Documentazione dell'infrastruttura Oracle Cloud

Serie IX NEC

Questo argomento fornisce una configurazione VPN da sito a sito basata sul percorso per i dispositivi della serie NEC IX. La configurazione è stata convalidata utilizzando un file IX3315 con firmware versione 10.2.16 e IX2106 con firmware versione 10.2.16.

Importante

Oracle fornisce istruzioni di configurazione per un set testato di fornitori e dispositivi. Utilizzare la configurazione corretta per il fornitore e la versione software.

Se la versione del dispositivo o del software utilizzata da Oracle per verificare la configurazione non corrisponde esattamente al dispositivo o al software, è comunque possibile creare la configurazione necessaria sul dispositivo. Consultare la documentazione del fornitore ed apportare le modifiche necessarie.

Se il dispositivo proviene da un fornitore non incluso nell'elenco dei fornitori e dei dispositivi verificati o se si ha già familiarità con la configurazione del dispositivo per IPSec, vedere l'elenco di parametri IPSec supportati e consultare la documentazione del fornitore per assistenza.

La VPN da sito a sito fornisce una connessione IPSec da sito a sito offerta da Oracle Cloud Infrastructure per la connessione di una rete on premise a una rete cloud virtuale (VCN).

Il diagramma riportato di seguito mostra una connessione IPSec di base a Oracle Cloud Infrastructure con tunnel ridondanti. Gli indirizzi IP in questo diagramma sono solo esempi e non per uso letterale.

Questa immagine riepiloga il layout generale di una rete in locale, dei tunnel IPSec di VPN Connect e della VCN.

Procedure ottimali

Questa sezione descrive le best practice generali e le considerazioni da tenere presenti per l'utilizzo della VPN da sito a sito.

Configura tutti i tunnel per ogni connessione IPSec

Oracle distribuisce due headend IPSec per le connessioni per fornire alta disponibilità per i carichi di lavoro mission-critical. Per quanto riguarda Oracle, questi due headend si trovano su router diversi a scopo di ridondanza. Si consiglia di configurare tutti i tunnel disponibili per la massima ridondanza. Questa è una parte fondamentale della filosofia "Design for Failure".

Disporre di CPE ridondanti nelle posizioni di rete in locale

Consigliamo a ogni sito che si connette con IPSec a Oracle Cloud Infrastructure di disporre di dispositivi edge ridondanti (noti anche come customer-premise equipment (CPE)). Ogni CPE viene aggiunto alla console Oracle e viene creata una connessione IPSec separata tra un gateway di instradamento dinamico (DRG) e ogni CPE. Per ogni connessione IPSec, Oracle esegue il provisioning di due tunnel in headend IPSec ridondanti a livello geografico. Per ulteriori informazioni, consulta la Guida alla ridondanza della connettività (PDF).

Considerazioni sul protocollo di instradamento

Quando si crea una connessione VPN da sito a sito IPSec, sono disponibili due tunnel IPSec ridondanti. Oracle ti consiglia di configurare il CPE in modo che utilizzi entrambi i tunnel (se il CPE lo supporta). In passato, Oracle ha creato connessioni IPSec con un massimo di quattro tunnel IPSec.

Sono disponibili i tre tipi di instradamento seguenti e si seleziona il tipo di instradamento separatamente per ogni tunnel nella VPN da sito a sito:

  • Instradamento dinamico BGP: gli instradamenti disponibili vengono acquisiti in modo dinamico tramite BGP. Il DRG apprende in modo dinamico gli instradamenti dalla rete in locale. Sul lato Oracle, il gateway DRG pubblica le subnet della VCN.
  • Instradamento statico: quando si imposta la connessione IPSec al DRG, si specificano gli instradamenti specifici alla rete in locale di cui si desidera che la VCN sia a conoscenza. Inoltre, devi configurare il dispositivo CPE con instradamenti statici alle subnet della VCN. Questi percorsi non vengono appresi in modo dinamico.
  • Instradamento basato su criteri: quando si imposta la connessione IPSec al DRG, si specificano gli instradamenti specifici alla rete in locale di cui si desidera che la VCN sia a conoscenza. Inoltre, devi configurare il dispositivo CPE con instradamenti statici alle subnet della VCN. Questi percorsi non vengono appresi in modo dinamico.

