Los perfiles del protocolo de seguridad de Internet (Internet Protocol Security, IPSec) ofrecen información acerca de los algoritmos que se utilizan para autenticar, cifrar y establecer un secreto compartido entre los sitios de red cuando se establece un túnel de IPSec.
NSX-T Data Center proporciona perfiles de IPSec generados por el sistema que se asignan de forma predeterminada cuando se configura un servicio de VPN de IPSec o un servicio de VPN de Capa 2. En la siguiente tabla se muestran los perfiles de IPSec predeterminados que se proporcionan.
Tabla 1.
Perfiles de IPSec predeterminados que se utilizan para los servicios VPN de IPSec o VPN de Capa 2
Nombre del perfil de IPSec predeterminado |
Descripción |
nsx-default-l2vpn-tunnel-profile |
- Se utiliza para la VPN de Capa 2.
- Se configura con el algoritmo de cifrado AES GCM 128 y el algoritmo de intercambio de claves del grupo 14 de Diffie-Hellman.
|
nsx-default-l3vpn-tunnel-profile |
- Se utiliza para la VPN de IPSec.
- Se configura con el algoritmo de cifrado AES GCM 128 y el algoritmo de intercambio de claves del grupo 14 de Diffie-Hellman.
|
En lugar del perfil de IPSec predeterminado, también puede seleccionar uno de los conjuntos de cumplimiento compatibles a partir de NSX-T Data Center 2.5. Consulte Información sobre las suites de cumplimiento admitidas para obtener más información.
Si decide no usar las suites de cumplimiento o los perfiles IPSec predeterminados que se proporcionan, puede configurar sus propios perfiles IPSec siguiendo estos pasos.
Procedimiento
- Con privilegios de administrador, inicie sesión en NSX Manager.
- Seleccione y haga clic en la pestaña Perfiles.
- Seleccione el tipo de perfil Perfiles de IPSec y haga clic en Agregar perfil de IPSec.
- Introduzca un nombre para el perfil de IPSec.
- En los menús desplegables, seleccione el cifrado, el resumen y los algoritmos de Diffie-Hellman. Puede seleccionar varios algoritmos para aplicarlos.
Anule la selección de los que no quiera usar.
Tabla 2.
Algoritmos utilizados
Tipo de algoritmo |
Valores válidos |
Descripción |
Cifrado |
- AES GCM 128 (predeterminado)
- AES 128
- AES 256
- AES GCM 192
- AES GCM 256
- No hay autenticación de cifrado AES GMAC 128
- No hay autenticación de cifrado AES GMAC 192
- No hay autenticación de cifrado AES GMAC 256
- Sin cifrado
|
El algoritmo de cifrado que se utiliza durante la negociación de IPSec (seguridad de protocolos de Internet). Los algoritmos AES 128 y AES 256 utilizan el modo de operación de CBC. |
Resumen |
- SHA1
- SHA2 256
- SHA2 384
- SHA2 512
|
El algoritmo de hash seguro usado durante la negociación de IPSec. |
Grupo Diffie-Hellman |
- Grupo 14 (predeterminado)
- Grupo 2
- Grupo 5
- Grupo 15
- Grupo 16
- Grupo 19
- Grupo 20
- Grupo 21
|
Los esquemas de criptografía que utilizan el sitio del mismo nivel y NSX Edge para establecer un secreto compartido a través de un canal de comunicaciones no seguro. |
- Anule la selección de Grupo de PFS si decide no utilizar el protocolo Grupo PFS en el servicio VPN.
Esta opción está seleccionado de forma predeterminada.
- En el cuadro de texto Vigencia de SA, modifique el número predeterminado de segundos que deben transcurrir hasta que se deba restablecer el túnel de IPSec.
De forma predeterminada, se utiliza una vigencia de SA de 24 horas (86.400 segundos).
- Seleccione el valor de Bit de DF que se usará con el túnel de IPSec.
Este valor determina cómo se procesa el bit de "No fragmentar" (Don't Fragment, DF) que se incluye en el paquete de datos recibido. Los valores aceptables se describen en la siguiente tabla.
Tabla 3.
Valores de bit de DF
Valor de bit de DF |
Descripción |
COPY |
El valor predeterminado. Cuando se selecciona este valor, NSX-T Data Center copia el valor del bit de DF del paquete recibido al paquete que se reenvía. Este valor implica que, si se estableció el bit de DF en el paquete de datos recibido, también estará configurado en el paquete tras el cifrado. |
CLEAR |
Cuando se selecciona este valor, NSX-T Data Center omite el valor del bit de DF del paquete de datos recibido y el bit de DF es siempre 0 en el paquete cifrado. |
- Proporcione una descripción y agregue una etiqueta, si lo considera necesario.
- Haga clic en Guardar.
Resultados
Se agregará una fila nueva a la tabla de perfiles de IPSec disponibles. Para editar o eliminar un perfil que no esté creado por el sistema, haga clic en el menú de tres puntos ( ) y seleccione una opción de la lista de acciones disponibles.