Furukawa Elettrico
Scopri come configurare un router Furukawa Electric per la VPN da sito a sito tra una rete on premise e una rete cloud.
Questa configurazione è stata convalidata utilizzando una serie Furukawa Electric FITELnet-F220/F221 con firmware 01.00(00)[0]00.00.0 [2019/07/05 15:00].
Oracle fornisce istruzioni di configurazione per un set testato di fornitori e dispositivi. Utilizzare la configurazione corretta per il fornitore e la versione software.
Se la versione del dispositivo o del software utilizzata da Oracle per verificare la configurazione non corrisponde esattamente al dispositivo o al software, è comunque possibile creare la configurazione necessaria sul dispositivo. Consultare la documentazione del fornitore ed apportare le modifiche necessarie.
Se il dispositivo proviene da un fornitore non incluso nell'elenco dei fornitori e dei dispositivi verificati o se si ha già familiarità con la configurazione del dispositivo per IPSec, vedere l'elenco di parametri IPSec supportati e consultare la documentazione del fornitore per assistenza.
Oracle utilizza l'instradamento asimmetrico tra i tunnel che compongono la connessione IPSec. Anche se configuri un tunnel come primario e un altro come backup, il traffico da una VCN a una rete in locale può utilizzare qualsiasi tunnel "attivo" su un dispositivo. Configurare i firewall in base alle esigenze. In caso contrario, i test di ping o il traffico delle applicazioni attraverso la connessione non funzionano in modo affidabile.
Prima dell'inizio
Prima di configurare il CPE, assicurarsi di:
- Configurare le impostazioni del provider Internet.
- Configurare le regole del firewall per aprire la porta UDP 500, la porta UDP 4500 e l'ESP.
Dominio di cifratura o ID proxy supportati
I valori per il dominio di cifratura (noto anche come ID proxy, SPI (Security Parameter Index) o selettore di traffico) dipendono dal fatto che un CPE supporti tunnel basati su instradamenti o tunnel basati su criteri. Per ulteriori informazioni sui valori corretti del dominio di cifratura da utilizzare, vedere Dominio di cifratura o ID proxy supportati.
Parametri dall'API o dalla console
Ottieni i seguenti parametri dalla console o dall'API di Oracle Cloud Infrastructure.
${vpn-ip#}
- Endpoint del tunnel IPSec headend di Oracle VPN. Un valore per tunnel.
- Valori di esempio: 129.146.12.52, 129.146.13.52
${sharedSecret#}
- Chiave precondivisa ISAKMP IPSec. Un valore per tunnel.
- Valore di esempio: EXAMPLEDPfAMkD7nTH3SWr6OFabdT6exXn6enSlsKbE
${cpePublicIpAddress}
- Indirizzo IP pubblico per il CPE (già reso disponibile a Oracle tramite la console).
${VcnCidrBlock}
- Quando si crea la VCN, l'azienda ha selezionato questo CIDR per rappresentare la rete di aggregazione IP per tutti gli host VCN.
- Valore di esempio: 10.0.0.0/20
Parametri basati su configurazione e stato corrente CPE
I parametri riportati di seguito si basano sulla configurazione CPE corrente.
${tunnelNumber#}
- Numero di interfaccia per identificare il tunnel specifico. È necessario un numero di unità non utilizzato per tunnel.
- Valore di esempio: 1, 2
${isakmpPolicy}
- Il nome del criterio ISAKMP.
- Valore di esempio: isakmp-policy
${ipsecPolicy#}
- Il nome del criterio IPSec.
- Valore di esempio: ipsec-policy
${isakmpProfile#}
- Nome del profilo ISAKMP. È necessario un nome di profilo ISAKMP non utilizzato per ogni tunnel.
- Valori di esempio: OCI-VPN-profile1, OCI-VPN-profile2
${selettore}
- Il nome del selettore.
- Valore di esempio: OCI-VPN-selector
${map#}
- Il nome della mappa. È necessario un nome mappa non utilizzato per ogni tunnel.
- Valori di esempio: OCI-VPN-MAP1, OCI-VPN-MAP2
${customer-bgp-asn}
- ASN BGP in locale.
- Valore di esempio: 65000
${oracle-bgp-asn#}
- ASN BGP di Oracle.
- Valore di esempio: 31898
${customer-interface-ip#}
- Interfaccia del tunnel interno per il CPE.
- Valore di esempio: 10.0.0.16/31
${oracle-interface-ip#}
- Interfaccia del tunnel interno per ORACLE.
- Valore di esempio: 10.0.0.17/31
${router-id}
- ID router BGP.
- Valore di esempio: 10.0.0.16
Riepilogo parametri modello configurazione
Ogni area dispone di diverse intestazioni IPSec Oracle. Il modello riportato di seguito consente di impostare tunnel ridondanti in un CPE, ognuno con un headend corrispondente. Nella tabella seguente, "Utente" è l'utente o l'azienda.
