Juniper MX
Questo argomento fornisce la configurazione per un software Juniper MX in esecuzione versione JunOS 15.0 (o più recente).
Oracle fornisce istruzioni di configurazione per un set testato di fornitori e dispositivi. Utilizzare la configurazione corretta per il fornitore e la versione software.
Se la versione del dispositivo o del software utilizzata da Oracle per verificare la configurazione non corrisponde esattamente al dispositivo o al software, è comunque possibile creare la configurazione necessaria sul dispositivo. Consultare la documentazione del fornitore ed apportare le modifiche necessarie.
Se il dispositivo proviene da un fornitore non incluso nell'elenco dei fornitori e dei dispositivi verificati o se si ha già familiarità con la configurazione del dispositivo per IPSec, vedere l'elenco di parametri IPSec supportati e consultare la documentazione del fornitore per assistenza.
VPN da offersSite a sito Oracle Cloud Infrastructure, una connessione IPSec sicura tra una rete on premise e una rete cloud virtuale (VCN).
Il diagramma riportato di seguito mostra una connessione IPSec di base a Oracle Cloud Infrastructure con tunnel ridondanti. Gli indirizzi IP utilizzati in questo diagramma sono solo a scopo di esempio.
Procedure ottimali
Questa sezione descrive le best practice generali e le considerazioni da tenere presenti per l'utilizzo della VPN da sito a sito.
Configura tutti i tunnel per ogni connessione IPSec
Oracle distribuisce due headend IPSec per le connessioni per fornire alta disponibilità per i carichi di lavoro mission-critical. Per quanto riguarda Oracle, questi due headend si trovano su router diversi a scopo di ridondanza. Si consiglia di configurare tutti i tunnel disponibili per la massima ridondanza. Questa è una parte fondamentale della filosofia "Design for Failure".
Disporre di CPE ridondanti nelle posizioni di rete in locale
Consigliamo a ogni sito che si connette con IPSec a Oracle Cloud Infrastructure di disporre di dispositivi edge ridondanti (noti anche come customer-premise equipment (CPE)). Ogni CPE viene aggiunto alla console Oracle e viene creata una connessione IPSec separata tra un gateway di instradamento dinamico (DRG) e ogni CPE. Per ogni connessione IPSec, Oracle esegue il provisioning di due tunnel in headend IPSec ridondanti a livello geografico. Per ulteriori informazioni, consulta la Guida alla ridondanza della connettività (PDF).
Considerazioni sul protocollo di instradamento
Quando si crea una connessione VPN da sito a sito IPSec, sono disponibili due tunnel IPSec ridondanti. Oracle ti consiglia di configurare il CPE in modo che utilizzi entrambi i tunnel (se il CPE lo supporta). In passato, Oracle ha creato connessioni IPSec con un massimo di quattro tunnel IPSec.
Sono disponibili i tre tipi di instradamento seguenti e si seleziona il tipo di instradamento separatamente per ogni tunnel nella VPN da sito a sito:
- Instradamento dinamico BGP: gli instradamenti disponibili vengono acquisiti in modo dinamico tramite BGP. Il DRG apprende in modo dinamico gli instradamenti dalla rete in locale. Sul lato Oracle, il gateway DRG pubblica le subnet della VCN.
- Instradamento statico: quando si imposta la connessione IPSec al DRG, si specificano gli instradamenti specifici alla rete in locale di cui si desidera che la VCN sia a conoscenza. Inoltre, devi configurare il dispositivo CPE con instradamenti statici alle subnet della VCN. Questi percorsi non vengono appresi in modo dinamico.
- Instradamento basato su criteri: quando si imposta la connessione IPSec al DRG, si specificano gli instradamenti specifici alla rete in locale di cui si desidera che la VCN sia a conoscenza. Inoltre, devi configurare il dispositivo CPE con instradamenti statici alle subnet della VCN. Questi percorsi non vengono appresi in modo dinamico.
Per ulteriori informazioni sull'instradamento con VPN da sito a sito, inclusi i suggerimenti Oracle su come manipolare l'algoritmo di selezione del percorso migliore BGP, vedere Instradamento per VPN da sito a sito.
Altre importanti configurazioni CPE
Assicurarsi che le liste di accesso nel CPE siano configurate correttamente per non bloccare il traffico necessario da o verso Oracle Cloud Infrastructure.
Se si dispone di più tunnel contemporaneamente, si potrebbe verificare l'instradamento asimmetrico. Per tenere conto dell'instradamento asimmetrico, assicurarsi che il CPE sia configurato per gestire il traffico proveniente dalla VCN in uno qualsiasi dei tunnel. Ad esempio, è necessario disabilitare l'ispezione ICMP, configurare il bypass dello stato TCP. Per ulteriori dettagli sulla configurazione appropriata, contattare il supporto del fornitore CPE. Per configurare l'instradamento in modo che sia simmetrico, vedere Instradamento per VPN da sito a sito.
