Die IPSec-Profile (Internet Protocol Security) enthalten Informationen zu den Algorithmen, die zum Authentifizieren, Verschlüsseln und Einrichten eines gemeinsamen geheimen Schlüssels zwischen Netzwerk-Sites verwendet werden, wenn Sie einen IPSec-Tunnel einrichten.

NSX-T Data Center bietet vom System generierte IPSec-Profile, die standardmäßig zugewiesen werden, wenn Sie einen IPSec-VPN- oder L2-VPN-Dienst konfigurieren. In der folgenden Tabelle sind die bereitgestellten standardmäßigen IPSec-Profile aufgeführt.
Tabelle 1. Für IPSec-VPN- oder L2-VPN-Dienste verwendete standardmäßige IPSec-Profile
Name des standardmäßigen IPSec-Profils Beschreibung
nsx-default-l2vpn-tunnel-profile
  • Wird für das L2-VPN verwendet.
  • Mit dem Verschlüsselungsalgorithmus AES GCM 128 und dem Schlüsselaustauschalgorithmus Diffie-Hellman Group 14 konfiguriert.
nsx-default-l3vpn-tunnel-profile
  • Wird für das IPSec-VPN verwendet.
  • Mit dem Verschlüsselungsalgorithmus AES GCM 128 und dem Schlüsselaustauschalgorithmus Diffie-Hellman Group 14 konfiguriert.

Anstelle des standardmäßigen IPSec-Profils können Sie auch eine der ab NSX-T Data Center 2.5 unterstützten Compliance-Suites auswählen. Weitere Informationen finden Sie unter Informationen zu unterstützten Compliance-Suites.

Wenn Sie sich gegen die Verwendung der bereitgestellten standardmäßigen IPSec-Profile oder Compliance-Suites entscheiden, können Sie Ihr eigenes Profil mithilfe der folgenden Schritte konfigurieren.

Prozedur

  1. Melden Sie sich mit Administratorrechten bei NSX Manager an.
  2. Wählen Sie Netzwerk > VPN aus und klicken Sie dann auf die Registerkarte Profile.
  3. Wählen Sie den Profiltyp IPSec-Profile aus und klicken Sie auf IPSec-Profil hinzufügen.
  4. Geben Sie einen Namen für das IPSec-Profil ein.
  5. Wählen Sie in den Dropdown-Menüs die Verschlüsselungs-, Digest- und Diffie-Hellman-Algorithmen aus. Sie können mehrere Algorithmen auswählen, die angewendet werden sollen.
    Deaktivieren Sie diejenigen, die Sie nicht verwenden möchten.
    Tabelle 2. Verwendete Algorithmen
    Art des Algorithmus Gültige Werte Beschreibung
    Verschlüsselung
    • AES GCM 128 (Standard)
    • AES 128
    • AES 256
    • AES-GCM 192
    • AES-GCM 256
    • Keine Verschlüsselung Auth AES GMAC 128
    • Keine Verschlüsselung Auth AES GMAC 192
    • Keine Verschlüsselung Auth AES GMAC 256
    • Keine Verschlüsselung

    Der Verschlüsselungsalgorithmus, der während der IPSec(Internet Protocol Security)-Aushandlung verwendet wird.

    Die Algorithmen AES 128 und AES 256 verwenden den CBC-Betriebsmodus.

    Digest
    • SHA 1
    • SHA2 256
    • SHA2 384
    • SHA2 512

    Der sichere Hashing-Algorithmus, der während der IPSec-Aushandlung verwendet wird.

    Diffie-Hellman Group
    • Gruppe 14 (Standard)
    • Gruppe 2
    • Gruppe 5
    • Gruppe 15
    • Gruppe 16
    • Gruppe 19
    • Gruppe 20
    • Gruppe 21

    Die Kryptografieschemata, die die Peer-Site und NSX Edge verwenden, um einen gemeinsamen geheimen Schlüssel über einen unsicheren Kommunikationskanal zu etablieren.

  6. Deaktivieren Sie PFS-Gruppe, wenn Sie das PFS-Gruppenprotokoll bei Ihrem VPN-Dienst nicht verwenden möchten.
    Standardmäßig ist diese Option aktiviert.
  7. Ändern Sie im Textfeld SA-Lebensdauer die Standardanzahl von Sekunden, bevor der IPSec-Tunnel wieder hergestellt werden muss.
    Standardmäßig wird eine SA-Lebensdauer von 24 Stunden (86400 Sekunden) verwendet.
  8. Wählen Sie den Wert für das DF-Bit, das mit dem IPSec-Tunnel verwendet werden soll.
    Der Wert bestimmt, wie mit dem in dem empfangenen Datenpaket enthaltene DF-Bit (Don't Fragment, „Nicht fragmentieren“) verfahren wird. Die zulässigen Werte werden in der folgenden Tabelle beschrieben.
    Tabelle 3. DF-Bit-Werte
    DF-Bit-Wert Beschreibung
    COPY

    Der Standardwert Wenn dieser Wert ausgewählt ist, kopiert NSX-T Data Center den Wert des DF-Bits aus dem empfangenen Paket in das weitergeleitete Paket. Wenn im empfangenen Datenpaket das DF-Bit gesetzt ist, bedeutet dieser Wert, dass das DF-Bit im Paket nach der Verschlüsselung ebenfalls gesetzt ist.

    CLEAR

    Wenn dieser Wert ausgewählt ist, ignoriert NSX-T Data Center den Wert der des DF-Bits im empfangenen Datenpaket und das DF-Bit ist im verschlüsselten Paket immer 0.

  9. Geben Sie eine Beschreibung an und fügen Sie bei Bedarf ein Tag hinzu.
  10. Klicken Sie auf Speichern.

Ergebnisse

Der Tabelle der verfügbaren IPSec-Profile wird eine neue Zeile hinzugefügt. Um ein nicht vom System erstelltes Profil zu bearbeiten oder zu löschen, klicken Sie auf das Drei-Punkte-Menü (Drei schwarze Punkte, die senkrecht ausgerichtet sind. Wenn Sie auf dieses Symbol klicken, wird ein Menü mit Unterbefehlen angezeigt.) und treffen Sie eine Auswahl aus der Liste der verfügbaren Aktionen.