Yamaha RTX Series
La configurazione è stata convalidata utilizzando un file RTX1210 con firmware Rev. 14.01.28 e RTX830 con firmware Rev. 15.02.03.
Oracle fornisce istruzioni di configurazione per un set testato di fornitori e dispositivi. Utilizzare la configurazione corretta per il fornitore e la versione software.
Se la versione del dispositivo o del software utilizzata da Oracle per verificare la configurazione non corrisponde esattamente al dispositivo o al software, è comunque possibile creare la configurazione necessaria sul dispositivo. Consultare la documentazione del fornitore ed apportare le modifiche necessarie.
Se il dispositivo proviene da un fornitore non incluso nell'elenco dei fornitori e dei dispositivi verificati o se si ha già familiarità con la configurazione del dispositivo per IPSec, vedere l'elenco di parametri IPSec supportati e consultare la documentazione del fornitore per assistenza.
Oracle utilizza l'instradamento asimmetrico tra i tunnel che compongono la connessione IPSec. Anche se configuri un tunnel come primario e un altro come backup, il traffico da una VCN a una rete in locale può utilizzare qualsiasi tunnel "attivo" su un dispositivo. Configurare i firewall in base alle esigenze. In caso contrario, i test di ping o il traffico delle applicazioni attraverso la connessione non funzionano in modo affidabile.
Prima dell'inizio
Prima di configurare il CPE:
- Configurare le impostazioni del provider Internet.
- Configurare le regole del firewall per aprire la porta UDP 500, la porta UDP 4500 e l'ESP.
Dominio di cifratura o ID proxy supportati
I valori per il dominio di cifratura (noto anche come ID proxy, SPI (Security Parameter Index) o selettore di traffico) dipendono dal fatto che un CPE supporti tunnel basati su instradamenti o tunnel basati su criteri. Per ulteriori informazioni sui valori corretti del dominio di cifratura da utilizzare, vedere Dominio di cifratura o ID proxy supportati.
Parametri dall'API o dalla console
Ottieni i seguenti parametri dalla console o dall'API di Oracle Cloud Infrastructure.
${ipAddress#}
- Endpoint del tunnel IPSec headend di Oracle VPN. Un valore per tunnel.
- Valore di esempio: 129.146.12.52
${sharedSecret#}
- Chiave precondivisa IKE IPSec. Un valore per tunnel.
- Valore di esempio: EXAMPLEDPfAMkD7nTH3SWr6OFabdT6exXn6enSlsKbE
${cpePublicIpAddress}
- Indirizzo IP pubblico per il CPE (già reso disponibile a Oracle tramite la console).
${VcnCidrBlock}
- Quando si crea la VCN, l'azienda ha selezionato questo CIDR per rappresentare la rete di aggregazione IP per tutti gli host VCN.
- Valore di esempio: 10.0.0.0/20
Parametri basati su configurazione e stato corrente CPE
I parametri riportati di seguito si basano sulla configurazione CPE corrente.
${tunnelInterface#}
- Numero di interfaccia per identificare il tunnel specifico.
- Valore di esempio: 1
${ipsecPolicy#}
- Criterio SA da utilizzare per l'interfaccia in linea selezionata.
- Valore di esempio: 1
${localAddress}
- Indirizzo IP pubblico del CPE.
- Valore di esempio: 146.56.2.52
Riepilogo parametri modello configurazione
Ogni area dispone di diverse intestazioni IPSec Oracle. Il modello riportato di seguito consente di impostare diversi tunnel in un CPE, ciascuno con un headend corrispondente. Nella tabella "Utente" sei tu o la tua azienda.
| Parametro | Origine | Valore di esempio |
|---|---|---|
${ipAddress1}
|
Console/API | 129.146.12.52 |
${sharedSecret1}
|
Console/API | (stringa lunga) |
${ipAddress2}
|
Console/API | 129.146.13.52 |
${sharedSecret2}
|
Console/API | (stringa lunga) |
${cpePublicIpAddress}
|
Utente | 1.2.3.4 |
${VcnCidrBlock}
|
Utente | 10.0.0.0/20 |
I seguenti valori dei parametri dei criteri ISAKMP e IPSec sono applicabili alla VPN da sito a sito nel cloud commerciale. Per Government Cloud, è necessario utilizzare i valori elencati in Parametri VPN da sito a sito obbligatori per Government Cloud.
Opzioni dei criteri ISAKMP
| Parametro | Valore consigliato |
|---|---|
| Versione protocollo ISAKMP | Versione 1 |
| Tipo di cambio | Modalità principale |
| Metodo di autenticazione | Chiavi precedenti alla condivisione |
| Cifratura | AES-256-cbc |
| Algoritmo di autenticazione | SHA-256 |
| Gruppo Diffie-Hellman | Raggruppa 5 |
| Durata della chiave di sessione IKE | 28800 secondi (8 ore) |
IPSec Opzioni criteri
| Parametro | Valore consigliato |
|---|---|
| Protocollo IPSec | ESP, modalità tunnel |
| Cifratura | AES-256-cbc |
| Algoritmo di autenticazione | HMAC-SHA1-96 |
| Gruppo Diffie-Hellman | Raggruppa 5 |
| Perfect Forward Secrecy | abilitato |
| IPSec durata della chiave di sessione | 3600 secondi (1 ora) |
Configurazione CPE
Configurazione di ISAKMP e IPSec
tunnel select 1
description tunnel OCI-VPN1
ipsec tunnel 1
ipsec sa policy 1 1 esp aes256-cbc sha-hmac
ipsec ike duration ipsec-sa 1 3600
ipsec ike duration isakmp-sa 1 28800
ipsec ike encryption 1 aes256-cbc
ipsec ike group 1 modp1536
ipsec ike hash 1 sha256
ipsec ike keepalive log 1 off
ipsec ike keepalive use 1 on dpd 5 4
ipsec ike local address 1 ${cpePublicIpAddress}
ipsec ike local id 1 0.0.0.0/0
ipsec ike nat-traversal 1 on
ipsec ike pfs 1 on
ipsec ike pre-shared-key 1 text ${sharedSecret1}
ipsec ike remote address 1 ${ipAddress1}
ipsec ike remote id 1 0.0.0.0/0
ip tunnel tcp mss limit auto
tunnel enable 1
tunnel select 2
description tunnel OCI-VPN2
ipsec tunnel 2
ipsec sa policy 2 2 esp aes256-cbc sha-hmac
ipsec ike duration ipsec-sa 2 3600
ipsec ike duration isakmp-sa 2 28800
ipsec ike encryption 2 aes256-cbc
ipsec ike group 2 modp1536
ipsec ike hash 2 sha256
ipsec ike keepalive log 2 off
ipsec ike keepalive use 2 on dpd 5 4
ipsec ike local address 2 ${cpePublicIpAddress}
ipsec ike local id 2 0.0.0.0/0
ipsec ike nat-traversal 2 on
ipsec ike pfs 2 on
ipsec ike pre-shared-key 2 text ${sharedSecret2}
ipsec ike remote address 2 ${ipAddress2}
ipsec ike remote id 2 0.0.0.0/0
ip tunnel tcp mss limit auto
tunnel enable 2
ipsec auto refresh on
Configurazione degli instradamenti statici
ip route ${VcnCidrBlock} gateway tunnel 1 hide gateway tunnel 2 hide