Furukawa Electric
Découvrez comment configurer un routeur électrique Furukawa pour le VPN site à site entre un réseau sur site et un réseau cloud.
Cette configuration a été validée à l'aide d'une série Furukawa Electric FITELnet-F220/F221 exécutant le microprogramme 01.00(00)[0]00.00.0 [05/07/2019 15:00].
Oracle fournit des instructions de configuration pour un ensemble testé de fournisseurs et de dispositifs. Utilisez la configuration appropriée pour le fournisseur et la version du logiciel.
Si la version de l'appareil ou du logiciel qu'Oracle utilise pour vérifier la configuration ne correspond pas exactement à l'appareil ou au logiciel, vous pouvez néanmoins créer la configuration nécessaire sur l'appareil. Consultez la documentation du fournisseur et apportez les modifications nécessaires.
Si le périphérique provient d'un fournisseur ne figurant pas dans la liste des fournisseurs et des périphériques vérifiés, ou si vous savez déjà configurer le périphérique pour IPSec, reportez-vous à la liste des paramètres IPSec pris en charge et à la documentation du fournisseur pour obtenir de l'aide.
Oracle utilise un routage asymétrique sur les autres tunnels qui constituent la connexion IPSec. Même si vous configurez un tunnel comme principal et un autre comme sauvegarde, le trafic d'un VCN vers un réseau sur site peut utiliser n'importe quel tunnel démarré sur un périphérique. Configurez les pare-feu selon vos besoins. Sinon, les tests ping ou le trafic d'application sur la connexion ne fonctionnent pas de façon fiable.
Avant de commencer
Avant de configurer le CPE, assurez-vous que vous :
- Configurez les paramètres du fournisseur Internet.
- Configurez des règles de pare-feu pour ouvrir les ports UDP 500 et 4500, et ESP.
Domaine de cryptage ou ID de proxy pris en charge
Les valeurs du domaine de cryptage ( également connu sous le nom d'ID de proxy, d'index de paramètre de sécurité ou de sélecteur de trafic) varient si un CPE prend en charge les tunnels basés sur un routage ou ceux basés sur une stratégie. Pour plus d'informations sur les valeurs de domaine de cryptage correctes à utiliser, reportez-vous à Domaine de cryptage ou ID de proxy pris en charge.
Paramètres issus de l'API ou de la console
Obtenez les paramètres suivants à partir de l'API ou de la console Oracle Cloud Infrastructure :
${vpn-ip#}
- Adresses de tunnel IPSec de la tête de réseau du VPN Oracle. Une valeur par tunnel.
- Exemples de valeur : 129.146.12.52, 129.146.13.52
${sharedSecret#}
- Clé prépartagée ISAKMP IPSec. Une valeur par tunnel.
- Exemple de valeur : EXAMPLEDPfAMkD7nTH3SWr6OFabdT6exXn6enSlsKbE
${cpePublicIpAddress}
- Adresse IP publique du CPE (déjà mise à disposition d'Oracle via la console).
${VcnCidrBlock}
- Lors de la création du réseau cloud virtuel, votre société a sélectionné ce CIDR pour qu'il représente le réseau d'agrégat d'adresses IP pour tous les hôtes de réseau cloud virtuel.
- Exemple de valeur : 10.0.0.0/20
Paramètres basés sur la configuration et l'état actuels du CPE
Les paramètres suivants reposent sur la configuration actuelle du CPE.
${tunnelNumber#}
- Numéro d'interface identifiant le tunnel spécifique. Vous avez besoin d'un numéro d'unité non utilisé par tunnel.
- Exemple de valeur : 1, 2
${isakmpPolicy}
- Nom de la stratégie ISAKMP.
- Exemple de valeur : isakmp-policy
${ipsecPolicy#}
- Nom de la stratégie IPSec.
- Exemple de valeur : ipsec-policy
${isakmpProfile#}
- Nom de profil ISAKMP. Vous avez besoin d'un nom de profil ISAKMP non utilisé par tunnel.
- Exemples de valeur : OCI-VPN-profile1, OCI-VPN-profile2
${selector}
- Nom du sélecteur.
- Exemple de valeur : OCI-VPN-selector
${map#}
- Nom de la correspondance. Vous avez besoin d'un nom de correspondance non utilisé par tunnel.
- Exemples de valeur : OCI-VPN-MAP1, OCI-VPN-MAP2
${customer-bgp-asn}
- Numéro ASN BGP sur site.
- Exemple de valeur : 65000
${oracle-bgp-asn#}
- Numéro ASN BGP d'Oracle.
- Exemple de valeur : 31898
${customer-interface-ip#}
- Interface de tunnel interne pour le CPE.
- Exemple de valeur : 10.0.0.16/31
${oracle-interface-ip#}
- Interface de tunnel interne pour ORACLE.
- Exemple de valeur : 10.0.0.17/31
${router-id}
- ID de routeur BGP.
