Documentação do Oracle Cloud Infrastructure

Cisco IOS

Este tópico fornece uma configuração baseada em rota para um dispositivo Cisco IOS. A configuração foi validada com um Cisco 2921 que utiliza o IOS versão 15.4(3)M3.

Importante

A Oracle fornece instruções de configuração para um conjunto testado de fornecedores e dispositivos. Use a configuração correta para o fornecedor e a versão do software.

Se a versão do dispositivo ou do software que a Oracle usou para verificar se a configuração não corresponde exatamente ao dispositivo ou ao software, você ainda poderá criar a configuração necessária no dispositivo. Consulte a documentação do fornecedor e faça as alterações necessárias.

Se o dispositivo for de um fornecedor que não está na lista de fornecedores e dispositivos verificados ou se você já estiver familiarizado com a configuração do dispositivo para IPSec, consulte a lista de parâmetros IPSec suportados e consulte a documentação do fornecedor para obter ajuda.

Oracle Cloud Infrastructure offersSite-to-Site VPN, uma conexão IPSec segura entre uma rede local e uma VCN (virtual cloud network).

O diagrama a seguir mostra uma conexão IPSec básica com o Oracle Cloud Infrastructure que tem túneis redundantes. Os endereços IP usados neste diagrama são somente para fins de exemplo.

Esta imagem resume o layout geral de uma rede on-premises, túneis IPSec da VPN Site a Local e VCN.

Melhores Práticas

Esta seção trata das melhores práticas gerais e de considerações para o uso da VPN Site a Site.

Configurar Todos os Túneis para Todas as Conexões IPSec

A Oracle implanta dois headends IPSec para conexões a fim de fornecer alta disponibilidade para cargas de trabalho de missão crítica. No lado Oracle, esses dois headends estão em roteadores distintos para fins de redundância. Recomendamos a configuração de todos os túneis disponíveis para redundância máxima. Essa é uma parte essencial da filosofia "Design para Falhas".

Ter CPEs Redundantes nas Redes Locais

Recomendamos que cada site que se conecta ao IPSec com o Oracle Cloud Infrastructure tenha dispositivos de borda redundantes (também conhecidos como CPE (customer-premises equipment)). Você adiciona cada CPE à Console do Oracle e cria uma conexão IPSec separada entre um DRG (dynamic routing gateway) e cada CPE. Para cada conexão IPSec, o sistema Oracle provisiona dois túneis em headends IPSec redundantes geograficamente. Para obter mais informações, consulte o Guia de redundância de conectividade (PDF).

Considerações sobre o Protocolo de Roteamento

Quando você cria uma conexão IPSec da VPN Site a Site, ela tem dois túneis IPSec redundantes. A Oracle incentiva você a configurar o CPE para usar ambos os túneis (se o CPE o suportar). Anteriormente, a Oracle criava conexões IPSec com até quatro túneis IPSec.

Os seguintes três tipos de roteamento estão disponíveis e você seleciona o tipo de roteamento separadamente para cada túnel na VPN Site a Site:

  • Roteamento dinâmico BGP: as rotas disponíveis são obtidas dinamicamente por meio de BGP. O DRG obtém dinamicamente as rotas provenientes da rede local. No lado Oracle, o DRG propaga as sub-redes da VCN.
  • roteamento estático: ao configurar a conexão IPSec com o DRG, você especifica para a rede local as rotas específicas que a VCN deverá saber. Você também deve configurar o dispositivo CPE com rotas estáticas para as sub-redes da VCN. Essas rotas não são aprendidas dinamicamente.
  • roteamento baseado em política: ao configurar a conexão IPSec com o DRG, você especifica para a rede local as rotas específicas que a VCN deverá saber. Você também deve configurar o dispositivo CPE com rotas estáticas para as sub-redes da VCN. Essas rotas não são aprendidas dinamicamente.

Para obter mais informações sobre roteamento com a VPN Site a Site, incluindo recomendações da Oracle sobre como manipular o algoritmo de seleção de melhor caminho do BGP, consulte Roteamento da VPN Site a Site.

Outras Configurações Importantes do CPE

Verifique se as listas de acesso do CPE estão configuradas corretamente para não bloquear o tráfego necessário de origem ou destino do Oracle Cloud Infrastructure.

