Cisco ASA: Baseado em Política
Este tópico fornece uma configuração baseada em política para um Cisco ASA que está executando a versão 8.5 a 9.7.0 do software.
A Oracle fornece instruções de configuração para um conjunto testado de fornecedores e dispositivos. Use a configuração correta do seu fornecedor e da versão do software.
Se a versão do dispositivo ou do software que a Oracle usou para verificar a configuração não corresponder exatamente ao seu dispositivo ou software, você ainda poderá criar a configuração necessária no seu dispositivo. Consulte a documentação do fornecedor e faça os ajustes necessários.
Se o seu dispositivo for destinado a um fornecedor que não está na lista de fornecedores e dispositivos verificados ou se você já estiver familiarizado com a configuração do seu dispositivo para IPSec, consulte a lista de parâmetros IPSec suportados e consulte a documentação do fornecedor para obter ajuda.
Lembrete: o sistema Oracle fornece diferentes configurações com base no software ASA:
- 9.7.1 ou posterior: configuração baseada em rota
- 8.5 a 9.7.0: configuração baseada em política (este tópico)
- Anterior a 8.5: não suportado pelas instruções de configuração do sistema Oracle. Considere fazer upgrade para uma versão mais recente.
A Oracle recomenda o uso de uma configuração baseada em rota para evitar problemas de interoperabilidade e para obter redundância de túnel com um único dispositivo Cisco ASA.
O Cisco ASA não suporta a configuração baseada em rota para versões de software anteriores à 9.7.1. Para obter melhores resultados, se o seu dispositivo permitir, a Oracle recomenda que você faça upgrade para uma versão de software que suporte a configuração baseada em rota.
Com a configuração baseada em política, você só pode configurar um único túnel entre o Cisco ASA e o seu DRG (Dynamic Routing Gateway).
O Oracle Cloud Infrastructure oferece a VPN Site a Site, uma conexão IPSec segura entre a sua rede on-promises e uma rede virtual na nuvem (VCN).
O diagrama a seguir mostra uma conexão IPSec básica com o Oracle Cloud Infrastructure que tem túneis redundantes. Os endereços IP deste diagrama são apenas exemplos. Não devem ser usados literalmente.
A Oracle fornece instruções de configuração para um conjunto testado de fornecedores e dispositivos. Use a configuração correta do seu fornecedor e da versão do software.
Se a versão do dispositivo ou do software que a Oracle usou para verificar a configuração não corresponder exatamente ao seu dispositivo ou software, você ainda poderá criar a configuração necessária no seu dispositivo. Consulte a documentação do fornecedor e faça os ajustes necessários.
Se o seu dispositivo for destinado a um fornecedor que não está na lista de fornecedores e dispositivos verificados ou se você já estiver familiarizado com a configuração do seu dispositivo para IPSec, consulte a lista de parâmetros IPSec suportados e consulte a documentação do fornecedor para obter ajuda.
Melhores Práticas
Esta seção trata das melhores práticas e das considerações sobre o uso da VPN Site a Site.
Opções específicas para o Cisco ASA: filtros de VPN
Os filtros de VPN permitem que você filtre ainda mais o tráfego antes que ele entre ou saia de um túnel. Use filtros de VPN se precisar de granularidade adicional para filtrar diferentes tipos de tráfego ou fluxos de origem/destino. Para obter mais informações, consulte a documentação do Filtro de VPN da Cisco.
A configuração do filtro de VPN não está incluída no modelo de configuração mostrado na seção Configuração do CPE. Para usar filtros de VPN, adicione os itens de configuração a seguir manualmente.
-
Lista de controle de acesso (ACL): crie uma ACL que o filtro de VPN pode usar para restringir o tráfego permitido por meio dos túneis. Se você já tiver uma ACL usada para um filtro de VPN, não a utilize para um grupo de acesso à interface.
access-list ${vpnFilterAclName} extended permit ip ${VcnCidrNetwork} ${VcnCidrNetmask} ${onPremCidrNetwork} ${onPremCidrNetmask} -
Política de grupo: aplique o filtro de VPN à sua política de grupo.
group-policy oracle-vcn-vpn-policy attributes vpn-filter value ${vpnFilterAclName} -
Grupo de túneis: aplique a política de grupo ao seu grupo de túneis.
tunnel-group ${oracleHeadend1} general-attributes default-group-policy oracle-vcn-vpn-policy
Tráfego interessante
A Oracle recomenda que você sempre mantenha o tráfego interessante passando pelos túneis IPSec se o seu CPE suportar isso. O Cisco ASA exige que você configure o monitoramento de SLA, o que mantém o tráfego interessante em execução pelos túneis IPSec. Em muitos casos, onde o Cisco ASA atua como o iniciador, a fase 2 não surge até que não haja tráfego interessante, o que faz com que o SA fique inativo quando o túnel é acionado ou após uma reinserção da associação de segurança. Para evitar tais situações, tráfego interessante contínuo ou recursos como IP SLA podem ser usados. Para obter mais informações, consulte a seção "Configuração do SLA de IP" no modelo de configuração baseado em política do Cisco ASA.
