IKE es un método estándar que se utiliza para organizar comunicaciones seguras y autenticadas.

Parámetros de fase 1

La fase 1 configura la autenticación mutua de los pares, negocia los parámetros criptográficos y crea claves de sesión. Los parámetros de la fase 1 que utiliza NSX Edge son:

  • Modo Main

  • TripleDES / AES [se puede configurar]

  • SHA-1

  • MODP Grupo 2 (1024 bits)

  • secreto compartido previamente [se puede configurar]

  • Vida útil de SA de 28800 segundos (ocho horas) sin regeneración de clave de kbytes

  • Modo intenso ISAKMP deshabilitado

Parámetros de fase 2

La fase 2 de IKE negocia un túnel de IPsec con la creación de material de claves para que utilice el túnel de IPsec (ya sea con las claves de la fase uno de IKE como base o con un intercambio de clave nueva). Los parámetros de la fase 2 de IKE compatibles con NSX Edge son:

  • TripleDES / AES [coincidirá con la configuración de la fase 1]

  • SHA-1

  • Modo de túnel ESP

  • MODP Grupo 2 (1024 bits)

  • Confidencialidad directa total para la regeneración de clave

  • Vida útil de SA de 3600 segundos (una hora) sin regeneración de clave de kbytes

  • Selectores para todos los protocolos IP, todos los puertos, entre las dos redes, con subredes IPv4

Muestras de modo de transacción

NSX Edge es compatible con el modo Principal (Main) de la fase 1 y el modo Rápido (Quick) de la fase 2.

NSX Edge propone una directiva que requiere PSK, 3DES/AES128, sha1 y grupo DH 2/5. El par debe aceptar esta directiva, de lo contrario, se produce un error en la fase de negociación.

Fase 1: transacciones de modo Principal (Main)

En este ejemplo se muestra un intercambio de negociación de fase 1 iniciado desde una instancia de NSX Edge a un dispositivo Cisco.

Las transacciones siguientes ocurren en secuencia entre la instancia de NSX Edge y un dispositivo de VPN Cisco en modo Principal (Main).

  1. NSX Edge a Cisco

    • propuesta: cifrar 3des-cbc, sha, psk, group5(group2)

    • DPD habilitado

  2. Cisco a NSX Edge

    • contiene propuestas elegidas por Cisco

    • Si el dispositivo Cisco no acepta ninguno de los parámetros que envió la instancia de NSX Edge en el paso uno, el dispositivo Cisco envía un mensaje con la marca NO_PROPOSAL_CHOSEN y finaliza la negociación.

  3. NSX Edge a Cisco

    • Nonce y clave DH

  4. Cisco a NSX Edge

    • Nonce y clave DH

  5. NSX Edge a Cisco (cifrado)

    • incluir identificador (PSK)

  6. Cisco a NSX Edge (cifrado)

    • incluir identificador (PSK)

    • Si el dispositivo Cisco encuentra que PSK no coincide, el dispositivo Cisco envía un mensaje con la marca INVALID_ID_INFORMATION; ocurre un error en la fase 1.

Fase 2: transacciones de modo Rápido (Quick)

Las transacciones siguientes ocurren en secuencia entre la instancia de NSX Edge y un dispositivo de VPN Cisco en modo Rápido (Quick).

  1. NSX Edge a Cisco

    NSX Edge propone una directiva de fase 2 al par. Por ejemplo:

    Aug 26 12:16:09 weiqing-desktop 
    ipsec[5789]:
    "s1-c1" #2: initiating Quick Mode
    PSK+ENCRYPT+TUNNEL+PFS+UP+SAREFTRACK  
    {using isakmp#1 msgid:d20849ac 
    proposal=3DES(3)_192-SHA1(2)_160 
    pfsgroup=OAKLEY_GROUP_MODP1024}

  2. Cisco a NSX Edge

    El dispositivo Cisco devuelve NO_PROPOSAL_CHOSEN si no encuentra una directiva que coincida con la propuesta. De lo contrario, el dispositivo Cisco envía el conjunto de parámetros elegido.

  3. NSX Edge a Cisco

    Para facilitar la depuración, puede habilitar el registro de IPsec en NSX Edge y habilitar la depuración de cifrado en Cisco (debug crypto isakmp <level>).