Se houver vários túneis ativos simultaneamente, você poderá experimentar um roteamento assimétrico. Para levar em conta o roteamento assimétrico, certifique-se de que o CPE esteja configurado para tratar o tráfego proveniente da VCN em qualquer um dos túneis. Por exemplo, você precisa desativar a inspeção do ICMP e configurar o bypass de estado do TCP. Para obter mais detalhes sobre a configuração apropriada, entre em contato com o suporte do fornecedor do CPE. Para configurar o roteamento para ser simétrico, consulte Encaminhamento da VPN Site a Site.

Cuidados e Limitações

Esta seção trata de características e limitações gerais importantes da VPN Site a Site que você esteja ciente. Consulte Limites de Serviço para obter uma lista de limites e instruções aplicáveis a uma solicitação de aumento de limite.

Roteamento Assimétrico

O Oracle usa o roteamento assimétrico entre os túneis que compõem a conexão IPSec. Configure firewalls com isso em mente. Caso contrário, os testes de ping ou o tráfego de aplicativos na conexão não funcionarão de forma confiável.

Quando você usa vários túneis para o Oracle Cloud Infrastructure, Recomendamos que você configure o roteamento para rotear deterministicamente o tráfego pelo túnel preferido. Para usar um túnel IPSec como principal e outro como backup, configure rotas mais específicas para o túnel principal (BGP) e rotas menos específicas (rota padrão ou resumida) para o túnel de backup (BGP/estático). Caso contrário, se você propagar a mesma rota (por exemplo, uma rota padrão) por meio de todos os túneis, o tráfego de retorno de uma VCN para uma rede on-premises será roteado para qualquer um dos túneis disponíveis. Isso acontece porque o sistema Oracle usa roteamento assimétrico.

Para obter recomendações específicas de roteamento da Oracle sobre como impor o roteamento simétrico, consulte Roteamento da VPN Site a Site.

VPN Site a Site Baseada em Rota ou em Política

O protocolo IPSec usa SAs (Security Associations) para decidir como criptografar pacotes. Dentro de cada SA, você define domínios de criptografia para mapear o tipo de protocolo e o endereço IP de origem e de destino de um protocolo até uma entrada no banco de dados SA, a fim de definir como criptografar ou decriptografar um pacote.

Observação

Outros fornecedores e a documentação utilizada no setor podem usar os termos ID do proxy, índice de parâmetro de segurança (SPI) ou seletor de tráfego ao fazer referência a SAs ou domínios de criptografia.

Há dois métodos gerais para implementar túneis IPSec:

  • Túneis baseados em rota: também chamados de túneis baseados no próximo salto. Uma pesquisa de tabela de roteamento é executada no endereço IP de destino de um pacote. Se a interface de saída da rota for um túnel IPSec, o pacote será criptografado e enviado para a outra extremidade do túnel.
  • Túneis baseados em política: o protocolo e o endereço IP de origem e de destino do pacote são validados em relação a uma lista de instruções de política. Se não houver uma correspondência, o pacote será criptografado com base nas regras dessa instrução de política.

Os cabeçalhos da VPN Site a Site da Oracle usam túneis baseados em rota, mas podem funcionar com túneis baseados em política, com algumas limitações listadas nas seções a seguir.

Domínio de criptografia para túneis baseados em rota

Se o CPE suportar túneis baseados em rota, use esse método para configurar o túnel. Essa é a configuração mais simples que tem a maior interoperabilidade com o headend da Oracle VPN.

O IPSec baseado em rota usa um domínio de criptografia com os seguintes valores:

  • Endereço IP de origem: qualquer um (0.0.0.0/0)
  • Endereço IP de destino: qualquer um (0.0.0.0/0)
  • Protocolo: IPv4

Se você precisar ser mais específico, poderá usar uma única rota resumida para valores de domínio de criptografia, em vez de uma rota padrão.

Domínio de criptografia para túneis baseados em política

Quando você usa túneis baseados em política, cada entrada de política (um bloco CIDR em um lado da conexão IPSec) que você define gera uma associação de segurança (SA) IPSec com cada entrada elegível na outra extremidade do túnel. Esse par é chamado de domínio de criptografia.

