Parámetros de fase 1

La fase 1 configura la autenticación mutua de los pares, negocia los parámetros criptográficos y crea claves de sesión. Los parámetros de la fase 1 que utiliza NSX Edge son:

• Modo Principal (Main).
• Triple DES, AES-128, AES-256 [configurable]. AES-GCM no se admite en la fase 1, por lo que se utiliza AES-128 de forma interna.
• SHA1, SHA_256
• Grupo de MODP 2, 5, 14, 15 y 16
• Certificado y clave secreta precompartida (configurables)
• Vida útil de SA de 28.800 segundos (8 horas) sin regeneración de claves de los bytes que se transmiten antes de que caduque
• Modo intenso ISAKMP deshabilitado

Parámetros de fase 2

La fase 2 de IKE negocia un túnel de IPSec con la creación de material de claves para que utilice el túnel de IPSec (ya sea con las claves de la fase 1 de IKE como base o con un intercambio de clave nueva). Los parámetros de la fase 2 de IKE compatibles con NSX Edge son:

• Triple DES, AES-128, AES-256 y AES-GCM (coincide con los ajustes de la fase 1)
• SHA1, SHA_256
• Modo de túnel ESP
• Grupo de MODP 2, 5, 14, 15 y 16
• Confidencialidad directa total para la regeneración de claves
• Vida útil de SA de 3.600 segundos (1 hora) sin regeneración de claves de los bytes que se transmiten antes de que caduque
• Selectores para todos los protocolos IP, todos los puertos, entre las dos redes, con subredes IPv4

Muestras de modo de transacción

NSX Edge es compatible con el modo Principal (Main) de la fase 1 y el modo Rápido (Quick) de la fase 2.

NSX Edge propone una directiva que requiere PSK o certificado, 3DES/AES128/AES256/AES-GCM, SHA1/SHA256 y el grupo DH 2/5/14/15/16. El par debe aceptar esta directiva; de lo contrario, se produce un error en la fase de negociación.

Fase 1: transacciones de modo Principal (Main)

En este ejemplo se muestra un intercambio de negociación de fase 1 iniciado desde una instancia de NSX Edge a un dispositivo Cisco.

Las siguientes transacciones ocurren en una secuencia entre la instancia de NSX Edge y un dispositivo de VPN Cisco en modo Principal (Main).

1. NSX Edge a Cisco
   • Propuesta: cifrar 3des-cbc, sha, psk, group5(group2)
   • DPD habilitado
2. Cisco a NSX Edge
   • Contiene propuestas elegidas por Cisco
   • Si el dispositivo Cisco no acepta ninguno de los parámetros que envió la instancia de NSX Edge en el paso uno, el dispositivo Cisco envía un mensaje con la marca NO_PROPOSAL_CHOSEN y finaliza la negociación.
3. NSX Edge a Cisco
   • Nonce y clave DH
4. Cisco a NSX Edge
   • Nonce y clave DH
5. NSX Edge a Cisco (cifrado)
   • Incluye el identificador (PSK).
6. Cisco a NSX Edge (cifrado)
   • Incluye el identificador (PSK).
   • Si el dispositivo Cisco descubre que PSK no coincide, envía un mensaje con la marca INVALID_ID_INFORMATION y se produce un error en la fase 1.

Fase 2: transacciones de modo Rápido (Quick)

Las transacciones siguientes ocurren en secuencia entre la instancia de NSX Edge y un dispositivo de VPN Cisco en modo Rápido (Quick).

1. NSX Edge a Cisco
   NSX Edge propone una directiva de fase 2 al par. Por ejemplo:

   Aug 26 12:16:09 weiqing-desktop 
   ipsec[5789]:
   "s1-c1" #2: initiating Quick Mode
   PSK+ENCRYPT+TUNNEL+PFS+UP+SAREFTRACK  
   {using isakmp#1 msgid:d20849ac 
   proposal=3DES(3)_192-SHA1(2)_160 
   pfsgroup=OAKLEY_GROUP_MODP1024}

2. Cisco a NSX Edge

   El dispositivo Cisco devuelve NO_PROPOSAL_CHOSEN si no encuentra una directiva que coincida con la propuesta. De lo contrario, el dispositivo Cisco envía el conjunto de parámetros elegido.

3. NSX Edge a Cisco

   Para facilitar la depuración, puede habilitar el registro de IPsec en NSX Edge y habilitar la depuración de cifrado en Cisco (debug crypto isakmp <level>).