IKE 是用于排列已通过身份验证的安全通信的标准方法。

阶段 1 参数

阶段 1 设置对等站点的双向身份验证,协商加密参数,并创建会话密钥。NSX Edge 使用的阶段 1 参数如下:

  • 主模式

  • TripleDES/AES [可配置]

  • SHA-1

  • MODP 组 2(1024 位)

  • 预共享密钥 [可配置]

  • SA 生命周期为 28800 秒(8 个小时),未重新加密千字节

  • ISAKMP 激进模式已禁用

阶段 2 参数

IKE 阶段 2 通过创建要供 IPSec 使用的加密材料来协商 IPSec 隧道(通过将 IKE 阶段 1 密钥用作基准或执行新密钥交换)。NSX Edge 支持的 IKE 阶段 2 参数如下:

  • TripleDES/AES [将与阶段 1 设置相匹配]

  • SHA-1

  • ESP 隧道模式

  • MODP 组 2(1024 位)

  • 用于重新加密的完全向前保密

  • SA 生命周期为 3600 秒(1 个小时),未重新加密千字节

  • 用于两个使用 IPv4 子网的网络之间所有 IP 协议和所有端口的选择器

事务模式示例

NSX Edge 支持阶段 1 的“主模式”和阶段 2 的“快速模式”。

NSX Edge 建议使用需要 PSK、3DES/AES128、sha1 和 DH Group 2/5 的策略。对等站点必须接受该策略;否则,协商阶段将失败。

阶段 1:主模式事务

此示例显示从 NSX Edge 启动的阶段 1 协商到 Cisco 设备的交换。

以下事务按顺序发生在处于“主模式”状态下的 NSX Edge 和 Cisco VPN 设备之间。

  1. NSX Edge 到 Cisco

    • 建议:加密 3des-cbc、sha、psk、group5(group2)

    • DPD 已启用

  2. Cisco 到 NSX Edge

    • 包含 Cisco 选择的建议

    • 如果 Cisco 设备不接受 NSX Edge 在第一步中发送的任何参数,则 Cisco 设备将发送带有标记 NO_PROPOSAL_CHOSEN 的消息并终止协商。

  3. NSX Edge 到 Cisco

    • DH 密钥和当前值

  4. Cisco 到 NSX Edge

    • DH 密钥和当前值

  5. NSX Edge 到 Cisco(已加密)

    • 包括 ID (PSK)

  6. Cisco 到 NSX Edge(已加密)

    • 包括 ID (PSK)

    • 如果 Cisco 设备发现 PSK 不匹配,则 Cisco 设备将发送带有标记 INVALID_ID_INFORMATION 的消息,阶段 1 失败。

阶段 2:快速模式事务

以下事务按顺序发生在处于“快速模式”状态下的 NSX Edge 和 Cisco VPN 设备之间。

  1. NSX Edge 到 Cisco

    NSX Edge 建议针对对等站点使用阶段 2 策略。例如:

    Aug 26 12:16:09 weiqing-desktop 
    ipsec[5789]:
    "s1-c1" #2: initiating Quick Mode
    PSK+ENCRYPT+TUNNEL+PFS+UP+SAREFTRACK  
    {using isakmp#1 msgid:d20849ac 
    proposal=3DES(3)_192-SHA1(2)_160 
    pfsgroup=OAKLEY_GROUP_MODP1024}

  2. Cisco 到 NSX Edge

    如果 Cisco 设备未发现任何与建议相匹配的策略,它将发送回 NO_PROPOSAL_CHOSEN。否则,Cisco 设备将发送已选择的一组参数。

  3. NSX Edge 到 Cisco

    为方便调试,可以在 NSX Edge 上启用 IPSec 日志记录,并在 Cisco 上启用加密调试 (debug crypto isakmp <level>)。