Neste diagrama, a extremidade do DRG da Oracle do túnel IPSec tem entradas de política para três blocos CIDR IPv4 e um bloco CIDR IPv6. A extremidade do CPE on-premises do túnel tem entradas de política em dois blocos CIDR IPv4 e dois blocos CIDR IPv6. Cada entrada gera um domínio de criptografia com todas as entradas possíveis na outra extremidade do túnel. Os dois lados de um par de SA devem usar a mesma versão de IP. O resultado é um total de oito domínios de criptografia.

Diagrama mostrando vários domínios de criptografia e como encontrar seu número.
Importante

Se o CPE suportar apenas túneis baseados em política, conheça as restrições a seguir.

  • A VPN Site a Site suporta vários domínios de criptografia, mas tem um limite máximo de 50 domínios.
  • Se você tivesse uma situação semelhante ao exemplo anterior e tivesse configurado apenas três dos seis domínios de criptografia IPv4 possíveis no lado do CPE, o link seria listado em um estado "Parcial UP", porque todos os domínios de criptografia possíveis são sempre criados no lado do DRG.
  • Dependendo de quando um túnel foi criado, talvez você não possa editar um túnel existente para usar o roteamento baseado em política e precise substituir o túnel por um novo túnel IPSec.
  • Os blocos CIDR usados na extremidade do DRG da Oracle do túnel não podem sobrepor os blocos CIDR usados na extremidade do CPE on-premises do túnel.
  • Um domínio de criptografia deve sempre estar entre dois blocos CIDR da mesma versão de IP.

Se o CPE estiver por trás de um dispositivo NAT

Em geral, o identificador IKE de CPE configurado na extremidade local da conexão deve corresponder ao identificador IKE de CPE que o sistema Oracle está usando. Por padrão, o sistema Oracle usa o endereço IP público do CPE, que você fornece ao criar o objeto CPE na Console do sistema Oracle. No entanto, se um CPE estiver atrás de um dispositivo NAT, o identificador IKE do CPE configurado na extremidade local poderá ser o endereço IP privado do CPE, conforme mostrado no diagrama a seguir.

Esta imagem mostra o CPE atrás de um dispositivo NAT, os endereços IP público e privado e o identificador IKE do CPE.
Observação

Algumas plataformas CPE não permitem que você altere o identificador IKE local. Se não puder alterar, altere o ID de IKE remoto na Console do sistema Oracle para corresponder ao ID de IKE local do CPE. Você pode fornecer o valor quando configurar a conexão IPSec ou posteriormente, editando a conexão IPSec. O sistema Oracle espera que o valor seja um endereço IP ou um nome de domínio totalmente qualificado (FQDN), como cpe.example.com. Para obter instruções, consulte Alterando o Identificador IKE do CPE Usado pelo Sistema Oracle.

Parâmetros IPSec Suportados

Para obter uma lista não dependente de fornecedor contendo parâmetros IPSec suportados para todas as regiões, consulte Parâmetros IPSec Suportados.

O ASN do BGP da Oracle para o realm do Cloud do setor governamental é 31898. Se você estiver configurando a VPN Site-to-Site para a Nuvem do Governo dos EUA, consulte Parâmetros Obrigatórios da VPN Site-to-Site para a Nuvem do Governo e também ASN de BGP da Oracle. Para o Cloud do Governo do Reino Unido, consulte Regiões.

Configuração do CPE

Importante

As instruções de configuração nesta seção são fornecidas pelo Oracle Cloud Infrastructure para este CPE. Se você precisar de suporte ou ajuda adicional, entre em contato diretamente com o suporte do fornecedor do CPE.

A figura a seguir mostra o layout básico da conexão IPSec.

Esta imagem resume o layout geral dos túneis e da conexão IPSec.

O modelo de configuração foi validado com um Cisco 2921 que utiliza o IOS versão 15.4(3)M3. O modelo fornece informações para cada túnel que você deve configurar. A configuração de todos os túneis configurados é recomendada para redundância máxima.

