Internet 协议安全性 (IPSec) 配置文件提供有关在建立 IPSec 隧道时用于在网络站点之间进行身份验证、加密和建立共享密钥的算法的信息。

NSX-T Data Center 提供系统生成的 IPSec 配置文件,默认情况下在配置 IPSec VPN 或 L2 VPN 服务时进行分配。下表列出了提供的默认 IPSec 配置文件。
表 1. 用于 IPSec VPN 或 L2 VPN 服务的默认 IPSec 配置文件
默认 IPSec 配置文件名称 说明
nsx-default-l2vpn-tunnel-profile
  • 用于 L2 VPN。
  • 使用 AES GCM 128 加密算法和 Diffie-Hellman 组 14 密钥交换算法进行配置。
nsx-default-l3vpn-tunnel-profile
  • 用于 IPSec VPN。
  • 使用 AES GCM 128 加密算法和 Diffie-Hellman 组 14 密钥交换算法进行配置。

您还可以选择从 NSX-T Data Center 2.5 开始支持的合规性套件之一,而不是默认 IPSec 配置文件。有关详细信息,请参见关于支持的合规性套件

如果您决定不使用提供的默认 IPSec 配置文件或合规性套件,您可以使用以下步骤配置自己的 IPSec 配置文件。

过程

  1. 从浏览器中,使用管理员特权登录到 NSX Manager,网址为 https://<nsx-manager-ip-address>。
  2. 选择网络 > VPN,然后单击配置文件选项卡。
  3. 选择 IPSec 配置文件类型,然后单击添加 IPSec 配置文件
  4. 输入 IPSec 配置文件的名称。
  5. 从下拉菜单中,选择加密、摘要和 Diffie-Hellman 算法。您可以选择要应用的多个算法。
    取消选择不希望使用的算法。
    表 2. 使用的算法
    算法类型 有效值 说明
    加密
    • AES GCM 128(默认)
    • AES 128
    • AES 256
    • AES GCM 192
    • AES GCM 256
    • 无加密身份验证 AES GMAC 128
    • 无加密身份验证 AES GMAC 192
    • 无加密身份验证 AES GMAC 256
    • 未加密

    在 Internet 协议安全性 (IPSec) 协商期间使用的加密算法。

    AES 128 和 AES 256 算法使用 CBC 运算模式。

    摘要
    • SHA1
    • SHA2 256
    • SHA2 384
    • SHA2 512

    在 IPSec 协商期间使用的安全哈希算法。

    Diffie-Hellman 组
    • 组 14(默认)
    • 组 2
    • 组 5
    • 组 15
    • 组 16
    • 组 19
    • 组 20
    • 组 21

    对等站点和 NSX Edge 用于在不安全的通信通道上建立共享密钥的加密方案。

  6. 如果您决定不在 VPN 服务上使用 PFS 组协议,请取消选择 PFS 组
    默认情况下处于选择状态。
  7. SA 生命周期文本框中,修改必须重新建立 IPSec 隧道之前的默认秒数。
    默认情况下,使用 24 小时(86400 秒)的 SA 生命周期。
  8. DF 位选择要用于 IPSec 隧道的值。
    此值确定如何处理收到的数据包中包含的“不分段”(DF) 位。可接受的值如下表所述。
    表 3. DF 位值
    DF 位值 说明
    COPY

    默认值。选择此值后,NSX-T Data Center 将 DF 位的值从接收的数据包复制到转发的数据包。此值意味着,如果收到的数据包设置了 DF 位,那么在加密后,数据包也会设置 DF 位。

    CLEAR

    选择此值后,NSX-T Data Center 将忽略收到的数据包中的 DF 位值,并且加密数据包中的 DF 位始终为 0。

  9. 提供说明,然后根据需要添加标记。
  10. 单击保存

结果

此时将向可用 IPSec 配置文件表中添加一个新行。要编辑或删除不是由系统创建的配置文件,请单击三点菜单 (三个垂直对齐的黑点。单击该图标将显示子命令菜单。),然后从提供的操作列表中进行选择。