec df-bit clear-df ${outsideInterface}
  • Ignorer (copie) le bit DF : ASA examine les informations d'en-tête IP du paquet d'origine et copie le paramètre de bit DF.

    crypto ipsec df-bit copy-df ${outsideInterface}

Trafic VPN : possibilité d'utiliser des tunnels différents pour l'entrée et la sortie

Si le trafic VPN entre dans une interface présentant le même niveau de sécurité qu'une interface dirigée vers le saut suivant du paquet, vous devez l'autoriser. Par défaut, les paquets transmis entre des interfaces possédant des niveaux de sécurité identiques sur le dispositif ASA sont supprimés.

Ajoutez la commande suivante manuellement si vous avez besoin d'autoriser le trafic entre des interfaces avec le même niveau de sécurité. Cette commande ne fait pas partie de l'exemple de configuration de la section Configuration du CPE.

same-security-traffic permit inter-interface

Limites et avertissements généraux

Cette section présente les caractéristiques et limites générales du VPN site à site. Reportez-vous à Limites de service pour obtenir la liste des limites applicables et consulter les instructions permettant de demander une augmentation de limite.

Routage asymétrique

Oracle utilise un routage asymétrique sur les différents tunnels qui constituent la connexion IPSec. Configurez les pare-feu en conséquence. Sinon, les tests ping ou le trafic d'application sur la connexion ne fonctionnent pas de façon fiable.

Lorsque vous utilisez plusieurs tunnels vers Oracle Cloud Infrastructure, Oracle vous recommande de configurer votre routage de façon à acheminer le trafic de manière déterministe via le tunnel préféré. Si vous souhaitez utiliser un tunnel IPSec comme tunnel principal et un autre comme tunnel de sauvegarde, configurez des routages plus spécifiques pour le tunnel principal (BGP) et des routages moins spécifiques (récapitulatifs ou par défaut) pour le tunnel de sauvegarde (BGP/statique). Sinon, si vous publiez le même routage (par exemple, un routage par défaut) via tous les tunnels, le trafic renvoyé du réseau cloud virtuel vers le réseau sur site est acheminé vers n'importe lequel des tunnels disponibles. En effet, Oracle utilise un routage asymétrique.

Pour consulter des recommandations de routage Oracle spécifiques sur la façon de forcer le routage symétrique, reportez-vous à Routage du VPN site à site.

Connexions IPSec basées sur un routage ou sur une stratégie

Le protocole IPSec utilise des associations de sécurité pour déterminer comment crypter les paquets. Au sein de chaque association de sécurité, vous définissez des domaines de cryptage pour mettre en correspondance le type de protocole et les adresses IP source et de destination d'un paquet avec une entrée de la base de données d'association de sécurité afin de définir le mode de cryptage ou de décryptage du paquet.

Remarque

Les termes ID de proxy, index de paramètre de sécurité (SPI) ou sélecteur de trafic peuvent être utilisés par d'autres fournisseurs ou dans la documentation du secteur pour faire référence aux associations de sécurité ou aux domaines de cryptage.

Il existe deux méthodes générales pour l'implémentation des tunnels IPSec :

  • Tunnels basés sur un routage : également appelés tunnels basés sur le saut suivant. Une recherche de table de routage est effectuée sur l'adresse IP de destination d'un paquet. Si l'interface sortante du routage est un tunnel IPSec, le paquet est crypté et envoyé à l'autre extrémité du tunnel.
  • Tunnels basés sur une stratégie : le protocole et les adresses IP source et de destination du paquet sont mis en correspondance avec la liste des instructions de stratégie. Si une correspondance est trouvée, le paquet est crypté selon les règles de l'instruction de stratégie.

Les têtes de réseau du VPN site à site Oracle utilisent des tunnels basés sur un routage. Elles peuvent fonctionner avec des tunnels basés sur une stratégie, mais cela donne lieu à des avertissements, répertoriés dans les sections suivantes.

Domaine de cryptage pour les tunnels basés sur un routage

Si le CPE prend en charge les tunnels basés sur un routage, utilisez cette méthode pour configurer le tunnel. Il s'agit de la configuration la plus simple, qui offre la meilleure interopérabilité avec la tête de réseau du VPN Oracle.