Parametro | Origine | Valore di esempio |
---|---|---|
${vpn-ip1}
|
Console/API | 129.146.12.52 |
${sharedSecret1}
|
Console/API | (stringa lunga) |
${vpn-ip2}
|
Console/API | 129.146.13.52 |
${sharedSecret2}
|
Console/API | (stringa lunga) |
${cpePublicIpAddress }
|
Utente | 203.0.113.1 |
${VcnCidrBlock}
|
Utente | 10.0.0.0/20 |
${tunnelNumber1}
|
Utente | 1 |
${tunnelNumber1}
|
Utente | 2 |
${isakmpPolicy}
|
Utente | criterio isakmp |
${ipsecPolicy}
|
Utente | criteri ipsec |
${isakmpProfile1}
|
Utente | OCI-VPN-profile1 |
${isakmpProfile2}
|
Utente | OCI-VPN-profile2 |
${selector}
|
Utente | Selettore OCI-VPN |
${map1}
|
Utente | OCI-VPN-MAP1 |
${map2}
|
Utente | OCI-VPN-MAP2 |
${customer-bgp-asn}
|
Console/API/Utente | 65.000 |
${oracle-bgp-asn1}
|
Console/API | 31.898 * |
${oracle-bgp-asn2}
|
Console/API | 31.898 * |
${customer-interface-ip1}
|
Console/API/Utente | 10.0.0.16/31 |
${customer-interface-ip2}
|
Console/API/Utente | 10.0.0.18/31 |
${oracle-interface-ip1}
|
Console/API/Utente | 10.0.0.17 |
${oracle-interface-ip2}
|
Console/API/Utente | 10.0.0.19 |
${router-id}
|
Utente | 10.0.0.16 |
* L'ASN BGP di Oracle per il cloud commerciale è 31898, ad eccezione dell'area centrale della Serbia (Jovanovac), che è 14544. |
I seguenti valori dei parametri dei criteri ISAKMP e IPSec sono applicabili alla VPN da sito a sito nel cloud commerciale. Per Government Cloud, è necessario utilizzare i valori elencati in Parametri VPN da sito a sito obbligatori per Government Cloud.
Opzioni dei criteri ISAKMP
Parametro | Valore consigliato |
---|---|
Versione protocollo ISAKMP | Versione 1 |
Tipo di cambio | Modalità principale |
Metodo di autenticazione | Chiavi precedenti alla condivisione |
Cifratura | AES-256-cbc |
Algoritmo di autenticazione | HMAC-SHA1-96 |
Gruppo Diffie-Hellman | Raggruppa 5 |
Durata della chiave di sessione IKE | 28.800 secondi (8 ore) |
IPSec Opzioni criteri
Parametro | Valore consigliato |
---|---|
Protocollo IPSec | ESP, modalità tunnel |
Cifratura | AES-CBC/256 |
Algoritmo di autenticazione | HMAC-SHA1-96/160 |
Gruppo Diffie-Hellman | Raggruppa 5 |
Perfect Forward Secrecy | abilitato |
IPSec durata della chiave di sessione | 3600 secondi (1 ora) |
Configurazione CPE
Configurazione di ISAKMP e IPSec
crypto ipsec policy ${ipsecPolicy}
set pfs group5
set security-association transform-keysize aes 256 256 256
set security-association transform esp-aes esp-sha-hmac
exit
!
crypto ipsec selector ${selector}
src 1 ipv4 any
dst 1 ipv4 any
exit
!
crypto isakmp policy ${isakmpPolicy}
authentication pre-share
encryption aes
encryption-keysize aes 256 256 256
group 5
hash sha
exit
!
crypto isakmp profile ${isakmpProfile1}
local-address ${cpePublicIpAddress}
set isakmp-policy ${isakmpPolicy}
set ipsec-policy ${ipsecPolicy}
set peer ${vpn-ip1}
ike-version 1
local-key ascii ${sharedSecret1}
exit
!
crypto isakmp profile ${isakmpProfile2}
local-address ${cpePublicIpAddress}
set isakmp-policy ${isakmpPolicy}
set ipsec-policy ${ipsecPolicy}
set peer ${vpn-ip2}
ike-version 1
local-key ascii ${sharedSecret2}
exit
!
crypto map ${map1} ipsec-isakmp
match address ${selector}
set isakmp-profile ${isakmpProfile1}
exit
!
crypto map ${map2} ipsec-isakmp
match address ${selector}
set isakmp-profile ${isakmpProfile2}
exit
!
interface Tunnel ${tunnelNumber1}
tunnel mode ipsec map ${map1}
ip address ${customer-interface-ip1}
exit
!
interface Tunnel ${tunnelNumber2}
tunnel mode ipsec map ${map2}
ip address ${customer-interface-ip2}
exit
Configurazione BGP
ip route ${vcnCidrBlock} Tunnel ${tunnelNumber1}
ip route ${vcnCidrBlock} Tunnel ${tunnelNumber2}
Configurazione degli instradamenti statici
router bgp ${customer-bgp-asn}
bgp router-id ${router-id}
bgp log-neighbor-changes
neighbor ${oracle-interface-ip1} ebgp-multihop 10
neighbor ${oracle-interface-ip1} enforce-multihop
neighbor ${oracle-interface-ip1} remote-as ${oracle-bgp-asn1}
neighbor ${oracle-interface-ip1} update-source tunnel ${tunnelNumber1}
neighbor ${oracle-interface-ip2} ebgp-multihop 10
neighbor ${oracle-interface-ip2} enforce-multihop
neighbor ${oracle-interface-ip2} remote-as ${oracle-bgp-asn2}
neighbor ${oracle-interface-ip2} update-source tunnel ${tunnelNumber2}
!
address-family ipv4 unicast
redistribute connected
exit