IKE ist eine Standardmethode für den Aufbau einer sicheren, authentifizierten Kommunikation.

Parameter der Phase 1

In Phase 1 wird die gegenseitige Authentifizierung der Peers eingerichtet, es werden kryptographische Parameter ausgehandelt und der Sitzungsschlüssel wird generiert. NSX Edge verwendet folgende Parameter der Phase 1:

  • Main-Modus

  • TripleDES / AES [konfigurierbar]

  • SHA-1

  • MODP-Gruppe 2 (1024 Bits)

  • Pre-Shared Secret [konfigurierbar]

  • SA-Lebensdauer von 28800 Sekunden (8 Stunden) ohne neu zugewiesene KB

  • Aggressiver ISAKMP-Modus deaktiviert

Parameter der Phase 2

In der IKE-Phase 2 wird ein IPSec-Tunnel ausgehandelt. Dabei wird das vom IPSec-Tunnel zu verwendende Schlüsselmaterial erstellt (entweder durch das Zugrundelegen der Schlüssel aus IKE-Phase 1 oder mit der Durchführung eines erneuten Schlüsselaustauschs). Folgende Parameter der IKE-Phase 2 werden von NSX Edge unterstützt:

  • TripleDES / AES [entspricht der Einstellung in Phase 1]

  • SHA-1

  • ESP-Tunnelmodus

  • MODP-Gruppe 2 (1024 Bits)

  • PFS (Perfect Forward Secrecy) für Neuzuweisung

  • SA-Lebensdauer von 3600 Sekunden (1 Stunde) ohne neu zugewiesene KB

  • Selektoren für alle IP-Protokolle und alle Ports zwischen den beiden Netzen unter Verwendung von IPv4-Subnetzen

Transaktionsmodus-Proben

NSX Edge unterstützt den Main-Modus für Phase 1 und den Quick-Modus für Phase 2.

NSX Edge schlägt eine Richtlinie vor, die PSK, 3DES/AES128, SHA-1 und die DH-Gruppe 2/5 erfordert. Der Peer muss diese Richtlinie akzeptieren, andernfalls scheitert die Aushandlungsphase.

Phase 1: Main-Modus-Transaktionen

Dieses Beispiel zeigt den Austausch einer von NSX Edge zu einem Cisco-Gerät initiierten Phase-1-Aushandlung.

Die folgenden Transaktionen werden nacheinander zwischen NSX Edge und einem Cisco VPN-Gerät im Main-Modus durchgeführt.

  1. NSX Edge an Cisco

    • Vorschlag: Verschlüsselung 3DES-CBC, SHA, PSK, Group5(Group2)

    • DPD aktiviert

  2. Cisco an NSX Edge

    • enthält den von Cisco gewählten Vorschlag

    • Wenn das Cisco-Gerät keine der Parameter akzeptiert, die NSX Edge in Schritt 1 gesendet hat, sendet das Cisco-Gerät die Meldung mit dem Flag „NO_PROPOSAL_CHOSEN“ und beendet die Aushandlung.

  3. NSX Edge an Cisco

    • DH-Schlüssel und Nonce

  4. Cisco an NSX Edge

    • DH-Schlüssel und Nonce

  5. NSX Edge an Cisco (verschlüsselt)

    • ID verwenden (PSK)

  6. Cisco an NSX Edge (verschlüsselt)

    • ID verwenden (PSK)

    • Wenn das Cisco-Gerät feststellt, dass der PSK nicht übereinstimmt, sendet es eine Nachricht mit dem Flag „INVALID_ID_INFORMATION“. Phase 1 schlägt fehl.

Phase 2: Quick-Modus-Transaktionen

Die folgenden Transaktionen werden nacheinander zwischen NSX Edge und einem Cisco VPN-Gerät im Quick-Modus durchgeführt.

  1. NSX Edge an Cisco

    NSX Edge schlägt dem Peer die Richtlinie für Phase 2 vor. Beispiel:

    Aug 26 12:16:09 weiqing-desktop 
    ipsec[5789]:
    "s1-c1" #2: initiating Quick Mode
    PSK+ENCRYPT+TUNNEL+PFS+UP+SAREFTRACK  
    {using isakmp#1 msgid:d20849ac 
    proposal=3DES(3)_192-SHA1(2)_160 
    pfsgroup=OAKLEY_GROUP_MODP1024}

  2. Cisco an NSX Edge

    Das Cisco-Gerät sendet NO_PROPOSAL_CHOSEN, falls es keine zu dem Vorschlag passende Richtlinie findet. Andernfalls sendet das Cisco-Gerät den Satz der gewählten Parameter.

  3. NSX Edge an Cisco

    Um das Debuggen zu erleichtern, können Sie in NSX Edge die IPSec-Protokollierung einschalten und auf Cisco das Crypto-Debugging (debug crypto isakmp <Level>) aktivieren.