Configurar Todos os Túneis para Todas as Conexões IPSec
O sistema Oracle implanta dois headends IPSec para cada uma das suas conexões, a fim de fornecer alta disponibilidade para as suas cargas de trabalho de missão crítica. No lado Oracle, esses dois headends estão em roteadores distintos para fins de redundância. A Oracle recomenda a configuração de todos os túneis disponíveis para redundância máxima. Essa é uma parte essencial da filosofia "Design para Falhas".
Ter CPEs Redundantes nas Suas Redes Locais
Cada um dos seus sites que utilizam IPSec para conexão com o Oracle Cloud Infrastructure deve ter dispositivos de borda redundantes (também conhecidos como CPE (customer-premises equipment)). Você adiciona cada CPE à Console do Oracle e cria uma conexão IPSec separada entre o seu DRG (Dynamic Routing Gateway) e cada CPE. Para cada conexão IPSec, o sistema Oracle provisiona dois túneis em headends IPSec redundantes geograficamente. Para obter mais informações, consulte o Connectivity Redundancy Guide (PDF).
Considerações sobre o Protocolo de Roteamento
Quando você cria uma conexão IPSec da VPN Site a Site, ela tem dois túneis IPSec redundantes. A Oracle incentiva você a configurar o seu CPE para usar ambos os túneis (se o seu CPE suportar essa configuração). Anteriormente, a Oracle criava conexões IPSec com até quatro túneis IPSec.
Os três tipos de roteamento a seguir estão disponíveis e você escolhe o tipo de roteamento separadamente para cada túnel na VPN Site a Site:
- Roteamento dinâmico BGP: as rotas disponíveis são obtidas dinamicamente por meio de BGP. O DRG obtém dinamicamente as rotas provenientes da sua rede local. No lado Oracle, o DRG propaga as sub-redes da VCN.
- Roteamento estático: ao configurar a conexão IPSec com o DRG, você determina para a sua rede local as rotas específicas que a VCN deverá reconhecer. Você também deve configurar o seu dispositivo CPE com rotas estáticas para as sub-redes da VCN. Essas rotas não são obtidas dinamicamente.
- Roteamento baseado em política: Ao configurar a conexão IPSec com o DRG, você especifica determinadas rotas para a sua rede on-premises que a VCN deverá reconhecer. Você também deve configurar o seu dispositivo CPE com rotas estáticas para as sub-redes da VCN. Essas rotas não são obtidas dinamicamente.
Para obter mais informações sobre roteamento com a VPN Site a Site, incluindo recomendações da Oracle sobre como manipular o algoritmo de seleção de melhor caminho do BGP, consulte Roteamento da VPN Site a Site.
Outras Configurações Importantes do CPE
Verifique se as listas de acesso do seu CPE estão configuradas corretamente para não bloquear o tráfego necessário de origem ou destino do Oracle Cloud Infrastructure.
Se houver vários túneis ativos simultaneamente, você poderá experimentar um roteamento assimétrico. Para permitir o roteamento assimétrico, certifique-se de que o seu CPE esteja configurado para tratar o tráfego proveniente da sua VCN em qualquer um dos túneis. Por exemplo, você precisa desativar a inspeção do ICMP e configurar o bypass de estado do TCP. Para obter mais detalhes sobre a configuração apropriada, entre em contato com o suporte do fornecedor do CPE. Para configurar o roteamento para ser simétrico, consulte Roteamento da VPN Site a Site.
Opções específicas para o Cisco ASA: Cuidados e Limitações
Esta seção abrange características e limitações importantes que são específicas do Cisco ASA.
Consulte Limites do Serviço para ver uma lista de limites e instruções aplicáveis para solicitar um aumento de limite.
Descoberta de MTU do Túnel e de MTU do Caminho
Você tem duas opções para tratar a descoberta de MTU do túnel e do caminho com o Cisco ASA:
Opção 1: ajuste TCP MSS
A unidade de transmissão máxima (tamanho do pacote) por meio do túnel IPSec é menor que 1500 bytes. Você pode fragmentar os pacotes que são muito grandes para caber no túnel. Ou pode sinalizar de volta aos hosts que estão se comunicando pelo túnel que é necessário enviar pacotes menores.
Você pode configurar o Cisco ASA para alterar o tamanho máximo do segmento (MSS) dos novos fluxos TCP que passarem pelo túnel. O ASA examina os pacotes TCP em que o flag SYN está definido e altera o valor de MSS para o valor configurado. Essa configuração pode ajudar os novos fluxos TCP a evitar o uso da descoberta da unidade de transmissão máxima do caminho (PMTUD).
