从 NSX-T Data Center 2.5 开始,您可以指定一个安全合规性套件,以用来配置用于 IPSec VPN 会话的安全配置文件。
安全合规性套件具有预定义的值以用于不同的安全参数,并且无法修改这些值。在选择合规性套件时,预定义的值将自动用于所配置的 IPSec VPN 会话的安全配置文件。
下表列出了
NSX-T Data Center 中的 IKE 配置文件支持的合规性套件以及为每个套件预定义的值。
| 合规性套件名称 | IKE 版本 | 加密算法 | 摘要算法 | Diffie Hellman 组 |
|---|---|---|---|---|
| CNSA | IKEv2 | AES 256 | SHA2 384 | 组 15、组 20 |
| FIPS | IKE-Flex | AES 128 | SHA2 256 | 组 20 |
| 基础 | IKEv1 | AES 128 | SHA2 256 | 组 14 |
| PRIME | IKEv2 | AES GCM 128 | 未设置 | 组 19 |
| Suite-B-GCM-128 | IKEv2 | AES 128 | SHA2 256 | 组 19 |
| Suite-B-GCM-256 | IKEv2 | AES 256 | SHA2 384 | 组 20 |
|
注: AES 128 和 AES 256 算法使用 CBC 运算模式。
|
||||
下表列出了
NSX-T Data Center 中的 IPSec 配置文件支持的合规性套件以及为每个套件预定义的值。
| 合规性套件名称 | 加密算法 | 摘要算法 | PFS 组 | Diffie-Hellman 组 |
|---|---|---|---|---|
| CNSA | AES 256 | SHA2 384 | 已启用 | 组 15、组 20 |
| FIPS | AES GCM 128 | 未设置 | 已启用 | 组 20 |
| 基础 | AES 128 | SHA2 256 | 已启用 | 组 14 |
| PRIME | AES GCM 128 | 未设置 | 已启用 | 组 19 |
| Suite-B-GCM-128 | AES GCM 128 | 未设置 | 已启用 | 组 19 |
| Suite-B-GCM-256 | AES GCM 256 | 未设置 | 已启用 | 组 20 |
|
注: AES 128 和 AES 256 算法使用 CBC 运算模式。
|
||||