Grotte e limitazioni
Questa sezione copre le caratteristiche e le limitazioni importanti generali di Site-to-Site VPN di cui essere a conoscenza. Per esaminare un elenco dei limiti applicabili e le istruzioni per richiedere un incremento del limite, consulta i limiti del servizio.
Instradamento asimmetrico
Oracle utilizza il routing asimmetrico tra i tunnel che compongono la connessione IPSec. Configurare i firewall tenendo presente questo aspetto. In caso contrario, i test di ping o il traffico dell'applicazione attraverso la connessione non funzionano in modo affidabile.
Quando utilizzi diversi tunnel per Oracle Cloud Infrastructure, ti consigliamo di configurare l'instradamento per instradare il traffico in modo deterministico attraverso il tunnel preferito. Per utilizzare un tunnel IPSec come primario e un altro come backup, configurare instradamenti più specifici per il tunnel primario (BGP) e instradamenti meno specifici (instradamento sintetico o predefinito) per il tunnel di backup (BGP/statico). In caso contrario, se si pubblica lo stesso instradamento (ad esempio, un instradamento predefinito) attraverso tutti i tunnel, restituire il traffico da una VCN a un instradamento di rete in locale a uno qualsiasi dei tunnel disponibili. Questo perché Oracle utilizza l'instradamento asimmetrico.
Per suggerimenti di instradamento Oracle specifici su come forzare l'instradamento simmetrico, vedere Instradamento per VPN da sito a sito.
VPN da sito a sito basata su instradamento o criteri
Il protocollo IPSec utilizza le associazioni di sicurezza (SA) per decidere come cifrare i pacchetti. All'interno di ogni SA, è possibile definire i domini di cifratura per mappare l'indirizzo IP di origine e destinazione di un pacchetto e il tipo di protocollo a una voce nel database SA per definire come cifrare o decifrare un pacchetto.
Altri fornitori o la documentazione del settore possono utilizzare il termine ID proxy, indice dei parametri di sicurezza (SPI) o selettore del traffico quando si fa riferimento a SA o domini di cifratura.
Esistono due metodi generali per l'implementazione dei tunnel IPSec:
- Tunnel basati su instradamento: chiamato anche tunnel basati sul prossimo hop. La ricerca della tabella di instradamento viene eseguita sull'indirizzo IP di destinazione di un pacchetto. Se l'interfaccia di uscita di tale instradamento è un tunnel IPSec, il pacchetto viene cifrato e inviato all'altra estremità del tunnel.
- Tunnel basati su criteri: l'indirizzo IP e il protocollo di origine e destinazione del pacchetto corrispondono a una lista di istruzioni dei criteri. Se viene trovata una corrispondenza, il pacchetto viene cifrato in base alle regole in tale istruzione di criterio.
I backend VPN da sito a sito Oracle utilizzano tunnel basati su instradamento, ma possono funzionare con tunnel basati su criteri con alcune avvertenze elencate nelle sezioni riportate di seguito.
Se il CPE supporta tunnel basati su instradamento, utilizzare tale metodo per configurare il tunnel. Questa è la configurazione più semplice con la massima interoperabilità con l'headend VPN di Oracle.
IPSec basato su instradamento utilizza un dominio di cifratura con i valori riportati di seguito.
- Indirizzo IP di origine: qualsiasi (0.0.0.0/0)
- Indirizzo IP di destinazione: qualsiasi (0.0.0.0/0)
- Protocollo: IPv4
Se è necessario essere più specifici, è possibile utilizzare un unico instradamento di riepilogo per i valori del dominio di cifratura anziché un instradamento predefinito.
Quando si utilizzano i tunnel basati su criteri, ogni voce di criterio (un blocco CIDR su un lato della connessione IPSec) definita genera un'associazione di sicurezza (SA) IPSec con ogni voce idonea sull'altra estremità del tunnel. Questa coppia viene definita dominio di cifratura.
In questo diagramma, l'estremità DRG Oracle del tunnel IPSec contiene voci dei criteri per tre blocchi CIDRIPv4 CIDR IPv4 e un blocco CIDR IPv6. La fine CPE in locale del tunnel contiene le voci dei criteri due blocchi CIDRIPv4 CIDR IPv4 e due blocchi CIDR IPv6. Ogni voce genera un dominio di cifratura con tutte le voci possibili sull'altra estremità del tunnel. Entrambi i lati di una coppia SA devono utilizzare la stessa versione di IP. Il risultato è un totale di otto domini di cifratura.
Se il CPE supporta solo tunnel basati su criteri, tenere presenti le limitazioni riportate di seguito.
- La VPN da sito a sito supporta più domini di cifratura, ma ha un limite massimo di 50 domini di cifratura.
