从 NSX Data Center 6.4.5 开始,您可以通过指定合规性套件来配置 IPSec VPN 站点安全配置文件中的各个参数。
安全合规性套件为各个安全参数预定义了一组值。合规性套件可视为一种预定义的模板,它能够帮助您根据所定义的标准自动配置 IPSec VPN 会话的安全配置文件。例如,美国的国家安全局发布了 CNSA 套件,并将该标准应用于国家安全应用程序。选择合规性套件后,会使用预定义值自动配置 IPSec VPN 站点的安全配置文件,而且您无法对这些值进行编辑。通过指定合规性套件,您无需逐一配置安全配置文件中的每个参数。
NSX 支持七个安全合规性套件。下表列出了每个受支持合规性套件中各个配置参数的预定义值。
| 配置参数 | 合规性套件 | ||||||
|---|---|---|---|---|---|---|---|
| CNSA | Suite-B-GCM-128 | Suite-B-GCM-256 | Suite-B-GMAC-128 | Suite-B-GMAC-256 | Prime | Foundation | |
| IKE 版本 | IKEv2 | IKEv2 | IKEv2 | IKEv2 | IKEv2 | IKEv2 | IKEv1 |
| 摘要算法 | SHA 384 | SHA 256 | SHA 384 | SHA 256 | SHA 384 | SHA 256 | SHA 256 |
| 加密算法 | AES 256 | AES 128 | AES 256 | AES 128 | AES 256 | AES GCM 128 | AES 128 |
| 隧道加密 | AES 256 | AES GCM 128 | AES GCM 256 | AES GMAC 128 | AES GMAC 256 | AES GCM 128 | AES 128 |
| 隧道摘要算法 | SHA 384 | 空 | 空 | 空 | 空 | 空 | SHA 256 |
| 身份验证 |
|
ECDSA 证书(P-256 曲线) |
ECDSA 证书(P-384 曲线) |
ECDSA 证书(P-256 曲线) |
ECDSA 证书(P-384 曲线) |
ECDSA 证书(P-256 曲线) |
RSA 证书(2048 位密钥和 SHA-256) |
| DH 组 | DH15 和 ECDH20 | ECDH19 | ECDH20 | ECDH19 | ECDH20 | ECDH19 | DH14 |
小心: 从
NSX 6.4.6 开始,已弃用“Suite-B-GMAC-128”和“Suite-B-GMAC-256”合规性套件。如果在
NSX 6.4.5 中为 IPSec VPN 站点配置了这两个弃用的合规性套件之一,您仍然可以将 Edge 升级到 6.4.6。不过,将显示一条警告消息,以通知您 IPSec VPN 站点使用易受攻击的合规性套件。
注意: 在使用“Prime”和“Foundation”合规性套件配置 IPSec VPN 站点时,您无法配置
ikelifetime 和
salifetime 站点扩展。这些站点扩展是根据标准预先配置的。
在选择“CNSA”合规性套件时,将在
NSX Edge 内部配置 DH15 和 ECDH20 DH 组。但是,选择此合规性套件时会存在以下限制:
- 如果将 NSX Edge 上的 IPSec VPN 服务配置为启动程序,则 NSX 会仅发送 ECDH20,以与远程 IPSec VPN 站点建立 IKE 安全关联。默认情况下,NSX 会使用 ECDH20,因为它比 DH15 更安全。如果第三方响应程序 IPSec VPN 站点仅配置了 DH15,则响应程序会发送 IKE 负载无效错误消息,并要求启动程序使用 DH15 组。启动程序会使用 DH15 组重新启动 IKE SA,并在两个 IPSec VPN 站点之间建立隧道。但是,如果第三方 IPSec VPN 解决方案不支持 IKE 负载无效错误,则永远不会在两个站点之间建立隧道。
- 如果将 NSX Edge 上的 IPSec VPN 服务配置为响应程序,则会始终根据启动程序 IPSec VPN 站点共享的 DH 组建立隧道。
- 如果启动程序和响应程序 IPSec VPN 站点均使用 NSX Edge,则始终会使用 ECDH20 建立隧道。