O modelo de configuração se refere aos itens que você deverá fornecer:

  • Endereço IP público do CPE: O endereço IP roteável para a internet designado à interface externa no CPE. Você ou a administradora da Oracle fornece esse valor ao Oracle ao criar o objeto CPE na Console da Oracle.
  • Interface de túnel interno (opção obrigatória se você estiver usando BGP): os endereços IP das extremidades do CPE e do sistema Oracle da interface de túnel interno. Você fornece esses valores ao criar a conexão IPSec na Console do sistema Oracle.
  • ASN do BGP (obrigatório se estiver usando BGP): O ASN do BGP local.

Além disso, você deve:

  • Configure o roteamento interno que roteia o tráfego entre o CPE e a rede local.
  • Certifique-se de permitir o tráfego entre o CPE e a Oracle VCN.
  • Identifique o perfil IPSec usado (o modelo de configuração a seguir faz referência a essa política de grupo como oracle-vpn).
  • Identifique o conjunto de transformações usado para o mapa criptográfico (o modelo da configuração a seguir faz referência a esse conjunto de transformações como oracle-vpn-transform).
Importante

Este modelo de configuração do Oracle Cloud Infrastructure a seguir é um ponto de partida para o que você precisa aplicar ao CPE. Alguns parâmetros referenciados no modelo devem ser exclusivos no CPE, e a exclusividade só pode ser encontrada acessando o CPE. Verifique se os parâmetros são válidos no CPE e se não substituem os valores configurados anteriormente. Especificamente, certifique-se de que estes valores sejam exclusivos:

  • Nomes ou números de políticas
  • Nomes de interfaces

  • Keyrings

  • Números de listas de acesso (se aplicável)

O sistema Oracle suporta o Internet Key Exchange versão 1 (IKEv1) e versão 2 (IKEv2). Se você configurar a conexão IPSec na Console para usar IKEv2, deverá configurar o CPE para usar somente IKEv2 e os parâmetros relacionados de criptografia IKEv2 suportados pelo CPE. Para obter uma lista de parâmetros que o Oracle suporta para IKEv1 ou IKEv2, consulte Parâmetros IPSec Suportados.

Há modelos de configuração separados para IKEv1 e IKEv2.

Modelo de Configuração do IKEv1

Exiba o modelo de configuração do IKEv1 no modo de tela cheia para facilitar a leitura. 

!-------------------------------------------------------------------------------------------------------------------------------------------------------------
! IKEv1 Configuration Template
! The configuration consists of two IPSec tunnels. Oracle highly recommends that you configure both tunnels for maximum redundancy.
!-------------------------------------------------------------------------------------------------------------------------------------------------------------
! The configuration template involves setting up the following:
! Keyring (Pre-Shared Key)
! Basic ISAKMP Options
! ISAKMP and IPSec Policy Configuration
! IPSec Peers
! Virtual Tunnel Interfaces
! IP Routing (BGP or Static)
! Update Any Internet Facing Access List to Allow IPSec and ISAKMP Packets
!-------------------------------------------------------------------------------------------------------------------------------------------------------------
! The configuration template has various parameters that you must define before applying the configuration.
!-------------------------------------------------------------------------------------------------------------------------------------------------------------
! PARAMETERS REFERENCED:
! ${OracleInsideTunnelIpAddress1} = Inside tunnel IP address of Oracle-side for the first tunnel. You provide these values when creating the IPSec connection in the Oracle Console.
! ${OracleInsideTunnelIpAddress2} = Inside tunnel IP address of Oracle-side for the second tunnel. You provide these values when creating the IPSec connection in the Oracle Console.
! ${bgpASN} = Your BGP ASN
! ${cpePublicIpAddress} = The public IP address for the CPE. This is the IP address of your outside interface
! ${oracleHeadend1} = Oracle public IP endpoint obtained from the Oracle Console.
! ${oracleHeadend2} = Oracle public IP endpoint obtained from the Oracle Console.
! ${sharedSecret1} = You provide when you set up the IPSec connection in the Oracle Console, or you can use the default Oracle-provided value.
! ${sharedSecret2} = You provide when you set up the IPSec connection in the Oracle Console, or you can use the default Oracle-provided value.
! ${outsideInterface} = The public interface or outside of tunnel interface which is configured with the CPE public IP address.
! ${vcnCidrNetwork} = VCN IP range
! ${vcnCidrNetmask} = Subnet mask for VCN
! ${onPremCidrNetwork} = On-premises IP range
! ${onPremCidrNetmask} = ON-premises subnet mask
!-------------------------------------------------------------------------------------------------------------------------------------------------------------
 