Use o comando a seguir para alterar o MSS. Este comando não faz parte da configuração de amostra na seção Configuração do CPE desse tópico. Aplique o comando de ajuste TCP MSS manualmente, se necessário.
sysopt connection tcpmss 1387Opção 2: limpar/definir o bit Não Fragmentar
A descoberta da MTU do Caminho requer que todos os pacotes TCP tenham o conjunto de bits Não Fragmentar (DF). Se o bit DF tiver sido definido e um pacote for muito grande para passar pelo túnel, o ASA eliminará o pacote quando ele chegar. O ASA envia um pacote ICMP de volta ao remetente, indicando que o pacote recebido era muito grande para o túnel. O ASA oferece três opções para tratar o bit DF. Escolha uma das opções e aplique-a à configuração:
-
Definir o bit DF (opção recomendada): os pacotes têm o bit DF definido no cabeçalho IP. O ASA ainda poderá fragmentar o pacote se o pacote original recebido tiver removido o bit DF.
crypto ipsec df-bit set-df ${outsideInterface} -
Remover o bit DF: o bit DF é removido do cabeçalho IP do pacote. Permite que o pacote seja fragmentado e enviado ao host final no Oracle Cloud Infrastructure para remontagem.
crypto ipsec df-bit clear-df ${outsideInterface} -
Ignorar (copiar) o bit DF: o ASA examina as informações do cabeçalho IP do pacote original e copia a definição de bit DF.
crypto ipsec df-bit copy-df ${outsideInterface}
O Tráfego da VPN Pode Entrar em um Túnel e Sair de Outro
Se o tráfego da VPN entrar em uma interface com o mesmo nível de segurança que uma interface em direção ao próximo salto do pacote, você deverá permitir esse tráfego. Por padrão, os pacotes entre interfaces que têm níveis de segurança idênticos no seu ASA são eliminados.
Adicione o comando a seguir manualmente se precisar permitir o tráfego entre interfaces com os mesmos níveis de segurança. Esse comando não faz parte da configuração de amostra na seção Configuração do CPE desse tópico.
same-security-traffic permit inter-interfaceCuidados e Limitações Gerais
Esta seção abrange as características gerais e as limitações da VPN Site a Site.
Consulte Limites do Serviço para ver uma lista de limites e instruções aplicáveis para solicitar um aumento de limite.
Roteamento Assimétrico
O sistema Oracle usa o roteamento assimétrico entre os diversos túneis que compõem a conexão IPSec. Configure os seus firewalls de forma adequada. Caso contrário, os testes de ping ou o tráfego de aplicativos na conexão não funcionarão de forma confiável.
Quando você usa vários túneis para o Oracle Cloud Infrastructure, a Oracle recomenda configurar o roteamento para conduzir o tráfego especificamente por meio do túnel preferencial. Se quiser usar um túnel IPSec como principal e outro como backup, configure rotas mais específicas para o túnel principal (BGP) e rotas menos específicas (rota padrão ou resumida) para o túnel de backup (BGP/estático). Caso contrário, se você divulgar a mesma rota (por exemplo, uma rota padrão) por meio de todos os túneis, retorne o tráfego da sua VCN para as suas rotas de rede on-premises para qualquer um dos túneis disponíveis. Isso acontece porque o sistema Oracle usa roteamento assimétrico.
Para obter recomendações específicas de roteamento da Oracle sobre como impor o roteamento simétrico, consulte Roteamento da VPN Site a Site.
Conexão IPSec Baseada em Rota ou Baseada em Política
O protocolo IPSec usa SAs (Security Associations) para determinar como criptografar pacotes. Dentro de cada SA, você define domínios de criptografia para mapear o tipo de protocolo e o endereço IP de origem e de destino de um protocolo até uma entrada no banco de dados SA, a fim de definir como criptografar ou decriptografar um pacote.
A documentação de outros fornecedores ou setores de mercado pode usar os termos ID do proxy, índice de parâmetro de segurança (SPI) ou seletor de tráfego ao fazer referência a SAs ou domínios de criptografia.
Há dois métodos gerais para implementar túneis IPSec:
- Túneis baseados em rota: também chamados de túneis baseados no próximo salto. Uma pesquisa de tabela de roteamento é executada no endereço IP de destino de um pacote. Se a interface de saída da rota for um túnel IPSec, o pacote será criptografado e enviado para a outra extremidade do túnel.
- Túneis baseados em política: o protocolo e o endereço IP de origem e de destino do pacote são validados em relação a uma lista de instruções de política. Se não houver uma correspondência, o pacote será criptografado com base nas regras dessa instrução de política.
Os head-ends da VPN Site a Site da Oracle usam túneis baseados em rota, mas podem funcionar com túneis baseados em política, com algumas limitações listadas nas seções a seguir.
Se o seu CPE suportar túneis baseados em rota, use esse método para configurar o túnel. É a configuração mais simples que tem a maior interoperabilidade com o headend da Oracle VPN.
O IPSec baseado em rota usa um domínio de criptografia com os seguintes valores:
- Endereço IP de origem: qualquer um (0.0.0.0/0)
- Endereço IP de destino: qualquer um (0.0.0.0/0)
- Protocolo: IPv4
Se você precisar ser mais específico, poderá usar uma única rota resumida para os seus valores de domínio de criptografia, em vez de uma rota padrão.
Quando você usa túneis baseados em política, cada entrada de política (um bloco CIDR em um lado da conexão IPSec) que você define gera uma associação de segurança (SA) IPSec com cada entrada elegível na outra extremidade do túnel. Esse par é chamado de domínio de criptografia.