- Se si è verificata una situazione simile all'esempio precedente e sono stati configurati solo tre dei sei possibili domini di cifratura IPv4 sul lato CPE, il collegamento verrà elencato in uno stato "Partial UP" poiché tutti i possibili domini di cifratura vengono sempre creati sul lato DRG.
- A seconda di quando è stato creato un tunnel, potrebbe non essere possibile modificare un tunnel esistente per utilizzare l'instradamento basato su criteri e potrebbe essere necessario sostituire il tunnel con un nuovo tunnel IPSec.
- I blocchi CIDR utilizzati all'estremità del tunnel del DRG Oracle non possono sovrapporsi ai blocchi CIDR utilizzati all'estremità CPE in locale del tunnel.
- Un dominio di cifratura deve sempre trovarsi tra due blocchi CIDR della stessa versione IP.
Se il CPE si trova dietro un dispositivo NAT
In generale, l'identificativo CPE IKE configurato all'estremità in locale della connessione deve corrispondere all'identificativo CPE IKE utilizzato da Oracle. Per impostazione predefinita, Oracle utilizza l'indirizzo IP pubblico del CPE, fornito quando si crea l'oggetto CPE nella console Oracle. Tuttavia, se un CPE si trova dietro un dispositivo NAT, l'identificativo CPE IKE configurato all'interno dell'ambiente on premise potrebbe essere l'indirizzo IP privato del CPE, come mostrato nel diagramma seguente.
Alcune piattaforme CPE non consentono di modificare l'identificativo IKE locale. In caso contrario, è necessario modificare l'ID IKE remoto nella console Oracle per trovare la corrispondenza con l'ID IKE locale del CPE. È possibile fornire il valore quando si imposta la connessione IPSec o in un secondo momento modificando la connessione IPSec. Oracle prevede che il valore sia un indirizzo IP o un nome dominio completamente qualificato (FQDN), ad esempio cpe.example.com. Per istruzioni, consulta la sezione relativa alla modifica dell'identificativo CPE IKE utilizzato da Oracle.
Parametri IPSec supportati
Per un elenco dei parametri IPSec supportati indipendentemente dal fornitore per tutte le aree, vedere Parametri IPSec supportati.
L'ASN BGP Oracle per il realm del cloud commerciale è 31898. Se si sta configurando una VPN da sito a sito per il cloud del governo degli Stati Uniti, vedere Parametri VPN da sito a sito obbligatori per Government Cloud e anche ASN BGP di Oracle. Per il cloud del governo del Regno Unito, consulta la sezione relativa alle aree.
Configurazione CPE
Le istruzioni di configurazione in questa sezione sono fornite da Oracle Cloud Infrastructure per questo CPE. Se hai bisogno di supporto o ulteriore assistenza, contatta direttamente il supporto del fornitore CPE.
La figura seguente mostra il layout di base della connessione IPSec.
Il modello di configurazione fornito è per un router Juniper MX che esegue JunOS 15.0 (o più recente). Il modello fornisce informazioni per ogni tunnel da configurare. Si consiglia di impostare tutti i tunnel configurati per la massima ridondanza.
Il modello di configurazione fa riferimento ai seguenti elementi che è necessario fornire:
- Indirizzo IP pubblico CPE: l'indirizzo IP instradabile via Internet assegnato all'interfaccia esterna nel CPE. L'utente o l'amministratore Oracle fornisce questo valore a Oracle durante la creazione dell'oggetto CPE nella console di Oracle.
- Interfaccia del tunnel interno (obbligatoria se si utilizza BGP): gli indirizzi IP per le estremità CPE e Oracle dell'interfaccia del tunnel interno. Questi valori vengono forniti quando si crea la connessione IPSec nella console Oracle.
- ASN BGP (obbligatorio se si utilizza BGP): l'ASN BGP in locale.
È inoltre necessario:
- Configurare l'interfaccia pubblica Juniper MX (l'indirizzo IP pubblico CPE è associato a questa interfaccia).
-
Configurare l'instradamento interno che instrada il traffico tra il CPE e la rete locale.
- Configurare le interfacce del tunnel. Per ulteriori informazioni, vedere la prossima sezione.
Informazioni sulle interfacce di tunneling
Nel seguente modello di configurazione, alle interfacce tunnel viene fatto riferimento con le seguenti variabili:
-
msInterface#: uno per tunnel- Queste interfacce corrispondono ad uno dei quattro ASIC di cifratura sulla scheda MS-MPC.
- È possibile distribuire il carico tra gli ASIC distribuendo tunnel tra loro.
- Valori di esempio: ms-2/3/0, ms-2/3/1
-
insideMsUnit#eoutsideMsUnit#: una coppia per tunnel- Per ogni tunnel, è necessaria una coppia di unità di interfaccia ms-mpc.
- Uno rappresenta l'esterno del tunnel IPSec. L'altro rappresenta l'interno del tunnel.