! Keyring (Pre-Shared Key)
 
! For authentication during IKE a separate keyring is defined for each Oracle VPN Headend peer.
! Add the pre-shared key for each Oracle VPN headend under the corresponding keyring.
 
crypto keyring oracle-vpn-${oracleHeadend1} 
  local-address ${cpePublicIpAddress}
  pre-shared-key address ${oracleHeadend1} key ${sharedSecret1}
crypto keyring oracle-vpn-${oracleHeadend2} 
  local-address ${cpePublicIpAddress}
  pre-shared-key address ${oracleHeadend2} key ${sharedSecret2}
 
! Basic ISAKMP Options
 
! Optional IPSec settings are included here.
! All optional settings included are recommended by Oracle. Remove or comment out any unneeded commands prior to applying this configuration.
! WARNING: These settings are global and may impact other IPSec connections
 
! Enables fragmentation of IKE packets prior to encryption.
crypto isakmp fragmentation
 
! Enables Dead Peer Detection (DPD)
crypto isakmp keepalive 10 10
 
! The Router will clear the DF-bit in the IP header. Allows the packet to be fragmented and sen to the end host in Oracle Cloud Infrastructure for reassembly.
crypto ipsec df-bit clear
 
! Increases security association anti-replay window. An increased window size is helpful for scenarios where packets are regularly being dropped due to delays.
crypto ipsec security-association replay window-size 128
 
! ISAKMP and IPSec Policy Configuration
 
! An ISAKMP policy is created for Phase 1 which specifies to use a Pre-Shared Key, AES256, SHA384, Diffie-Hellman Group 5, and a Phase 1 lifetime of 28800 seconds (8 hours).
! If different parameters are required, modify this template before applying the configuration.
! WARNING: The ISAKMP group policy is created with a priority of 10. Make sure this doesn't conflict with any pre-existing configuration before applying.
 
crypto isakmp policy 10
 encr aes 256
 hash sha384
 authentication pre-share
 group 5
 lifetime 28800
 
! Create an IPSec transform set named 'oracle-vpn-transform' which defines a combination of IPSec (Phase 2) policy options. Specifically, AES256 for encryption and SHA1 for authentication. This is also where tunnel mode is set for IPSec.
! If different parameters are required, modify this template before applying the configuration.
 
crypto ipsec transform-set oracle-vpn-transform esp-aes 256 esp-sha-hmac
 mode tunnel
 
! A IPSec profile named 'oracle-vpn' is created.
! The previously created transform set is added to this policy along with settings for enabling PFS Group 5 and the security association lifetime to 3600 seconds (1 hour).
! If different parameters are required, modify this template before applying the configuration.
 
crypto ipsec profile oracle-vpn
 set pfs group5
 set security-association lifetime seconds 3600
 set transform-set oracle-vpn-transform
 
! IPSec Peers
 
! Two ISAKMP profiles are created for each Oracle VPN Headend.
! An ISAKMP profile is used as a repository for various Phase 1 commands tied to a specific IPSec peer. In this case, we match the previously created keyrings to an Oracle VPN headend.
 
crypto isakmp profile oracle-vpn-${oracleHeadend1}
   keyring oracle-vpn-${oracleHeadend1}
   self-identity address
   match identity address ${oracleHeadend1} 255.255.255.255
crypto isakmp profile oracle-vpn-${oracleHeadend2}
   keyring oracle-vpn-${oracleHeadend2}
   self-identity address
   match identity address ${oracleHeadend2} 255.255.255.255
 
! Virtual Tunnel Interfaces
 
! Each tunnel interface is a logical interface representing the local end of a VPN tunnel to a remote VPN peer. Each tunnel interface represents a single tunnel to a different Oracle VPN Headend. The IP address of each VPN headend is provided when you create your IPSec connection in Oracle Console.
! All traffic routed to a tunnel interface will be encrypted and sent across the tunnel towards Oracle Cloud Infrastructure.
! Each tunnel interface configuration also references the previously created IPSec profile 'oracle-vpn' for its IPSec parameters.
 
