Documentação do Oracle Cloud Infrastructure

Furukawa Electric

Saiba como configurar um roteador Furukawa Electric para a VPN Site a Local entre uma rede local e uma rede em nuvem.

Esta configuração foi validada usando um FurITEawa Electric série FITELnet-F220/F221 executando o Firmware 01.00(00)[0]00.00.0 [2019/07/05 15:00].

Importante

A Oracle fornece instruções de configuração para um conjunto testado de fornecedores e dispositivos. Use a configuração correta para o fornecedor e a versão do software.

Se a versão do dispositivo ou do software que a Oracle usou para verificar se a configuração não corresponde exatamente ao dispositivo ou ao software, você ainda poderá criar a configuração necessária no dispositivo. Consulte a documentação do fornecedor e faça as alterações necessárias.

Se o dispositivo for de um fornecedor que não está na lista de fornecedores e dispositivos verificados ou se você já estiver familiarizado com a configuração do dispositivo para IPSec, consulte a lista de parâmetros IPSec suportados e consulte a documentação do fornecedor para obter ajuda.

Importante

A Oracle usa roteamento assimétrico entre os túneis que compõem a conexão IPSec. Mesmo que você configure um túnel como principal e outro como backup, o tráfego de uma VCN para uma rede on-premises pode usar qualquer túnel que esteja "ativo" em um dispositivo. Configure firewalls conforme apropriado. Caso contrário, os testes de ping ou o tráfego de aplicativos na conexão não funcionarão de forma confiável.

Antes de Começar

Antes de configurar o CPE, certifique-se de:

  • Configurar definições do provedor de internet.
  • Configurar regras de firewall para abrir a porta UDP 500, a porta UDP 4500 e o ESP.

Domínio de Criptografia ou ID de Proxy Suportado

Os valores do domínio de criptografia (também conhecidos como ID do proxy, índice do parâmetro de segurança (SPI) ou seletor de tráfego) dependem do fato de um CPE suportar ou não túneis baseados em rota ou túneis baseados em política. Para obter mais informações sobre os valores de domínio de criptografia corretos a serem usados, consulte Domínio de Criptografia ou ID de Proxy Suportado.

Parâmetros da API ou da Console

Obtenha os parâmetros da Console ou da API do Oracle Cloud Infrastructure a seguir.

$ {vpn-ip#}

  • Pontos finais do túnel IPSec de headend da Oracle VPN. Um valor por túnel.
  • Valores de exemplo: 129.146.12.52, 129.146.13.52

${sharedSecret#}

  • A chave pré-compartilhada do ISAKMP IPSec. Um valor por túnel.
  • Valor de exemplo: EXAMPLEDPfAMkD7nTH3SWr6OFabdT6exXn6enSlsKbE

${cpePublicIpAddress}

  • O endereço IP público do CPE (já disponibilizado para a Oracle por meio da Console).

${VcnCidrBlock}

  • Ao criar a VCN, a sua empresa selecionou esse CIDR para representar a rede de agregação de IP para todos os hosts da VCN.
  • Valor de Exemplo: 10.0.0.0/20

Parâmetros Baseados na Configuração e no Estado Atuais do CPE

Os parâmetros a seguir se baseiam na configuração atual de CPE.

$ {tunnelNumber#}

  • Um número de interface para identificar o túnel específico. Você precisa de um número de unidade não utilizado por túnel.
  • Valor de exemplo: 1, 2

$ {isakmpPolicy}

  • O nome da política ISAKMP.
  • Valor de exemplo: isakmp-policy

${ipsecPolicy#}

  • O nome da política IPSec.
  • Valor de exemplo: ipsec-policy

$ {isakmpProfile#}

  • O nome do perfil ISAKMP. Você precisa de um nome de perfil ISAKMP não utilizado por túnel.
  • Valores de exemplo: OCI-VPN-profile1, OCI-VPN-profile2

${selector}

  • O nome do seletor.
  • Valor de exemplo: OCI-VPN-selector

${map#}

  • O nome do mapa. Você precisa de um nome de mapa não utilizado por túnel.
  • Valores de exemplo: OCI-VPN-MAP1, OCI-VPN-MAP2

$ {customer-bgp-asn}

  • O ASN do BGP local.
  • Valor de exemplo: 65000

$ {oracle-bgp-asn#}

  • ASN do BGP da Oracle.
  • Valor de exemplo: 31898

$ {customer-interface-ip#}

  • A interface de túnel interno para CPE.
  • Valor de exemplo: 10.0.0.16/31

$ {oracle-interface-ip#}

  • A interface de túnel interno para ORACLE.
  • Valor de exemplo: 10.0.0.17/31

$ {router-id}

  • O ID do roteador BGP.
  • Valor de exemplo: 10.0.0.16

Resumo dos Parâmetros do Modelo de Configuração

Cada região tem vários headends do Oracle IPSec. O modelo a seguir ajuda a configurar túneis redundantes em um CPE, cada um para um headend correspondente. Na tabela a seguir, "Usuário" é você ou sua empresa.

