Internet 密钥交换 (IKE) 配置文件提供有关在建立 IKE 隧道时用于在网络站点之间进行身份验证、加密和建立共享密钥的算法的信息。

NSX 提供系统生成的 IKE 配置文件,默认情况下在配置 IPSec VPN 或 L2 VPN 服务时进行分配。下表列出了提供的默认配置文件。
表 1. 用于 IPSec VPN 或 L2 VPN 服务的默认 IKE 配置文件
默认 IKE 配置文件名称 描述
nsx-default-l2vpn-ike-profile
  • 用于 L2 VPN 服务配置。
  • 使用 IKE V2、AES CBC 128 加密算法、SHA2 256 算法和 Diffie-Hellman 组 14 密钥交换算法进行配置。
nsx-default-l3vpn-ike-profile
  • 用于 IPSec VPN 服务配置。
  • 使用 IKE V2、AES CBC 128 加密算法、SHA2 256 算法和 Diffie-Hellman 组 14 密钥交换算法进行配置。

您还可以选择从 NSX 2.5 开始支持的合规性套件之一,而不是使用的默认 IKE 配置文件。有关详细信息,请参见关于支持的合规性套件

如果您决定不使用提供的默认 IKE 配置文件或合规性套件,您可以使用以下步骤配置自己的 IKE 配置文件。

过程

  1. 使用 admin 特权登录到 NSX Manager
  2. 选择网络 > VPN,然后单击配置文件选项卡。
  3. 选择 IKE 配置文件类型,然后单击添加 IKE 配置文件
  4. 输入 IKE 配置文件的名称。
  5. IKE 版本下拉菜单中,选择要用于在 IPSec 协议组中设置安全关联 (SA) 的 IKE 版本。
    表 2. IKE 版本
    IKE 版本 描述
    IKEv1 选择此版本时,IPSec VPN 将启动,并且仅响应 IKEv1 协议。
    IKEv2 此版本是默认版本。选择此版本时,IPSec VPN 将启动,并且仅响应 IKEv2 协议。
    IKE-Flex 如果选择此版本,当使用 IKEv2 协议建立隧道失败时,源站点不会改为使用 IKEv1 协议启动连接。不过,如果远程站点使用 IKEv1 协议启动连接,则会接受该连接。
  6. 从下拉菜单中选择加密、摘要和 Diffie-Hellman 组算法。您可以选择要应用的多个算法,或者取消选择不希望应用的任何选定算法。
    表 3. 使用的算法
    算法类型 有效值 描述
    加密
    • AES 128(默认)
    • AES 256
    • AES GCM 128
    • AES GCM 192
    • AES GCM 256

    在 Internet 密钥交换 (IKE) 协商期间使用的加密算法。

    AES 128 和 AES 256 算法使用 CBC 运算模式。

    与 IKEv2 一起使用时,支持 AES-GCM 算法。与 IKEv1 一起使用时,不支持这些算法。

    摘要
    • SHA2 256(默认)
    • SHA1
    • SHA2 384
    • SHA2 512

    在 IKE 协商期间使用的安全哈希算法。

    如果 AES-GCM 是在加密算法文本框中选择的唯一加密算法,则无法在摘要算法文本框中指定任何哈希算法(根据 RFC 5282 中的第 8 节)。此外,将会在 IKE 安全关联 (SA) 协商中隐式选择并使用伪随机函数 (Psuedo Random Function, PRF) 算法 PRF-HMAC-SHA2-256。还必须在对等网关上配置 PRF-HMAC-SHA2-256 算法,以成功完成 IKE SA 协商的第 1 阶段。

    除了 AES-GCM 算法以外,如果还在加密算法文本框中指定了其他算法,则可以在摘要算法文本框中选择一个或多个哈希算法。此外,IKE SA 协商中使用的 PRF 算法是根据配置的哈希算法隐式确定的。还必须在对等网关上配置至少一个匹配的 PRF 算法,以成功完成 IKE SA 协商的第 1 阶段。例如,如果加密算法文本框包含 AES 128 和 AES GCM 128,并在摘要算法文本框中指定了 SHA1,则在 IKE SA 协商期间使用 PRF-HMAC-SHA1 算法。还必须在对等网关中配置该算法。

    Diffie-Hellman 组
    • 组 14(默认)
    • 组 2
    • 组 5
    • 组 15
    • 组 16
    • 组 19
    • 组 20
    • 组 21

    对等站点和 NSX Edge 用于在不安全的通信通道上建立共享密钥的加密方案。

    注: 在尝试使用两种加密算法或两种摘要算法与 GUARD VPN 客户端(以前为 QuickSec VPN 客户端)建立 IPSec VPN 隧道时,GUARD VPN 客户端在建议的协商列表中添加额外的算法。例如,如果在用于建立 IPSec VPN 隧道的 IKE 配置文件中将 AES 128 和 AES 256 指定为要使用的加密算法,并将 SHA2 256 和 SHA2 512 指定为摘要算法,GUARD VPN 客户端还会在协商列表中建议 AES 192(使用 CBC 模式)和 SHA2 384。在这种情况下, NSX 使用您在建立 IPSec VPN 隧道时选择的第一种加密算法。
  7. 如果您希望不同于 86400 秒(24 小时)的默认值,请以秒为单位输入安全关联 (SA) 生命周期值。
  8. 提供说明,然后根据需要添加标记。
  9. 单击保存

结果

此时将向可用 IKE 配置文件表中添加一个新行。要编辑或删除不是由系统创建的配置文件,请单击三点菜单 (三个垂直对齐的黑点。单击该图标将显示子命令菜单。),然后从提供的操作列表中进行选择。