Le tunnel IPSec basé sur un routage utilise un domaine de cryptage présentant les valeurs suivantes :

  • Adresse IP source : n'importe laquelle (0.0.0.0/0)
  • Adresse IP de destination : n'importe laquelle (0.0.0.0/0)
  • Protocole : IPv4

Si vous devez être plus spécifique, vous pouvez utiliser un routage récapitulatif unique pour les valeurs du domaine de cryptage au lieu d'un routage par défaut.

Domaine de cryptage pour les tunnels basés sur une stratégie

Lorsque vous utilisez des tunnels basés sur une stratégie, chaque entrée de stratégie (bloc CIDR d'un côté de la connexion IPSec) que vous définissez génère une association de sécurité IPSec avec chaque entrée admissible à l'autre extrémité du tunnel. Cette paire est appelée domaine de cryptage.

Dans ce diagramme, l'extrémité Passerelle de routage dynamique Oracle du tunnel IPSec possède des entrées de stratégie pour trois blocs CIDR IPv4 et un bloc CIDR IPv6. L'extrémité CPE sur site du tunnel possède des entrées de stratégie pour deux blocs CIDR IPv4 et deux blocs CIDR IPv6. Chaque entrée génère un domaine de cryptage avec toutes les entrées possibles à l'autre extrémité du tunnel. Les deux côtés d'une paire d'association de sécurité doivent utiliser la même version d'adresse IP. Le résultat est un total de huit domaines de cryptage.

Diagramme illustrant plusieurs domaines de cryptage et la manière d'en déterminer le nombre.
Important

Si le CPE ne prend en charge que les tunnels basés sur une stratégie, tenez compte des restrictions suivantes.

  • Le VPN site à site prend en charge plusieurs domaines de cryptage (50 au maximum).
  • Si vous aviez une situation semblable à l'exemple ci-dessus et que vous ne configuriez que trois des six domaines de cryptage IPv4 possibles côté CPE, le lien serait répertorié avec l'état Démarré partiellement. En effet, tous les domaines de cryptage possibles sont toujours créés côté passerelle de routage dynamique.
  • Le routage basé sur une stratégie dépend du VPN site à site version 2. Reportez-vous à Service de VPN site à site mis à jour pour plus d'informations sur le VPN site à site version 2.
  • En fonction de la date de création du tunnel, vous ne pourrez peut-être pas le modifier pour utiliser un routage basé sur une stratégie et devrez le remplacer par un nouveau tunnel IPSec.
  • Les blocs CIDR utilisés à l'extrémité Passerelle de routage dynamique Oracle du tunnel ne peuvent pas chevaucher ceux utilisés à l'extrémité CPE sur site.
  • Un domaine de cryptage doit toujours se trouver entre deux blocs CIDR de la même version d'adresse IP.

Si le CPE est derrière un dispositif NAT

En général, l'identificateur IKE CPE configuré au niveau de votre extrémité de la connexion doit correspondre à celui utilisé par Oracle. Par défaut, Oracle utilise l'adresse IP publique du CPE, que vous fournissez lors de la création de l'objet CPE dans la console Oracle. Toutefois, si le CPE se trouve derrière un dispositif NAT, l'identificateur IKE CPE configuré de votre côté peut être l'adresse IP privée du CPE, comme indiqué dans le diagramme suivant.

Cette image montre le CPE derrière un dispositif NAT, les adresses IP publique et privée, et l'identificateur IKE CPE.
Remarque

Certaines plates-formes CPE ne vous autorisent pas à modifier l'identificateur IKE local. Si c'est le cas, vous devez modifier l'ID IKE distant dans la console Oracle pour qu'il corresponde à l'ID IKE local de votre CPE. Vous pouvez fournir cette valeur lors de la configuration de la connexion IPSec ou ultérieurement en modifiant cette dernière. Oracle s'attend à ce que la valeur soit une adresse IP ou un nom de domaine qualifié complet tel que cpe.example.com. Pour obtenir des instructions, reportez-vous à Modification de l'identificateur IKE CPE utilisé par Oracle.

Paramètres IPSec pris en charge

Pour obtenir la liste des paramètres IPSec pris en charge (indépendamment du fournisseur) pour toutes les régions, reportez-vous à Paramètres IPSec pris en charge.

