Internet 密钥交换 (IKE) 配置文件提供有关在建立 IKE 隧道时用于在网络站点之间进行身份验证、加密和建立共享密钥的算法的信息。

NSX-T Data Center 提供系统生成的 IKE 配置文件,默认情况下在配置 IPSec VPN 或 L2 VPN 服务时进行分配。下表列出了提供的默认配置文件。
表 1. 用于 IPSec VPN 或 L2 VPN 服务的默认 IKE 配置文件
默认 IKE 配置文件名称 描述
nsx-default-l2vpn-ike-profile
  • 用于 L2 VPN 服务配置。
  • 使用 IKE V2、AES CBC 128 加密算法、SHA2 256 算法和 Diffie-Hellman 组 14 密钥交换算法进行配置。
nsx-default-l3vpn-ike-profile
  • 用于 IPSec VPN 服务配置。
  • 使用 IKE V2、AES CBC 128 加密算法、SHA2 256 算法和 Diffie-Hellman 组 14 密钥交换算法进行配置。

您还可以选择从 NSX-T Data Center 2.5 开始支持的合规性套件之一,而不是使用的默认 IKE 配置文件。有关详细信息,请参见关于支持的合规性套件

如果您决定不使用提供的默认 IKE 配置文件或合规性套件,您可以使用以下步骤配置自己的 IKE 配置文件。

过程

  1. 从浏览器中,使用管理员特权登录到 NSX Manager,网址为 https://<nsx-manager-ip-address>。
  2. 选择网络 > VPN,然后单击配置文件选项卡。
  3. 选择 IKE 配置文件类型,然后单击添加 IKE 配置文件
  4. 输入 IKE 配置文件的名称。
  5. IKE 版本下拉菜单中,选择要用于在 IPSec 协议组中设置安全关联 (SA) 的 IKE 版本。
    表 2. IKE 版本
    IKE 版本 描述
    IKEv1 选择此版本时,IPSec VPN 将启动,并且仅响应 IKEv1 协议。
    IKEv2 此版本是默认版本。选择此版本时,IPSec VPN 将启动,并且仅响应 IKEv2 协议。
    IKE-Flex 如果选择此版本,当使用 IKEv2 协议建立隧道失败时,源站点不会改为使用 IKEv1 协议启动连接。不过,如果远程站点使用 IKEv1 协议启动连接,则会接受该连接。
  6. 从下拉菜单中选择加密、摘要和 Diffie-Hellman 组算法。您可以选择要应用的多个算法,或者取消选择不希望应用的任何选定算法。
    表 3. 使用的算法
    算法类型 有效值 描述
    加密
    • AES 128(默认)
    • AES 256
    • AES GCM 128
    • AES GCM 192
    • AES GCM 256

    在 Internet 密钥交换 (IKE) 协商期间使用的加密算法。

    AES 128 和 AES 256 算法使用 CBC 运算模式。

    与 IKEv2 一起使用时,支持 AES-GCM 算法。与 IKEv1 一起使用时,不支持这些算法。

    摘要
    • SHA2 256(默认)
    • SHA1
    • SHA2 384
    • SHA2 512

    在 IKE 协商期间使用的安全哈希算法。

    如果 AES-GCM 是在加密算法文本框中选择的唯一加密算法,则无法在摘要算法文本框中指定任何哈希算法(根据 RFC 5282 中的第 8 节)。此外,将会在 IKE 安全关联 (SA) 协商中隐式选择并使用伪随机函数 (Psuedo Random Function, PRF) 算法 PRF-HMAC-SHA2-256。还必须在对等网关上配置 PRF-HMAC-SHA2-256 算法,以成功完成 IKE SA 协商的第 1 阶段。

    除了 AES-GCM 算法以外,如果还在加密算法文本框中指定了其他算法,则可以在摘要算法文本框中选择一个或多个哈希算法。此外,IKE SA 协商中使用的 PRF 算法是根据配置的哈希算法隐式确定的。还必须在对等网关上配置至少一个匹配的 PRF 算法,以成功完成 IKE SA 协商的第 1 阶段。例如,如果加密算法文本框包含 AES 128 和 AES GCM 128,并在摘要算法文本框中指定了 SHA1,则在 IKE SA 协商期间使用 PRF-HMAC-SHA1 算法。还必须在对等网关中配置该算法。

    Diffie-Hellman 组
    • 组 14(默认)
    • 组 2
    • 组 5
    • 组 15
    • 组 16
    • 组 19
    • 组 20
    • 组 21

    对等站点和 NSX Edge 用于在不安全的通信通道上建立共享密钥的加密方案。

    注: 在尝试使用两种加密算法或两种摘要算法与 GUARD VPN 客户端(以前为 QuickSec VPN 客户端)建立 IPSec VPN 隧道时,GUARD VPN 客户端在建议的协商列表中添加额外的算法。例如,如果在用于建立 IPSec VPN 隧道的 IKE 配置文件中将 AES 128 和 AES 256 指定为要使用的加密算法,并将 SHA2 256 和 SHA2 512 指定为摘要算法,GUARD VPN 客户端还会在协商列表中建议 AES 192(使用 CBC 模式)和 SHA2 384。在这种情况下, NSX-T Data Center 使用您在建立 IPSec VPN 隧道时选择的第一种加密算法。
  7. 如果您希望不同于 86400 秒(24 小时)的默认值,请以秒为单位输入安全关联 (SA) 生命周期值。
  8. 提供说明,然后根据需要添加标记。
  9. 单击保存

结果

此时将向可用 IKE 配置文件表中添加一个新行。要编辑或删除不是由系统创建的配置文件,请单击三点菜单 (三个垂直对齐的黑点。单击该图标将显示子命令菜单。),然后从提供的操作列表中进行选择。