- Il router inoltra i pacchetti dalla rete in locale alla VCN nell'unità interna.
- L'ASIC di cifratura esegue quindi la cifratura dei pacchetti in base alle regole e ai criteri.
- Quindi il pacchetto crittografato esce dall'unità esterna come pacchetto ESP, pronto per essere inoltrato ai router headend VPN Oracle.
- Esistono oltre 16.000 valori possibili per i numeri di unità.
- Un modo per allocare le unità è compensarle di 8.000.
- È possibile selezionare valori compresi tra 0 e 7999 per
insideMsUnit#e tra 8000 e 15999 peroutsideMsUnit#.
Questo modello di configurazione seguente di Oracle Cloud Infrastructure è un punto di partenza per ciò che devi applicare al CPE. Alcuni parametri a cui viene fatto riferimento nel modello devono essere univoci nel CPE e l'univocità può essere trovata solo accedendo al CPE. Assicurarsi che i parametri siano validi nel CPE e non sovrascrivere i valori già configurati. In particolare, assicurarsi che questi valori siano univoci:
- Nome o numero di criteri
- Nomi interfacce
- Numeri degli elenchi di accesso (se applicabili)
Per trovare i parametri da definire prima di applicare la configurazione, cercare la parola chiave USER_DEFINED nel modello.
Informazioni sull'utilizzo di IKEv2
Oracle supporta Internet Key Exchange versione 1 (IKEv1) e versione 2 (IKEv2). Se si configura la connessione IPSec nella console per utilizzare IKEv2, è necessario configurare il CPE in modo che utilizzi solo IKEv2 e i parametri di cifratura IKEv2 correlati supportati dal CPE. Per un elenco dei parametri supportati da Oracle per IKEv1 o IKEv2, vedere Parametri IPSec supportati.
È possibile specificare la versione IKE durante la definizione del criterio IKE. Nella configurazione seguente, un commento mostra come configurare il criterio IKE per l'utilizzo di IKEv1 o IKEv2.
Modello di configurazione
Visualizzare il modello di configurazione a schermo intero per facilitare la lettura.
--------------------------------------------------------------------------------------------------------------------------------------------------------------
# Configuration Template
# The configuration consists of two IPSec tunnels. Oracle highly recommends that you configure both tunnels for maximum redundancy.
--------------------------------------------------------------------------------------------------------------------------------------------------------------
# The configuration template involves setting up the following:
# PHASE 1
# PHASE 2
# SETTING THE TUNNEL INTERFACES FOR ORACLE
# SETTING THE SERVICES FOR ORACLE.
# SETTING BGP/STATIC ROUTING
# SETTING ROUTING-INSTANCES FOR ORACLE (OPTIONAL).
--------------------------------------------------------------------------------------------------------------------------------------------------------------
# The configuration template has various parameters that you must define before applying the configuration.
# Search in the template for the keyword "USER_DEFINED" to find those parameters.
--------------------------------------------------------------------------------------------------------------------------------------------------------------
# PARAMETERS REFERENCED:
# oracle_headend_1 = Oracle public IP endpoint obtained from the Oracle Console.
# oracle_headend_2 = Oracle public IP endpoint obtained from the Oracle Console.
# connection_presharedkey_1 = You provide when you set up the IPSec connection in the Oracle Console, or you can use the default Oracle-provided value.
# connection_presharedkey_2 = You provide when you set up the IPSec connection in the Oracle Console, or you can use the default Oracle-provided value.
# cpe_public_ip_address = The internet-routable IP address that is assigned to the public interface on the CPE. You provide this when creating the CPE object in the Oracle Console.
# cpe_public_interface = The name of the Juniper interface where the CPE IP address is configured. Eg: ge-0/0/1.0
# msInterface1 = The interface correspond to one of the four encryption ASICs on the MS-MPC card. Eg: ms-2/3/0, ms-2/3/1
# msInterface2 = Second tunnel interface that needs to be configured. Eg: ms-2/3/0, ms-2/3/1
# insideMsUnit1 = The inside interface of the MS-MPC interface pair for tunnel_1
# insideMsUnit2 = The inside interface of the MS-MPC interface pair for tunnel_2
# outsideMsUnit1 = The outside interface of the MS-MPC interface pair for tunnel_1
# outsideMsUnit2 = The outside interface of the MS-MPC interface pair for tunnel_2
# inside_tunnel_interface_ip_address = The IP addresses for the CPE and Oracle ends of the inside tunnel interface. You provide these when creating the IPSec connection in the Oracle Console.
# inside_tunnel_interface_ip_address_neighbor = The neighbor IP address between the MX and Oracle end points of the inside tunnel interface.
# bgp_asn = Your ASN
# vcn_range = VCN IP Range
# OPTIONAL PARAMETERS:
# customer_on-prem_to_oracle = Name of the routing instance to be defined on the CPE for the tunnel interfaces connecting to the Oracle headends.
