Die IKE-Profile (Internet Key Exchange) enthalten Informationen zu den Algorithmen, die zum Authentifizieren, Verschlüsseln und Einrichten eines gemeinsamen geheimen Schlüssels zwischen Netzwerk-Sites verwendet werden, wenn Sie einen IKE-Tunnel einrichten.

NSX bietet vom System generierte IKE-Profile, die standardmäßig zugewiesen werden, wenn Sie einen IPSec-VPN- oder L2-VPN-Dienst konfigurieren. In der folgenden Tabelle sind die bereitgestellten Standardprofile aufgeführt.
Tabelle 1. Für IPSec-VPN- oder L2-VPN-Dienste verwendete standardmäßige IKE-Profile
Name des Standard-IKE-Profils Beschreibung
nsx-default-l2vpn-ike-profile
  • Wird für eine L2-VPN-Dienstkonfiguration verwendet.
  • Mit IKE V2, Verschlüsselungsalgorithmus AES CBC 128, Algorithmus SHA2 256 und Schlüsselaustauschalgorithmus Diffie-Hellman Group 14 konfiguriert.
nsx-default-l3vpn-ike-profile
  • Wird für eine IPSec-VPN-Dienstkonfiguration verwendet.
  • Mit IKE V2, Verschlüsselungsalgorithmus AES CBC 128, Algorithmus SHA2 256 und Schlüsselaustauschalgorithmus Diffie-Hellman Group 14 konfiguriert.

Anstelle der standardmäßig verwendeten IKE-Profile können Sie auch eine der ab NSX 2.5 unterstützten Compliance-Suites auswählen. Weitere Informationen finden Sie unter Informationen zu unterstützten Compliance-Suites.

Wenn Sie sich gegen die Verwendung der bereitgestellten standardmäßigen IKE-Profile oder Compliance-Suites entscheiden, können Sie Ihr eigenes IKE-Profil mithilfe der folgenden Schritte konfigurieren.

Prozedur

  1. Melden Sie sich mit Administratorrechten bei NSX Manager an.
  2. Wählen Sie Netzwerk > VPN aus und klicken Sie dann auf die Registerkarte Profile.
  3. Wählen Sie den Profiltyp IKE-Profile aus und klicken Sie auf IKE-Profil hinzufügen.
  4. Geben Sie einen Namen für das IKE-Profil ein.
  5. Wählen Sie im Dropdown-Menü IKE-Version die IKE-Version aus, die bei der Einrichtung einer Sicherheitsverbindung (SA) in der IPSec-Protokollsuite verwendet werden soll.
    Tabelle 2. IKE-Versionen
    IKE-Version Beschreibung
    IKEv1 Wenn diese Version ausgewählt wurde, initiiert das IPSec-VPN nur ein IKEv1-Protokoll und reagiert darauf.
    IKEv2 Dies ist die Standardversion. Wenn diese Version ausgewählt wurde, initiiert das IPSec-VPN nur ein IKEv2-Protokoll und reagiert darauf.
    IKE-Flex Wenn diese Version ausgewählt wurde und der Tunnelaufbau mit dem IKEv2-Protokoll fehlschlägt, wird nicht auf die Quell-Site zurückgegriffen und es wird auch keine Verbindung mit dem IKEv1-Protokoll initiiert. Stattdessen wird die Verbindung akzeptiert, wenn die Remote-Site eine Verbindung mit dem IKEv1-Protokoll initiiert.
  6. Wählen Sie in den Dropdown-Menüs die Verschlüsselungs-, Digest- und Diffie-Hellman Group-Algorithmen aus. Sie können mehrere Algorithmen auswählen, die angewendet werden sollen, oder die Auswahl aller ausgewählten Algorithmen aufheben, die nicht angewendet werden sollen.
    Tabelle 3. Verwendete Algorithmen
    Art des Algorithmus Gültige Werte Beschreibung
    Verschlüsselung
    • AES 128 (Standard)
    • AES 256
    • AES GCM 128
    • AES GCM 192
    • AES GCM 256

    Der Verschlüsselungsalgorithmus, der während der IKE-Verhandlung (Internet Key Exchange) verwendet wird.

    Die Algorithmen AES 128 und AES 256 verwenden den CBC-Betriebsmodus.

    Die AES-GCM-Algorithmen werden bei Verwendung mit IKEv2 unterstützt. Sie werden nicht unterstützt, wenn Sie mit IKEv1 verwendet werden.