Per ulteriori informazioni sull'instradamento con VPN da sito a sito, inclusi i suggerimenti Oracle su come manipolare l'algoritmo di selezione del percorso migliore BGP, vedere Instradamento per VPN da sito a sito.

Altre importanti configurazioni CPE

Assicurarsi che le liste di accesso nel CPE siano configurate correttamente per non bloccare il traffico necessario da o verso Oracle Cloud Infrastructure.

Se si dispone di più tunnel contemporaneamente, si potrebbe verificare l'instradamento asimmetrico. Per tenere conto dell'instradamento asimmetrico, assicurarsi che il CPE sia configurato per gestire il traffico proveniente dalla VCN in uno qualsiasi dei tunnel. Ad esempio, è necessario disabilitare l'ispezione ICMP, configurare il bypass dello stato TCP. Per ulteriori dettagli sulla configurazione appropriata, contattare il supporto del fornitore CPE. Per configurare l'instradamento in modo che sia simmetrico, vedere Instradamento per VPN da sito a sito.

Grotte e limitazioni

Questa sezione copre le caratteristiche e le limitazioni importanti generali di Site-to-Site VPN di cui essere a conoscenza.

Instradamento asimmetrico

Oracle utilizza il routing asimmetrico tra i tunnel che compongono la connessione IPSec. Configurare i firewall tenendo presente questo aspetto. In caso contrario, i test di ping o il traffico dell'applicazione attraverso la connessione non funzionano in modo affidabile.

Quando utilizzi diversi tunnel per Oracle Cloud Infrastructure, ti consigliamo di configurare l'instradamento per instradare il traffico in modo deterministico attraverso il tunnel preferito. Per utilizzare un tunnel IPSec come primario e un altro come backup, configurare instradamenti più specifici per il tunnel primario (BGP) e instradamenti meno specifici (instradamento sintetico o predefinito) per il tunnel di backup (BGP/statico). In caso contrario, se si pubblica lo stesso instradamento (ad esempio, un instradamento predefinito) attraverso tutti i tunnel, restituire il traffico da una VCN a un instradamento di rete in locale a uno qualsiasi dei tunnel disponibili. Questo perché Oracle utilizza l'instradamento asimmetrico.

Per suggerimenti di instradamento Oracle specifici su come forzare l'instradamento simmetrico, vedere Instradamento per VPN da sito a sito.

VPN da sito a sito basata su instradamento o criteri

Il protocollo IPSec utilizza le associazioni di sicurezza (SA) per decidere come cifrare i pacchetti. All'interno di ogni SA, è possibile definire i domini di cifratura per mappare l'indirizzo IP di origine e destinazione di un pacchetto e il tipo di protocollo a una voce nel database SA per definire come cifrare o decifrare un pacchetto.

Nota

Altri fornitori o la documentazione del settore possono utilizzare il termine ID proxy, indice dei parametri di sicurezza (SPI) o selettore del traffico quando si fa riferimento a SA o domini di cifratura.

Esistono due metodi generali per l'implementazione dei tunnel IPSec:

  • Tunnel basati su instradamento: chiamato anche tunnel basati sul prossimo hop. La ricerca della tabella di instradamento viene eseguita sull'indirizzo IP di destinazione di un pacchetto. Se l'interfaccia di uscita di tale instradamento è un tunnel IPSec, il pacchetto viene cifrato e inviato all'altra estremità del tunnel.
  • Tunnel basati su criteri: l'indirizzo IP e il protocollo di origine e destinazione del pacchetto corrispondono a una lista di istruzioni dei criteri. Se viene trovata una corrispondenza, il pacchetto viene cifrato in base alle regole in tale istruzione di criterio.

I backend VPN da sito a sito Oracle utilizzano tunnel basati su instradamento, ma possono funzionare con tunnel basati su criteri con alcune avvertenze elencate nelle sezioni riportate di seguito.