interface Tunnel${tunnelNumber1}
 ip address ${cpeInsideTunnelIpAddress1} ${cpeInsideTunnelNetmask1}
 tunnel source ${cpePublicIpAddress}
 tunnel mode ipsec ipv4
 tunnel destination ${oracleHeadend1}
 tunnel protection ipsec profile oracle-vpn
 
interface Tunnel${tunnelNumber2}
 ip address ${cpeInsideTunnelIpAddress2} ${cpeInsideTunnelNetmask2}
 tunnel source ${cpePublicIpAddress}
 tunnel mode ipsec ipv4
 tunnel destination ${oracleHeadend2}
 tunnel protection ipsec profile oracle-vpn
 
! IP Routing
! Pick either dynamic (BGP) or static routing. Uncomment the corresponding commands prior to applying configuration.
  
! Border Gateway Protocol (BGP) Configuration
! Uncomment below lines if you want to use BGP.
 
! router bgp ${bgpASN}
!  neighbor ${OracleInsideTunnelIpAddress1} remote-as 31898
!  neighbor ${OracleInsideTunnelIpAddress2} remote-as 31898
!  network ${onPremCidrNetwork} mask ${onPremCidrNetmask}
 
! Static Route Configuration
! Uncomment below lines if you want to use static routing.
! ip route ${vcnCidrNetwork} ${vcnCidrNetmask} Tunnel${tunnelNumber1}
! ip route ${vcnCidrNetwork} ${vcnCidrNetmask} Tunnel${tunnelNumber2}
 
! Update Any Internet Facing Access List to Allow IPSec and ISAKMP Packets
 
! You may need to allow IPSec and ISAKMP packets out your internet facing interface.
! Uncomment below lines to create a new ACL allowing IPSec and ISAKMP traffic and apply it to the outside interface.
 
! ip access-list extended INTERNET-INGRESS
!  permit udp host ${oracleHeadend1} host ${cpePublicIpAddress} eq isakmp
!  permit esp host ${oracleHeadend1} host ${cpePublicIpAddress}
!  permit udp host ${oracleHeadend2} host ${cpePublicIpAddress} eq isakmp
!  permit esp host ${oracleHeadend2} host ${cpePublicIpAddress}
!  permit icmp any any echo
!  permit icmp any any echo-reply
!  permit icmp any any unreachable
 
! interface ${outsideInterface}
!  ip address ${cpePublicIpAddress} $(netmask}
!  ip access-group INTERNET-INGRESS in
Modelo de Configuração do IKEv2

Exiba o modelo de configuração do IKEv2 no modo de tela cheia para facilitar a leitura. 

!-------------------------------------------------------------------------------------------------------------------------------------------------------------
! IKEv2 Configuration Template
! The configuration consists of two IPSec tunnels. Oracle highly recommends that you configure both tunnels for maximum redundancy.
!-------------------------------------------------------------------------------------------------------------------------------------------------------------
! The configuration template involves setting up the following:
! Keyring (Pre-Shared Key)
! IKEv2 and IPSec Policy Configuration
! IPSec Peers
! Virtual Tunnel Interfaces
! IP Routing (BGP or Static)
! Update Any Internet Facing Access List to Allow IPSec and ISAKMP Packets
!-------------------------------------------------------------------------------------------------------------------------------------------------------------
! The configuration template has various parameters that you must define before applying the configuration.
!-------------------------------------------------------------------------------------------------------------------------------------------------------------
! PARAMETERS REFERENCED:
! ${OracleInsideTunnelIpAddress1} = Inside tunnel IP address of Oracle-side for the first tunnel. You provide these values when creating the IPSec connection in the Oracle Console.
! ${OracleInsideTunnelIpAddress2} = Inside tunnel IP address of Oracle-side for the second tunnel. You provide these values when creating the IPSec connection in the Oracle Console.
! ${bgpASN} = Your BGP ASN
! ${cpePublicIpAddress} = The public IP address for the CPE. This is the IP address of your outside interface
! ${oracleHeadend1} = Oracle public IP endpoint obtained from the Oracle Console.
! ${oracleHeadend2} = Oracle public IP endpoint obtained from the Oracle Console.
! ${sharedSecret1} = You provide when you set up the IPSec connection in the Oracle Console, or you can use the default Oracle-provided value.
! ${sharedSecret2} = You provide when you set up the IPSec connection in the Oracle Console, or you can use the default Oracle-provided value.
! ${outsideInterface} = The public interface or outside of tunnel interface which is configured with the CPE public IP address.
! ${vcnCidrNetwork} = VCN IP range
! ${vcnCidrNetmask} = Subnet mask for VCN
! ${onPremCidrNetwork} = On-premises IP range
! ${onPremCidrNetmask} = ON-premises subnet mask
!-------------------------------------------------------------------------------------------------------------------------------------------------------------