Le numéro ASN BGP Oracle pour le domaine de cloud commercial est 31898. Si vous configurez un VPN site à site pour US Government Cloud, reportez-vous à Paramètres de VPN site à site requis pour Government Cloud et à Numéro ASN BGP d'Oracle. Pour United Kingdom Government Cloud, reportez-vous à Numéro ASN BGP d'Oracle.

Configuration du CPE

Important

Les instructions de configuration de cette section sont fournies par Oracle Cloud Infrastructure pour votre CPE. Si vous avez besoin d'une aide supplémentaire, contactez directement le support technique du fournisseur du CPE.

La figure suivante illustre la disposition de base de la connexion IPSec.

Cette image schématise la disposition générale des tunnels et de la connexion IPSec.

Le modèle de configuration fourni est destiné à un routeur Cisco exécutant la version 9.7.1 du logiciel Cisco ASA (ou une version ultérieure). Le modèle fournit des informations pour chaque tunnel que vous devez configurer. Pour une redondance maximale, Oracle recommande de configurer tous les tunnels définis.

Le modèle de configuration fait référence aux éléments suivants, que vous devez indiquer :

  • Adresse IP publique du CPE : adresse IP pouvant être acheminée par Internet et qui est affectée à l'interface externe sur le CPE. Vous ou l'administrateur Oracle fournissez cette valeur à Oracle lors de la création de l'objet CPE dans la console Oracle.
  • Interface de tunnel interne (requis en cas d'utilisation de BGP) : adresses IP des extrémités CPE et Oracle de l'interface de tunnel interne. Vous fournissez ces valeurs lors de la création de la connexion IPSec dans la console Oracle.
  • Numéro ASN BGP (requis en cas d'utilisation de BGP) : votre numéro ASN BGP.

Vous devez également effectuer les opérations suivantes :

  • Configurez le routage interne qui achemine le trafic entre le CPE et le réseau local.
  • Veillez à autoriser le trafic entre votre dispositif ASA et votre réseau cloud virtuel Oracle.
  • Identifiez le profil IPSec utilisé (le modèle de configuration suivant désigne cette stratégie de groupe par oracle-vcn-vpn-policy).
  • Identifiez le jeu de transformations utilisé pour la carte de cryptage (le modèle de configuration suivant désigne ce jeu de transformations par oracle-vcn-transform).
  • Identifiez les noms d'interface de tunnel virtuel utilisés (le modèle de configuration suivant les désigne par les variables ${tunnelInterfaceName1} et ${tunnelInterfaceName2}).
Important

Le modèle de configuration suivant, qui provient d'Oracle Cloud Infrastructure, sert de point de départ pour les éléments à appliquer au CPE. Certains des paramètres référencés dans le modèle doivent être uniques sur le CPE. Cette unicité peut uniquement être déterminée en accédant au CPE. Assurez-vous que les paramètres sont valides sur le CPE et n'écrasez aucune valeur précédemment configurée. Vérifiez notamment que les valeurs suivantes sont uniques :

  • Noms ou numéros de stratégie
  • Noms ou numéros d'interface
  • Numéros de liste d'accès (le cas échéant)

Oracle prend en charge Internet Key Exchange version 1 (IKEv1) et version 2 (IKEv2). Si vous configurez la connexion IPSec dans la console pour qu'elle utilise IKEv2, vous devez configurer le CPE afin qu'il utilise uniquement IKEv2 et les paramètres de cryptage IKEv2 associés pris en charge par votre CPE. Pour obtenir la liste des paramètres pris en charge par Oracle pour IKEv1 ou IKEv2, reportez-vous à Paramètres IPSec pris en charge.

Oracle fournit un modèle de configuration distinct pour IKEv1 et IKEv2.

Oracle fournit également un outil pouvant générer le modèle pour vous, avec certaines informations automatiquement renseignées. Pour plus d'informations, reportez-vous à Utilisation de l'application d'aide de configuration de CPE.

Modèle de configuration IKEv1

Affichez le modèle de configuration IKEv1 en plein écran pour en faciliter la lecture.