Dominio di cifratura per tunnel basati su instradamento

Se il CPE supporta tunnel basati su instradamento, utilizzare tale metodo per configurare il tunnel. Questa è la configurazione più semplice con la massima interoperabilità con l'headend VPN di Oracle.

IPSec basato su instradamento utilizza un dominio di cifratura con i valori riportati di seguito.

  • Indirizzo IP di origine: qualsiasi (0.0.0.0/0)
  • Indirizzo IP di destinazione: qualsiasi (0.0.0.0/0)
  • Protocollo: IPv4

Se è necessario essere più specifici, è possibile utilizzare un unico instradamento di riepilogo per i valori del dominio di cifratura anziché un instradamento predefinito.

Dominio di cifratura per tunnel basati su criteri

Quando si utilizzano i tunnel basati su criteri, ogni voce di criterio (un blocco CIDR su un lato della connessione IPSec) definita genera un'associazione di sicurezza (SA) IPSec con ogni voce idonea sull'altra estremità del tunnel. Questa coppia viene definita dominio di cifratura.

In questo diagramma, l'estremità DRG Oracle del tunnel IPSec contiene voci dei criteri per tre blocchi CIDRIPv4 CIDR IPv4 e un blocco CIDR IPv6. La fine CPE in locale del tunnel contiene le voci dei criteri due blocchi CIDRIPv4 CIDR IPv4 e due blocchi CIDR IPv6. Ogni voce genera un dominio di cifratura con tutte le voci possibili sull'altra estremità del tunnel. Entrambi i lati di una coppia SA devono utilizzare la stessa versione di IP. Il risultato è un totale di otto domini di cifratura.

Diagramma che mostra diversi domini di cifratura e come trovarne il numero.
Importante

Se il CPE supporta solo tunnel basati su criteri, tenere presenti le limitazioni riportate di seguito.

  • La VPN da sito a sito supporta più domini di cifratura, ma ha un limite massimo di 50 domini di cifratura.
  • Se si è verificata una situazione simile all'esempio precedente e sono stati configurati solo tre dei sei possibili domini di cifratura IPv4 sul lato CPE, il collegamento verrà elencato in uno stato "Partial UP" poiché tutti i possibili domini di cifratura vengono sempre creati sul lato DRG.
  • A seconda di quando è stato creato un tunnel, potrebbe non essere possibile modificare un tunnel esistente per utilizzare l'instradamento basato su criteri e potrebbe essere necessario sostituire il tunnel con un nuovo tunnel IPSec.
  • I blocchi CIDR utilizzati all'estremità del tunnel del DRG Oracle non possono sovrapporsi ai blocchi CIDR utilizzati all'estremità CPE in locale del tunnel.
  • Un dominio di cifratura deve sempre trovarsi tra due blocchi CIDR della stessa versione IP.

Se il CPE si trova dietro un dispositivo NAT

In generale, l'identificativo CPE IKE configurato all'estremità in locale della connessione deve corrispondere all'identificativo CPE IKE utilizzato da Oracle. Per impostazione predefinita, Oracle utilizza l'indirizzo IP pubblico del CPE, fornito quando si crea l'oggetto CPE nella console Oracle. Tuttavia, se un CPE si trova dietro un dispositivo NAT, l'identificativo CPE IKE configurato all'interno dell'ambiente on premise potrebbe essere l'indirizzo IP privato del CPE, come mostrato nel diagramma seguente.

Questa immagine mostra il CPE dietro un dispositivo NAT, gli indirizzi IP pubblici e privati e l'identificativo CPE IKE.
Nota

Alcune piattaforme CPE non consentono di modificare l'identificativo IKE locale. In caso contrario, è necessario modificare l'ID IKE remoto nella console Oracle per trovare la corrispondenza con l'ID IKE locale del CPE. È possibile fornire il valore quando si imposta la connessione IPSec o in un secondo momento modificando la connessione IPSec. Oracle prevede che il valore sia un indirizzo IP o un nome dominio completamente qualificato (FQDN), ad esempio cpe.example.com. Per istruzioni, consulta la sezione relativa alla modifica dell'identificativo CPE IKE utilizzato da Oracle.