Parâmetro Origem Valor de Exemplo
${vpn-ip1} Console/API 129.146.12.52
${sharedSecret1} Console/API (string longa)
${vpn-ip2} Console/API 129.146.13.52
${sharedSecret2} Console/API (string longa)
${cpePublicIpAddress} Usuário 203.0.113.1
${VcnCidrBlock} Usuário 10.0.0.0/20
${tunnelNumber1} Usuário 1
${tunnelNumber1} Usuário 2
${isakmpPolicy} Usuário isakmp-policy
${ipsecPolicy} Usuário ipsec-policy
${isakmpProfile1} Usuário OCI-VPN-profile1
${isakmpProfile2} Usuário OCI-VPN-profile2
${selector} Usuário OCI-VPN-selector
${map1} Usuário OCI-VPN-MAP1
${map2} Usuário OCI-VPN-MAP2
${customer-bgp-asn} Console/API/Usuário 65000
${oracle-bgp-asn1} Console/API 31,898 *
${oracle-bgp-asn2} Console/API 31,898 *
${customer-interface-ip1} Console/API/Usuário 10.0.0.16/31
${customer-interface-ip2} Console/API/Usuário 10.0.0.18/31
${oracle-interface-ip1} Console/API/Usuário 10.0.0.17
${oracle-interface-ip2} Console/API/Usuário 10.0.0.19
${router-id} Usuário 10.0.0.16
* O ASN BGP da Oracle para a nuvem comercial é 31898, exceto a região Central da Sérvia (Jovanovac), que é 14544.

Importante

Os valores de parâmetro de política ISAKMP e IPSec a seguir são aplicáveis à VPN Site a Site na nuvem comercial. Para a Cloud do Governo, use os valores listados em Parâmetros Obrigatórios da VPN Site a Site para a Cloud do Governo.

Opções de Política ISAKMP

Parâmetro Valor Recomendado
Versão do protocolo ISAKMP Versão 1
Tipo de intercâmbio Modo principal
Método de autenticação Chaves pré-compartilhadas
Criptografia AES-256-cbc
Algoritmo de autenticação HMAC-SHA1-96
Grupo Diffie-Hellman Grupo 5
Tempo de vida da chave de sessão IKE 28.800 segundos (8 horas)

Opções de Política IPSec

Parâmetro Valor Recomendado
Protocolo IPSec ESP, modo de túnel
Criptografia AES-CBC/256
Algoritmo de autenticação HMAC-SHA1-96/160
Grupo Diffie-Hellman Grupo 5
PFS (Perfect Forward Secrecy) Ativado
Tempo de vida da chave de sessão IPSec 3600 segundos (1 hora)

Configuração do CPE

Configuração de ISAKMP e IPSec

crypto ipsec policy ${ipsecPolicy}
 set pfs group5
 set security-association transform-keysize aes 256 256 256
 set security-association transform esp-aes esp-sha-hmac
exit
!
crypto ipsec selector ${selector}
 src 1 ipv4 any
 dst 1 ipv4 any
exit
!
crypto isakmp policy ${isakmpPolicy}
 authentication pre-share
 encryption aes
 encryption-keysize aes 256 256 256
 group 5
 hash sha
exit
!
crypto isakmp profile ${isakmpProfile1}
 local-address ${cpePublicIpAddress}
 set isakmp-policy ${isakmpPolicy}
 set ipsec-policy ${ipsecPolicy}
 set peer ${vpn-ip1}
 ike-version 1
 local-key ascii ${sharedSecret1}
exit
!
crypto isakmp profile ${isakmpProfile2}
 local-address ${cpePublicIpAddress}
 set isakmp-policy ${isakmpPolicy}
set ipsec-policy ${ipsecPolicy}
set peer ${vpn-ip2}
ike-version 1
 local-key ascii ${sharedSecret2}
exit
!
crypto map ${map1} ipsec-isakmp
 match address ${selector}
set isakmp-profile ${isakmpProfile1}
exit
!
crypto map ${map2} ipsec-isakmp
 match address ${selector}
 set isakmp-profile ${isakmpProfile2}
exit
!
interface Tunnel ${tunnelNumber1}
 tunnel mode ipsec map ${map1}
ip address ${customer-interface-ip1}
exit
!
interface Tunnel ${tunnelNumber2}
 tunnel mode ipsec map ${map2}
 ip address ${customer-interface-ip2}
exit

Configuração BGP

ip route ${vcnCidrBlock} Tunnel ${tunnelNumber1}
ip route ${vcnCidrBlock} Tunnel ${tunnelNumber2}

Configuração de Rotas Estáticas

router bgp ${customer-bgp-asn}
 bgp router-id ${router-id}
 bgp log-neighbor-changes
 neighbor ${oracle-interface-ip1} ebgp-multihop 10
 neighbor ${oracle-interface-ip1} enforce-multihop
 neighbor ${oracle-interface-ip1} remote-as ${oracle-bgp-asn1}
 neighbor ${oracle-interface-ip1} update-source tunnel ${tunnelNumber1}
 neighbor ${oracle-interface-ip2} ebgp-multihop 10
 neighbor ${oracle-interface-ip2} enforce-multihop
 neighbor ${oracle-interface-ip2} remote-as ${oracle-bgp-asn2}
 neighbor ${oracle-interface-ip2} update-source tunnel ${tunnelNumber2}
 !
 address-family ipv4 unicast
  redistribute connected
exit