Yamaha Série RTX
Esta configuração foi validada com o uso de um RTX1210 executando o Firmware Rev.14.01.28 e de um RTX830 executando o Firmware Rev.15.02.03.
A Oracle fornece instruções de configuração para um conjunto testado de fornecedores e dispositivos. Use a configuração correta para o fornecedor e a versão do software.
Se a versão do dispositivo ou do software que a Oracle usou para verificar se a configuração não corresponde exatamente ao dispositivo ou ao software, você ainda poderá criar a configuração necessária no dispositivo. Consulte a documentação do fornecedor e faça as alterações necessárias.
Se o dispositivo for de um fornecedor que não está na lista de fornecedores e dispositivos verificados ou se você já estiver familiarizado com a configuração do dispositivo para IPSec, consulte a lista de parâmetros IPSec suportados e consulte a documentação do fornecedor para obter ajuda.
A Oracle usa roteamento assimétrico entre os túneis que compõem a conexão IPSec. Mesmo que você configure um túnel como principal e outro como backup, o tráfego de uma VCN para uma rede on-premises pode usar qualquer túnel que esteja "ativo" em um dispositivo. Configure firewalls conforme apropriado. Caso contrário, os testes de ping ou o tráfego de aplicativos na conexão não funcionarão de forma confiável.
Antes de Começar
Antes de configurar o CPE:
- Configure as definições do provedor de internet.
- Configurar regras de firewall para abrir a porta UDP 500, a porta UDP 4500 e o ESP.
Domínio de Criptografia ou ID de Proxy Suportado
Os valores do domínio de criptografia (também conhecidos como ID do proxy, índice do parâmetro de segurança (SPI) ou seletor de tráfego) dependem do fato de um CPE suportar ou não túneis baseados em rota ou túneis baseados em política. Para obter mais informações sobre os valores de domínio de criptografia corretos a serem usados, consulte Domínio de Criptografia ou ID de Proxy Suportado.
Parâmetros da API ou da Console
Obtenha os parâmetros da Console ou da API do Oracle Cloud Infrastructure a seguir.
${ipAddress#}
- Pontos finais do túnel IPSec de headend da Oracle VPN. Um valor por túnel.
- Exemplo de valor: 129.146.12.52
${sharedSecret#}
- A chave pré-compartilhada do IKE IPSec. Um valor por túnel.
- Valor de exemplo: EXAMPLEDPfAMkD7nTH3SWr6OFabdT6exXn6enSlsKbE
${cpePublicIpAddress}
- O endereço IP público do CPE (já disponibilizado para a Oracle por meio da Console).
${VcnCidrBlock}
- Ao criar a VCN, a sua empresa selecionou esse CIDR para representar a rede de agregação de IP para todos os hosts da VCN.
- Valor de Exemplo: 10.0.0.0/20
Parâmetros Baseados na Configuração e no Estado Atuais do CPE
Os parâmetros a seguir se baseiam na configuração atual de CPE.
${tunnelInterface#}
- Um número de interface para identificar o túnel específico.
- Valor de exemplo: 1
${ipsecPolicy#}
- A política de SA a ser usada para a interface em linha selecionada.
- Valor de exemplo: 1
${localAddress}
- O endereço IP público do CPE.
- Valor de exemplo: 146.56.2.52
Resumo dos Parâmetros do Modelo de Configuração
Cada região tem vários headends do Oracle IPSec. O modelo a seguir ajuda a configurar vários túneis em um CPE, cada um para um headend correspondente. Na tabela, "Usuário" é você ou sua empresa.
| Parâmetro | Origem | Valor de Exemplo |
|---|---|---|
${ipAddress1}
|
Console/API | 129.146.12.52 |
${sharedSecret1}
|
Console/API | (string longa) |
${ipAddress2}
|
Console/API | 129.146.13.52 |
${sharedSecret2}
|
Console/API | (string longa) |
${cpePublicIpAddress}
|
Usuário | 1.2.3.4 |
${VcnCidrBlock}
|
Usuário | 10.0.0.0/20 |
Os valores de parâmetro de política ISAKMP e IPSec a seguir são aplicáveis à VPN Site a Site na nuvem comercial. Para a Cloud do Governo, use os valores listados em Parâmetros Obrigatórios da VPN Site a Site para a Cloud do Governo.
Opções de Política ISAKMP
| Parâmetro | Valor Recomendado |
|---|---|
| Versão do protocolo ISAKMP | Versão 1 |
| Tipo de intercâmbio | Modo principal |
| Método de autenticação | Chaves pré-compartilhadas |
| Criptografia | AES-256-cbc |
| Algoritmo de autenticação | SHA-256 |
| Grupo Diffie-Hellman | Grupo 5 |
| Tempo de vida da chave de sessão IKE | 28800 segundos (8 horas) |
Opções de Política IPSec
| Parâmetro | Valor Recomendado |
|---|---|
| Protocolo IPSec | ESP, modo de túnel |
| Criptografia | AES-256-cbc |
| Algoritmo de autenticação | HMAC-SHA1-96 |
| Grupo Diffie-Hellman | Grupo 5 |
| PFS (Perfect Forward Secrecy) | Ativado |
| Tempo de vida da chave de sessão IPSec | 3600 segundos (1 hora) |
Configuração do CPE
Configuração de ISAKMP e IPSec
tunnel select 1
description tunnel OCI-VPN1
ipsec tunnel 1
ipsec sa policy 1 1 esp aes256-cbc sha-hmac
ipsec ike duration ipsec-sa 1 3600
ipsec ike duration isakmp-sa 1 28800
ipsec ike encryption 1 aes256-cbc
ipsec ike group 1 modp1536
ipsec ike hash 1 sha256
ipsec ike keepalive log 1 off
ipsec ike keepalive use 1 on dpd 5 4
ipsec ike local address 1 ${cpePublicIpAddress}
ipsec ike local id 1 0.0.0.0/0
ipsec ike nat-traversal 1 on
ipsec ike pfs 1 on
ipsec ike pre-shared-key 1 text ${sharedSecret1}
ipsec ike remote address 1 ${ipAddress1}
ipsec ike remote id 1 0.0.0.0/0
ip tunnel tcp mss limit auto
tunnel enable 1
tunnel select 2
description tunnel OCI-VPN2
ipsec tunnel 2
ipsec sa policy 2 2 esp aes256-cbc sha-hmac
ipsec ike duration ipsec-sa 2 3600
ipsec ike duration isakmp-sa 2 28800
ipsec ike encryption 2 aes256-cbc
ipsec ike group 2 modp1536
ipsec ike hash 2 sha256
ipsec ike keepalive log 2 off
ipsec ike keepalive use 2 on dpd 5 4
ipsec ike local address 2 ${cpePublicIpAddress}
ipsec ike local id 2 0.0.0.0/0
ipsec ike nat-traversal 2 on
ipsec ike pfs 2 on
ipsec ike pre-shared-key 2 text ${sharedSecret2}
ipsec ike remote address 2 ${ipAddress2}
ipsec ike remote id 2 0.0.0.0/0
ip tunnel tcp mss limit auto
tunnel enable 2
ipsec auto refresh on
Configuração de Rotas Estáticas
ip route ${VcnCidrBlock} gateway tunnel 1 hide gateway tunnel 2 hide