Neste diagrama, a extremidade do DRG da Oracle do túnel IPSec tem entradas de política para três blocos CIDR IPv4 e um bloco CIDR IPv6. A extremidade do CPE on-premises do túnel tem entradas de política em dois blocos CIDR IPv4 e dois blocos CIDR IPv6. Cada entrada gera um domínio de criptografia com todas as entradas possíveis na outra extremidade do túnel. Os dois lados de um par de SA devem usar a mesma versão de IP. O resultado é um total de oito domínios de criptografia.
Se o seu CPE suportar apenas túneis baseados em política, conheça as restrições a seguir.
- A VPN Site a Site suporta vários domínios de criptografia, mas tem um limite máximo de 50 domínios.
- Se você tivesse uma situação semelhante ao exemplo acima e tivesse configurado apenas três dos seis domínios de criptografia IPv4 possíveis na parte do CPE, o link seria listado em um estado "Parcial UP", uma vez que todos os domínios de criptografia possíveis são sempre criados na parte do DRG.
- O roteamento baseado em política depende da VPN Site a Site v2. Consulte Serviço de VPN Site a Site Atualizado para obter mais informações sobre a VPN Site a Site v2.
- Dependendo de quando o seu túnel foi criado, talvez você não consiga editar um túnel existente para usar o roteamento baseado em política e talvez precise substituir o túnel por um novo túnel IPSec.
- Os blocos CIDR usados na extremidade do DRG da Oracle do túnel não podem sobrepor os blocos CIDR usados na extremidade do CPE on-premises do túnel.
- Um domínio de criptografia deve sempre estar entre dois blocos CIDR da mesma versão de IP.
Se o Seu CPE Estiver Atrás de um Dispositivo NAT
Em geral, o identificador IKE de CPE configurado na sua extremidade da conexão deve corresponder ao identificador IKE do CPE que o sistema Oracle está usando. Por padrão, o sistema Oracle usa o endereço IP público do CPE, que você fornece ao criar o objeto CPE na Console do sistema Oracle. No entanto, se o seu CPE estiver atrás de um dispositivo NAT, o identificador IKE do CPE configurado na sua extremidade poderá ser o endereço IP privado do CPE, conforme mostrado no diagrama a seguir.
Algumas plataformas CPE não permitem que você altere o identificador IKE local. Se não puder alterar, altere o ID de IKE remoto na Console do sistema Oracle de modo a corresponder ao seu ID de IKE local do CPE. Você pode fornecer o valor quando configurar a conexão IPSec ou posteriormente, editando a conexão IPSec. O sistema Oracle espera que o valor seja um endereço IP ou um nome de domínio totalmente qualificado (FQDN), como cpe.example.com. Para obter instruções, consulte Alterando o Identificador IKE do CPE Usado pelo Sistema Oracle.
Parâmetros IPSec Suportados
Para obter uma lista não dependente de fornecedor contendo parâmetros IPSec suportados para todas as regiões, consulte Parâmetros IPSec Suportados.
O ASN do BGP da Oracle para o realm do Cloud do setor governamental é 31898. Se você estiver configurando a VPN Site a Site para a Nuvem do Governo dos EUA, consulte Parâmetros Obrigatórios da VPN Site a Site para a Nuvem do Governo e também ASN de BGP da Oracle. Para a Nuvem do Governo do Reino Unido, consulte ASN de BGP da Oracle.
Configuração do CPE
As instruções de configuração nesta seção são fornecidas pelo Oracle Cloud Infrastructure para o seu CPE. Se precisar de suporte ou assistência adicional, entre em contato com o suporte do fornecedor do CPE diretamente.
A figura a seguir mostra o layout básico da conexão IPSec.
O modelo de configuração fornecido destina-se a um Cisco ASA que utiliza a versão 8.5 (ou mais recente).
As versões 9.7.1 e mais recentes do Cisco ASA suportam a configuração baseada em rota, que é o método recomendado para evitar problemas de interoperabilidade.
Se quiser redundância de túnel com um único dispositivo Cisco ASA, você deverá usar a configuração baseada em rota. Com a configuração baseada em política, você só pode configurar um único túnel entre o Cisco ASA e o seu DRG (Dynamic Routing Gateway).
O modelo de configuração se refere aos itens que você deverá fornecer:
- Endereço IP público CPE: o endereço IP roteável pela internet designado à interface externa no CPE. Você ou o administrador do sistema Oracle fornece esse valor ao Oracle ao criar o objeto CPE na Console do sistema Oracle.
- Interface de túnel interno (opção obrigatória se você estiver usando BGP): os endereços IP das extremidades do CPE e do sistema Oracle da interface de túnel interno. Você fornece esses valores ao criar a conexão IPSec na Console do sistema Oracle.
- ASN do BGP (opção obrigatória se você estiver usando BGP): o seu ASN para BGP.
Além disso, você deve:
- Configurar o roteamento interno que direciona o tráfego entre o CPE e a sua rede local.
- Certifique-se de permitir o tráfego entre o seu ASA e a sua Oracle VCN (o modelo de configuração a seguir faz referência a essa lista de acesso com a variável
${outboundAclName}). - Identificar a política de grupo de VPN interno (o modelo de configuração a seguir faz referência a essa política de grupo como
oracle-vcn-vpn-policy). - Identificar o conjunto de transformações usado para o seu mapa de criptografia (o modelo de configuração a seguir faz referência a esse conjunto de transformações como
oracle-vcn-transform). - Identificar o nome do mapa de criptografia e o número de sequência (o modelo de configuração a seguir faz referência ao nome do mapa como
oracle-vpn-map-v1e ao número de sequência 1). - Identifica o número da operação para ping contínuo do IP SLA (o modelo de configuração a seguir usa o número de operação 1).