!-------------------------------------------------------------------------------------------------------------------------------------------------------------
! IKEv1 Configuration Template
! The configuration consists of two IPSec tunnels. Oracle highly recommends that you configure both tunnels for maximum redundancy.
!-------------------------------------------------------------------------------------------------------------------------------------------------------------
! The configuration template involves setting up the following:
! ISAKMP Policy
! IPSec Configuration
! IPSec Tunnel Group Configuration
! VTI Interface Configuration
! IP Routing (BGP or Static)
!-------------------------------------------------------------------------------------------------------------------------------------------------------------
! The configuration template has various parameters that you must define before applying the configuration.
!-------------------------------------------------------------------------------------------------------------------------------------------------------------
! PARAMETERS REFERENCED:
! ${OracleInsideTunnelIpAddress1} = Inside tunnel IP address of Oracle-side for the first tunnel. You provide these values when creating the IPSec connection in the Oracle Console.
! ${OracleInsideTunnelIpAddress2} = Inside tunnel IP address of Oracle-side for the second tunnel. You provide these values when creating the IPSec connection in the Oracle Console.
! ${bgpASN} = Your BGP ASN
! ${cpePublicIpAddress} = The public IP address for the CPE. This is the IP address of your outside interface
! ${oracleHeadend1} = Oracle public IP endpoint obtained from the Oracle Console.
! ${oracleHeadend2} = Oracle public IP endpoint obtained from the Oracle Console.
! ${sharedSecret1} = You provide when you set up the IPSec connection in the Oracle Console, or you can use the default Oracle-provided value.
! ${sharedSecret2} = You provide when you set up the IPSec connection in the Oracle Console, or you can use the default Oracle-provided value.
! ${outsideInterface} = The public interface or outside of tunnel interface which is configured with the CPE public IP address.
! ${tunnelInterfaceName1} = The name of the first VTI used on your ASA.
! ${tunnelInterfaceName2} = The name of the second VTI used on your ASA.
! ${cpeInsideTunnelIpAddress1} = The CPE's inside tunnel IP for the first tunnel.
! ${cpeInsideTunnelIpAddress2} = The CPE's inside tunnel IP for the second tunnel.
! ${cpeInsideTunnelNetmask1} = The CPE's inside tunnel netmask for the first tunnel.
! ${cpeInsideTunnelNetmask2} = The CPE's inside tunnel netmask for the second tunnel.
! ${vcnCidrNetwork} = VCN IP range
! ${vcnCidrNetmask} = Subnet mask for VCN
! ${onPremCidrNetwork} = On-premises IP range
! ${onPremCidrNetmask} = ON-premises subnet mask
!-------------------------------------------------------------------------------------------------------------------------------------------------------------
 
! ISAKMP Policy
  
! ISAKMP Phase 1 configuration.
! IKEv1 is enabled on the outside interface.
! IKEv1 policy is created for Phase 1 which specifies to use a Pre-Shared Key, AES256, SHA1, Diffie-Hellman Group 5, and a Phase 1 lifetime of 28800 seconds (8 hours).
! If different parameters are required, modify this template before applying the configuration.
! WARNING: The IKEv1 group policy is created with a priority of 10. Make sure this doesn't conflict with any pre-existing configuration on your ASA.
 
crypto ikev1 enable ${outsideInterface}
 
crypto ikev1 policy 10
  authentication pre-share
  encryption aes-256
  hash sha
  group 5
  lifetime 28800
  
! IPSec Configuration
  
! Create an IKEv1 transform set named 'oracle-vcn-transform' which defines a combination of IPSec (Phase 2) policy options. Specifically, AES256 for encryption and SHA1 for authentication.
! If different parameters are required, modify this template before applying the configuration.
 
crypto ipsec ikev1 transform-set oracle-vcn-transform esp-aes-256 esp-sha-hmac
  
! A IPSec profile named 'oracle-vcn-vpn-policy' is created.
! The previously created transform set is added to this policy along with settings for enabling PFS Group 5 and the security association lifetime to 3600 seconds (1 hour).
! If different parameters are required, modify this template before applying the configuration.
 
crypto ipsec profile oracle-vcn-vpn-policy
 set ikev1 transform-set oracle-vcn-transform
 set pfs group5
 set security-association lifetime seconds 3600
  
! IPSec Tunnel Group Configuration
 
! A tunnel group is created for each Oracle VPN Headend. Each tunnel group defines the pre-shared key used for each respective tunnel.
 