Configurazione CPE

Importante

Le istruzioni di configurazione in questa sezione sono fornite da Oracle Cloud Infrastructure per questo CPE. Se hai bisogno di supporto o ulteriore assistenza, contatta direttamente il supporto del fornitore CPE.

La figura seguente mostra il layout di base della connessione IPSec.

Questa immagine riepiloga il layout generale della connessione e dei tunnel IPSec.

Il modello di configurazione fornito è per un IX3315 che esegue Firmware Ver.10.2.16 o IX2106 che esegue il software Firmware Ver.10.2.16 (o versione successiva). Il modello fornisce informazioni per ogni tunnel da configurare. Si consiglia di impostare tutti i tunnel configurati per la massima ridondanza.

Il modello di configurazione fa riferimento ai seguenti elementi che è necessario fornire:

  • Indirizzo IP pubblico CPE: l'indirizzo IP instradabile via Internet assegnato all'interfaccia esterna nel CPE. L'utente o l'amministratore Oracle fornisce questo valore a Oracle durante la creazione dell'oggetto CPE nella console di Oracle.
  • Interfaccia del tunnel interno (obbligatoria se si utilizza BGP): gli indirizzi IP per le estremità CPE e Oracle dell'interfaccia del tunnel interno. Questi valori vengono forniti quando si crea la connessione IPSec nella console Oracle.
  • ASN BGP (obbligatorio se si utilizza BGP): l'ASN BGP in locale.

È inoltre necessario:

  • Configurare l'instradamento interno per il traffico tra il CPE e la rete locale.

  • Assicurati di consentire il traffico tra la serie NEC IX e la VCN Oracle.

  • Identificare il criterio IKE utilizzato (il seguente modello di configurazione fa riferimento a questo criterio IKE come $<ikePolicy1> e $<ikePolicy2>).
  • Identificare il criterio IPSec utilizzato (il seguente modello di configurazione fa riferimento a questo criterio IPSec come $<ipsecPolicy1> e $<ipsecPolicy2>).
  • Identificare i nomi di interfaccia del tunnel virtuale utilizzati (il modello di configurazione riportato di seguito fa riferimento a questi nomi come variabili $<tunnelInterfaceNumber1> e $<tunnelInterfaceNumber2>).
Importante

Questo modello di configurazione seguente di Oracle Cloud Infrastructureè un punto di partenza per ciò che devi applicare al CPE. Alcuni parametri a cui viene fatto riferimento nel modello devono essere univoci nel CPE e l'univocità può essere trovata solo accedendo al CPE. Assicurarsi che i parametri siano validi nel CPE e non sovrascrivere i valori già configurati. In particolare, assicurarsi che questi valori siano univoci:

  • Nome o numero di criteri
  • Nomi interfacce
  • Numeri degli elenchi di accesso (se applicabili)

Per trovare i parametri da definire prima di applicare la configurazione, cercare la parola chiave USER_DEFINED nel modello.

Informazioni sull'utilizzo di IKEv2

Oracle supporta Internet Key Exchange versione 1 (IKEv1) e versione 2 (IKEv2). Se si configura la connessione IPSec nella console per utilizzare IKEv2, è necessario configurare il CPE in modo che utilizzi solo IKEv2 e i parametri di cifratura IKEv2 correlati supportati dal CPE. Per un elenco dei parametri supportati da Oracle per IKEv1 o IKEv2, vedere Parametri IPSec supportati.

È possibile specificare la versione IKE durante la definizione del gateway IKE. Nella configurazione seguente, un commento mostra come configurare il gateway IKE per IKEv1 o IKEv2.

IKEv1 Modello di configurazione

Visualizzare il modello di configurazione IKEv1 a schermo intero per facilitare la lettura. 