O modelo de configuração a seguir do Oracle Cloud Infrastructure é um ponto inicial para aquilo que você precisa aplicar ao seu CPE. A sintaxe de cada configuração de dispositivo CPE pode ser diferente e depende do modelo e das versões do software. Certifique-se de comparar o modelo CPE e a versão do seu CPE com o modelo de configuração apropriado.
Alguns dos parâmetros mencionados no modelo devem ser exclusivos no CPE, e a exclusividade só pode ser determinada por meio do acesso ao CPE. Certifique-se de que os parâmetros sejam válidos no seu CPE e não substituam os valores configurados anteriormente. Especificamente, certifique-se de que os seguintes valores sejam exclusivos:
- Nomes ou números de políticas
-
Nomes de mapas de criptografia e números de sequência
- Nomes de interfaces
- Nomes ou números de listas de acesso (se aplicáveis)
O sistema Oracle suporta o Internet Key Exchange versão 1 (IKEv1) e versão 2 (IKEv2). Se você configurar a conexão IPSec na Console para usar o IKEv2, deverá configurar o seu CPE para usar somente os parâmetros IKEv2 e os parâmetros de criptografia IKEv2 e relacionados suportados pelo seu CPE. Para obter uma lista de parâmetros que o Oracle suporta para IKEv1 ou IKEv2, consulte Parâmetros IPSec Suportados.
A Oracle fornece um modelo de configuração separado para o IKEv1 e o IKEv2.
A Oracle também fornece uma ferramenta que pode gerar o modelo para você, com algumas das informações preenchidas automaticamente. Para obter mais informações, consulte Usando o Auxiliar de Configuração de CPE.
Exiba o modelo de configuração do IKEv1 no modo de tela cheia para facilitar a leitura.
!-------------------------------------------------------------------------------------------------------------------------------------------------------------
! IKEv1 Configuration Template
! The configuration consists of a single IPSec tunnel.
!-------------------------------------------------------------------------------------------------------------------------------------------------------------
! The configuration template involves setting up the following:
! Access Lists
! ISAKMP Policy
! Base VPN Policy
! IPSec Configuration
! IPSec Tunnel Group Configuration
! IP Routing (BGP or Static)
! Optional: Disable NAT for VPN Traffic
!-------------------------------------------------------------------------------------------------------------------------------------------------------------
! The configuration template has various parameters that you must define before applying the configuration.
!-------------------------------------------------------------------------------------------------------------------------------------------------------------
! PARAMETERS REFERENCED:
! ${OracleInsideTunnelIpAddress1} = Inside tunnel IP address of Oracle-side for the first tunnel. You provide these values when creating the IPSec connection in the Oracle Console.
! ${bgpASN} = Your BGP ASN
! ${cpePublicIpAddress} = The public IP address for the CPE. This is the IP address of your outside interface
! ${outboundAclName} = ACL used to control traffic out of your inside and outside interfaces
! ${oracleHeadend1} = Oracle public IP endpoint obtained from the Oracle Console.
! ${sharedSecret1} = You provide when you set up the IPSec connection in the Oracle Console, or you can use the default Oracle-provided value.
! ${outsideInterface} = The public interface or outside of tunnel interface which is configured with the CPE public IP address.
! ${vcnCidrNetwork} = VCN IP range
! ${vcnCidrNetmask} = Subnet mask for VCN
! ${onPremCidrNetwork} = On-premises IP range
! ${onPremCidrNetmask} = ON-premises subnet mask
! ${cryptoMapAclName} = Name of ACL which will be associated with the IPSec security association.
! ${vcnHostIp} = IP address of a VCN host. Used for IP SLA continuous ping to maintain tunnel UP state.
!-------------------------------------------------------------------------------------------------------------------------------------------------------------
! Access Lists
! Permit Traffic Between Your ASA and Your Oracle VCN
! Assuming there is an access-list controlling traffic in and out of your Internet facing interface, you will need to permit traffic between your CPE and the Oracle VPN Headend
! WARNING: The new ACL entry you add to permit the traffic between your ASA and VPN headend needs to be above any deny statements you might have in your existing access-list
access-list ${outboundAclName} extended permit ip host ${oracleHeadend1} host ${cpePublicIpAddress}
! Crypto ACL
! Create an ACL named ${cryptoMapAclName} which will later be associated with the IPSec security association using the 'crypto-map' command. This will define which source/destination traffic needs to be encrypted and sent across the VPN tunnel.
! Keep this ACL to a single entry. In a policy based configuration each ACL line will establish a separate encryption domain.
! The encryption domain used in this configuration sample will have a source/destination of any/VCN CIDR. Refer to the 'Encryption domain for policy-based tunnels' subsection for supported alternatives.
access-list ${cryptoMapAclName} extended permit ip any ${vcnCidrNetwork} ${vcnCidrNetmask}
! ISAKMP Policy
! ISAKMP Phase 1 configuration.