tunnel-group ${oracleHeadend1} type ipsec-l2l
tunnel-group ${oracleHeadend1} ipsec-attributes
  ikev1 pre-shared-key ${sharedSecret1}
 
tunnel-group ${oracleHeadend2} type ipsec-l2l
tunnel-group ${oracleHeadend2} ipsec-attributes
 ikev1 pre-shared-key ${sharedSecret2}
 
! VTI Interface Configuration
 
! A virtual tunnel interface (VTI) is a logical interface representing the local end of a VPN tunnel to a remote VPN peer. Two VTIs are created representing two tunnels, one to each Oracle VPN Headend. The IP address of each VPN headend is provided when you create your IPSec connection in Oracle Console.
! All traffic routed to a VTI will be encrypted and sent across the tunnel towards Oracle Cloud Infrastructure.
! Each VTI configuration also references the previously created IPSec profile 'oracle-vcn-vpn-policy' for its IPSec parameters.
 
interface ${tunnelInterfaceName1}
  nameif ORACLE-VPN1
  ip address ${cpeInsideTunnelIpAddress1} ${cpeInsideTunnelNetmask1}
  tunnel source interface ${outsideInterface}
  tunnel destination ${oracleHeadend1}
  tunnel mode ipsec ipv4
  tunnel protection ipsec profile oracle-vcn-vpn-policy
 
interface ${tunnelInterfaceName2}
  nameif ORACLE-VPN2
  ip address ${cpeInsideTunnelIpAddress2} ${cpeInsideTunnelNetmask2}
  tunnel source interface ${outsideInterface}
  tunnel destination ${oracleHeadend2}
  tunnel mode ipsec ipv4
  tunnel protection ipsec profile oracle-vcn-vpn-policy
 
! IP Routing
! Pick either dynamic (BGP) or static routing. Uncomment the corresponding commands prior to applying configuration.
 
! Border Gateway Protocol (BGP) Configuration
! Uncomment below lines if you want to use BGP.
  
! router bgp ${bgpASN}
!  address-family ipv4 unicast
!   neighbor ${OracleInsideTunnelIpAddress1} remote-as 31898
!   neighbor ${OracleInsideTunnelIpAddress1} activate
!   neighbor ${OracleInsideTunnelIpAddress2} remote-as 31898
!   neighbor ${OracleInsideTunnelIpAddress2} activate
!   network ${onPremCidrNetwork} mask ${onPremCidrNetmask}
!   no auto-summary
!   no synchronization
!  exit-address-family
 
! Static Route Configuration
! Each static route references the other VTI by its nameif value.
! Uncomment below line if you want to use static routing.
 
! route ORACLE-VPN1 ${VcnCidrNetwork} ${VcnCidrNetmask} ${OracleInsideTunnelIpAddress1} 1 track
! route ORACLE-VPN2 ${VcnCidrNetwork} ${VcnCidrNetmask} ${OracleInsideTunnelIpAddress2} 100
 
! Configuration for Tunnel Failover
 
! Uncomment the below IP SLA lines if using static routing.
! Use this IP SLA configuration for static route failover This IP SLA configuration is used for static route failover between the two tunnels.
! Make sure that the SLA monitor and tracking numbers used do not conflict with any existing configuration on your ASA.
 
! sla monitor 10
!  type echo protocol ipIcmpEcho ${oracleHeadend1} interface outside
!  frequency 5
!  sla monitor schedule 10 life forever start-time now
 
! track 1 rtr 10 reachability
Modèle de configuration IKEv2

Affichez le modèle de configuration IKEv2 en plein écran pour en faciliter la lecture.

