Při vytváření tunelů IPSec Edge-to-Edge nebo Edge-to-Gateway můžete upravit nastavení konfigurace zásad zabezpečení na úrovni konfigurace zákazníka.
Procedura
- V portálu operátora přejděte do nabídky Správa zákazníků (Manage Customers).
- Vyberte zákazníka a klikněte na tlačítko Akce (Actions) > Modifikovat (Modify) nebo klikněte na odkaz na zákazníka.
- V podnikovém portálu klikněte na možnost Konfigurovat (Configure) > Zákazníci (Customers). Objeví se stránka Konfigurace zákazníka (Customer Configuration).
- V oblasti Zásady zabezpečení (Security Policy) můžete konfigurovat následující nastavení zabezpečení:
- Hash – Ve výchozím nastavení není pro záhlaví VPN nakonfigurován žádný ověřovací algoritmus, protože je AES-GCM ověřeným šifrovacím algoritmem. Zvolíte-li možnost Vypnout GCM (Turn off GCM), můžete z rozbalovací nabídky vybrat jako algoritmus autentizace pro záhlaví VPN jednu z následujících možností:
- SHA 1
- SHA 256
- SHA 384
- SHA 512
- Šifrování (Encryption) – jako velikost klíče šifrování dat pro algoritmy AES vyberte buď AES 128 nebo AES 256. Když není zvolena možnost Vypnout GCM (Turn off GCM), je výchozí režim šifrovacího algoritmu AES 128-GCM.
- Skupina DH (DH Group) – vyberte algoritmus skupiny Diffie-Hellman (DH), který bude použit při výměně předem sdíleného klíče. Skupina DH nastavuje sílu algoritmu v bitech. Podporované skupiny DH jsou 2, 5, 14, 15 a 16. Doporučuje se používat skupinu DH 14.
- PFS – vyberte úroveň PFS (Perfect Forward Secrecy) pomáhající zvýšit zabezpečení. Podporované úrovně PFS jsou 2, 5, 14, 15 a 16. Ve výchozím nastavení je PFS deaktivováno.
- Vypnout GCM (Turn off GCM) – Ve výchozím nastavení AES 128-GCM je aktivováno. V případě potřeby vypněte tento režim zaškrtnutím políčka.
- Doba životnosti SA IPsec (IPsec SA Lifetime) – doba, po kterou se pro Edge iniciuje obnovování klíče IPsec (Internet Security Protocol). Minimální doba životnosti IPsec je 3 minuty a maximální doba životnosti IPsec je 480 minut. Výchozí hodnota je 480 minut.
- Doba životnosti SA IKE (IKE SA Lifetime) – doba, po kterou se pro Edge iniciuje obnovování výměny klíčů IKE (Internet Key Exchange). Minimální doba životnosti IKE je 10 minut a maximální doba životnosti je 1440 minut. Výchozí hodnota je 1 440 minut.
Poznámka: Doporučuje se nekonfigurovat nízké hodnoty životnosti pro protokoly IPsec (méně než 10 minut) a IKE (méně než 30 minut), protože to může způsobit přerušení přenosu dat v některých nasazeních kvůli novým klíčům. Nízké hodnoty životnosti slouží pouze pro účely ladění (debugging).
- Přepsání zabezpečené výchozí směru (Secure Default Route Override) – zvolte zaškrtávací políčko, aby cíl přenosu dat, který se shoduje se zabezpečeným výchozím směrem (statický směr nebo směr BGP) z brány partnera, mohl být přepsán za použití pravidel řízení.
Pokyny k tomu, jak aktivovat zabezpečené směrování na zařízení Edge, naleznete v tématu Konfigurace předání partnera. Další informace o konfiguraci pravidla síťové služby pro pravidla řízení naleznete v části „Konfigurace pravidla síťové služby pro pravidla řízení“ v příručce správy VMware SD-WAN, která je k dispozici v dokumentaci VMware SD-WAN.
- Hash – Ve výchozím nastavení není pro záhlaví VPN nakonfigurován žádný ověřovací algoritmus, protože je AES-GCM ověřeným šifrovacím algoritmem. Zvolíte-li možnost Vypnout GCM (Turn off GCM), můžete z rozbalovací nabídky vybrat jako algoritmus autentizace pro záhlaví VPN jednu z následujících možností:
- Po nakonfigurování nastavení klikněte na možnost Uložit změny (Save Changes).
Poznámka: Pokud modifikujete nastavení zabezpečení, provedené změny mohou způsobit přerušení dostupnosti aktuálních služeb. Tato nastavení mohou navíc snížit celkovou propustnost a prodloužit dobu požadovanou k nastavení tunelového propojení VCMP, což může mít vliv na dobu nastavení dynamického tunelového propojení mezi větvemi a zotavení po výpadku Edge v clusteru.