!-------------------------------------------------------------------------------------------------------------------------------------------------------------
! IKEv1 Configuration Template
! The configuration consists of two IPSec tunnels. Oracle highly recommends that you configure both tunnels for maximum redundancy.
!-------------------------------------------------------------------------------------------------------------------------------------------------------------
! The configuration template involves setting up the following:
! Configure ISAKMPv1 and IPSec Policies
! Configure Keepalive Setting of ICMP
! Configure Virtual Tunnel Interfaces
! IP Routing (BGP or Static)
!-------------------------------------------------------------------------------------------------------------------------------------------------------------
! The configuration template has various parameters that you must define before applying the configuration.
!-------------------------------------------------------------------------------------------------------------------------------------------------------------
! PARAMETERS REFERENCED:
! $<OracleHeadendIpAddress1> = Oracle public IP endpoint obtained from the Oracle Console.
! $<OracleHeadendIpAddress2> = Oracle public IP endpoint obtained from the Oracle Console.
! $<sharedSecret1> = You provide when you set up the IPSec connection in the Oracle Console, or you can use the default Oracle-provided value.
! $<sharedSecret2> = You provide when you set up the IPSec connection in the Oracle Console, or you can use the default Oracle-provided value.
! $<cpePublicIpAddress> = The public IP address for the CPE. This is the IP address of your outside interface.
! $<vcnCidrBlock> = VCN CIDR block. For example, 10.0.0.0/20.
! $<tunnelInterfaceNumber1> = The number of your tunnel interface for the first tunnel. For example, 1. 
! $<tunnelInterfaceNumber2> = The number of your tunnel interface for the second tunnel. For example, 2.
! $<ikePolicy1> = The name of your IKE Policy. For example, ike-policy1.
! $<ikePolicy2> = The name of your IKE Policy. For example, ike-policy2.
! $<ipsecPolicy1> = The name of your IPSec Policy. For example, ipsec-policy1.
! $<ipsecPolicy2> = The name of your IPSec Policy. For example, ipsec-policy2.
! $<lanInterfaceNumber> = The number of your LAN interface. For example, 1.0.
! $<lanIpAddress> = The IP address of the LAN interface for your CPE.
! $<OracleInsideTunnelIpAddress1> = Inside tunnel IP address of Oracle-side for the first tunnel. You provide these values when creating the IPSec connection in the Oracle Console.
! $<OracleInsideTunnelIpAddress2> = Inside tunnel IP address of Oracle-side for the second tunnel. You provide these values when creating the IPSec connection in the Oracle Console.
! $<cpeInsideTunnelIpAddress1> = The CPE's inside tunnel IP for the first tunnel.
! $<cpeInsideTunnelIpAddress2> = The CPE's inside tunnel IP for the second tunnel.
! $<bgpASN> = Your BGP ASN.
!-------------------------------------------------------------------------------------------------------------------------------------------------------------

! Configure ISAKMPv1 and IPSec Policies

	ip access-list sec-list permit ip src any dest any
	ike nat-traversal
	ike proposal ike-prop encryption aes-256 hash sha2-256 group 1536-bit
	ike policy $<ikePolicy1> peer $<OracleHeadendIpAddress1> key $<sharedSecret1> ike-prop
	ike policy $<ikePolicy2> peer $<OracleHeadendIpAddress2> key $<sharedSecret2> ike-prop

	ipsec autokey-proposal ipsec-prop esp-aes-256 esp-sha lifetime time 3600
	ipsec autokey-map $<ipsecPolicy1> sec-list peer $<OracleHeadendIpAddress1> ipsec-prop pfs 1536-bit
	ipsec autokey-map $<ipsecPolicy2> sec-list peer $<OracleHeadendIpAddress2> ipsec-prop pfs 1536-bit

! Configure Keepalive Setting of ICMP

	watch-group watch_tunnel1 10
	event 20 ip unreach-host $<lanIpAddress> Tunnel$<tunnelInterfaceNumber1> source GigaEthernet$<lanInterfaceNumber>
	action 10 ip shutdown-route  $<vcnCidrBlock> Tunnel$<tunnelInterfaceNumber1>
	action 20 ipsec clear-sa Tunnel$<tunnelInterfaceNumber1>

	network-monitor watch_tunnel1 enable

	watch-group watch_tunnel2 10
	event 20 ip unreach-host $<lanIpAddress> Tunnel$<tunnelInterfaceNumber2> source GigaEthernet$<lanInterfaceNumber>
	action 10 ip shutdown-route  $<vcnCidrBlock> Tunnel$<tunnelInterfaceNumber2>
	action 20 ipsec clear-sa Tunnel$<tunnelInterfaceNumber2>

