Yamaha Série RTX

Esta configuração foi validada com o uso de um RTX1210 executando o Firmware Rev.14.01.28 e de um RTX830 executando o Firmware Rev.15.02.03.

Importante

A Oracle fornece instruções de configuração para um conjunto testado de fornecedores e dispositivos. Use a configuração correta para o fornecedor e a versão do software.

Se a versão do dispositivo ou do software que a Oracle usou para verificar se a configuração não corresponde exatamente ao dispositivo ou ao software, você ainda poderá criar a configuração necessária no dispositivo. Consulte a documentação do fornecedor e faça as alterações necessárias.

Se o dispositivo for de um fornecedor que não está na lista de fornecedores e dispositivos verificados ou se você já estiver familiarizado com a configuração do dispositivo para IPSec, consulte a lista de parâmetros IPSec suportados e consulte a documentação do fornecedor para obter ajuda.

Importante

A Oracle usa roteamento assimétrico entre os túneis que compõem a conexão IPSec. Mesmo que você configure um túnel como principal e outro como backup, o tráfego de uma VCN para uma rede on-premises pode usar qualquer túnel que esteja "ativo" em um dispositivo. Configure firewalls conforme apropriado. Caso contrário, os testes de ping ou o tráfego de aplicativos na conexão não funcionarão de forma confiável.

Antes de Começar

Antes de configurar o CPE:

  • Configure as definições do provedor de internet.
  • Configurar regras de firewall para abrir a porta UDP 500, a porta UDP 4500 e o ESP.

Domínio de Criptografia ou ID de Proxy Suportado

Os valores do domínio de criptografia (também conhecidos como ID do proxy, índice do parâmetro de segurança (SPI) ou seletor de tráfego) dependem do fato de um CPE suportar ou não túneis baseados em rota ou túneis baseados em política. Para obter mais informações sobre os valores de domínio de criptografia corretos a serem usados, consulte Domínio de Criptografia ou ID de Proxy Suportado.

Parâmetros da API ou da Console

Obtenha os parâmetros da Console ou da API do Oracle Cloud Infrastructure a seguir.

${ipAddress#}

  • Pontos finais do túnel IPSec de headend da Oracle VPN. Um valor por túnel.
  • Exemplo de valor: 129.146.12.52

${sharedSecret#}

  • A chave pré-compartilhada do IKE IPSec. Um valor por túnel.
  • Valor de exemplo: EXAMPLEDPfAMkD7nTH3SWr6OFabdT6exXn6enSlsKbE

${cpePublicIpAddress}

  • O endereço IP público do CPE (já disponibilizado para a Oracle por meio da Console).

${VcnCidrBlock}

  • Ao criar a VCN, a sua empresa selecionou esse CIDR para representar a rede de agregação de IP para todos os hosts da VCN.
  • Valor de Exemplo: 10.0.0.0/20

Parâmetros Baseados na Configuração e no Estado Atuais do CPE

Os parâmetros a seguir se baseiam na configuração atual de CPE.

${tunnelInterface#}

  • Um número de interface para identificar o túnel específico.
  • Valor de exemplo: 1

${ipsecPolicy#}

  • A política de SA a ser usada para a interface em linha selecionada.
  • Valor de exemplo: 1

${localAddress}

  • O endereço IP público do CPE.
  • Valor de exemplo: 146.56.2.52

Resumo dos Parâmetros do Modelo de Configuração

Cada região tem vários headends do Oracle IPSec. O modelo a seguir ajuda a configurar vários túneis em um CPE, cada um para um headend correspondente. Na tabela, "Usuário" é você ou sua empresa.

Parâmetro Origem Valor de Exemplo
${ipAddress1} Console/API 129.146.12.52
${sharedSecret1} Console/API (string longa)
${ipAddress2} Console/API 129.146.13.52
${sharedSecret2} Console/API (string longa)
${cpePublicIpAddress} Usuário 1.2.3.4
${VcnCidrBlock} Usuário 10.0.0.0/20
Importante

Os valores de parâmetro de política ISAKMP e IPSec a seguir são aplicáveis à VPN Site a Site na nuvem comercial. Para a Cloud do Governo, use os valores listados em Parâmetros Obrigatórios da VPN Site a Site para a Cloud do Governo.

Opções de Política ISAKMP

Parâmetro Valor Recomendado
Versão do protocolo ISAKMP Versão 1
Tipo de intercâmbio Modo principal
Método de autenticação Chaves pré-compartilhadas
Criptografia AES-256-cbc
Algoritmo de autenticação SHA-256
Grupo Diffie-Hellman Grupo 5
Tempo de vida da chave de sessão IKE 28800 segundos (8 horas)

Opções de Política IPSec

Parâmetro Valor Recomendado
Protocolo IPSec ESP, modo de túnel
Criptografia AES-256-cbc
Algoritmo de autenticação HMAC-SHA1-96
Grupo Diffie-Hellman Grupo 5
PFS (Perfect Forward Secrecy) Ativado
Tempo de vida da chave de sessão IPSec 3600 segundos (1 hora)

Configuração do CPE

Configuração de ISAKMP e IPSec

tunnel select 1
description tunnel OCI-VPN1 
ipsec tunnel 1
  ipsec sa policy 1 1 esp aes256-cbc sha-hmac
  ipsec ike duration ipsec-sa 1 3600
  ipsec ike duration isakmp-sa 1 28800
  ipsec ike encryption 1 aes256-cbc
  ipsec ike group 1 modp1536
  ipsec ike hash 1 sha256
  ipsec ike keepalive log 1 off
  ipsec ike keepalive use 1 on dpd 5 4
  ipsec ike local address 1 ${cpePublicIpAddress}
  ipsec ike local id 1 0.0.0.0/0
  ipsec ike nat-traversal 1 on
  ipsec ike pfs 1 on
  ipsec ike pre-shared-key 1 text ${sharedSecret1}
  ipsec ike remote address 1 ${ipAddress1}
  ipsec ike remote id 1 0.0.0.0/0
ip tunnel tcp mss limit auto
tunnel enable 1

tunnel select 2
description tunnel OCI-VPN2
ipsec tunnel 2
  ipsec sa policy 2 2 esp aes256-cbc sha-hmac
  ipsec ike duration ipsec-sa 2 3600
  ipsec ike duration isakmp-sa 2 28800
  ipsec ike encryption 2 aes256-cbc
  ipsec ike group 2 modp1536
  ipsec ike hash 2 sha256
  ipsec ike keepalive log 2 off
  ipsec ike keepalive use 2 on dpd 5 4
  ipsec ike local address 2 ${cpePublicIpAddress}
  ipsec ike local id 2 0.0.0.0/0
  ipsec ike nat-traversal 2 on
  ipsec ike pfs 2 on
  ipsec ike pre-shared-key 2 text ${sharedSecret2}
  ipsec ike remote address 2 ${ipAddress2}
  ipsec ike remote id 2 0.0.0.0/0
ip tunnel tcp mss limit auto
tunnel enable 2

ipsec auto refresh on

Configuração de Rotas Estáticas

ip route ${VcnCidrBlock} gateway tunnel 1 hide gateway tunnel 2 hide