Yamaha RTX Series

La configurazione è stata convalidata utilizzando un file RTX1210 con firmware Rev. 14.01.28 e RTX830 con firmware Rev. 15.02.03.

Importante

Oracle fornisce istruzioni di configurazione per un set testato di fornitori e dispositivi. Utilizzare la configurazione corretta per il fornitore e la versione software.

Se la versione del dispositivo o del software utilizzata da Oracle per verificare la configurazione non corrisponde esattamente al dispositivo o al software, è comunque possibile creare la configurazione necessaria sul dispositivo. Consultare la documentazione del fornitore ed apportare le modifiche necessarie.

Se il dispositivo proviene da un fornitore non incluso nell'elenco dei fornitori e dei dispositivi verificati o se si ha già familiarità con la configurazione del dispositivo per IPSec, vedere l'elenco di parametri IPSec supportati e consultare la documentazione del fornitore per assistenza.

Importante

Oracle utilizza l'instradamento asimmetrico tra i tunnel che compongono la connessione IPSec. Anche se configuri un tunnel come primario e un altro come backup, il traffico da una VCN a una rete in locale può utilizzare qualsiasi tunnel "attivo" su un dispositivo. Configurare i firewall in base alle esigenze. In caso contrario, i test di ping o il traffico delle applicazioni attraverso la connessione non funzionano in modo affidabile.

Prima dell'inizio

Prima di configurare il CPE:

  • Configurare le impostazioni del provider Internet.
  • Configurare le regole del firewall per aprire la porta UDP 500, la porta UDP 4500 e l'ESP.

Dominio di cifratura o ID proxy supportati

I valori per il dominio di cifratura (noto anche come ID proxy, SPI (Security Parameter Index) o selettore di traffico) dipendono dal fatto che un CPE supporti tunnel basati su instradamenti o tunnel basati su criteri. Per ulteriori informazioni sui valori corretti del dominio di cifratura da utilizzare, vedere Dominio di cifratura o ID proxy supportati.

Parametri dall'API o dalla console

Ottieni i seguenti parametri dalla console o dall'API di Oracle Cloud Infrastructure.

${ipAddress#}

  • Endpoint del tunnel IPSec headend di Oracle VPN. Un valore per tunnel.
  • Valore di esempio: 129.146.12.52

${sharedSecret#}

  • Chiave precondivisa IKE IPSec. Un valore per tunnel.
  • Valore di esempio: EXAMPLEDPfAMkD7nTH3SWr6OFabdT6exXn6enSlsKbE

${cpePublicIpAddress}

  • Indirizzo IP pubblico per il CPE (già reso disponibile a Oracle tramite la console).

${VcnCidrBlock}

  • Quando si crea la VCN, l'azienda ha selezionato questo CIDR per rappresentare la rete di aggregazione IP per tutti gli host VCN.
  • Valore di esempio: 10.0.0.0/20

Parametri basati su configurazione e stato corrente CPE

I parametri riportati di seguito si basano sulla configurazione CPE corrente.

${tunnelInterface#}

  • Numero di interfaccia per identificare il tunnel specifico.
  • Valore di esempio: 1

${ipsecPolicy#}

  • Criterio SA da utilizzare per l'interfaccia in linea selezionata.
  • Valore di esempio: 1

${localAddress}

  • Indirizzo IP pubblico del CPE.
  • Valore di esempio: 146.56.2.52

Riepilogo parametri modello configurazione

Ogni area dispone di diverse intestazioni IPSec Oracle. Il modello riportato di seguito consente di impostare diversi tunnel in un CPE, ciascuno con un headend corrispondente. Nella tabella "Utente" sei tu o la tua azienda.

Parametro Origine Valore di esempio
${ipAddress1} Console/API 129.146.12.52
${sharedSecret1} Console/API (stringa lunga)
${ipAddress2} Console/API 129.146.13.52
${sharedSecret2} Console/API (stringa lunga)
${cpePublicIpAddress} Utente 1.2.3.4
${VcnCidrBlock} Utente 10.0.0.0/20
Importante

I seguenti valori dei parametri dei criteri ISAKMP e IPSec sono applicabili alla VPN da sito a sito nel cloud commerciale. Per Government Cloud, è necessario utilizzare i valori elencati in Parametri VPN da sito a sito obbligatori per Government Cloud.

Opzioni dei criteri ISAKMP

Parametro Valore consigliato
Versione protocollo ISAKMP Versione 1
Tipo di cambio Modalità principale
Metodo di autenticazione Chiavi precedenti alla condivisione
Cifratura AES-256-cbc
Algoritmo di autenticazione SHA-256
Gruppo Diffie-Hellman Raggruppa 5
Durata della chiave di sessione IKE 28800 secondi (8 ore)

IPSec Opzioni criteri

Parametro Valore consigliato
Protocollo IPSec ESP, modalità tunnel
Cifratura AES-256-cbc
Algoritmo di autenticazione HMAC-SHA1-96
Gruppo Diffie-Hellman Raggruppa 5
Perfect Forward Secrecy abilitato
IPSec durata della chiave di sessione 3600 secondi (1 ora)

Configurazione CPE

Configurazione di ISAKMP e IPSec

tunnel select 1
description tunnel OCI-VPN1 
ipsec tunnel 1
  ipsec sa policy 1 1 esp aes256-cbc sha-hmac
  ipsec ike duration ipsec-sa 1 3600
  ipsec ike duration isakmp-sa 1 28800
  ipsec ike encryption 1 aes256-cbc
  ipsec ike group 1 modp1536
  ipsec ike hash 1 sha256
  ipsec ike keepalive log 1 off
  ipsec ike keepalive use 1 on dpd 5 4
  ipsec ike local address 1 ${cpePublicIpAddress}
  ipsec ike local id 1 0.0.0.0/0
  ipsec ike nat-traversal 1 on
  ipsec ike pfs 1 on
  ipsec ike pre-shared-key 1 text ${sharedSecret1}
  ipsec ike remote address 1 ${ipAddress1}
  ipsec ike remote id 1 0.0.0.0/0
ip tunnel tcp mss limit auto
tunnel enable 1

tunnel select 2
description tunnel OCI-VPN2
ipsec tunnel 2
  ipsec sa policy 2 2 esp aes256-cbc sha-hmac
  ipsec ike duration ipsec-sa 2 3600
  ipsec ike duration isakmp-sa 2 28800
  ipsec ike encryption 2 aes256-cbc
  ipsec ike group 2 modp1536
  ipsec ike hash 2 sha256
  ipsec ike keepalive log 2 off
  ipsec ike keepalive use 2 on dpd 5 4
  ipsec ike local address 2 ${cpePublicIpAddress}
  ipsec ike local id 2 0.0.0.0/0
  ipsec ike nat-traversal 2 on
  ipsec ike pfs 2 on
  ipsec ike pre-shared-key 2 text ${sharedSecret2}
  ipsec ike remote address 2 ${ipAddress2}
  ipsec ike remote id 2 0.0.0.0/0
ip tunnel tcp mss limit auto
tunnel enable 2

ipsec auto refresh on

Configurazione degli instradamenti statici

ip route ${VcnCidrBlock} gateway tunnel 1 hide gateway tunnel 2 hide