! IKEv1 is enabled on the outside interface.
! IKEv1 policy is created for Phase 1 which specifies to use a Pre-Shared Key, AES256, SHA1, Diffie-Hellman Group 5, and a Phase 1 lifetime of 28800 seconds (8 hours).
! If different parameters are required, modify this template before applying the configuration.
! WARNING: The IKEv1 group policy is created with a priority of 10. Make sure this doesn't conflict with any pre-existing configuration on your ASA.
crypto ikev1 enable outside
crypto ikev1 policy 10
authentication pre-share
encryption aes-256
hash sha
group 5
lifetime 28800
! Base VPN Policy
! An internal VPN group policy named 'oracle-vcn-vpn-policy' is created to define some basic VPN tunnel settings
! Idle and session timeouts are disabled to maintain the tunnel UP state and tunnel protocol is set to IKEv1
group-policy oracle-vcn-vpn-policy internal
group-policy oracle-vcn-vpn-policy attributes
vpn-idle-timeout none
vpn-session-timeout none
vpn-tunnel-protocol ikev1
! IPSec Configuration
! Create an IKEv1 transform set named 'oracle-vcn-transform' which defines a combination of IPSec (Phase 2) policy options. Specifically, AES256 for encryption and SHA1 for authentication.
! If different parameters are required, modify this template before applying the configuration.
crypto ipsec ikev1 transform-set oracle-vcn-transform esp-aes-256 esp-sha-hmac
! A crypto map is used to tie together the important traffic that needs encryption (via crypto map ACL) with defined security policies (from the transform set along with other crypto map statements), and the destination of the traffic to a specific crypto peer.
! In this configuration example, a single crypto map is created named 'oracle-vpn-map-v1' This crypto map references the previously created crypto map ACL, the 'oracle-vcn-transform' transform set and further defines PFS Group 5 and the security association lifetime to 3600 seconds (1 hour).
! WARNING: Make sure your crypto map name and sequence numbers do not overlap with existing crypto maps.
! WARNING: DO NOT use the 'originate-only' option with an Oracle IPSec tunnel. It causes the tunnel's traffic to be inconsistently blackholed. The command is only for tunnels between two Cisco devices. Here's an example of the command that you should NOT use for the Oracle IPSec tunnels: crypto map <map name> <sequence number> set connection-type originate-only
crypto map oracle-vpn-map-v1 1 match address ${cryptoMapAclName}
crypto map oracle-vpn-map-v1 1 set pfs group5
crypto map oracle-vpn-map-v1 1 set peer ${oracleHeadend1}
crypto map oracle-vpn-map-v1 1 set ikev1 transform-set oracle-vcn-transform
crypto map oracle-vpn-map-v1 1 set security-association lifetime seconds 3600
! WARNING: The below command will apply the 'oracle-vpn-map-v1' crypto map to the outside interface. The Cisco ASA supports a single crypto map per interface. Make sure no other crypto map is applied to the outside interface before using this command.
crypto map oracle-vpn-map-v1 interface outside
! IPSec Tunnel Group Configuration
! This configuration matches the group policy 'oracle-vcn-vpn-policy' with an Oracle VPN headend endpoint.
! The pre-shared key for each Oracle VPN headend is defined in the corresponding tunnel group.
tunnel-group ${oracleHeadend1} type ipsec-l2l
tunnel-group ${oracleHeadend1} general-attributes
default-group-policy oracle-vcn-vpn-policy
tunnel-group ${oracleHeadend1} ipsec-attributes
ikev1 pre-shared-key ${sharedSecret1}
! IP SLA Configuration
! The Cisco ASA doesn't establish a tunnel if there's no interesting traffic trying to pass through the tunnel.
! You must configure IP SLA on your device for a continuous ping so that the tunnel remains up at all times.
! You must allow ICMP on the outside interface.
! Make sure that the SLA monitor number used is unique.
sla monitor 1
type echo protocol ipIcmpEcho ${vcnHostIp} interface outside
frequency 5
sla monitor schedule 1 life forever start-time now
icmp permit any ${outsideInterface}
! IP Routing
! Pick either dynamic (BGP) or static routing. Uncomment the corresponding commands prior to applying configuration.
! Border Gateway Protocol (BGP) Configuration
! Uncomment below lines if you want to use BGP.
! router bgp ${bgpASN}
! address-family ipv4 unicast
! neighbor ${OracleInsideTunnelIpAddress1} remote-as 31898
! neighbor ${OracleInsideTunnelIpAddress1} activate
! network ${onPremCidrNetwork} mask ${onPremCidrNetmask}
! no auto-summary
! no synchronization
! exit-address-family
! Static Route Configuration
! Uncomment below line if you want to use static routing.
! route outside ${VcnCidrNetwork} ${VcnCidrNetmask} ${OracleInsideTunnelIpAddress1}
! Disable NAT for VPN Traffic
! If you are using NAT for traffic between your inside and outside interfaces, you might need to disable NAT for traffic between your on-premises network and the Oracle VCN.
