Los perfiles de intercambio de claves por red (Internet Key Exchange, IKE) ofrecen información acerca de los algoritmos que se utilizan para autenticar, cifrar y establecer un secreto compartido entre sitios de red cuando se establece un túnel de IKE.

NSX-T Data Center proporciona perfiles de IKE generados por el sistema que se asignan de forma predeterminada cuando se configura un servicio de VPN de IPSec o un servicio de VPN de Capa 2. En la siguiente tabla se muestran los perfiles predeterminados que se proporcionan.
Tabla 1. Perfiles de IKE predeterminados que se utilizan para los servicios VPN de IPSec o VPN de Capa 2
Nombre de perfil de IKE predeterminado Descripción
nsx-default-l2vpn-ike-profile
  • Se utiliza para una configuración de servicio VPN de Capa 2.
  • Se configura con IKE V2, el algoritmo de cifrado AES CBC 128, el algoritmo SHA2 256 y el algoritmo de intercambio de claves de grupo 14 de Diffie-Hellman.
nsx-default-l3vpn-ike-profile
  • Se utiliza para una configuración de servicio de VPN de IPSec.
  • Se configura con IKE V2, el algoritmo de cifrado AES CBC 128, el algoritmo SHA2 256 y el algoritmo de intercambio de claves de grupo 14 de Diffie-Hellman.

En lugar de los perfiles IKE predeterminados, también puede seleccionar uno de los conjuntos de cumplimiento compatibles a partir de NSX-T Data Center 2.5. Consulte Información sobre las suites de cumplimiento admitidas para obtener más información.

Si decide no usar las suites de cumplimiento o los perfiles IKE predeterminados que se proporcionan, puede configurar sus propios perfiles IKE siguiendo estos pasos.

Procedimiento

  1. En un explorador, acceda a https://<dirección-ip-de-nsx-manager> e inicie sesión en NSX Manager con privilegios de administrador.
  2. Seleccione Redes > VPN y haga clic en la pestaña Perfiles.
  3. Seleccione el tipo de perfil Perfiles de IKE y haga clic en Agregar perfil de IKE.
  4. Introduzca un nombre para el perfil de IKE.
  5. En el menú desplegable Versión de IKE, seleccione la versión de IKE que se va a usar para configurar una asociación de seguridad (Security Association, SA) en el paquete de protocolos IPSec.
    Tabla 2. Versiones de IKE
    Versión de IKE Descripción
    IKEv1 Cuando se selecciona, la VPN de IPSec se inicia y solo responde a un protocolo IKEv1.
    IKEv2 Esta es la versión predeterminada. Cuando se seleccione, la VPN de IPSec se iniciará y responderá a un solo protocolo IKEv2.
    IKE Flex Si se selecciona esta versión y se produce un error al establecer el túnel con el protocolo IKEv2, el sitio de origen no se revierte e iniciará una conexión con el protocolo IKEv1. En lugar de eso, si el sitio remoto inicia una conexión con el protocolo IKEv1, la conexión se aceptará.
  6. Seleccione el cifrado, el resumen y los algoritmos del grupo Diffie-Hellman de los menús desplegables. Puede seleccionar varios algoritmos para aplicarlos o anular la selección de cualquier algoritmo ya seleccionado que no desee aplicar.
    Tabla 3. Algoritmos utilizados
    Tipo de algoritmo Valores válidos Descripción
    Cifrado
    • AES 128 (predeterminado)
    • AES 256
    • AES GCM 128
    • AES GCM 192
    • AES GCM 256

    El algoritmo de cifrado que se utiliza durante la negociación de intercambio de claves por red (Internet Key Exchange, IKE).

    Los algoritmos AES 128 y AES 256 utilizan el modo de operación de CBC.

    Los algoritmos AES-GCM son compatibles cuando se usan con IKEv2. No se admiten cuando se utiliza con IKEv1.

    Resumen
    • SHA2 256 (predeterminado)
    • SHA1
    • SHA2 384
    • SHA2 512

    El algoritmo de hash seguro usado durante la negociación de IKE.

    Si AES-GCM es el único algoritmo de cifrado seleccionado en el cuadro de texto Algoritmo de cifrado, no se podrán especificar algoritmos hash en el cuadro de texto Algoritmo de resumen , según la sección 8 de RFC 5282. Además, se selecciona y utiliza implícitamente el algoritmo de función pseudoaleatoria PRF-HMAC-SHA2-256 en la negociación de la asociación de seguridad (SA) de IKE. El algoritmo PRF-HMAC-SHA2-256 también debe configurarse en la puerta de enlace del mismo nivel para que la fase 1 de la negociación de la SA de IKE se realice correctamente.

    Si se especifican más algoritmos en el cuadro de texto Algoritmo de cifrado, además del algoritmo AES-GCM, se pueden seleccionar uno o varios algoritmos hash en el cuadro de texto Algoritmo de resumen. Además, el algoritmo PRF utilizado en la negociación de la SA de IKE se determina implícitamente en función de los algoritmos hash configurados. Al menos uno de los algoritmos PRF que coinciden también deben configurarse en la puerta de enlace del mismo nivel para que la fase 1 de la negociación de la SA de IKE se realice correctamente. Por ejemplo, si el cuadro de texto Algoritmo de cifrado contiene AES 128 y AES GCM 128, y se especifica SHA1 en el cuadro de texto Algoritmo de resumen, se utilizará el algoritmo PRF-HMAC-SHA1 durante la negociación de la SA de IKE. También debe configurarse en la puerta de enlace del mismo nivel.

    Grupo Diffie-Hellman
    • Grupo 14 (predeterminado)
    • Grupo 2
    • Grupo 5
    • Grupo 15
    • Grupo 16
    • Grupo 19
    • Grupo 20
    • Grupo 21

    Los esquemas de criptografía que utilizan el sitio del mismo nivel y NSX Edge para establecer un secreto compartido a través de un canal de comunicaciones no seguro.

    Nota: Cuando intenta establecer un túnel de VPN de IPSec con un cliente VPN GUARD (anteriormente, cliente VPN QuickSec) a través de dos algoritmos de cifrado o dos algoritmos de resumen, el cliente VPN GUARD agrega otros algoritmos a la lista de negociación propuesta. Por ejemplo, si especificó AES 128 y AES 256 como algoritmos de cifrado, y SHA2 256 y SHA2 512 como algoritmos de resumen en el perfil de IKE que se va a usar para establecer el túnel de VPN de IPSec, el cliente VPN GUARD también propondrá AES 192 (usando el modo CBC) y SHA2 384 en la lista de negociación. En este caso, NSX-T Data Center utilizará el primer algoritmo de cifrado que seleccionó al establecer el túnel de VPN de IPSec.
  7. Introduzca un valor de vigencia en segundos para la asociación de seguridad (Security Association, SA) si quiere que sea diferente al valor predeterminado de 86.400 segundos (24 horas).
  8. Proporcione una descripción y agregue una etiqueta según corresponda.
  9. Haga clic en Guardar.

Resultados

Se agregará una fila nueva a la tabla de perfiles de IKE disponibles. Para editar o eliminar un perfil que no esté creado por el sistema, haga clic en el menú de tres puntos (Tres puntos negros alineados verticalmente. Al hacer clic en este icono, se muestra un menú de subcomandos. ) y seleccione una opción de la lista de acciones disponibles.