阶段 1 参数

阶段 1 设置对等站点的双向身份验证，协商加密参数，并创建会话密钥。NSX Edge 使用的阶段 1 参数如下：

• 主模式。
• 三重 DES、AES-128、AES-256 [可配置]。阶段 1 不支持 AES-GCM，因此 AES-128 供内部使用。
• SHA1、SHA_256。
• MODP 组 2、5、14、15 及 16。
• 预共享密钥和证书 [可配置]。
• SA 生命周期为 28800 秒（八个小时），未重新加密生命字节。
• ISAKMP 激进模式已禁用

阶段 2 参数

IKE 阶段 2 通过创建要供 IPSec 使用的加密材料来协商 IPSec 隧道（通过将 IKE 阶段 1 密钥用作基准或执行新密钥交换）。NSX Edge 支持的 IKE 阶段 2 参数如下：

• 三重 DES、AES-128、AES-256 和 AES-GCM [与阶段 1 设置匹配]。
• SHA1、SHA_256。
• ESP 隧道模式。
• MODP 组 2、5、14、15 及 16。
• 用于重新加密的完全向前保密。
• SA 生命周期为 3600 秒（一个小时），未重新加密生命字节。
• 用于两个使用 IPv4 子网的网络之间所有 IP 协议和所有端口的选择器

事务模式示例

NSX Edge 支持阶段 1 的“主模式”和阶段 2 的“快速模式”。

NSX Edge 建议使用需要 PSK/证书、3DES/AES128/AES256/AES-GCM、SHA1/SHA256 和 DH 组 2/5/14/15/16 的策略。对等站点必须接受该策略。否则，协商阶段将失败。

阶段 1：主模式事务

此示例显示从 NSX Edge 启动的阶段 1 协商到 Cisco 设备的交换。

以下事务按顺序发生在处于“主模式”状态下的 NSX Edge 和 Cisco VPN 设备之间。

1. NSX Edge 到 Cisco
   • 建议：加密 3des-cbc、sha、psk、group5(group2)
   • DPD 已启用
2. Cisco 到 NSX Edge
   • 包含 Cisco 选择的建议
   • 如果 Cisco 设备不接受 NSX Edge 在步骤 1 中发送的任何参数，则 Cisco 设备将发送带有标记 NO_PROPOSAL_CHOSEN 的消息并结束协商。
3. NSX Edge 到 Cisco
   • DH 密钥和当前值
4. Cisco 到 NSX Edge
   • DH 密钥和当前值
5. NSX Edge 到 Cisco（已加密）
   • 包括 ID (PSK)。
6. Cisco 到 NSX Edge（已加密）
   • 包括 ID (PSK)。
   • 如果 Cisco 设备发现 PSK 不匹配，则 Cisco 设备将发送带有标记 INVALID_ID_INFORMATION 的消息，阶段 1 失败。

阶段 2：快速模式事务

以下事务按顺序发生在处于“快速模式”状态下的 NSX Edge 和 Cisco VPN 设备之间。

1. NSX Edge 到 Cisco
   NSX Edge 建议针对对等站点使用阶段 2 策略。例如：

   Aug 26 12:16:09 weiqing-desktop 
   ipsec[5789]:
   "s1-c1" #2: initiating Quick Mode
   PSK+ENCRYPT+TUNNEL+PFS+UP+SAREFTRACK  
   {using isakmp#1 msgid:d20849ac 
   proposal=3DES(3)_192-SHA1(2)_160 
   pfsgroup=OAKLEY_GROUP_MODP1024}

2. Cisco 到 NSX Edge

   如果 Cisco 设备未发现任何与建议相匹配的策略，它将发送回 NO_PROPOSAL_CHOSEN。否则，Cisco 设备将发送已选择的一组参数。

3. NSX Edge 到 Cisco

   为方便调试，可以在 NSX Edge 上启用 IPSec 日志记录，并在 Cisco 上启用加密调试 (debug crypto isakmp <level>)。