! Keyring (Pre-Shared Key)

! For authentication during IKE a separate keyring is defined for each Oracle VPN Headend peer.
! Add the pre-shared key for each Oracle VPN headend under the corresponding keyring.

crypto ikev2 keyring oracle-vpn-${oracleHeadend1}
peer oracle_vpn
 address ${oracleHeadend1}
 pre-shared-key local ${sharedSecret1}
 pre-shared-key remote ${sharedSecret1}

crypto ikev2 keyring oracle-vpn-${oracleHeadend2}
peer oracle_vpn
 address ${oracleHeadend2}
 pre-shared-key local ${sharedSecret2}
 pre-shared-key remote ${sharedSecret2}


! Optional IPSec settings are included here.
! All optional settings included are recommended by Oracle. Remove or comment out any unneeded commands prior to applying this configuration.
! WARNING: These settings are global and may impact other IPSec connections

! The Router will clear the DF-bit in the IP header. Allows the packet to be fragmented and sen to the end host in Oracle Cloud Infrastructure for reassembly.
crypto ipsec df-bit clear

! Increases security association anti-replay window. An increased window size is helpful for scenarios where packets are regularly being dropped due to delays.
crypto ipsec security-association replay window-size 128

! IKEv2 and IPSec Policy Configuration

! An IKEv2 proposal is created and specifies use of a Pre-Shared Key, AES256, SHA384, and Diffie-Hellman Group 5.
! If different parameters are required, modify this template before applying the configuration.

crypto ikev2 proposal oracle_v2_proposal
 encryption aes-cbc-256
 integrity sha384
 group 5

crypto ikev2 policy oracle_v2_policy
 proposal oracle_v2_proposal

! Create an IPSec transform set named 'oracle-vpn-transform' which defines a combination of IPSec (Phase 2) policy options. Specifically, AES256 for encryption and SHA1 for authentication. This is also where tunnel mode is set for IPSec.
! If different parameters are required, modify this template before applying the configuration.

crypto ipsec transform-set oracle-vpn-transform esp-aes 256 esp-sha-hmac
 mode tunnel

! An IPSec profile named 'oracle_v2_ipsec_profile_tunnel#' is created for each tunnel.
! The previously created transform set is added to this policy along with settings for enabling PFS Group 5 and the security association lifetime to 3600 seconds (1 hour).
! If different parameters are required, modify this template before applying the configuration.


crypto ipsec profile oracle_v2_ipsec_profile_tunnel1
 set ikev2-profile oracle_v2_profile_tunnel1
 set pfs group5
 set security-association lifetime seconds 3600
 set transform-set oracle-vpn-transform

crypto ipsec profile oracle_v2_ipsec_profile_tunnel2
 set ikev2-profile oracle_v2_profile_tunnel2
 set pfs group5
 set security-association lifetime seconds 3600
 set transform-set oracle-vpn-transform

! IPSec Peers

! Two IKEv2 profiles are created for each Oracle VPN Headend.

