Beim Erstellen von Edge-zu-Edge-IPSec-Tunneln können Sie die Konfigurationseinstellungen der Sicherheitsrichtlinie auf Kundenkonfigurationsebene ändern.

Prozedur

  1. Navigieren Sie im Operator-Portal zu Kunden verwalten (Manage Customers).
  2. Wählen Sie einen Kunden aus und klicken Sie auf Aktionen (Actions) > Ändern (Modify) oder auf den Link zum Kunden.
  3. Klicken Sie im Unternehmensportal auf Konfigurieren (Configure) > Kunden (Customers). Die Seite Kundenkonfiguration (Customer Configuration) wird angezeigt.
  4. Im Bereich Sicherheitsrichtlinie (Security Policy) können Sie die folgenden Sicherheitseinstellungen konfigurieren:
    1. Hash: Standardmäßig ist kein Authentifizierungsalgorithmus für die VPN-Kopfzeile konfiguriert. Wenn der Galois/Counter-Modus (GCM) deaktiviert ist, können Sie eine der folgenden Optionen in der angezeigten Dropdown-Liste als Authentifizierungsalgorithmus für die VPN-Kopfzeile auswählen:
      • SHA 1
      • SHA 256
      • SHA 384
      • SHA 512
    2. Verschlüsselung (Encryption) – AES 128-Galois/Counter Mode (GCM), AES 256-GCM, AES 128-Cipher Block Chaining (CBC) und AES 256-CBC sind die Verschlüsselungsalgorithmen, die zur Bereitstellung von Vertraulichkeit verwendet werden. Wählen Sie entweder AES 128 oder AES 256 als Schlüsselgröße für die AES-Algorithmen zum Verschlüsseln von Daten aus. Der Standardmodus für den Verschlüsselungsalgorithmus ist AES 128-GCM, wenn das Kontrollkästchen GCM deaktivieren (Disable GCM) nicht aktiviert ist.
    3. DH-Gruppe (DH Group): Wählen Sie den Algorithmus der Diffie-Hellman-Gruppe (DH-Gruppe) aus, der beim Austausch eines vorinstallierten Schlüssels verwendet werden soll. Über die DH-Gruppe wird die Stärke des Algorithmus in Bit festgelegt. Die unterstützten DH-Gruppen sind 2, 5, 14, 15 und 16. Es wird empfohlen, DH-Gruppe 14 zu verwenden.
    4. PFS: Wählen Sie die PFS-Ebene (Perfect Forward Secrecy) für zusätzliche Sicherheit aus. Die unterstützten PFS-Ebenen sind 2, 5, 14, 15 und 16. PFS ist standardmäßig deaktiviert.
    5. GCM deaktivieren (Disable GCM) – Standardmäßig ist AES 128-GCM aktiviert. Aktivieren Sie bei Bedarf das Kontrollkästchen, um diesen Modus zu deaktivieren. Wenn Sie das Kontrollkästchen deaktivieren, wird der AES 128-CBC-Modus aktiviert.
    6. IPsec-SA-Lebensdauer (IPsec SA Lifetime): Zeitpunkt, zu dem das Rekeying des Internet Security Protocol (IPSec) für Edges eingeleitet wird. Die minimale Lebensdauer von IPsec beträgt 3 Minuten und die maximale Lebensdauer beträgt 480 Minuten. Der Standardwert ist 480 Sekunden.
    7. IKE-SA-Lebensdauer (IKE SA Lifetime): Der Zeitpunkt, zu dem das Rekeying von Internet Key Exchange (IKE) für Edges eingeleitet wird. Die minimale Lebensdauer von IKE beträgt 10 Minuten und die maximale Lebensdauer beträgt 1440 Minuten. Der Standardwert ist 1440 Sekunden.
      Hinweis: Es wird nicht empfohlen, niedrige Lebensdauerwerte für IPsec (weniger als 10 Minuten) und IKE (weniger als 30 Minuten) zu konfigurieren, da dies bei einigen Implementierungen zu Datenverkehrsunterbrechungen aufgrund von Neuverschlüsselungen führen kann. Niedrige Lebensdauerwerte eignen sich nur für Debugging-Zwecke.
  5. Klicken Sie nach dem Konfigurieren der Einstellungen auf Änderungen speichern (Save Changes).
    Hinweis: Wenn Sie die Sicherheitseinstellungen ändern, können die Änderungen zu Unterbrechungen bei den aktuellen Diensten führen. Darüber hinaus können diese Einstellungen den Gesamtdurchsatz verringern und den für die Einrichtung des VCMP-Tunnels benötigten Zeitraum vergrößern, was sich auf die dynamische Einrichtungsdauer der Tunnel zwischen Branches und die Wiederherstellung nach einem Edge-Ausfall in einem Cluster auswirken kann.