!-------------------------------------------------------------------------------------------------------------------------------------------------------------
! IKEv2 Configuration Template
! The configuration consists of two IPSec tunnels. Oracle highly recommends that you configure both tunnels for maximum redundancy.
!-------------------------------------------------------------------------------------------------------------------------------------------------------------
! The configuration template involves setting up the following:
! IKEv2 Policy
! IPSec Configuration
! IPSec Tunnel Group Configuration
! VTI Interface Configuration
! IP Routing (BGP or Static)
!-------------------------------------------------------------------------------------------------------------------------------------------------------------
! The configuration template has various parameters that you must define before applying the configuration.
!-------------------------------------------------------------------------------------------------------------------------------------------------------------
! PARAMETERS REFERENCED:
! ${OracleInsideTunnelIpAddress1} = Inside tunnel IP address of Oracle-side for the first tunnel. You provide these values when creating the IPSec connection in the Oracle Console.
! ${OracleInsideTunnelIpAddress2} = Inside tunnel IP address of Oracle-side for the second tunnel. You provide these values when creating the IPSec connection in the Oracle Console.
! ${bgpASN} = Your BGP ASN
! ${cpePublicIpAddress} = The public IP address for the CPE. This is the IP address of your outside interface
! ${oracleHeadend1} = Oracle public IP endpoint obtained from the Oracle Console.
! ${oracleHeadend2} = Oracle public IP endpoint obtained from the Oracle Console.
! ${sharedSecret1} = You provide when you set up the IPSec connection in the Oracle Console, or you can use the default Oracle-provided value.
! ${sharedSecret2} = You provide when you set up the IPSec connection in the Oracle Console, or you can use the default Oracle-provided value.
! ${outsideInterface} = The public interface or outside of tunnel interface which is configured with the CPE public IP address.
! ${tunnelInterfaceName1} = The name of the first VTI used on your ASA.
! ${tunnelInterfaceName2} = The name of the second VTI used on your ASA.
! ${cpeInsideTunnelIpAddress1} = The CPE's inside tunnel IP for the first tunnel.
! ${cpeInsideTunnelIpAddress2} = The CPE's inside tunnel IP for the second tunnel.
! ${cpeInsideTunnelNetmask1} = The CPE's inside tunnel netmask for the first tunnel.
! ${cpeInsideTunnelNetmask2} = The CPE's inside tunnel netmask for the second tunnel.
! ${vcnCidrNetwork} = VCN IP range
! ${vcnCidrNetmask} = Subnet mask for VCN
! ${onPremCidrNetwork} = On-premises IP range
! ${onPremCidrNetmask} = ON-premises subnet mask
!-------------------------------------------------------------------------------------------------------------------------------------------------------------

! IKEv2 Policy

! IKEv2 is enabled on the outside interface.
! IKEv2 policy is created and specifies use of a Pre-Shared Key, AES256, SHA1, Diffie-Hellman Group 5, and a lifetime of 28800 seconds (8 hours).
! If different parameters are required, modify this template before applying the configuration.
! WARNING: The IKEv2 group policy is created with a priority of 10. Make sure this doesn't conflict with any pre-existing configuration on your ASA.

crypto ikev2 enable ${outsideInterface}

crypto ikev2 policy 10
 encryption aes-256
 integrity sha
 group 5
 prf sha
 lifetime seconds 28800

! IPSec Configuration

! Create an IKEv2 IPSec proposal named 'oracle_v2_ipsec_proposal' which defines AES256 for encryption and SHA1 for authentication.
! If different parameters are required, modify this template before applying the configuration.

crypto ipsec ikev2 ipsec-proposal oracle_v2_ipsec_proposal
 protocol esp encryption aes-256
 protocol esp integrity sha-1

! An IPSec profile named 'oracle-vcn-vpn-policy' is created.
! The previously created IPSec proposal is added to this policy along with settings for enabling PFS Group 5 and the security association lifetime to 3600 seconds (1 hour).
! If different parameters are required, modify this template before applying the configuration.

crypto ipsec profile oracle-vcn-vpn-policy
 set ikev2 ipsec-proposal oracle_v2_ipsec_proposal
 set pfs group5
 set security-association lifetime seconds 3600

! IPSec Tunnel Group Configuration

group-policy oracle_v2_group_policy internal
group-policy oracle_v2_group_policy attributes
 vpn-tunnel-protocol ikev2

! A tunnel group is created for each Oracle VPN Headend. Each tunnel group defines the pre-shared key used for each respective tunnel.

tunnel-group ${oracleHeadend1} type ipsec-l2l
tunnel-group ${oracleHeadend1} general-attributes
 default-group-policy oracle_v2_group_policy
tunnel-group ${oracleHeadend1} ipsec-attributes
 ikev2 local-authentication pre-shared-key ${sharedSecret1}
 ikev2 remote-authentication pre-shared-key ${sharedSecret1}

tunnel-group ${oracleHeadend2} type ipsec-l2l
tunnel-group ${oracleHeadend2} general-attributes
 default-group-policy oracle_v2_group_policy
tunnel-group ${oracleHeadend2} ipsec-attributes
 ikev2 local-authentication pre-shared-key ${sharedSecret2}
 ikev2 remote-authentication pre-shared-key ${sharedSecret2}

