Die IPSec-Profile (Internet Protocol Security) enthalten Informationen zu den Algorithmen, die zum Authentifizieren, Verschlüsseln und Einrichten eines gemeinsamen geheimen Schlüssels zwischen Netzwerk-Sites verwendet werden, wenn Sie einen IPSec-Tunnel einrichten.
NSX-T Data Center bietet vom System generierte IPSec-Profile, die standardmäßig zugewiesen werden, wenn Sie einen IPSec-VPN- oder L2-VPN-Dienst konfigurieren. In der folgenden Tabelle sind die bereitgestellten standardmäßigen IPSec-Profile aufgeführt.
Tabelle 1.
Für IPSec-VPN- oder L2-VPN-Dienste verwendete standardmäßige IPSec-Profile
Name des standardmäßigen IPSec-Profils |
Beschreibung |
nsx-default-l2vpn-tunnel-profile |
- Wird für das L2-VPN verwendet.
- Mit dem Verschlüsselungsalgorithmus AES GCM 128 und dem Schlüsselaustauschalgorithmus Diffie-Hellman Group 14 konfiguriert.
|
nsx-default-l3vpn-tunnel-profile |
- Wird für das IPSec-VPN verwendet.
- Mit dem Verschlüsselungsalgorithmus AES GCM 128 und dem Schlüsselaustauschalgorithmus Diffie-Hellman Group 14 konfiguriert.
|
Anstelle des standardmäßigen IPSec-Profils können Sie auch eine der ab NSX-T Data Center 2.5 unterstützten Compliance-Suites auswählen. Weitere Informationen finden Sie unter Informationen zu unterstützten Compliance-Suites.
Wenn Sie sich gegen die Verwendung der bereitgestellten standardmäßigen IPSec-Profile oder Compliance-Suites entscheiden, können Sie Ihr eigenes Profil mithilfe der folgenden Schritte konfigurieren.
Prozedur
- Melden Sie sich mit Administratorrechten bei NSX Manager an.
- Wählen Sie aus und klicken Sie dann auf die Registerkarte Profile.
- Wählen Sie den Profiltyp IPSec-Profile aus und klicken Sie auf IPSec-Profil hinzufügen.
- Geben Sie einen Namen für das IPSec-Profil ein.
- Wählen Sie in den Dropdown-Menüs die Verschlüsselungs-, Digest- und Diffie-Hellman-Algorithmen aus. Sie können mehrere Algorithmen auswählen, die angewendet werden sollen.
Deaktivieren Sie diejenigen, die Sie nicht verwenden möchten.
Tabelle 2.
Verwendete Algorithmen
Art des Algorithmus |
Gültige Werte |
Beschreibung |
Verschlüsselung |
- AES GCM 128 (Standard)
- AES 128
- AES 256
- AES-GCM 192
- AES-GCM 256
- Keine Verschlüsselung Auth AES GMAC 128
- Keine Verschlüsselung Auth AES GMAC 192
- Keine Verschlüsselung Auth AES GMAC 256
- Keine Verschlüsselung
|
Der Verschlüsselungsalgorithmus, der während der IPSec(Internet Protocol Security)-Aushandlung verwendet wird. Die Algorithmen AES 128 und AES 256 verwenden den CBC-Betriebsmodus. |
Digest |
- SHA 1
- SHA2 256
- SHA2 384
- SHA2 512
|
Der sichere Hashing-Algorithmus, der während der IPSec-Aushandlung verwendet wird. |
Diffie-Hellman Group |
- Gruppe 14 (Standard)
- Gruppe 2
- Gruppe 5
- Gruppe 15
- Gruppe 16
- Gruppe 19
- Gruppe 20
- Gruppe 21
|
Die Kryptografieschemata, die die Peer-Site und NSX Edge verwenden, um einen gemeinsamen geheimen Schlüssel über einen unsicheren Kommunikationskanal zu etablieren. |
- Deaktivieren Sie PFS-Gruppe, wenn Sie das PFS-Gruppenprotokoll bei Ihrem VPN-Dienst nicht verwenden möchten.
Standardmäßig ist diese Option aktiviert.
- Ändern Sie im Textfeld SA-Lebensdauer die Standardanzahl von Sekunden, bevor der IPSec-Tunnel wieder hergestellt werden muss.
Standardmäßig wird eine SA-Lebensdauer von 24 Stunden (86400 Sekunden) verwendet.
- Wählen Sie den Wert für das DF-Bit, das mit dem IPSec-Tunnel verwendet werden soll.
Der Wert bestimmt, wie mit dem in dem empfangenen Datenpaket enthaltene DF-Bit (Don't Fragment, „Nicht fragmentieren“) verfahren wird. Die zulässigen Werte werden in der folgenden Tabelle beschrieben.
Tabelle 3.
DF-Bit-Werte
DF-Bit-Wert |
Beschreibung |
COPY |
Der Standardwert Wenn dieser Wert ausgewählt ist, kopiert NSX-T Data Center den Wert des DF-Bits aus dem empfangenen Paket in das weitergeleitete Paket. Wenn im empfangenen Datenpaket das DF-Bit gesetzt ist, bedeutet dieser Wert, dass das DF-Bit im Paket nach der Verschlüsselung ebenfalls gesetzt ist. |
CLEAR |
Wenn dieser Wert ausgewählt ist, ignoriert NSX-T Data Center den Wert der des DF-Bits im empfangenen Datenpaket und das DF-Bit ist im verschlüsselten Paket immer 0. |
- Geben Sie eine Beschreibung an und fügen Sie bei Bedarf ein Tag hinzu.
- Klicken Sie auf Speichern.
Ergebnisse
Der Tabelle der verfügbaren IPSec-Profile wird eine neue Zeile hinzugefügt. Um ein nicht vom System erstelltes Profil zu bearbeiten oder zu löschen, klicken Sie auf das Drei-Punkte-Menü () und treffen Sie eine Auswahl aus der Liste der verfügbaren Aktionen.