# internet_routing_instance = Name of the routing instance to be defined on the CPE for the tunnel interfaces that are connected to the Internet.
--------------------------------------------------------------------------------------------------------------------------------------------------------------
# IPSec Tunnel 1
# #1: Internet Key Exchange (IKE) Configuration (Phase 1)
# Defining the IKE Proposal for Oracle
# This IKE (Phase 1) configuration template uses AES256, SHA384, Diffie-Hellman Group 5, and 28800 second (8 hours) IKE session key lifetime.
# If different parameters are required, modify this template before applying the configuration.
set services ipsec-vpn ike proposal oracle-ike-proposal authentication-method pre-shared-keys
set services ipsec-vpn ike proposal oracle-ike-proposal authentication-algorithm sha-384
set services ipsec-vpn ike proposal oracle-ike-proposal encryption-algorithm aes-256-cbc
set services ipsec-vpn ike proposal oracle-ike-proposal lifetime-seconds 28800
set services ipsec-vpn ike proposal oracle-ike-proposal dh-group group5
# Defining the IKE Policy for Oracle
# USER_DEFINED: Replace the parameters in the section below as needed
# If using IKEv1, uncomment the following two lines, and comment out the line after (the line with "version 2" at the end)
# set services ipsec-vpn ike policy oracle-ike-policy-tunnel_1 mode main
# set services ipsec-vpn ike policy oracle-ike-policy-tunnel_1 version 1
set services ipsec-vpn ike policy oracle-ike-policy-tunnel_1 version 2
set services ipsec-vpn ike policy oracle-ike-policy-tunnel_1 proposals oracle-ike-proposal
set services ipsec-vpn ike policy oracle-ike-policy-tunnel_1 local-id ipv4_addr <cpe_public_ip_address>
set services ipsec-vpn ike policy oracle-ike-policy-tunnel_1 remote-id ipv4_addr <oracle_headend_1>
set services ipsec-vpn ike policy oracle-ike-policy-tunnel_1 pre-shared-key ascii-text <connection_presharedkey_1>
# Setting up Public Interface with the CPE Public IP.
# USER_DEFINED: Replace the parameters in the section below as needed
set interfaces <cpe_public_interface> unit 0 family inet address <cpe_public_ip_address>
# #2: IPSec Configuration
# Defining the IPSec (Phase 2) Proposal for Oracle
# The IPSec proposal defines the protocol, authentication, encryption, and lifetime parameters for the IPsec security association.
# The configuration template sets AES256 for encryption, SHA256 for authentication, enables PFS group 14, and sets the IPSec session key lifetime to 3600 seconds (1 hour).
# The IPsec policy incorporates the Diffie-Hellman group and the IPsec proposal.
# If different parameters are required, modify this template before applying the configuration.
set services ipsec-vpn ipsec proposal oracle-ipsec-proposal
set services ipsec-vpn ipsec proposal oracle-ipsec-proposal protocol esp
set services ipsec-vpn ipsec proposal oracle-ipsec-proposal authentication-algorithm hmac-sha-256-128
set services ipsec-vpn ipsec proposal oracle-ipsec-proposal encryption-algorithm aes-256-cbc
set services ipsec-vpn ipsec proposal oracle-ipsec-proposal lifetime-seconds 3600
# Defining the IPSec (PHASE 2) policy for Oracle
set services ipsec-vpn ipsec policy oracle-ipsec-policy perfect-forward-secrecy keys group14
set services ipsec-vpn ipsec policy oracle-ipsec-policy proposals oracle-ipsec-proposal
# Defining Security Association for Oracle
# USER_DEFINED: Replace the parameters in the section below as needed.
# The IKE and IPSEC policies are associated with the tunnel interface. Eg: ms-2/3/0.101
# The IPsec Dead Peer Detection option causes periodic messages to be sent to ensure a Security Association remains operational.
set services ipsec-vpn rule oracle-vpn-tunnel_1 term 1 from ipsec-inside-interface <msInterface1>.<insideMsUnit1>
set services ipsec-vpn rule oracle-vpn-tunnel_1 term 1 then remote-gateway <oracle_headend_1>
set services ipsec-vpn rule oracle-vpn-tunnel_1 term 1 then dynamic ike-policy oracle-ike-policy-tunnel_1
set services ipsec-vpn rule oracle-vpn-tunnel_1 term 1 then dynamic ipsec-policy oracle-ipsec-policy
set services ipsec-vpn rule oracle-vpn-tunnel_1 term 1 then tunnel-mtu 1430
set services ipsec-vpn rule oracle-vpn-tunnel_1 term 1 then initiate-dead-peer-detection
set services ipsec-vpn rule oracle-vpn-tunnel_1 term 1 then dead-peer-detection
set services ipsec-vpn rule oracle-vpn-tunnel_1 term 1 then dead-peer-detection interval 5
set services ipsec-vpn rule oracle-vpn-tunnel_1 term 1 then dead-peer-detection threshold 4
