Při vytváření tunelových propojení IPsec mezi zařízeními Edge můžete upravit nastavení konfigurace zásad zabezpečení na úrovni konfigurace zákazníka.

Procedura

  1. V portálu operátora přejděte do nabídky Spravovat zákazníky (Manage Customers).
  2. Vyberte zákazníka a klikněte na tlačítko Akce (Actions) > Modifikovat (Modify) nebo klikněte na odkaz na zákazníka.
  3. V podnikovém portálu klikněte na možnost Konfigurovat (Configure) > Zákazníci (Customers). Objeví se stránka Konfigurace zákazníka (Customer Configuration).
  4. V oblasti Zásady zabezpečení (Security Policy) můžete konfigurovat následující nastavení zabezpečení:
    1. Hash – ve výchozím nastavení není pro záhlaví VPN nakonfigurován žádný ověřovací algoritmus. Když zaškrtnete políčko Deaktivovat GCM (Disable GCM), můžete z rozevírací nabídky, která se zobrazí, vybrat jako ověřovací algoritmus pro záhlaví VPN jeden z následujících:
      • SHA 1
      • SHA 256
      • SHA 384
      • SHA 512
    2. Šifrování (Encryption) – jako velikost klíče šifrování dat pro algoritmy AES vyberte buď AES 128 nebo AES 256. Výchozí režim algoritmu šifrování je AES 128-GCM, pokud není zaškrtnuto políčko Deaktivovat GCM (Disable GCM).
    3. Skupina DH (DH Group) – vyberte algoritmus skupiny Diffie-Hellman (DH), který bude použit při výměně předem sdíleného klíče. Skupina DH nastavuje sílu algoritmu v bitech. Mezi podporované skupiny DH patří hodnoty 2, 5, 14, 15 a 16. Doporučujeme používat skupinu DH 14.
    4. PFS – vyberte úroveň PFS (Perfect Forward Secrecy) pomáhající zvýšit zabezpečení. Podporované úrovně PFS jsou 2, 5, 14, 15 a 16. Ve výchozím nastavení je PFS zakázáno.
    5. Deaktivovat GCM (Disable GCM) – ve výchozím nastavení je aktivováno šifrování AES 128-GCM. Podle potřeby můžete zaškrtnutím políčka tento režim deaktivovat. Zrušením zaškrtnutí políčka se aktivuje režim AES 128-CBC.
    6. Doba životnosti SA IPsec (IPsec SA Lifetime) – doba, po kterou se pro Edge iniciuje obnovování klíče IPsec (Internet Security Protocol). Minimální doba životnosti IPsec je 3 minuty a maximální doba životnosti IPsec je 480 minut. Výchozí hodnota je 480 minut.
    7. Doba životnosti SA IKE (IKE SA Lifetime) – doba, po kterou se pro Edge iniciuje obnovování výměny klíčů IKE (Internet Key Exchange). Minimální doba životnosti IKE je 10 minut a maximální doba životnosti je 1440 minut. Výchozí hodnota je 1 440 minut.
      Poznámka: Doporučuje se nekonfigurovat nízké hodnoty životnosti pro protokoly IPsec (méně než 10 minut) a IKE (méně než 30 minut), protože to může způsobit přerušení přenosu dat v některých nasazeních kvůli novým klíčům. Nízké hodnoty životnosti slouží pouze pro účely ladění (debugging).
    8. Přepsání zabezpečené výchozí trasy (Secure Default Route Override)– zvolte zaškrtávací políčko, aby cíl přenosu dat, který se shoduje se zabezpečenou výchozí trasou (statická trasa nebo trasa BGP) z brány partnera, mohl být přepsán za použití podnikových zásad.
      Pokyny k tomu, jak aktivovat zabezpečené směrování na zařízení Edge, naleznete v tématu Konfigurace předání partnera. Další informace o konfiguraci pravidla síťové služby pro podnikové zásady naleznete v části „Konfigurace pravidla síťové služby pro podnikové zásady“ v příručce správy VMware SD-WAN, která je k dispozici v  dokumentaci VMware SD-WAN.
  5. Po nakonfigurování nastavení klikněte na možnost Uložit změny (Save Changes).
    Poznámka: Pokud změníte nastavení zabezpečení, provedené změny mohou způsobit přerušení dostupnosti aktuálních služeb. Tato nastavení mohou navíc snížit celkovou propustnost a prodloužit dobu požadovanou k nastavení tunelového propojení VCMP, což může mít vliv na dobu nastavení dynamického tunelového propojení mezi větvemi a zotavení po výpadku Edge v clusteru.