! Two objects are created for this NAT exemption. 'obj-OnPrem' represents the on-premises network as a default route, and 'obj-oracle-vcn-1' represents the VCN CIDR block used in Oracle Cloud Infrastructure.
! If different address ranges are required, modify this template before applying the configuration.
! object network obj-onprem
! subnet 0.0.0.0 0.0.0.0
! object network obj-oracle-vcn-1
! subnet ${vcnCidrNetwork} ${vcnCidrNetmask}
! nat (inside,outside) source static obj-onprem obj-onprem destination static obj-oracle-vcn-1 obj-oracle-vcn-1
Exiba o modelo de configuração do IKEv2 no modo de tela cheia para facilitar a leitura.
!-------------------------------------------------------------------------------------------------------------------------------------------------------------
! IKEv2 Configuration Template
! The configuration consists of a single IPSec tunnel.
!-------------------------------------------------------------------------------------------------------------------------------------------------------------
! The configuration template involves setting up the following:
! Access Lists
! IKEv2 Policy
! Base VPN Policy
! IPSec Configuration
! IPSec Tunnel Group Configuration
! IP Routing (BGP or Static)
! Optional: Disable NAT for VPN Traffic
!-------------------------------------------------------------------------------------------------------------------------------------------------------------
! The configuration template has various parameters that you must define before applying the configuration.
!-------------------------------------------------------------------------------------------------------------------------------------------------------------
! PARAMETERS REFERENCED:
! ${OracleInsideTunnelIpAddress1} = Inside tunnel IP address of Oracle-side for the first tunnel. You provide these values when creating the IPSec connection in the Oracle Console.
! ${bgpASN} = Your BGP ASN
! ${cpePublicIpAddress} = The public IP address for the CPE. This is the IP address of your outside interface
! ${outboundAclName} = ACL used to control traffic out of your inside and outside interfaces
! ${oracleHeadend1} = Oracle public IP endpoint obtained from the Oracle Console.
! ${sharedSecret1} = You provide when you set up the IPSec connection in the Oracle Console, or you can use the default Oracle-provided value.
! ${outsideInterface} = The public interface or outside of tunnel interface which is configured with the CPE public IP address.
! ${vcnCidrNetwork} = VCN IP range
! ${vcnCidrNetmask} = Subnet mask for VCN
! ${onPremCidrNetwork} = On-premises IP range
! ${onPremCidrNetmask} = ON-premises subnet mask
! ${cryptoMapAclName} = Name of ACL which will be associated with the IPSec security association.
! ${vcnHostIp} = IP address of a VCN host. Used for IP SLA continuous ping to maintain tunnel UP state.
!-------------------------------------------------------------------------------------------------------------------------------------------------------------
! Access Lists
! Permit Traffic Between Your ASA and Your Oracle VCN
! Assuming there is an access-list controlling traffic in and out of your Internet facing interface, you will need to permit traffic between your CPE and the Oracle VPN Headend
! WARNING: The new ACL entry you add to permit the traffic between your ASA and VPN headend needs to be above any deny statements you might have in your existing access-list
access-list ${outboundAclName} extended permit ip host ${oracleHeadend1} host ${cpePublicIpAddress}
! Crypto ACL
! Create an ACL named ${cryptoMapAclName} which will later be associated with the IPSec security association using the 'crypto-map' command. This will define which source/destination traffic needs to be encrypted and sent across the VPN tunnel.
! Keep this ACL to a single entry. In a policy based configuration each ACL line will establish a separate encryption domain.
! The encryption domain used in this configuration sample will have a source/destination of any/VCN CIDR. Refer to the 'Encryption domain for policy-based tunnels' subsection for supported alternatives.
access-list ${cryptoMapAclName} extended permit ip any ${vcnCidrNetwork} ${vcnCidrNetmask}
! IKEv2 Policy
! IKEv2 is enabled on the outside interface.
! IKEv2 policy is created and specifies use of a Pre-Shared Key, AES256, SHA1, Diffie-Hellman Group 5, and a lifetime of 28800 seconds (8 hours).
! If different parameters are required, modify this template before applying the configuration.
! WARNING: The IKEv2 group policy is created with a priority of 10. Make sure this doesn't conflict with any pre-existing configuration on your ASA.
crypto ikev2 enable outside
crypto ikev2 policy 10
encryption aes-256
integrity sha384
group 5
prf sha
lifetime seconds 28800
! Base VPN Policy
! An internal VPN group policy named 'oracle-vcn-vpn-policy' is created to define some basic VPN tunnel settings
! Idle and session timeouts are disabled to maintain the tunnel UP state and tunnel protocol is set to IKEv2
group-policy oracle-vcn-vpn-policy internal
group-policy oracle-vcn-vpn-policy attributes
vpn-idle-timeout none
vpn-session-timeout none
vpn-tunnel-protocol ikev2
! IPSec Configuration
! Create an IKEv2 IPSec proposal named 'oracle_v2_ipsec_proposal' which defines AES256 for encryption and SHA1 for authentication.
! If different parameters are required, modify this template before applying the configuration.
crypto ipsec ikev2 ipsec-proposal oracle_v2_ipsec_proposal
protocol esp encryption aes-256
protocol esp integrity sha-1
! A crypto map is used to tie together the important traffic that needs encryption (via crypto map ACL) with defined security policies (from the IPSec proposal along with other crypto map statements), and the destination of the traffic to a specific crypto peer.