set services ipsec-vpn rule oracle-vpn-tunnel_1 match-direction input
# #3: Tunnel Interface Configuration
# Defining the Tunnel Interfaces
# USER_DEFINED: Replace the parameters in the section below as needed.
set interfaces <msInterface1> unit <insideMsUnit1> description oracle-vpn-tunnel-1-INSIDE
set interfaces <msInterface1> unit <insideMsUnit1> family inet address <inside_tunnel_interface_ip_address>
set interfaces <msInterface1> unit <insideMsUnit1> service-domain inside
set interfaces <msInterface1> unit <outsideMsUnit1> description oracle-vpn-tunnel-1-OUTSIDE
set interfaces <msInterface1> unit <outsideMsUnit1> family inet
set interfaces <msInterface1> unit <outsideMsUnit1> service-domain outside
# #4: Service Set Configuration
# USER_DEFINED: Replace the parameters in the section below as needed
# Service set configuration to direct traffic to the tunnel interfaces and associating the appropriate IPSec-VPN-Rule.
set services service-set oracle-vpn-tunnel_1 next-hop-service inside-service-interface <msInterface1>.<insideMsUnit1>
set services service-set oracle-vpn-tunnel_1 next-hop-service outside-service-interface <msInterface1>.<outsideMsUnit1>
set services service-set oracle-vpn-tunnel_1 ipsec-vpn-options local-gateway <cpe_public_ip_address>
set services service-set oracle-vpn-tunnel_1 ipsec-vpn-rules oracle-vpn-tunnel-tunnel_1
# This option causes the router to reduce the Maximum Segment Size of TCP packets to prevent packet fragmentation.
set services service-set oracle-vpn-tunnel_1 tcp-mss 1387
# #5a: Border Gateway Protocol (BGP) Configuration
# USER_DEFINED: Replace the parameters in the section below as needed
# BGP is used within the tunnel to exchange prefixes between the Dynamic Routing Gateway and your CPE. The DRG dynamically learns the routes from your on-premises network. On the Oracle side, the DRG advertises the VCN's subnets.
# The configuration template uses a basic route policy to advertise a default route to the DRG.
# To advertise additional prefixes to the Oracle VCN, add additional prefixes to the term ORACLE-DEFAULT policy. Make sure the prefix is present in the route table of the device with a valid next-hop.
# You configure the local BGP Autonomous System Number (BGP ASN) when you set up the IPSec connection in the Oracle Console. If you later need to change the ASN, you must recreate the CPE object and IPSec connection in the Oracle Console.
set policy-options policy-statement ORACLE-DEFAULT term default from route-filter 0.0.0.0/0 exact
set policy-options policy-statement ORACLE-DEFAULT term default then accept
set policy-options policy-statement ORACLE-DEFAULT term reject then reject
set protocols bgp group ebgp type external
set protocols bgp group ebgp neighbor <inside_tunnel_interface_ip_address_neighbor> export ORACLE-DEFAULT
set protocols bgp group ebgp neighbor <inside_tunnel_interface_ip_address_neighbor> peer-as 31898
set protocols bgp group ebgp neighbor <inside_tunnel_interface_ip_address_neighbor> local-as <bgp_asn>
# #5b: Static Route Configuration
# USER_DEFINED: Replace the parameters in the section below as needed
# In case you plan to use static routing to get traffic through the IPSec tunnels, you can point the routes down to the tunnel interfaces. You should redistribute these routes into your on-premises network. Configuration for CPE to VCN static routes:
set routing-options static route <vcn_range> next-hop <msInterface1>.<insideMsUnit1>
##6: Routing Instances Configuration (Optional)
# USER_DEFINED: Replace the parameters in the section below as needed.
# If you are using routing-instances on your CPE, you need to make sure you account for them in your configuration. Merge the following configuration into the template provided above.
set routing-instances <customer_on-prem_to_oracle> interface <msInterface1>.<insideMsUnit1>
set routing-instances <internet_routing_instance> interface <msInterface1>.<outsideMsUnit1>
set services service-set oracle-vpn-tunnel-tunnel_1 ipsec-vpn-options local-gateway <cpe_public_ip_address> routing-instance <internet_routing_instance>
--------------------------------------------------------------------------------------------------------------------------------------------------------------
# IPSec Tunnel 2
# #1: Internet Key Exchange (IKE) Configuration (Phase 1)
# Defining the IKE Proposal for Oracle
# This IKE (Phase 1) configuration template uses AES256, SHA384, Diffie-Hellman Group 5, and 28800 second (8 hours) IKE session key lifetime.