	network-monitor watch_tunnel2 enable

	! Configure Virtual Tunnel Interfaces

	interface Tunnel$<tunnelInterfaceNumber1>
	tunnel mode ipsec
	ip address $<cpeInsideTunnelIpAddress1>
	ip tcp adjust-mss auto
	ipsec policy tunnel ipsec-policy1 out
	no shutdown

	interface Tunnel$<tunnelInterfaceNumber2>
	tunnel mode ipsec
	ip address $<cpeInsideTunnelIpAddress2>
	ip tcp adjust-mss auto
	ipsec policy tunnel ipsec-policy2 out
	no shutdown

! IP Routing
! Select dynamic (BGP) or static routing. Uncomment the corresponding commands prior to applying configuration.

! Border Gateway Protocol (BGP) Configuration
! Uncomment below lines if you select BGP.

! ip ufs-cache enable cache

! route-map pri1 permit 10
!  set metric 5
!  set local-preference 200

! route-map pri2 permit 10
!  set metric 10
!  set local-preference 150

! router bgp $<bgpASN>
!  neighbor $<OracleInsideTunnelIpAddress1> remote-as 31898
!  neighbor $<OracleInsideTunnelIpAddress1> timers 10 30
!  neighbor $<OracleInsideTunnelIpAddress2> remote-as 31898
!  neighbor $<OracleInsideTunnelIpAddress2> timers 10 30
!  address-family ipv4 unicast
!  neighbor $<OracleInsideTunnelIpAddress1> route-map pri1 in
!  neighbor $<OracleInsideTunnelIpAddress1> route-map pri1 out
!  neighbor $<OracleInsideTunnelIpAddress2> route-map pri2 in
!  neighbor $<OracleInsideTunnelIpAddress2> route-map pri2 out
!  network 192.168.100.0/24

! Static Route Configuration
! Uncomment below lines if you select static routing.

! ip ufs-cache enable
! ip route  $<vcnCidrBlock> Tunnel0.0
! ip route  $<vcnCidrBlock> Tunnel1.0
IKEv2 Modello di configurazione

Visualizzare il modello di configurazione IKEv2 a schermo intero per facilitare la lettura. 


!-------------------------------------------------------------------------------------------------------------------------------------------------------------
! IKEv2 Configuration Template
! The configuration consists of two IPSec tunnels. Oracle highly recommends that you configure both tunnels for maximum redundancy.
!-------------------------------------------------------------------------------------------------------------------------------------------------------------
! The configuration template involves setting up the following:
! Keyring (Pre-Shared Key)
! Configure ISAKMP and IPSec Policies
! Configure Virtual Tunnel Interfaces
! IP Routing (BGP or Static)
!-------------------------------------------------------------------------------------------------------------------------------------------------------------
! The configuration template has various parameters that you must define before applying the configuration.
!-------------------------------------------------------------------------------------------------------------------------------------------------------------
! PARAMETERS REFERENCED:
! $<OracleHeadendIpAddress1> = Oracle public IP endpoint obtained from the Oracle Console.
! $<OracleHeadendIpAddress2> = Oracle public IP endpoint obtained from the Oracle Console.
! $<sharedSecret1> = You provide when you set up the IPSec connection in the Oracle Console, or you can use the default Oracle-provided value.
! $<sharedSecret2> = You provide when you set up the IPSec connection in the Oracle Console, or you can use the default Oracle-provided value.
! $<cpePublicIpAddress> = The public IP address for the CPE. This is the IP address of your outside interface.
! $<vcnCidrBlock> = VCN CIDR block. For example, 10.0.0.0/20.
! $<tunnelInterfaceNumber1> = The number of your tunnel interface for the first tunnel. For example, 1.
! $<tunnelInterfaceNumber2> = The number of your tunnel interface for the second tunnel. For example, 2.
! $<lanInterfaceNumber> = The number of your LAN interface. For example, 1.0.
! $<wanInterfaceNumber> = The WAN interface or outside of tunnel interface which is configured with the CPE public IP address. For example, 0.1.
! $<lanIpAddress> = The IP address of the LAN interface for your CPE.
! $<OracleInsideTunnelIpAddress1> = Inside tunnel IP address of Oracle-side for the first tunnel. You provide these values when creating the IPSec connection in the Oracle Console.
! $<OracleInsideTunnelIpAddress2> = Inside tunnel IP address of Oracle-side for the second tunnel. You provide these values when creating the IPSec connection in the Oracle Console.
! $<cpeInsideTunnelIpAddress1> = The CPE's inside tunnel IP for the first tunnel.
! $<cpeInsideTunnelIpAddress2> = The CPE's inside tunnel IP for the second tunnel.
! $<bgpASN> = Your BGP ASN.
!-------------------------------------------------------------------------------------------------------------------------------------------------------------

