Documentation Oracle Cloud Infrastructure

Furukawa Electric

En savoir plus sur la configuration d'un routeur électrique Furukawa pour un VPN site à site entre votre réseau sur site et le réseau cloud.

Cette configuration a été validée à l'aide d'une série Furukawa Electric FITELnet-F220/F221 exécutant le microprogramme 01.00(00)[0]00.00.0 [05/07/2019 15:00].

Important

Oracle fournit des instructions de configuration pour un ensemble testé de fournisseurs et dispositifs. Utilisez la configuration qui correspond à votre fournisseur et à la version de votre logiciel.

Si la version de l'appareil ou du logiciel qu'Oracle utilise pour vérifier la configuration ne correspond pas exactement à votre appareil ou logiciel, vous pouvez toujours créer la configuration nécessaire sur votre appareil. Consultez la documentation de votre fournisseur et effectuez tous les ajustements nécessaires.

Si votre dispositif correspond à un fournisseur ne figurant pas dans la liste des fournisseurs et des dispositifs vérifiés, ou si vous savez déjà configurer votre dispositif pour IPSec, consultez la liste des paramètres IPSec pris en charge et la documentation de votre fournisseur afin d'obtenir de l'aide.

Important

Oracle utilise un routage asymétrique sur les différents tunnels qui constituent la connexion IPSec. Même si vous configurez un tunnel en tant que tunnel principal et un autre en tant que tunnel de sauvegarde, le trafic de votre réseau cloud virtuel vers votre réseau sur site peut utiliser n'importe quel tunnel démarré sur le dispositif. Configurez les pare-feu en conséquence. Sinon, les tests ping ou le trafic d'application sur la connexion ne fonctionneront pas de façon fiable.

Avant de commencer

Avant de configurer le CPE, veillez à effectuer les opérations suivantes :

  • Configurez les paramètres de votre fournisseur Internet.
  • Configurez des règles de pare-feu pour ouvrir les ports UDP 500 et 4500, et ESP.

Domaine de cryptage ou ID de proxy pris en charge

Les valeurs du domaine de cryptage (également appelé ID de proxy, index de paramètre de sécurité ou sélecteur de trafic) varient selon que le CPE prend en charge les tunnels basés sur un routage ou ceux basés sur une stratégie. Pour plus d'informations sur les valeurs de domaine de cryptage correctes à utiliser, reportez-vous à Domaine de cryptage ou ID de proxy pris en charge.

Paramètres issus de l'API ou de la console

Obtenez les paramètres suivants à partir de l'API ou de la console Oracle Cloud Infrastructure.

${vpn-ip#}

  • Adresses de tunnel IPSec de la tête de réseau du VPN Oracle. Il existe une valeur pour chaque tunnel.
  • Exemples de valeur : 129.146.12.52, 129.146.13.52

${sharedSecret#}

  • Clé prépartagée ISAKMP IPSec. Il existe une valeur pour chaque tunnel.
  • Exemple de valeur : EXAMPLEDPfAMkD7nTH3SWr6OFabdT6exXn6enSlsKbE

${cpePublicIpAddress}

  • Adresse IP publique du CPE (précédemment mise à la disposition d'Oracle via la console).

${VcnCidrBlock}

  • Lors de la création du réseau cloud virtuel, votre société a sélectionné ce CIDR pour qu'il représente le réseau d'agrégat d'adresses IP pour tous les hôtes de réseau cloud virtuel.
  • Exemple de valeur : 10.0.0.0/20

Paramètres basés sur la configuration et l'état actuels du CPE

Les paramètres suivants reposent sur la configuration actuelle du CPE.

${tunnelNumber#}

  • Numéro d'interface identifiant le tunnel spécifique. Vous avez besoin d'un numéro d'unité non utilisé par tunnel.
  • Exemple de valeur : 1, 2

${isakmpPolicy}

  • Nom de la stratégie ISAKMP.
  • Exemple de valeur : isakmp-policy

${ipsecPolicy#}

  • Nom de la stratégie IPSec.
  • Exemple de valeur : ipsec-policy

${isakmpProfile#}

  • Nom de profil ISAKMP. Vous avez besoin d'un nom de profil ISAKMP non utilisé par tunnel.
  • Exemples de valeur : OCI-VPN-profile1, OCI-VPN-profile2

${selector}

  • Nom du sélecteur.
  • Exemple de valeur : OCI-VPN-selector

${map#}

  • Nom de la correspondance. Vous avez besoin d'un nom de correspondance non utilisé par tunnel.
  • Exemples de valeur : OCI-VPN-MAP1, OCI-VPN-MAP2

${customer-bgp-asn}

  • Votre numéro ASN BGP.
  • Exemple de valeur : 65000

${oracle-bgp-asn#}

  • Numéro ASN BGP d'Oracle.
  • Exemple de valeur : 31898

${customer-interface-ip#}

  • Interface de tunnel interne pour le CPE.
  • Exemple de valeur : 10.0.0.16/31

${oracle-interface-ip#}

  • Interface de tunnel interne pour ORACLE.
  • Exemple de valeur : 10.0.0.17/31

${router-id}

  • ID de routeur BGP.
  • Exemple de valeur : 10.0.0.16

Récapitulatif des paramètres du modèle de configuration

Chaque région possède plusieurs têtes de réseau IPSec Oracle. Le modèle suivant permet de configurer plusieurs tunnels sur le CPE, chacun vers une tête de réseau correspondante. Dans le tableau suivant, "Utilisateur" vous désigne ou désigne votre société.