! VTI Interface Configuration

! A virtual tunnel interface (VTI) is a logical interface representing the local end of a VPN tunnel to a remote VPN peer. Two VTIs are created representing two tunnels, one to each Oracle VPN Headend. The IP address of each VPN headend is provided when you create your IPSec connection in Oracle Console.
! All traffic routed to a VTI will be encrypted and sent across the tunnel towards Oracle Cloud Infrastructure.
! Each VTI configuration also references the previously created IPSec profile 'oracle-vcn-vpn-policy' for its IPSec parameters.

interface ${tunnelInterfaceName1}
 nameif ORACLE-VPN1
 ip address ${cpeInsideTunnelIpAddress1} ${cpeInsideTunnelNetmask1}
 tunnel source interface ${outsideInterface}
 tunnel destination ${oracleHeadend1}
 tunnel mode ipsec ipv4
 tunnel protection ipsec profile oracle-vcn-vpn-policy

interface ${tunnelInterfaceName2}
 nameif ORACLE-VPN2
 ip address ${cpeInsideTunnelIpAddress2} ${cpeInsideTunnelNetmask2}
 tunnel source interface ${outsideInterface}
 tunnel destination ${oracleHeadend2}
 tunnel mode ipsec ipv4
 tunnel protection ipsec profile oracle-vcn-vpn-policy

! IP Routing
! Pick either dynamic (BGP) or static routing. Uncomment the corresponding commands prior to applying configuration.

! Border Gateway Protocol (BGP) Configuration
! Uncomment below lines if you want to use BGP.

! router bgp ${bgpASN}
!  address-family ipv4 unicast
!   neighbor ${OracleInsideTunnelIpAddress1} remote-as 31898
!   neighbor ${OracleInsideTunnelIpAddress1} activate
!   neighbor ${OracleInsideTunnelIpAddress2} remote-as 31898
!   neighbor ${OracleInsideTunnelIpAddress2} activate
!   network ${onPremCidrNetwork} mask ${onPremCidrNetmask}
!   no auto-summary
!   no synchronization
!  exit-address-family

! Static Route Configuration
! Each static route references the other VTI by its nameif value.
! Uncomment below line if you want to use static routing.

! route ORACLE-VPN1 ${VcnCidrNetwork} ${VcnCidrNetmask} ${OracleInsideTunnelIpAddress1} 1 track
! route ORACLE-VPN2 ${VcnCidrNetwork} ${VcnCidrNetmask} ${OracleInsideTunnelIpAddress2} 100

! Configuration for Tunnel Failover

! Uncomment the below IP SLA lines if using static routing.
! Use this IP SLA configuration for static route failover This IP SLA configuration is used for static route failover between the two tunnels.
! Make sure that the SLA monitor and tracking numbers used do not conflict with any existing configuration on your ASA.

! sla monitor 10
!  type echo protocol ipIcmpEcho ${oracleHeadend1} interface outside
!  frequency 5
!  sla monitor schedule 10 life forever start-time now

! track 1 rtr 10 reachability

Vérification

Les commandes ASA suivantes sont incluses pour le dépannage de base. Pour obtenir des informations plus détaillées, reportez-vous au document de Cisco relatif au dépannage IPSec.

Utilisez la commande suivante pour vérifier que des associations de sécurité ISAKMP sont en cours de construction entre les deux homologues.

show crypto isakmp sa

Utilisez la commande suivante pour vérifier le statut de toutes les connexions BGP.

show bgp summary

Utilisez la commande suivante pour vérifier la table de routage d'ASA.

show route

Le service Monitoring est également disponible auprès d'Oracle Cloud Infrastructure pour surveiller de façon active et passive vos ressources cloud. Pour plus d'informations sur la surveillance du VPN site à site, reportez-vous à Mesures de VPN site à site.

Si vous rencontrez des problèmes, reportez-vous à Dépannage de VPN site à site.