! Keyring (Pre-Shared Key)

! For authentication during IKE a separate keyring is defined for each Oracle VPN Headend peer.
! Add the pre-shared key for each Oracle VPN headend under the corresponding keyring.

ikev2 authentication psk id ipv4 $<OracleHeadendIpAddress1> key char $<sharedSecret1>
ikev2 authentication psk id ipv4 $<OracleHeadendIpAddress2> key char $<sharedSecret2>

! Configure ISAKMP and IPSec Policies
ikev2 default-profile
dpd interval 10
source-address GigaEthernet$<wanInterfaceNumber>
child-pfs 1536-bit
child-proposal enc aes-cbc-256
child-proposal integrity sha1
sa-proposal enc aes-cbc-256
sa-proposal integrity sha2-384
sa-proposal dh 1536-bit
! Configure Virtual Tunnel Interfaces

interface Tunnel$<tunnelInterfaceNumber1>
tunnel mode ipsec-ikev2
ip address $<cpeInsideTunnelIpAddress1>
ip tcp adjust-mss auto
ikev2 connect-type auto
ikev2 ipsec pre-fragment
ikev2 outgoing-interface GigaEthernet$<wanInterfaceNumber>
ikev2 peer $<OracleHeadendIpAddress1> authentication psk id ipv4 $<OracleHeadendIpAddress1>
no shutdown

interface Tunnel$<tunnelInterfaceNumber2>
tunnel mode ipsec-ikev2
ip address $<cpeInsideTunnelIpAddress2>
ip tcp adjust-mss auto
ikev2 connect-type auto
ikev2 ipsec pre-fragment
ikev2 outgoing-interface GigaEthernet$<wanInterfaceNumber>
ikev2 peer $<OracleHeadendIpAddress2> authentication psk id ipv4 $<OracleHeadendIpAddress2>
no shutdown

! IP Routing
! Select dynamic (BGP) or static routing. Uncomment the corresponding commands prior to applying configuration.

! Border Gateway Protocol (BGP) Configuration
! Uncomment below lines if you select BGP.

! ip ufs-cache enable cache

! route-map pri1 permit 10
!  set metric 5
!  set local-preference 200

! route-map pri2 permit 10
!  set metric 10
!  set local-preference 150

! router bgp $<bgpASN>
!  neighbor $<OracleInsideTunnelIpAddress1> remote-as 31898
!  neighbor $<OracleInsideTunnelIpAddress1> timers 10 30
!  neighbor $<OracleInsideTunnelIpAddress2> remote-as 31898
!  neighbor $<OracleInsideTunnelIpAddress2> timers 10 30
!  address-family ipv4 unicast
!  neighbor $<OracleInsideTunnelIpAddress1> route-map pri1 in
!  neighbor $<OracleInsideTunnelIpAddress1> route-map pri1 out
!  neighbor $<OracleInsideTunnelIpAddress2> route-map pri2 in
!  neighbor $<OracleInsideTunnelIpAddress2> route-map pri2 out
!  network 192.168.100.0/24

! Static Route Configuration
! Uncomment below lines if you select static routing.

! ip ufs-cache enable
! ip route  $<vcnCidrBlock> Tunnel0.0
! ip route  $<vcnCidrBlock> Tunnel1.0