Série Yamaha RTX
Cette configuration a été validée avec un appareil RTX1210 exécutant la rév. 14.01.28 du microprogramme et un appareil RTX830 exécutant la rév. 15.02.03 du microprogramme.
Oracle fournit des instructions de configuration pour un ensemble testé de fournisseurs et de dispositifs. Utilisez la configuration appropriée pour le fournisseur et la version du logiciel.
Si la version de l'appareil ou du logiciel qu'Oracle utilise pour vérifier la configuration ne correspond pas exactement à l'appareil ou au logiciel, vous pouvez néanmoins créer la configuration nécessaire sur l'appareil. Consultez la documentation du fournisseur et apportez les modifications nécessaires.
Si le périphérique provient d'un fournisseur ne figurant pas dans la liste des fournisseurs et des périphériques vérifiés, ou si vous savez déjà configurer le périphérique pour IPSec, reportez-vous à la liste des paramètres IPSec pris en charge et à la documentation du fournisseur pour obtenir de l'aide.
Oracle utilise un routage asymétrique sur les autres tunnels qui constituent la connexion IPSec. Même si vous configurez un tunnel comme principal et un autre comme sauvegarde, le trafic d'un VCN vers un réseau sur site peut utiliser n'importe quel tunnel démarré sur un périphérique. Configurez les pare-feu selon vos besoins. Sinon, les tests ping ou le trafic d'application sur la connexion ne fonctionnent pas de façon fiable.
Avant de commencer
Avant de configurer le CPE :
- Configurez les paramètres du fournisseur Internet.
- Configurez des règles de pare-feu pour ouvrir les ports UDP 500 et 4500, et ESP.
Domaine de cryptage ou ID de proxy pris en charge
Les valeurs du domaine de cryptage ( également connu sous le nom d'ID de proxy, d'index de paramètre de sécurité ou de sélecteur de trafic) varient si un CPE prend en charge les tunnels basés sur un routage ou ceux basés sur une stratégie. Pour plus d'informations sur les valeurs de domaine de cryptage correctes à utiliser, reportez-vous à Domaine de cryptage ou ID de proxy pris en charge.
Paramètres issus de l'API ou de la console
Obtenez les paramètres suivants à partir de l'API ou de la console Oracle Cloud Infrastructure :
${ipAddress#}
- Adresses de tunnel IPSec de la tête de réseau du VPN Oracle. Une valeur par tunnel.
- Exemple de valeur : 129.146.12.52
${sharedSecret#}
- Clé prépartagée IKE IPSec. Une valeur par tunnel.
- Exemple de valeur : EXAMPLEDPfAMkD7nTH3SWr6OFabdT6exXn6enSlsKbE
${cpePublicIpAddress}
- Adresse IP publique du CPE (déjà mise à disposition d'Oracle via la console).
${VcnCidrBlock}
- Lors de la création du réseau cloud virtuel, votre société a sélectionné ce CIDR pour qu'il représente le réseau d'agrégat d'adresses IP pour tous les hôtes de réseau cloud virtuel.
- Exemple de valeur : 10.0.0.0/20
Paramètres basés sur la configuration et l'état actuels du CPE
Les paramètres suivants reposent sur la configuration actuelle du CPE.
${tunnelInterface#}
- Numéro d'interface identifiant le tunnel spécifique.
- Exemple de valeur : 1
${ipsecPolicy#}
- Stratégie d'association de sécurité à utiliser pour l'interface incorporée sélectionnée.
- Exemple de valeur : 1
${localAddress}
- Adresse IP publique du CPE.
- Exemple de valeur : 146.56.2.52
Récapitulatif des paramètres du modèle de configuration
Chaque région dispose de plusieurs têtes de réseau Oracle IPSec. Le modèle suivant vous aide à configurer plusieurs tunnels sur un CPE, chacun vers un système frontal de communication correspondant. Dans le tableau, "Utilisateur" vous désigne votre société ou vous-même.
| Paramètre | Source | Exemple de valeur |
|---|---|---|
${ipAddress1}
|
Console/API | 129.146.12.52 |
${sharedSecret1}
|
Console/API | (chaîne longue) |
${ipAddress2}
|
Console/API | 129.146.13.52 |
${sharedSecret2}
|
Console/API | (chaîne longue) |
${cpePublicIpAddress}
|
Utilisateur | 1.2.3.4 |
${VcnCidrBlock}
|
Utilisateur | 10.0.0.0/20 |
Les valeurs de paramètre de stratégie ISAKMP et IPSec suivantes sont applicables à un VPN site à site dans le cloud commercial. Pour Government Cloud, vous devez utiliser les valeurs répertoriées dans Paramètres de VPN site à site requis.
Options de stratégie ISAKMP
| Paramètre | Valeur recommandée |
|---|---|
| Version du protocole ISAKMP | Version 1 |
| Type d'échange | Mode principal |
| Méthode d'authentification | Clés prépartagées |
| Cryptage | AES-256-cbc |
| Algorithme d'authentification | SHA-256 |
| Groupe Diffie-Hellman | Groupe 5 |
| Durée de vie de la clé de session IKE | 28 800 secondes (8 heures) |
Options de stratégie IPSec
| Paramètre | Valeur recommandée |
|---|---|
| Protocole IPSec | ESP, mode tunnel |
| Cryptage | AES-256-cbc |
| Algorithme d'authentification | HMAC-SHA1-96 |
| Groupe Diffie-Hellman | Groupe 5 |
| Confidentialité persistante | Activé |
| Durée de vie de la clé de session IPSec | 3 600 secondes (1 heure) |
Configuration du CPE
Configuration ISAKMP et IPSec
tunnel select 1
description tunnel OCI-VPN1
ipsec tunnel 1
ipsec sa policy 1 1 esp aes256-cbc sha-hmac
ipsec ike duration ipsec-sa 1 3600
ipsec ike duration isakmp-sa 1 28800
ipsec ike encryption 1 aes256-cbc
ipsec ike group 1 modp1536
ipsec ike hash 1 sha256
ipsec ike keepalive log 1 off
ipsec ike keepalive use 1 on dpd 5 4
ipsec ike local address 1 ${cpePublicIpAddress}
ipsec ike local id 1 0.0.0.0/0
ipsec ike nat-traversal 1 on
ipsec ike pfs 1 on
ipsec ike pre-shared-key 1 text ${sharedSecret1}
ipsec ike remote address 1 ${ipAddress1}
ipsec ike remote id 1 0.0.0.0/0
ip tunnel tcp mss limit auto
tunnel enable 1
tunnel select 2
description tunnel OCI-VPN2
ipsec tunnel 2
ipsec sa policy 2 2 esp aes256-cbc sha-hmac
ipsec ike duration ipsec-sa 2 3600
ipsec ike duration isakmp-sa 2 28800
ipsec ike encryption 2 aes256-cbc
ipsec ike group 2 modp1536
ipsec ike hash 2 sha256
ipsec ike keepalive log 2 off
ipsec ike keepalive use 2 on dpd 5 4
ipsec ike local address 2 ${cpePublicIpAddress}
ipsec ike local id 2 0.0.0.0/0
ipsec ike nat-traversal 2 on
ipsec ike pfs 2 on
ipsec ike pre-shared-key 2 text ${sharedSecret2}
ipsec ike remote address 2 ${ipAddress2}
ipsec ike remote id 2 0.0.0.0/0
ip tunnel tcp mss limit auto
tunnel enable 2
ipsec auto refresh on
Configuration des routages statiques
ip route ${VcnCidrBlock} gateway tunnel 1 hide gateway tunnel 2 hide