! In this configuration example, a single crypto map is created named 'oracle-vpn-map-v2' This crypto map references the previously created crypto map ACL, the 'oracle_v2_ipsec_proposal' IPSec proposal and further defines PFS Group 5 and the security association lifetime to 3600 seconds (1 hour).
! WARNING: Make sure your crypto map name and sequence numbers do not overlap with existing crypto maps.
! WARNING: DO NOT use the 'originate-only' option with an Oracle IPSec tunnel. It causes the tunnel's traffic to be inconsistently blackholed. The command is only for tunnels between two Cisco devices. Here's an example of the command that you should NOT use for the Oracle IPSec tunnels: crypto map <map name> <sequence number> set connection-type originate-only
crypto map oracle-vpn-map-v2 1 match address ${cryptoMapAclName}
crypto map oracle-vpn-map-v2 1 set pfs group5
crypto map oracle-vpn-map-v2 1 set peer ${oracleHeadend1}
crypto map oracle-vpn-map-v2 1 set ikev2 ipsec-proposal oracle_v2_ipsec_proposal
crypto map oracle-vpn-map-v2 1 set security-association lifetime seconds 3600
! WARNING: The below command will apply the 'oracle-vpn-map-v2' crypto map to the outside interface. The Cisco ASA supports a single crypto map per interface. Make sure no other crypto map is applied to the outside interface before using this command.
crypto map oracle-vpn-map-v2 interface outside
! IPSec Tunnel Group Configuration
! This configuration matches the group policy 'oracle-vcn-vpn-policy' with an Oracle VPN headend endpoint.
! The pre-shared key for each Oracle VPN headend is defined in the corresponding tunnel group.
tunnel-group ${oracleHeadend1} type ipsec-l2l
tunnel-group ${oracleHeadend1} general-attributes
default-group-policy oracle-vcn-vpn-policy
tunnel-group ${oracleHeadend1} ipsec-attributes
ikev2 local-authentication pre-shared-key ${sharedSecret1}
ikev2 remote-authentication pre-shared-key ${sharedSecret1}
! IP SLA Configuration
! The Cisco ASA doesn't establish a tunnel if there's no interesting traffic trying to pass through the tunnel.
! You must configure IP SLA on your device for a continuous ping so that the tunnel remains up at all times.
! You must allow ICMP on the outside interface.
! Make sure that the SLA monitor number used is unique.
sla monitor 1
type echo protocol ipIcmpEcho ${vcnHostIp} interface outside
frequency 5
sla monitor schedule 1 life forever start-time now
icmp permit any ${outsideInterface}
! IP Routing
! Pick either dynamic (BGP) or static routing. Uncomment the corresponding commands prior to applying configuration.
! Border Gateway Protocol (BGP) Configuration
! Uncomment below lines if you want to use BGP.
! router bgp ${bgpASN}
! address-family ipv4 unicast
! neighbor ${OracleInsideTunnelIpAddress1} remote-as 31898
! neighbor ${OracleInsideTunnelIpAddress1} activate
! network ${onPremCidrNetwork} mask ${onPremCidrNetmask}
! no auto-summary
! no synchronization
! exit-address-family
! Static Route Configuration
! Uncomment below line if you want to use static routing.
! route outside ${VcnCidrNetwork} ${VcnCidrNetmask} ${OracleInsideTunnelIpAddress1}
! Disable NAT for VPN Traffic
! If you are using NAT for traffic between your inside and outside interfaces, you might need to disable NAT for traffic between your on-premises network and the Oracle VCN.
! Two objects are created for this NAT exemption. 'obj-OnPrem' represents the on-premises network as a default route, and 'obj-oracle-vcn-1' represents the VCN CIDR block used in Oracle Cloud Infrastructure.
! If different address ranges are required, modify this template before applying the configuration.
! object network obj-onprem
! subnet 0.0.0.0 0.0.0.0
! object network obj-oracle-vcn-1
! subnet ${vcnCidrNetwork} ${vcnCidrNetmask}
! nat (inside,outside) source static obj-onprem obj-onprem destination static obj-oracle-vcn-1 obj-oracle-vcn-1
Verificação
Os comandos do ASA a seguir foram incluídos para permitir o diagnóstico e a solução de problemas básicos. Para obter informações mais detalhadas, consulte o documento IPSec Troubleshooting da Cisco.
Use o comando a seguir para verificar se associações de segurança ISAKMP estão sendo criadas entre as duas conexões de pareadas correspondentes.
show crypto isakmp saUse o comando a seguir para verificar o status de todas as suas conexões BGP.
show bgp summaryUse o comando a seguir para verificar a tabela de roteamento do ASA.
show routeO serviço Monitoring também está disponível no Oracle Cloud Infrastructure para monitorar de forma ativa e passiva os seus recursos de nuvem. Para obter informações sobre o monitoramento da sua VPN Site a Site, consulte Métricas da VPN Site a Site.
Se você tiver problemas, consulte Diagnóstico e Solução de Problemas da VPN Site a Site.