Série Yamaha RTX
Cette configuration a été validée avec un appareil RTX1210 exécutant la rév. 14.01.28 du microprogramme et un appareil RTX830 exécutant la rév. 15.02.03 du microprogramme.
Oracle fournit des instructions de configuration pour un ensemble testé de vendeurs et de dispositifs. Utilisez la configuration qui convient à votre fournisseur et à votre version du logiciel.
Si la version du dispositif ou du logiciel qu'Oracle utilise pour vérifier la configuration ne correspond pas exactement à votre dispositif ou logiciel, vous pouvez néanmoins créer la configuration nécessaire sur votre dispositif. Consultez la documentation de votre fournisseur et effectuez tous les ajustements nécessaires.
Si votre dispositif correspond à un fournisseur ne figurant pas dans la liste des fournisseurs et des dispositifs vérifiés, ou si vous savez déjà configurer votre dispositif pour IPSec, consultez la liste des paramètres IPSec pris en charge et la documentation de votre fournisseur afin d'obtenir de l'aide.
Oracle utilise un routage asymétrique sur les différents tunnels qui constituent la connexion IPSec. Même si vous configurez un tunnel en tant que tunnel principal et un autre en tant que tunnel de sauvegarde, le trafic de votre réseau cloud virtuel vers votre réseau sur site peut utiliser n'importe quel tunnel démarré sur le dispositif. Configurez les pare-feu en conséquence. Sinon, les tests ping ou le trafic d'application sur la connexion ne fonctionneront pas de façon fiable.
Avant de commencer
Avant de configurer le CPE, effectuez les opérations suivantes :
- Configurez les paramètres de votre fournisseur Internet.
- Configurez des règles de pare-feu pour ouvrir les ports UDP 500 et 4500, et ESP.
Domaine de cryptage ou ID de proxy pris en charge
Les valeurs du domaine de cryptage (également appelé ID de proxy, index de paramètre de sécurité ou sélecteur de trafic) varient selon que le CPE prend en charge les tunnels basés sur un routage ou ceux basés sur une stratégie. Pour plus d'informations sur les valeurs de domaine de cryptage correctes à utiliser, reportez-vous à Domaine de cryptage ou ID de proxy pris en charge.
Paramètres issus de l'API ou de la console
Obtenez les paramètres suivants à partir de l'API ou de la console Oracle Cloud Infrastructure.
${ipAddress#}
- Adresses de tunnel IPSec de la tête de réseau du VPN Oracle. Il existe une valeur pour chaque tunnel.
- Exemple de valeur : 129.146.12.52
${sharedSecret#}
- Clé prépartagée IKE IPSec. Il existe une valeur pour chaque tunnel.
- Exemple de valeur : EXAMPLEDPfAMkD7nTH3SWr6OFabdT6exXn6enSlsKbE
${cpePublicIpAddress}
- Adresse IP publique du CPE (précédemment mise à la disposition d'Oracle via la console).
${VcnCidrBlock}
- Lors de la création du réseau cloud virtuel, votre société a sélectionné ce CIDR pour qu'il représente le réseau d'agrégat d'adresses IP pour tous les hôtes de réseau cloud virtuel.
- Exemple de valeur : 10.0.0.0/20
Paramètres basés sur la configuration et l'état actuels du CPE
Les paramètres suivants reposent sur la configuration actuelle du CPE.
${tunnelInterface#}
- Numéro d'interface identifiant le tunnel spécifique.
- Exemple de valeur : 1
${ipsecPolicy#}
- Stratégie d'association de sécurité à utiliser pour l'interface incorporée sélectionnée.
- Exemple de valeur : 1
${localAddress}
- Adresse IP publique du CPE.
