Documentação do Oracle Cloud Infrastructure

Furukawa Electric

Saiba como configurar um roteador Furukawa Electric para VPN Site a Site entre a sua rede on-premises e a rede na nuvem.

Esta configuração foi validada usando um FurITEawa Electric série FITELnet-F220/F221 executando o Firmware 01.00(00)[0]00.00.0 [2019/07/05 15:00].

Importante

A Oracle fornece instruções de configuração para um conjunto testado de fornecedores e dispositivos. Use a configuração correta do seu fornecedor e da versão do software.

Se a versão do dispositivo ou do software que o sistema Oracle usou para verificar a configuração não corresponder exatamente ao seu dispositivo ou software, você ainda poderá criar a configuração necessária no seu dispositivo. Consulte a documentação do fornecedor e faça os ajustes necessários.

Se o seu dispositivo for destinado a um fornecedor que não está na lista de fornecedores e dispositivos verificados ou se você já estiver familiarizado com a configuração do seu dispositivo para IPSec, consulte a lista de parâmetros IPSec suportados e consulte a documentação do fornecedor para obter ajuda.

Importante

A Oracle usa roteamento assimétrico nos diversos túneis que formam a conexão IPSec. Mesmo que você configure um túnel como principal e outro como backup, o tráfego da sua VCN para a sua rede local poderá usar qualquer túnel que esteja "ativo" no seu dispositivo. Configure os seus firewalls de forma adequada. Caso contrário, o ping de testes ou do tráfego de aplicativos na conexão não funcionará de maneira confiável.

Antes de Começar

Antes de configurar seu CPE, certifique-se de:

  • Configurar as definições do seu provedor de internet.
  • Configurar regras de firewall para abrir a porta UDP 500, a porta UDP 4500 e o ESP.

Domínio de Criptografia ou ID de Proxy Suportado

Os valores do domínio de criptografia (também conhecidos como ID do proxy, índice do parâmetro de segurança (SPI) ou seletor de tráfego) dependem do fato de o seu CPE suportar ou não túneis baseados em rota ou túneis baseados em política. Para obter mais informações sobre os valores de domínio de criptografia corretos a serem usados, consulte Domínio de Criptografia ou ID de Proxy Suportado.

Parâmetros da API ou da Console

Obtenha os parâmetros a seguir da Console ou da API do Oracle Cloud Infrastructure.

$ {vpn-ip#}

  • Pontos finais do túnel IPSec de headend da Oracle VPN. Há um valor para cada túnel.
  • Valores de exemplo: 129.146.12.52, 129.146.13.52

${sharedSecret#}

  • A chave pré-compartilhada do ISAKMP IPSec. Há um valor para cada túnel.
  • Valor de exemplo: EXAMPLEDPfAMkD7nTH3SWr6OFabdT6exXn6enSlsKbE

${cpePublicIpAddress}

  • O endereço IP público do CPE (anteriormente disponibilizado para o sistema Oracle por meio da Console).

${VcnCidrBlock}

  • Ao criar a VCN, a sua empresa selecionou esse CIDR para representar a rede de agregação de IP para todos os hosts da VCN.
  • Valor de Exemplo: 10.0.0.0/20

Parâmetros Baseados na Configuração e no Estado Atuais do CPE

Os parâmetros a seguir se baseiam na configuração atual do CPE.

$ {tunnelNumber#}

  • Um número de interface para identificar o túnel específico. Você precisa de um número de unidade não utilizado por túnel.
  • Valor de exemplo: 1, 2

$ {isakmpPolicy}

  • O nome da política ISAKMP.
  • Valor de exemplo: isakmp-policy

${ipsecPolicy#}

  • O nome da política IPSec.
  • Valor de exemplo: ipsec-policy

$ {isakmpProfile#}

  • O nome do perfil ISAKMP. Você precisa de um nome de perfil ISAKMP não utilizado por túnel.
  • Valores de exemplo: OCI-VPN-profile1, OCI-VPN-profile2

${selector}

  • O nome do seletor.
  • Valor de exemplo: OCI-VPN-selector

${map#}

  • O nome do mapa. Você precisa de um nome de mapa não utilizado por túnel.
  • Valores de exemplo: OCI-VPN-MAP1, OCI-VPN-MAP2

$ {customer-bgp-asn}

  • Seu ASN do BGP.
  • Valor de exemplo: 65000

$ {oracle-bgp-asn#}

  • ASN do BGP da Oracle.
  • Valor de exemplo: 31898

$ {customer-interface-ip#}

  • A interface de túnel interno para CPE.
  • Valor de exemplo: 10.0.0.16/31

$ {oracle-interface-ip#}

  • A interface de túnel interno para ORACLE.
  • Valor de exemplo: 10.0.0.17/31

$ {router-id}

  • O ID do roteador BGP.
  • Valor de exemplo: 10.0.0.16

Resumo dos Parâmetros do Modelo de Configuração

Cada região tem vários headends Oracle IPSec. O modelo a seguir permite configurar diversos túneis no CPE, cada um para um headend correspondente. Na tabela a seguir, "Usuário" é você/sua empresa.