Paramètre Source Exemple de valeur
${vpn-ip1} Console/API 129.146.12.52
${sharedSecret1} Console/API (chaîne longue)
${vpn-ip2} Console/API 129.146.13.52
${sharedSecret2} Console/API (chaîne longue)
${cpePublicIpAddress} Utilisateur 203.0.113.1
${VcnCidrBlock} Utilisateur 10.0.0.0/20
${tunnelNumber1} Utilisateur 1
${tunnelNumber1} Utilisateur 2
${isakmpPolicy} Utilisateur isakmp-policy
${ipsecPolicy} Utilisateur ipsec-policy
${isakmpProfile1} Utilisateur OCI-VPN-profile1
${isakmpProfile2} Utilisateur OCI-VPN-profile2
${selector} Utilisateur OCI-VPN-selector
${map1} Utilisateur OCI-VPN-MAP1
${map2} Utilisateur OCI-VPN-MAP2
${customer-bgp-asn} Console/API/Utilisateur 65000
${oracle-bgp-asn1} Console/API 31 898 *
${oracle-bgp-asn2} Console/API 31 898 *
${customer-interface-ip1} Console/API/Utilisateur 10.0.0.16/31
${customer-interface-ip2} Console/API/Utilisateur 10.0.0.18/31
${oracle-interface-ip1} Console/API/Utilisateur 10.0.0.17
${oracle-interface-ip2} Console/API/Utilisateur 10.0.0.19
${router-id} Utilisateur 10.0.0.16
* Le numéro ASN BGP d'Oracle pour le cloud commercial est 31898, à l'exception de la région Serbie centrale (Jovanovac), à savoir 14544.

Important

Les valeurs de paramètre de stratégie ISAKMP et IPSec suivantes sont applicables à un VPN site à site dans le cloud commercial. Pour Government Cloud, vous devez utiliser les valeurs répertoriées dans Paramètres de VPN site à site requis pour Government Cloud.

Options de stratégie ISAKMP

Paramètre Valeur recommandée
Version du protocole ISAKMP Version 1
Type d'échange Mode principal
Méthode d'authentification Clés prépartagées
Cryptage AES-256-cbc
Algorithme d'authentification HMAC-SHA1-96
Groupe Diffie-Hellman Groupe 5
Durée de vie de la clé de session IKE 28 800 secondes (8 heures)

Options de stratégie IPSec

Paramètre Valeur recommandée
Protocole IPSec ESP, mode tunnel
Cryptage AES-CBC/256
Algorithme d'authentification HMAC-SHA1-96/160
Groupe Diffie-Hellman Groupe 5
Confidentialité persistante Activé
Durée de vie de la clé de session IPSec 3 600 secondes (1 heure)

Configuration du CPE

Configuration ISAKMP et IPSec

crypto ipsec policy ${ipsecPolicy}
 set pfs group5
 set security-association transform-keysize aes 256 256 256
 set security-association transform esp-aes esp-sha-hmac
exit
!
crypto ipsec selector ${selector}
 src 1 ipv4 any
 dst 1 ipv4 any
exit
!
crypto isakmp policy ${isakmpPolicy}
 authentication pre-share
 encryption aes
 encryption-keysize aes 256 256 256
 group 5
 hash sha
exit
!
crypto isakmp profile ${isakmpProfile1}
 local-address ${cpePublicIpAddress}
 set isakmp-policy ${isakmpPolicy}
 set ipsec-policy ${ipsecPolicy}
 set peer ${vpn-ip1}
 ike-version 1
 local-key ascii ${sharedSecret1}
exit
!
crypto isakmp profile ${isakmpProfile2}
 local-address ${cpePublicIpAddress}
 set isakmp-policy ${isakmpPolicy}
set ipsec-policy ${ipsecPolicy}
set peer ${vpn-ip2}
ike-version 1
 local-key ascii ${sharedSecret2}
exit
!
crypto map ${map1} ipsec-isakmp
 match address ${selector}
set isakmp-profile ${isakmpProfile1}
exit
!
crypto map ${map2} ipsec-isakmp
 match address ${selector}
 set isakmp-profile ${isakmpProfile2}
exit
!
interface Tunnel ${tunnelNumber1}
 tunnel mode ipsec map ${map1}
ip address ${customer-interface-ip1}
exit
!
interface Tunnel ${tunnelNumber2}
 tunnel mode ipsec map ${map2}
 ip address ${customer-interface-ip2}
exit

Configuration BGP

ip route ${vcnCidrBlock} Tunnel ${tunnelNumber1}
ip route ${vcnCidrBlock} Tunnel ${tunnelNumber2}

Configuration des routages statiques

router bgp ${customer-bgp-asn}
 bgp router-id ${router-id}
 bgp log-neighbor-changes
 neighbor ${oracle-interface-ip1} ebgp-multihop 10
 neighbor ${oracle-interface-ip1} enforce-multihop
 neighbor ${oracle-interface-ip1} remote-as ${oracle-bgp-asn1}
 neighbor ${oracle-interface-ip1} update-source tunnel ${tunnelNumber1}
 neighbor ${oracle-interface-ip2} ebgp-multihop 10
 neighbor ${oracle-interface-ip2} enforce-multihop
 neighbor ${oracle-interface-ip2} remote-as ${oracle-bgp-asn2}
 neighbor ${oracle-interface-ip2} update-source tunnel ${tunnelNumber2}
 !
 address-family ipv4 unicast
  redistribute connected
exit