# If different parameters are required, modify this template before applying the configuration.
set services ipsec-vpn ike proposal oracle-ike-proposal authentication-method pre-shared-keys
set services ipsec-vpn ike proposal oracle-ike-proposal authentication-algorithm sha-384
set services ipsec-vpn ike proposal oracle-ike-proposal encryption-algorithm aes-256-cbc
set services ipsec-vpn ike proposal oracle-ike-proposal lifetime-seconds 28800
set services ipsec-vpn ike proposal oracle-ike-proposal dh-group group5
# Defining the IKE Policy for Oracle
# USER_DEFINED: Replace the parameters in the section below as needed
# If using IKEv1, uncomment the following two lines, and comment out the line after (the line with "version 2" at the end)
# set services ipsec-vpn ike policy oracle-ike-policy-tunnel_2 mode main
# set services ipsec-vpn ike policy oracle-ike-policy-tunnel_2 version 1
set services ipsec-vpn ike policy oracle-ike-policy-tunnel_2 version 2
set services ipsec-vpn ike policy oracle-ike-policy-tunnel_2 proposals oracle-ike-proposal
set services ipsec-vpn ike policy oracle-ike-policy-tunnel_2 local-id ipv4_addr <cpe_public_ip_address>
set services ipsec-vpn ike policy oracle-ike-policy-tunnel_2 remote-id ipv4_addr <oracle_headend_2>
set services ipsec-vpn ike policy oracle-ike-policy-tunnel_2 pre-shared-key ascii-text <connection_presharedkey_2>
# Setting up Public Interface with the CPE Public IP.
# USER_DEFINED: Replace the parameters in the section below as needed
set interfaces <cpe_public_interface> unit 0 family inet address <cpe_public_ip_address>
# #2: IPSec Configuration
# Defining the IPSec (Phase 2) Proposal for Oracle
# The IPSec proposal defines the protocol, authentication, encryption, and lifetime parameters for the IPsec security association.
# The configuration template sets AES256 for encryption, SHA256 for authentication, enables PFS group 14, and sets the IPSec session key lifetime to 3600 seconds (1 hour).
# The IPsec policy incorporates the Diffie-Hellman group and the IPsec proposal.
# If different parameters are required, modify this template before applying the configuration.
set services ipsec-vpn ipsec proposal oracle-ipsec-proposal
set services ipsec-vpn ipsec proposal oracle-ipsec-proposal protocol esp
set services ipsec-vpn ipsec proposal oracle-ipsec-proposal authentication-algorithm hmac-sha-256-128
set services ipsec-vpn ipsec proposal oracle-ipsec-proposal encryption-algorithm aes-256-cbc
set services ipsec-vpn ipsec proposal oracle-ipsec-proposal lifetime-seconds 3600
# Defining the IPSec (PHASE 2) policy for Oracle
set services ipsec-vpn ipsec policy oracle-ipsec-policy perfect-forward-secrecy keys group14
set services ipsec-vpn ipsec policy oracle-ipsec-policy proposals oracle-ipsec-proposal
# Defining Security Association for Oracle
# USER_DEFINED: Replace the parameters in the section below as needed
# The IKE and IPSEC policies are associated with the tunnel interface. Eg: ms-2/3/0.101
# The IPsec Dead Peer Detection option causes periodic messages to be sent to ensure a Security Association remains operational.
set services ipsec-vpn rule oracle-vpn-tunnel_2 term 1 from ipsec-inside-interface <msInterface2>.<insideMsUnit2>
set services ipsec-vpn rule oracle-vpn-tunnel_2 term 1 then remote-gateway <oracle_headend_2>
set services ipsec-vpn rule oracle-vpn-tunnel_2 term 1 then dynamic ike-policy oracle-ike-policy-tunnel_2
set services ipsec-vpn rule oracle-vpn-tunnel_2 term 1 then dynamic ipsec-policy oracle-ipsec-policy
set services ipsec-vpn rule oracle-vpn-tunnel_2 term 1 then tunnel-mtu 1420
set services ipsec-vpn rule oracle-vpn-tunnel_2 term 1 then initiate-dead-peer-detection
set services ipsec-vpn rule oracle-vpn-tunnel_2 term 1 then dead-peer-detection
set services ipsec-vpn rule oracle-vpn-tunnel_2 term 1 then dead-peer-detection interval 5
set services ipsec-vpn rule oracle-vpn-tunnel_2 term 1 then dead-peer-detection threshold 4