- Exemple de valeur : 146.56.2.52
Récapitulatif des paramètres du modèle de configuration
Chaque région possède plusieurs têtes de réseau IPSec Oracle. Le modèle suivant permet de configurer plusieurs tunnels sur le CPE, chacun vers une tête de réseau correspondante. Dans le tableau, "Utilisateur" vous désigne ou désigne votre société.
| Paramètre | Source | Exemple de valeur |
|---|---|---|
${ipAddress1}
|
Console/API | 129.146.12.52 |
${sharedSecret1}
|
Console/API | (chaîne longue) |
${ipAddress2}
|
Console/API | 129.146.13.52 |
${sharedSecret2}
|
Console/API | (chaîne longue) |
${cpePublicIpAddress}
|
Utilisateur | 1.2.3.4 |
${VcnCidrBlock}
|
Utilisateur | 10.0.0.0/20 |
Les valeurs de paramètre de stratégie ISAKMP et IPSec suivantes sont applicables à un VPN site à site dans le cloud commercial. Pour Government Cloud, vous devez utiliser les valeurs répertoriées dans Paramètres de VPN site à site requis pour Government Cloud.
Options de stratégie ISAKMP
| Paramètre | Valeur recommandée |
|---|---|
| Version du protocole ISAKMP | Version 1 |
| Type d'échange | Mode principal |
| Méthode d'authentification | Clés prépartagées |
| Cryptage | AES-256-cbc |
| Algorithme d'authentification | SHA-256 |
| Groupe Diffie-Hellman | Groupe 5 |
| Durée de vie de la clé de session IKE | 28 800 secondes (8 heures) |
Options de stratégie IPSec
| Paramètre | Valeur recommandée |
|---|---|
| Protocole IPSec | ESP, mode tunnel |
| Cryptage | AES-256-cbc |
| Algorithme d'authentification | HMAC-SHA1-96 |
| Groupe Diffie-Hellman | Groupe 5 |
| Confidentialité persistante | Activé |
| Durée de vie de la clé de session IPSec | 3 600 secondes (1 heure) |
Configuration du CPE
Configuration ISAKMP et IPSec
tunnel select 1
description tunnel OCI-VPN1
ipsec tunnel 1
ipsec sa policy 1 1 esp aes256-cbc sha-hmac
ipsec ike duration ipsec-sa 1 3600
ipsec ike duration isakmp-sa 1 28800
ipsec ike encryption 1 aes256-cbc
ipsec ike group 1 modp1536
ipsec ike hash 1 sha256
ipsec ike keepalive log 1 off
ipsec ike keepalive use 1 on dpd 5 4
ipsec ike local address 1 ${cpePublicIpAddress}
ipsec ike local id 1 0.0.0.0/0
ipsec ike nat-traversal 1 on
ipsec ike pfs 1 on
ipsec ike pre-shared-key 1 text ${sharedSecret1}
ipsec ike remote address 1 ${ipAddress1}
ipsec ike remote id 1 0.0.0.0/0
ip tunnel tcp mss limit auto
tunnel enable 1
tunnel select 2
description tunnel OCI-VPN2
ipsec tunnel 2
ipsec sa policy 2 2 esp aes256-cbc sha-hmac
ipsec ike duration ipsec-sa 2 3600
ipsec ike duration isakmp-sa 2 28800
ipsec ike encryption 2 aes256-cbc
ipsec ike group 2 modp1536
ipsec ike hash 2 sha256
ipsec ike keepalive log 2 off
ipsec ike keepalive use 2 on dpd 5 4
ipsec ike local address 2 ${cpePublicIpAddress}
ipsec ike local id 2 0.0.0.0/0
ipsec ike nat-traversal 2 on
ipsec ike pfs 2 on
ipsec ike pre-shared-key 2 text ${sharedSecret2}
ipsec ike remote address 2 ${ipAddress2}
ipsec ike remote id 2 0.0.0.0/0
ip tunnel tcp mss limit auto
tunnel enable 2
ipsec auto refresh on
Configuration des routages statiques
ip route ${VcnCidrBlock} gateway tunnel 1 hide gateway tunnel 2 hide