Internet 协议安全性 (IPSec) 配置文件提供有关在建立 IPSec 隧道时用于在网络站点之间进行身份验证、加密和建立共享密钥的算法的信息。
NSX-T Data Center 提供系统生成的 IPSec 配置文件,默认情况下在配置 IPSec VPN 或 L2 VPN 服务时进行分配。下表列出了提供的默认 IPSec 配置文件。
表 1.
用于 IPSec VPN 或 L2 VPN 服务的默认 IPSec 配置文件
| 默认 IPSec 配置文件名称 |
说明 |
| nsx-default-l2vpn-tunnel-profile |
- 用于 L2 VPN。
- 使用 AES GCM 128 加密算法和 Diffie-Hellman 组 14 密钥交换算法进行配置。
|
| nsx-default-l3vpn-tunnel-profile |
- 用于 IPSec VPN。
- 使用 AES GCM 128 加密算法和 Diffie-Hellman 组 14 密钥交换算法进行配置。
|
您还可以选择从 NSX-T Data Center 2.5 开始支持的合规性套件之一,而不是默认 IPSec 配置文件。有关详细信息,请参见关于支持的合规性套件。
如果您决定不使用提供的默认 IPSec 配置文件或合规性套件,您可以使用以下步骤配置自己的 IPSec 配置文件。
过程
- 从浏览器中,使用管理员特权登录到 NSX Manager,网址为 https://<nsx-manager-ip-address>。
- 选择,然后单击配置文件选项卡。
- 选择 IPSec 配置文件类型,然后单击添加 IPSec 配置文件。
- 输入 IPSec 配置文件的名称。
- 从下拉菜单中,选择加密、摘要和 Diffie-Hellman 算法。您可以选择要应用的多个算法。
取消选择不希望使用的算法。
表 2.
使用的算法
| 算法类型 |
有效值 |
说明 |
| 加密 |
- AES GCM 128(默认)
- AES 128
- AES 256
- AES GCM 192
- AES GCM 256
- 无加密身份验证 AES GMAC 128
- 无加密身份验证 AES GMAC 192
- 无加密身份验证 AES GMAC 256
- 未加密
|
在 Internet 协议安全性 (IPSec) 协商期间使用的加密算法。 AES 128 和 AES 256 算法使用 CBC 运算模式。 |
| 摘要 |
- SHA1
- SHA2 256
- SHA2 384
- SHA2 512
|
在 IPSec 协商期间使用的安全哈希算法。 |
| Diffie-Hellman 组 |
- 组 14(默认)
- 组 2
- 组 5
- 组 15
- 组 16
- 组 19
- 组 20
- 组 21
|
对等站点和 NSX Edge 用于在不安全的通信通道上建立共享密钥的加密方案。 |
- 如果您决定不在 VPN 服务上使用 PFS 组协议,请取消选择 PFS 组。
默认情况下处于选择状态。
- 在 SA 生命周期文本框中,修改必须重新建立 IPSec 隧道之前的默认秒数。
默认情况下,使用 24 小时(86400 秒)的 SA 生命周期。
- 为 DF 位选择要用于 IPSec 隧道的值。
此值确定如何处理收到的数据包中包含的“不分段”(DF) 位。可接受的值如下表所述。
表 3.
DF 位值
| DF 位值 |
说明 |
| COPY |
默认值。选择此值后,NSX-T Data Center 将 DF 位的值从接收的数据包复制到转发的数据包。此值意味着,如果收到的数据包设置了 DF 位,那么在加密后,数据包也会设置 DF 位。 |
| CLEAR |
选择此值后,NSX-T Data Center 将忽略收到的数据包中的 DF 位值,并且加密数据包中的 DF 位始终为 0。 |
- 提供说明,然后根据需要添加标记。
- 单击保存。
结果
此时将向可用 IPSec 配置文件表中添加一个新行。要编辑或删除不是由系统创建的配置文件,请单击三点菜单 (
),然后从提供的操作列表中进行选择。
