Parameter der Phase 1

In Phase 1 wird die gegenseitige Authentifizierung der Peers eingerichtet, es werden kryptographische Parameter ausgehandelt und der Sitzungsschlüssel wird generiert. NSX Edge verwendet folgende Parameter der Phase 1:

• Main-Modus
• Triple DES, AES-128 und AES-256 [konfigurierbar] AES-GCM wird in Phase 1 nicht unterstützt, sodass AES-128 intern verwendet wird.
• SHA1, SHA_256
• MODP-Gruppe 2, 5, 14, 15 und 16
• Vorab freigegebener geheimer Schlüssel und Zertifikat [konfigurierbar]
• SA-Lebensdauer von 28.800 Sekunden (8 Stunden) ohne neu zugewiesene Lifebytes
• Aggressiver ISAKMP-Modus deaktiviert

Parameter der Phase 2

In der IKE-Phase 2 wird ein IPSec-Tunnel ausgehandelt. Dabei wird das vom IPSec-Tunnel zu verwendende Schlüsselmaterial erstellt (entweder durch das Zugrundelegen der Schlüssel aus IKE-Phase 1 oder mit der Durchführung eines erneuten Schlüsselaustauschs). Folgende Parameter der IKE-Phase 2 werden von NSX Edge unterstützt:

• Triple DES, AES-128, AES-256 und AES-GCM [entspricht der Einstellung in Phase 1]
• SHA1, SHA_256
• ESP-Tunnelmodus
• MODP-Gruppe 2, 5, 14, 15 und 16
• PFS (Perfect Forward Secrecy) für Neuzuweisung
• SA-Lebensdauer von 3600 Sekunden (1 Stunde) ohne neu zugewiesene Lifebytes
• Selektoren für alle IP-Protokolle und alle Ports zwischen den beiden Netzen unter Verwendung von IPv4-Subnetzen

Transaktionsmodus-Proben

NSX Edge unterstützt den Main-Modus für Phase 1 und den Quick-Modus für Phase 2.

NSX Edge schlägt eine Richtlinie vor, für die PSK/Zertifikat, 3DES/AES128/AES256/AES-GCM, SHA1/SHA256 und DH-Gruppe 2/5/14/15/16 erforderlich sind. Der Peer muss diese Richtlinie akzeptieren. Andernfalls schlägt die Aushandlungsphase fehl.

Phase 1: Main-Modus-Transaktionen

Dieses Beispiel zeigt den Austausch einer von NSX Edge zu einem Cisco-Gerät initiierten Phase-1-Aushandlung.

Die folgenden Transaktionen werden nacheinander zwischen NSX Edge und einem Cisco VPN-Gerät im Main-Modus durchgeführt.

1. NSX Edge an Cisco
   • Vorschlag: Verschlüsselung 3DES-CBC, SHA, PSK, Group5(Group2)
   • DPD aktiviert
2. Cisco an NSX Edge
   • Enthält den von Cisco gewählten Vorschlag.
   • Wenn das Cisco-Gerät keine der Parameter akzeptiert, die NSX Edge in Schritt 1 gesendet hat, sendet das Cisco-Gerät die Meldung mit dem Flag NO_PROPOSAL_CHOSEN und beendet die Aushandlung.
3. NSX Edge an Cisco
   • DH-Schlüssel und Nonce
4. Cisco an NSX Edge
   • DH-Schlüssel und Nonce
5. NSX Edge an Cisco (verschlüsselt)
   • ID verwenden (PSK).
6. Cisco an NSX Edge (verschlüsselt)
   • ID verwenden (PSK).
   • Wenn das Cisco-Gerät feststellt, dass der PSK nicht übereinstimmt, sendet es eine Nachricht mit dem Flag INVALID_ID_INFORMATION und Phase 1 schlägt fehl.

Phase 2: Quick-Modus-Transaktionen

Die folgenden Transaktionen werden nacheinander zwischen NSX Edge und einem Cisco VPN-Gerät im Quick-Modus durchgeführt.

1. NSX Edge an Cisco
   NSX Edge schlägt dem Peer die Richtlinie für Phase 2 vor. Beispiel:

   Aug 26 12:16:09 weiqing-desktop 
   ipsec[5789]:
   "s1-c1" #2: initiating Quick Mode
   PSK+ENCRYPT+TUNNEL+PFS+UP+SAREFTRACK  
   {using isakmp#1 msgid:d20849ac 
   proposal=3DES(3)_192-SHA1(2)_160 
   pfsgroup=OAKLEY_GROUP_MODP1024}

2. Cisco an NSX Edge

   Das Cisco-Gerät sendet NO_PROPOSAL_CHOSEN, falls es keine zu dem Vorschlag passende Richtlinie findet. Andernfalls sendet das Cisco-Gerät den Satz der gewählten Parameter.

3. NSX Edge an Cisco

   Um das Debuggen zu erleichtern, können Sie in NSX Edge die IPSec-Protokollierung einschalten und auf Cisco das Crypto-Debugging (debug crypto isakmp <Level>) aktivieren.