Yamaha Série RTX
Esta configuração foi validada com o uso de um RTX1210 executando o Firmware Rev.14.01.28 e de um RTX830 executando o Firmware Rev.15.02.03.
A Oracle fornece instruções de configuração para um conjunto testado de fornecedores e dispositivos. Use a configuração correta do seu fornecedor e da versão do software.
Se a versão do dispositivo ou do software que a Oracle usou para verificar a configuração não corresponder exatamente ao seu dispositivo ou software, você ainda poderá criar a configuração necessária no seu dispositivo. Consulte a documentação do fornecedor e faça os ajustes necessários.
Se o seu dispositivo for destinado a um fornecedor que não está na lista de fornecedores e dispositivos verificados ou se você já estiver familiarizado com a configuração do seu dispositivo para IPSec, consulte a lista de parâmetros IPSec suportados e consulte a documentação do fornecedor para obter ajuda.
A Oracle usa roteamento assimétrico nos diversos túneis que formam a conexão IPSec. Mesmo que você configure um túnel como principal e outro como backup, o tráfego da sua VCN para a sua rede local poderá usar qualquer túnel que esteja "ativo" no seu dispositivo. Configure os seus firewalls de forma adequada. Caso contrário, o ping de testes ou do tráfego de aplicativos na conexão não funcionará de maneira confiável.
Antes de Começar
Antes de configurar seu CPE:
- Configure as definições do seu provedor de internet.
- Configurar regras de firewall para abrir a porta UDP 500, a porta UDP 4500 e o ESP.
Domínio de Criptografia ou ID de Proxy Suportado
Os valores do domínio de criptografia (também conhecidos como ID do proxy, índice do parâmetro de segurança (SPI) ou seletor de tráfego) dependem do fato de o seu CPE suportar ou não túneis baseados em rota ou túneis baseados em política. Para obter mais informações sobre os valores de domínio de criptografia corretos a serem usados, consulte Domínio de Criptografia ou ID de Proxy Suportado.
Parâmetros da API ou da Console
Obtenha os parâmetros a seguir da Console ou da API do Oracle Cloud Infrastructure.
${ipAddress#}
- Pontos finais do túnel IPSec de headend da Oracle VPN. Há um valor para cada túnel.
- Exemplo de valor: 129.146.12.52
${sharedSecret#}
- A chave pré-compartilhada do IKE IPSec. Há um valor para cada túnel.
- Valor de exemplo: EXAMPLEDPfAMkD7nTH3SWr6OFabdT6exXn6enSlsKbE
${cpePublicIpAddress}
- O endereço IP público do CPE (anteriormente disponibilizado para o sistema Oracle por meio da Console).
${VcnCidrBlock}
- Ao criar a VCN, a sua empresa selecionou esse CIDR para representar a rede de agregação de IP para todos os hosts da VCN.
- Valor de Exemplo: 10.0.0.0/20
Parâmetros Baseados na Configuração e no Estado Atuais do CPE
Os parâmetros a seguir se baseiam na configuração atual do CPE.
${tunnelInterface#}
- Um número de interface para identificar o túnel específico.
- Valor de exemplo: 1
${ipsecPolicy#}
- A política de SA a ser usada para a interface em linha selecionada.
- Valor de exemplo: 1
${localAddress}
- O endereço IP público do seu CPE.
- Valor de exemplo: 146.56.2.52
Resumo dos Parâmetros do Modelo de Configuração
Cada região tem vários headends Oracle IPSec. O modelo a seguir permite configurar diversos túneis no CPE, cada um para um headend correspondente. Na tabela, "Usuário" é você/sua empresa.
| Parâmetro | Origem | Valor de Exemplo |
|---|---|---|
${ipAddress1}
|
Console/API | 129.146.12.52 |
${sharedSecret1}
|
Console/API | (string longa) |
${ipAddress2}
|
Console/API | 129.146.13.52 |
${sharedSecret2}
|
Console/API | (string longa) |
${cpePublicIpAddress}
|
Usuário | 1.2.3.4 |
${VcnCidrBlock}
|
Usuário | 10.0.0.0/20 |
Os valores de parâmetro de política ISAKMP e IPSec a seguir são aplicáveis à VPN Site a Site na nuvem comercial. Para a Nuvem do Governo, use os valores listados em Parâmetros Obrigatórios da VPN Site a Site para a Nuvem do Governo.
Opções de Política ISAKMP
| Parâmetro | Valor Recomendado |
|---|---|
| Versão do protocolo ISAKMP | Versão 1 |
| Tipo de intercâmbio | Modo principal |
| Método de autenticação | Chaves pré-compartilhadas |
| Criptografia | AES-256-cbc |
| Algoritmo de autenticação | SHA-256 |
| Grupo Diffie-Hellman | Grupo 5 |
| Tempo de vida da chave de sessão IKE | 28800 segundos (8 horas) |
Opções de Política IPSec
| Parâmetro | Valor Recomendado |
|---|---|
| Protocolo IPSec | ESP, modo de túnel |
| Criptografia | AES-256-cbc |
| Algoritmo de autenticação | HMAC-SHA1-96 |
| Grupo Diffie-Hellman | Grupo 5 |
| PFS (Perfect Forward Secrecy) | Ativado |
| Tempo de vida da chave de sessão IPSec | 3600 segundos (1 hora) |
Configuração do CPE
Configuração de ISAKMP e IPSec
tunnel select 1
description tunnel OCI-VPN1
ipsec tunnel 1
ipsec sa policy 1 1 esp aes256-cbc sha-hmac
ipsec ike duration ipsec-sa 1 3600
ipsec ike duration isakmp-sa 1 28800
ipsec ike encryption 1 aes256-cbc
ipsec ike group 1 modp1536
ipsec ike hash 1 sha256
ipsec ike keepalive log 1 off
ipsec ike keepalive use 1 on dpd 5 4
ipsec ike local address 1 ${cpePublicIpAddress}
ipsec ike local id 1 0.0.0.0/0
ipsec ike nat-traversal 1 on
ipsec ike pfs 1 on
ipsec ike pre-shared-key 1 text ${sharedSecret1}
ipsec ike remote address 1 ${ipAddress1}
ipsec ike remote id 1 0.0.0.0/0
ip tunnel tcp mss limit auto
tunnel enable 1
tunnel select 2
description tunnel OCI-VPN2
ipsec tunnel 2
ipsec sa policy 2 2 esp aes256-cbc sha-hmac
ipsec ike duration ipsec-sa 2 3600
ipsec ike duration isakmp-sa 2 28800
ipsec ike encryption 2 aes256-cbc
ipsec ike group 2 modp1536
ipsec ike hash 2 sha256
ipsec ike keepalive log 2 off
ipsec ike keepalive use 2 on dpd 5 4
ipsec ike local address 2 ${cpePublicIpAddress}
ipsec ike local id 2 0.0.0.0/0
ipsec ike nat-traversal 2 on
ipsec ike pfs 2 on
ipsec ike pre-shared-key 2 text ${sharedSecret2}
ipsec ike remote address 2 ${ipAddress2}
ipsec ike remote id 2 0.0.0.0/0
ip tunnel tcp mss limit auto
tunnel enable 2
ipsec auto refresh on
Configuração de Rotas Estáticas
ip route ${VcnCidrBlock} gateway tunnel 1 hide gateway tunnel 2 hide