set services ipsec-vpn rule oracle-vpn-tunnel_2 match-direction input
# #3: Tunnel Interface Configuration
# Defining the Tunnel Interfaces
# USER_DEFINED: Replace the parameters in the section below as needed.
set interfaces <msInterface2> unit <insideMsUnit2> description oracle-vpn-tunnel-2-INSIDE
set interfaces <msInterface2> unit <insideMsUnit2> family inet address <inside_tunnel_interface_ip_address>
set interfaces <msInterface2> unit <insideMsUnit2> service-domain inside
set interfaces <msInterface2> unit <outsideMsUnit2> description oracle-vpn-tunnel-2-OUTSIDE
set interfaces <msInterface2> unit <outsideMsUnit2> family inet
set interfaces <msInterface2> unit <outsideMsUnit2> service-domain outside
# #4: Service Set Configuration
# USER_DEFINED: Replace the parameters in the section below as needed
# Service set configuration to direct traffic to the tunnel interfaces and associating the appropriate IPSec-VPN-Rule.
set services service-set oracle-vpn-tunnel_2 next-hop-service inside-service-interface <msInterface2>.<insideMsUnit2>
set services service-set oracle-vpn-tunnel_2 next-hop-service outside-service-interface <msInterface2>.<outsideMsUnit2>
set services service-set oracle-vpn-tunnel_2 ipsec-vpn-options local-gateway <cpe_public_ip_address>
set services service-set oracle-vpn-tunnel_2 ipsec-vpn-rules oracle-vpn-tunnel-tunnel_2
# This option causes the router to reduce the Maximum Segment Size of TCP packets to prevent packet fragmentation.
set services service-set oracle-vpn_1 tcp-mss 1387
# #5a: Border Gateway Protocol (BGP) Configuration
# USER_DEFINED: Replace the parameters in the section below as needed
# BGP is used within the tunnel to exchange prefixes between the dynamic routing gateway and your CPE. The DRG dynamically learns the routes from your on-premises network. On the Oracle side, the DRG advertises the VCN's subnets.
# THe configuration templates uses a basic route policy to advertise a default route to the DRG.
# To advertise additional prefixes to the Oracle VCN, add additional prefixes to the term ORACLE-DEFAULT policy. Make sure the prefix is present in the route table of the device with a valid next-hop.
# You configure the local BGP Autonomous System Number (BGP ASN) when you set up the IPSec connection in the Oracle Console. If you later need to change the ASN, you must recreate the CPE object and IPSec connection in the Oracle Console.
set policy-options policy-statement ORACLE-DEFAULT term default from route-filter 0.0.0.0/0 exact
set policy-options policy-statement ORACLE-DEFAULT term default then accept
set policy-options policy-statement ORACLE-DEFAULT term reject then reject
set protocols bgp group ebgp type external
set protocols bgp group ebgp neighbor <inside_tunnel_interface_ip_address_neighbor> export ORACLE-DEFAULT
set protocols bgp group ebgp neighbor <inside_tunnel_interface_ip_address_neighbor> peer-as 31898
set protocols bgp group ebgp neighbor <inside_tunnel_interface_ip_address_neighbor> local-as <bgp_asn>
# #5b: Static Route Configuration
# USER_DEFINED: Replace the parameters in the section below as needed
# In case you plan to use static routing to get traffic through the IPSec tunnels, you can point the routes down to the tunnel interfaces. You should redistribute these routes into your on-premises network. Configuration for CPE to VCN static routes:
set routing-options static route <vcn_range> next-hop <msInterface2>.<insideMsUnit2>
##6: Routing Instances Configuration (Optional)
# USER_DEFINED: Replace the parameters in the section below as needed.
# If you are using routing-instances on your CPE, you need to make sure you account for them in your configuration. Merge the following configuration into the template provided above.
set routing-instances <customer_on-prem_to_oracle> interface <msInterface2>.<insideMsUnit2>
set routing-instances <internet_routing_instance> interface <msInterface2>.<outsideMsUnit2>
set services service-set oracle-vpn-tunnel-tunnel_2 ipsec-vpn-options local-gateway <cpe_public_ip_address> routing-instance <internet_routing_instance>Verifica
Utilizzare il comando riportato di seguito per verificare le associazioni di sicurezza (SA).
show services ipsec-vpn ipsec security-associations detail
Utilizzare il seguente comando per controllare lo stato BGP.
show bgp summary
Utilizza i comandi seguenti per controllare gli instradamenti pubblicizzati e ricevuti da Oracle Cloud Infrastructure. Se il CPE è già stato configurato per l'utilizzo delle istanze di instradamento, utilizzare i comandi con table <table-name> alla fine.
show route advertising-protocol bgp <neighbor-address>
show route receive-protocol bgp <neighbor-address>
show route advertising-protocol bgp <neighbor-address> table <table-name>
show route receive-protocol bgp <neighbor-address> table <table-name>Un servizio di monitoraggio è disponibile anche da Oracle Cloud Infrastructure per monitorare attivamente e passivamente le risorse cloud. Per informazioni sul monitoraggio di una VPN da sito a sito, vedere Metriche VPN da sito a sito.
In caso di problemi, vedere Risoluzione dei problemi delle VPN da sito a sito.