    Digest
    • SHA2 256 (Standard)
    • SHA 1
    • SHA2 384
    • SHA2 512

    Der sichere Hashing-Algorithmus, der während der IKE-Verhandlung verwendet wird.

    Wenn AES-GCM der einzige im Textfeld Verschlüsselungsalgorithmus ausgewählte Verschlüsselungsalgorithmus ist, können gemäß Abschnitt 8 in RFC 5282 im Textfeld Digest-Algorithmus keine Hash-Algorithmen angegeben werden. Darüber hinaus wird der Pseudo-Random Function-(PRF-)Algorithmus PRF-HMAC-SHA2-256 implizit ausgewählt und in der Aushandlung der IKE-Sicherheitsverbindung verwendet. Der Algorithmus PRF-HMAC-SHA2-256 muss auch auf dem Peer-Gateway konfiguriert werden, damit die Phase 1 der IKE-SA-Aushandlung erfolgreich ausgeführt werden kann.

    Wenn im Textfeld Verschlüsselungsalgorithmus zusätzlich zum AES-GCM-Algorithmus weitere Algorithmen angegeben sind, können im Textfeld Digest-Algorithmus mehrere Hash-Algorithmen ausgewählt werden. Darüber hinaus wird der in der IKE-SA-Aushandlung verwendete PRF-Algorithmus implizit basierend auf den konfigurierten Hash-Algorithmen bestimmt. Mindestens einer der übereinstimmenden PRF-Algorithmen muss auch auf dem Peer-Gateway konfiguriert sein, damit die Phase 1 der IKE-SA-Verhandlung erfolgreich ausgeführt werden kann. Wenn beispielsweise das Textfeld Verschlüsselungsalgorithmus „AES 128“ und „AES GCM 128“ enthält und „SHA1“ im Textfeld Digest-Algorithmus angegeben ist, wird der Algorithmus PRF-HMAC-SHA1 während der IKE-SA-Aushandlung verwendet. Dieser muss dann auch im Peer-Gateway konfiguriert werden.

    Diffie-Hellman Group
    • Gruppe 14 (Standard)
    • Gruppe 2
    • Gruppe 5
    • Gruppe 15
    • Gruppe 16
    • Gruppe 19
    • Gruppe 20
    • Gruppe 21

    Die Kryptografieschemata, die die Peer-Site und die NSX Edge verwenden, um einen gemeinsamen geheimen Schlüssel über einen unsicheren Kommunikationskanal zu etablieren.

    Hinweis: Wenn Sie versuchen, einen IPSec-VPN-Tunnel mit einem GUARD-VPN-Client (zuvor QuickSec-VPN-Client) unter Verwendung von zwei Verschlüsselungsalgorithmen oder zwei Digest-Algorithmen einzurichten, fügt der GUARD-VPN-Client zusätzliche Algorithmen in die vorgeschlagene Aushandlungsliste ein. Wenn Sie beispielsweise AES 128 und AES 256 als Verschlüsselungsalgorithmen sowie SHA2 256 und SHA2 512 als Digest-Algorithmen angegeben haben, die im IKE-Profil verwendet werden sollen, das Sie zum Aufbau des IPSec-VPN-Tunnels verwenden, schlägt der GUARD-VPN-Client auch AES 192 (unter Verwendung des CBC-Modus) und SHA2 384 in der Aushandlungsliste vor. In diesem Fall verwendet NSX den ersten Verschlüsselungsalgorithmus, den Sie beim Einrichten des IPSec-VPN-Tunnels ausgewählt haben.
  7. Geben Sie einen Lebensdauerwert der Sicherheitsverbindung (SA) in Sekunden ein, wenn ein anderer Wert als der Standardwert von 86400 Sekunden (24 Stunden) verwendet werden soll.
  8. Geben Sie eine Beschreibung an und fügen Sie nach Bedarf ein Tag hinzu.
  9. Klicken Sie auf Speichern.

Ergebnisse

Der Tabelle der verfügbaren IKE-Profile wird eine neue Zeile hinzugefügt. Um ein nicht vom System erstelltes Profil zu bearbeiten oder zu löschen, klicken Sie auf das Drei-Punkte-Menü (Drei schwarze Punkte, die senkrecht ausgerichtet sind. Wenn Sie auf dieses Symbol klicken, wird ein Menü mit Unterbefehlen angezeigt.) und treffen Sie eine Auswahl aus der Liste der verfügbaren Aktionen.