Parâmetro Origem Valor de Exemplo
${vpn-ip1} Console/API 129.146.12.52
${sharedSecret1} Console/API (string longa)
${vpn-ip2} Console/API 129.146.13.52
${sharedSecret2} Console/API (string longa)
${cpePublicIpAddress} Usuário 203.0.113.1
${VcnCidrBlock} Usuário 10.0.0.0/20
${tunnelNumber1} Usuário 1
${tunnelNumber1} Usuário 2
${isakmpPolicy} Usuário isakmp-policy
${ipsecPolicy} Usuário ipsec-policy
${isakmpProfile1} Usuário OCI-VPN-profile1
${isakmpProfile2} Usuário OCI-VPN-profile2
${selector} Usuário OCI-VPN-selector
${map1} Usuário OCI-VPN-MAP1
${map2} Usuário OCI-VPN-MAP2
${customer-bgp-asn} Console/API/Usuário 65000
${oracle-bgp-asn1} Console/API 31,898 *
${oracle-bgp-asn2} Console/API 31,898 *
${customer-interface-ip1} Console/API/Usuário 10.0.0.16/31
${customer-interface-ip2} Console/API/Usuário 10.0.0.18/31
${oracle-interface-ip1} Console/API/Usuário 10.0.0.17
${oracle-interface-ip2} Console/API/Usuário 10.0.0.19
${router-id} Usuário 10.0.0.16
* O ASN do BGP da Oracle para a nuvem comercial é 31898, exceto a região Centro da Sérvia (Jovanovac), que é 14544.

Importante

Os valores de parâmetro de política ISAKMP e IPSec a seguir são aplicáveis à VPN Site a Site na nuvem comercial. Para a Nuvem do Governo, use os valores listados em Parâmetros Obrigatórios da VPN Site a Site para a Nuvem do Governo.

Opções de Política ISAKMP

Parâmetro Valor Recomendado
Versão do protocolo ISAKMP Versão 1
Tipo de intercâmbio Modo principal
Método de autenticação Chaves pré-compartilhadas
Criptografia AES-256-cbc
Algoritmo de autenticação HMAC-SHA1-96
Grupo Diffie-Hellman Grupo 5
Tempo de vida da chave de sessão IKE 28.800 segundos (8 horas)

Opções de Política IPSec

Parâmetro Valor Recomendado
Protocolo IPSec ESP, modo de túnel
Criptografia AES-CBC/256
Algoritmo de autenticação HMAC-SHA1-96/160
Grupo Diffie-Hellman Grupo 5
PFS (Perfect Forward Secrecy) Ativado
Tempo de vida da chave de sessão IPSec 3600 segundos (1 hora)

Configuração do CPE

Configuração de ISAKMP e IPSec

crypto ipsec policy ${ipsecPolicy}
 set pfs group5
 set security-association transform-keysize aes 256 256 256
 set security-association transform esp-aes esp-sha-hmac
exit
!
crypto ipsec selector ${selector}
 src 1 ipv4 any
 dst 1 ipv4 any
exit
!
crypto isakmp policy ${isakmpPolicy}
 authentication pre-share
 encryption aes
 encryption-keysize aes 256 256 256
 group 5
 hash sha
exit
!
crypto isakmp profile ${isakmpProfile1}
 local-address ${cpePublicIpAddress}
 set isakmp-policy ${isakmpPolicy}
 set ipsec-policy ${ipsecPolicy}
 set peer ${vpn-ip1}
 ike-version 1
 local-key ascii ${sharedSecret1}
exit
!
crypto isakmp profile ${isakmpProfile2}
 local-address ${cpePublicIpAddress}
 set isakmp-policy ${isakmpPolicy}
set ipsec-policy ${ipsecPolicy}
set peer ${vpn-ip2}
ike-version 1
 local-key ascii ${sharedSecret2}
exit
!
crypto map ${map1} ipsec-isakmp
 match address ${selector}
set isakmp-profile ${isakmpProfile1}
exit
!
crypto map ${map2} ipsec-isakmp
 match address ${selector}
 set isakmp-profile ${isakmpProfile2}
exit
!
interface Tunnel ${tunnelNumber1}
 tunnel mode ipsec map ${map1}
ip address ${customer-interface-ip1}
exit
!
interface Tunnel ${tunnelNumber2}
 tunnel mode ipsec map ${map2}
 ip address ${customer-interface-ip2}
exit

Configuração BGP

ip route ${vcnCidrBlock} Tunnel ${tunnelNumber1}
ip route ${vcnCidrBlock} Tunnel ${tunnelNumber2}

Configuração de Rotas Estáticas

router bgp ${customer-bgp-asn}
 bgp router-id ${router-id}
 bgp log-neighbor-changes
 neighbor ${oracle-interface-ip1} ebgp-multihop 10
 neighbor ${oracle-interface-ip1} enforce-multihop
 neighbor ${oracle-interface-ip1} remote-as ${oracle-bgp-asn1}
 neighbor ${oracle-interface-ip1} update-source tunnel ${tunnelNumber1}
 neighbor ${oracle-interface-ip2} ebgp-multihop 10
 neighbor ${oracle-interface-ip2} enforce-multihop
 neighbor ${oracle-interface-ip2} remote-as ${oracle-bgp-asn2}
 neighbor ${oracle-interface-ip2} update-source tunnel ${tunnelNumber2}
 !
 address-family ipv4 unicast
  redistribute connected
exit