- Exemple de valeur : 10.0.0.16
Récapitulatif des paramètres du modèle de configuration
Chaque région dispose de plusieurs têtes de réseau Oracle IPSec. Le modèle suivant vous aide à configurer des tunnels redondants sur un CPE, chacun vers un système frontal de communication correspondant. Dans le tableau suivant, "Utilisateur" vous désigne votre société ou vous-même.
| Paramètre | Source | Exemple de valeur |
|---|---|---|
${vpn-ip1}
|
Console/API | 129.146.12.52 |
${sharedSecret1}
|
Console/API | (chaîne longue) |
${vpn-ip2}
|
Console/API | 129.146.13.52 |
${sharedSecret2}
|
Console/API | (chaîne longue) |
${cpePublicIpAddress}
|
Utilisateur | 203.0.113.1 |
${VcnCidrBlock}
|
Utilisateur | 10.0.0.0/20 |
${tunnelNumber1}
|
Utilisateur | 1 |
${tunnelNumber1}
|
Utilisateur | 2 |
${isakmpPolicy}
|
Utilisateur | isakmp-policy |
${ipsecPolicy}
|
Utilisateur | ipsec-policy |
${isakmpProfile1}
|
Utilisateur | OCI-VPN-profile1 |
${isakmpProfile2}
|
Utilisateur | OCI-VPN-profile2 |
${selector}
|
Utilisateur | OCI-VPN-selector |
${map1}
|
Utilisateur | OCI-VPN-MAP1 |
${map2}
|
Utilisateur | OCI-VPN-MAP2 |
${customer-bgp-asn}
|
Console/API/Utilisateur | 65000 |
${oracle-bgp-asn1}
|
Console/API | 31 898 * |
${oracle-bgp-asn2}
|
Console/API | 31 898 * |
${customer-interface-ip1}
|
Console/API/Utilisateur | 10.0.0.16/31 |
${customer-interface-ip2}
|
Console/API/Utilisateur | 10.0.0.18/31 |
${oracle-interface-ip1}
|
Console/API/Utilisateur | 10.0.0.17 |
${oracle-interface-ip2}
|
Console/API/Utilisateur | 10.0.0.19 |
${router-id}
|
Utilisateur | 10.0.0.16 |
| * Le numéro ASN BGP d'Oracle pour le cloud commercial est 31898, à l'exception de la région Centre de la Serbie (Jovanovac), qui est 14544. | ||
Les valeurs de paramètre de stratégie ISAKMP et IPSec suivantes sont applicables à un VPN site à site dans le cloud commercial. Pour Government Cloud, vous devez utiliser les valeurs répertoriées dans Paramètres de VPN site à site requis.
Options de stratégie ISAKMP
| Paramètre | Valeur recommandée |
|---|---|
| Version du protocole ISAKMP | Version 1 |
| Type d'échange | Mode principal |
| Méthode d'authentification | Clés prépartagées |
| Cryptage | AES-256-cbc |
| Algorithme d'authentification | HMAC-SHA1-96 |
| Groupe Diffie-Hellman | Groupe 5 |
| Durée de vie de la clé de session IKE | 28 800 secondes (8 heures) |
Options de stratégie IPSec
| Paramètre | Valeur recommandée |
|---|---|
| Protocole IPSec | ESP, mode tunnel |
| Cryptage | AES-CBC/256 |
| Algorithme d'authentification | HMAC-SHA1-96/160 |
| Groupe Diffie-Hellman | Groupe 5 |
| Confidentialité persistante | Activé |
| Durée de vie de la clé de session IPSec | 3 600 secondes (1 heure) |
Configuration du CPE
Configuration ISAKMP et IPSec
crypto ipsec policy ${ipsecPolicy}
set pfs group5
set security-association transform-keysize aes 256 256 256
set security-association transform esp-aes esp-sha-hmac
exit
!
crypto ipsec selector ${selector}
src 1 ipv4 any
dst 1 ipv4 any
exit
!
crypto isakmp policy ${isakmpPolicy}
authentication pre-share
encryption aes
encryption-keysize aes 256 256 256
group 5
hash sha
exit
!
crypto isakmp profile ${isakmpProfile1}
local-address ${cpePublicIpAddress}
set isakmp-policy ${isakmpPolicy}
set ipsec-policy ${ipsecPolicy}
set peer ${vpn-ip1}
ike-version 1
local-key ascii ${sharedSecret1}
exit
!
crypto isakmp profile ${isakmpProfile2}
local-address ${cpePublicIpAddress}
set isakmp-policy ${isakmpPolicy}
set ipsec-policy ${ipsecPolicy}
set peer ${vpn-ip2}
ike-version 1
local-key ascii ${sharedSecret2}
exit
!
crypto map ${map1} ipsec-isakmp
match address ${selector}
set isakmp-profile ${isakmpProfile1}
exit
!
crypto map ${map2} ipsec-isakmp
match address ${selector}
set isakmp-profile ${isakmpProfile2}
exit
!
interface Tunnel ${tunnelNumber1}
tunnel mode ipsec map ${map1}
ip address ${customer-interface-ip1}
exit
!
interface Tunnel ${tunnelNumber2}
tunnel mode ipsec map ${map2}
ip address ${customer-interface-ip2}
exitConfiguration BGP
ip route ${vcnCidrBlock} Tunnel ${tunnelNumber1}
ip route ${vcnCidrBlock} Tunnel ${tunnelNumber2}Configuration des routages statiques
router bgp ${customer-bgp-asn}
bgp router-id ${router-id}
bgp log-neighbor-changes
neighbor ${oracle-interface-ip1} ebgp-multihop 10
neighbor ${oracle-interface-ip1} enforce-multihop
neighbor ${oracle-interface-ip1} remote-as ${oracle-bgp-asn1}
neighbor ${oracle-interface-ip1} update-source tunnel ${tunnelNumber1}
neighbor ${oracle-interface-ip2} ebgp-multihop 10
neighbor ${oracle-interface-ip2} enforce-multihop
neighbor ${oracle-interface-ip2} remote-as ${oracle-bgp-asn2}
neighbor ${oracle-interface-ip2} update-source tunnel ${tunnelNumber2}
!
address-family ipv4 unicast
redistribute connected
exit