crypto ikev2 profile oracle-vpn-${oracleHeadend1}
 keyring oracle-vpn-${oracleHeadend1}
 identity local address ${cpePublicIpAddress}
 match identity remote address ${oracleHeadend1} 255.255.255.255
 authentication remote pre-share
 authentication local pre-share 

crypto ikev2 profile oracle-vpn-${oracleHeadend2}
 keyring oracle-vpn-${oracleHeadend2}
 identity local address ${cpePublicIpAddress}
 match identity remote address ${oracleHeadend2} 255.255.255.255
 authentication remote pre-share
 authentication local pre-share

! Virtual Tunnel Interfaces

! Each tunnel interface is a logical interface representing the local end of a VPN tunnel to a remote VPN peer. Each tunnel interface represents a single tunnel to a different Oracle VPN Headend. The IP address of each VPN headend is provided when you create your IPSec connection in Oracle Console.
! All traffic routed to a tunnel interface will be encrypted and sent across the tunnel towards Oracle Cloud Infrastructure.
! Each tunnel interface configuration also references the previously created IPSec profile 'oracle-vpn' for its IPSec parameters.

interface Tunnel${tunnelNumber1}
 ip address ${cpeInsideTunnelIpAddress1} ${cpeInsideTunnelNetmask1}
 tunnel source ${cpePublicIpAddress}
 tunnel mode ipsec ipv4
 tunnel destination ${oracleHeadend1}
 tunnel protection ipsec profile oracle_v2_ipsec_profile_tunnel1

interface Tunnel${tunnelNumber2}
 ip address ${cpeInsideTunnelIpAddress2} ${cpeInsideTunnelNetmask2}
 tunnel source ${cpePublicIpAddress}
 tunnel mode ipsec ipv4
 tunnel destination ${oracleHeadend2}
 tunnel protection ipsec profile oracle_v2_ipsec_profile_tunnel2

! IP Routing
! Pick either dynamic (BGP) or static routing. Uncomment the corresponding commands prior to applying configuration.

! Border Gateway Protocol (BGP) Configuration
! Uncomment below lines if you want to use BGP.

! router bgp ${bgpASN}
!  neighbor ${OracleInsideTunnelIpAddress1} remote-as 31898
!  neighbor ${OracleInsideTunnelIpAddress2} remote-as 31898
!  network ${onPremCidrNetwork} mask ${onPremCidrNetmask}

! Static Route Configuration
! Uncomment below lines if you want to use static routing.
! ip route ${vcnCidrNetwork} ${vcnCidrNetmask} Tunnel${tunnelNumber1}
! ip route ${vcnCidrNetwork} ${vcnCidrNetmask} Tunnel${tunnelNumber2}

! Update Any Internet Facing Access List to Allow IPSec and ISAKMP Packets

! You may need to allow IPSec and ISAKMP packets out your internet facing interface.
! Uncomment below lines to create a new ACL allowing IPSec and ISAKMP traffic and apply it to the outside interface.

! ip access-list extended INTERNET-INGRESS
!  permit udp host ${oracleHeadend1} host ${cpePublicIpAddress} eq isakmp
!  permit esp host ${oracleHeadend1} host ${cpePublicIpAddress}
!  permit udp host ${oracleHeadend2} host ${cpePublicIpAddress} eq isakmp
!  permit esp host ${oracleHeadend2} host ${cpePublicIpAddress}
!  permit icmp any any echo
!  permit icmp any any echo-reply
!  permit icmp any any unreachable

! interface ${outsideInterface}
!  ip address ${cpePublicIpAddress} $(netmask}
!  ip access-group INTERNET-INGRESS in

Verificação

Os comandos do IOS a seguir foram incluídos para permitir o diagnóstico e a solução de problemas básicos.

Use o comando a seguir para verificar se associações de segurança ISAKMP estão sendo criadas entre as duas conexões de pareadas correspondentes.

show crypto isakmp sa

Use o comando a seguir para verificar o status de todas as conexões ou vizinhos BGP.

show ip bgp summary
show ip bgp neighbors

Use o comando a seguir para verificar a tabela de roteamento.

show ip route

O serviço Monitoring também está disponível no Oracle Cloud Infrastructure para monitorar de forma ativa e passiva os recursos de nuvem. Para obter informações sobre o monitoramento de uma VPN Site a Site, consulte Métricas da VPN Site a Site.

Se você tiver problemas, consulte Diagnóstico e Solução de Problemas da VPN Site a Site.