Při vytváření tunelových propojení IPsec mezi zařízeními Edge můžete upravit nastavení konfigurace zásad zabezpečení na úrovni konfigurace zákazníka.

Procedura

  1. V portálu operátora přejděte do nabídky Spravovat zákazníky (Manage Customers).
  2. Vyberte zákazníka a klikněte na tlačítko Akce (Actions) > Modifikovat (Modify) nebo klikněte na odkaz na zákazníka.
  3. V podnikovém portálu klikněte na možnost Konfigurovat (Configure) > Zákazníci (Customers).
  4. Na stránce Konfigurace zákazníka (Customer Configuration) nakonfigurujte v části Zásady zabezpečení (Security Policy) následující nastavení zabezpečení.
    1. Hash – ve výchozím nastavení není nakonfigurována žádná funkce bezpečnostního algoritmu hash. Pokud zakážete režim Galois/Counter (GCM), můžete z rozevíracího seznamu, který se zobrazí, vybrat jednu z následujících podporovaných funkcí algoritmu Secure Hash:
      • SHA 1
      • SHA 256
    2. Šifrování (Encryption) – AES 128-Galois/Counter Mode (GCM), AES 256-GCM, AES 128-Cipher Block Chaining (CBC) a AES 256-CBC jsou režimy algoritmů šifrování, které jsou používány k ochraně dat. Pro velikost klíčů algoritmů AES k šifrování dat vyberte AES 128 nebo AES 256. Výchozí režim algoritmu šifrování je AES 128-GCM, pokud není zaškrtnuto políčko Deaktivovat GCM (Disable GCM).
    3. Skupina DH (DH Group) – vyberte algoritmus skupiny Diffie-Hellman (DH), který bude použit při výměně předsdíleného klíče. Skupina DH nastavuje sílu algoritmu v bitech. Mezi podporované skupiny DH patří hodnoty 2, 5, 14, 15 a 16. Doporučujeme používat skupinu DH 14.
    4. PFS – vyberte úroveň PFS (Perfect Forward Secrecy) pomáhající zvýšit zabezpečení. Podporované úrovně PFS jsou 2, 5, 14, 15 a 16. Ve výchozím nastavení je PFS zakázáno.
    5. Deaktivovat GCM (Disable GCM) – ve výchozím nastavení je aktivováno šifrování AES 128-GCM. Podle potřeby můžete zaškrtnutím políčka tento režim deaktivovat. Zrušením zaškrtnutí políčka se aktivuje režim AES 128-CBC.
  5. Po nakonfigurování nastavení klikněte na možnost Uložit změny (Save Changes).
    Poznámka: Pokud změníte nastavení zabezpečení, provedené změny mohou způsobit přerušení dostupnosti aktuálních služeb. Tato nastavení mohou navíc snížit celkovou propustnost a prodloužit dobu požadovanou k nastavení tunelového propojení VCMP, což může mít vliv na dobu nastavení dynamického tunelového propojení mezi větvemi a zotavení po výpadku Edge v clusteru.