在创建 Edge 到 Edge IPSec 隧道时,您可以在客户配置级别修改安全策略配置设置。

过程

  1. 在操作员门户中,导航到管理客户 (Manage Customers)
  2. 选择一个客户,然后单击操作 (Actions) > 修改 (Modify),或单击该客户的链接。
  3. 在企业门户中,单击配置 (Configure) > 客户 (Customers)。将显示客户配置 (Customer Configuration) 页面。
  4. 安全策略 (Security Policy) 区域中,您可以配置以下安全设置:
    1. 哈希 (Hash) - 默认情况下,没有为 VPN 标头配置身份验证算法。如果禁用了 Galois/计数器模式 (Galois/Counter Mode, GCM),您可以从显示的下拉列表中选择以下算法之一以作为 VPN 标头的身份验证算法:
      • SHA 1
      • SHA 256
      • SHA 384
      • SHA 512
    2. 加密 (Encryption) - AES 128-Galois/计数器模式 (Galois/Counter Mode, GCM)、AES 256-GCM、AES 128-密码块链 (Cipher Block Chaining, CBC) 和 AES 256-CBC 是用于提供保密性的加密算法模式。选择 AES 128AES 256 以作为数据加密的 AES 算法密钥大小。如果未选中禁用 GCM (Disable GCM) 复选框,则默认加密算法模式为 AES 128-GCM。
    3. DH 组 (DH Group) - 选择在交换预共享密钥时使用的 Diffie-Hellman (DH) 组算法。DH 组设置算法强度(以位为单位)。支持的 DH 组为 2、5、14、15 和 16。建议使用 DH 组 14。
    4. PFS - 选择完美前向保密 (Perfect Forward Secrecy, PFS) 级别以提高安全性。支持的 PFS 级别为 2、5、14、15 和 16。默认情况下,将禁用 PFS。
    5. 禁用 GCM (Disable GCM) - 默认情况下,将启用 AES 128-GCM。如果需要,请选中该复选框以禁用该模式。如果禁用该复选框,将启用 AES 128-CBC 模式。
    6. IPSec SA 生命周期 (IPsec SA Lifetime) - 为 Edge 启动 Internet 安全协议 (Internet Security Protocol, IPSec) 重新加密的时间。最短 IPsec 生命周期为 3 分钟,最长生命周期为 480 分钟。默认值为 480 分钟。
    7. IKE SA 生命周期 (IKE SA Lifetime) - 为 Edge 启动 Internet 密钥交换 (Internet Key Exchange, IKE) 重新加密的时间。最短 IKE 生命周期为 10 分钟,最长生命周期为 1440 分钟。默认值为 1440 分钟。
      注: 建议不要为 IPsec 和 IKE 配置较低的生命周期值(分别少于 10 和 30 分钟),因为这可能会由于重新加密而导致某些部署中的流量中断。较低的生命周期值仅用于调试目的。
  5. 在配置这些设置后,单击保存更改 (Save Changes)
    注: 在修改安全设置时,所做的更改可能会导致当前服务中断。此外,这些设置可能会降低总体吞吐量并增加 VCMP 隧道设置所需的时间,这可能会影响分支到分支动态隧道设置时间以及从集群上的 Edge 故障中恢复。