Při vytváření tunelových propojení IPsec mezi zařízeními Edge můžete upravit nastavení konfigurace zásad zabezpečení na úrovni konfigurace zákazníka.

Procedura

  1. V portálu operátora přejděte do nabídky Spravovat zákazníky (Manage Customers).
  2. Vyberte zákazníka a klikněte na tlačítko Akce (Actions) > Modifikovat (Modify) nebo klikněte na odkaz na zákazníka.
  3. V podnikovém portálu klikněte na možnost Konfigurovat (Configure) > Zákazníci (Customers). Objeví se stránka Konfigurace zákazníka (Customer Configuration).
  4. V oblasti Zásady zabezpečení (Security Policy) můžete konfigurovat následující nastavení zabezpečení:
    1. Hash – ve výchozím nastavení není pro záhlaví VPN nakonfigurován žádný ověřovací algoritmus. Když je režim Galois/Counter (GCM) zakázán, můžete z rozevírací nabídky, která se zobrazí, vybrat jako ověřovací algoritmus pro záhlaví VPN jeden z následujících:
      • SHA 1
      • SHA 256
      • SHA 384
      • SHA 512
    2. Šifrování (Encryption) – AES 128-Galois/Counter Mode (GCM), AES 256-GCM, AES 128-Cipher Block Chaining (CBC) a AES 256-CBC jsou režimy algoritmů šifrování, které jsou používány k ochraně dat. Pro velikost klíčů algoritmů AES k šifrování dat vyberte AES 128 nebo AES 256. Výchozí režim algoritmu šifrování je AES 128-GCM, pokud není zaškrtnuto políčko Deaktivovat GCM (Disable GCM).
    3. Skupina DH (DH Group) – vyberte algoritmus skupiny Diffie-Hellman (DH), který bude použit při výměně předsdíleného klíče. Skupina DH nastavuje sílu algoritmu v bitech. Mezi podporované skupiny DH patří hodnoty 2, 5, 14, 15 a 16. Doporučujeme používat skupinu DH 14.
    4. PFS – vyberte úroveň PFS (Perfect Forward Secrecy) pomáhající zvýšit zabezpečení. Podporované úrovně PFS jsou 2, 5, 14, 15 a 16. Ve výchozím nastavení je PFS zakázáno.
    5. Deaktivovat GCM (Disable GCM) – ve výchozím nastavení je aktivováno šifrování AES 128-GCM. Podle potřeby můžete zaškrtnutím políčka tento režim deaktivovat. Zrušením zaškrtnutí políčka se aktivuje režim AES 128-CBC.
    6. Doba životnosti SA IPsec (IPsec SA Lifetime) – doba, po kterou se pro Edge iniciuje obnovování klíče IPsec (Internet Security Protocol). Minimální doba životnosti rozšíření IPsec je 3 minuty a maximální 480 minut. Výchozí hodnota je 480 minut.
    7. Doba životnosti SA IKE (IKE SA Lifetime) – doba, po kterou se pro Edge iniciuje obnovování výměny klíčů IKE (Internet Key Exchange). Minimální doba životnosti protokolu IKE je 10 minut a maximální 1 440 minut. Výchozí hodnota je 1 440 minut.
      Poznámka: Nedoporučuje se konfigurovat nízké hodnoty životnosti pro IPsec (méně než 10 minut) a IKE (méně než 30 minut), protože to může způsobit přerušení provozu v některých implementacích v důsledku obnovování klíčů. Nízké hodnoty životnosti se používají pouze pro účely ladění.
  5. Po nakonfigurování nastavení klikněte na možnost Uložit změny (Save Changes).
    Poznámka: Pokud změníte nastavení zabezpečení, provedené změny mohou způsobit přerušení dostupnosti aktuálních služeb. Tato nastavení mohou navíc snížit celkovou propustnost a prodloužit dobu požadovanou k nastavení tunelového propojení VCMP, což může mít vliv na dobu nastavení dynamického tunelového propojení mezi větvemi a zotavení po výpadku Edge v clusteru.