Les profils IKE (Internet Key Exchange) fournissent des informations sur les algorithmes utilisés pour authentifier, chiffrer et établir un secret partagé entre les sites du réseau lorsque vous établissez un tunnel IKE.

NSX-T Data Center fournit des profils IKE générés par le système qui sont attribuées par défaut lorsque vous configurez un service VPN IPSec ou VPN de couche 2. Le tableau suivant répertorie les profils par défaut fournis.
Tableau 1. Profils IKE par défaut utilisés pour les services VPN IPSec ou VPN de couche 2
Nom du profil IKE par défaut Description
nsx-default-l2vpn-ike-profile
  • Utilisé pour la configuration d'un service VPN de couche 2.
  • Configuré avec le protocole IKE V2, un algorithme de chiffrement AES CBC 128, un algorithme SHA2 256 et un algorithme d'échange de clés de groupe 14 de Diffie-Hellman.
nsx-default-l3vpn-ike-profile
  • Utilisé pour la configuration d'un service VPN IPSec.
  • Configuré avec le protocole IKE V2, un algorithme de chiffrement AES CBC 128, un algorithme SHA2 256 et un algorithme d'échange de clés de groupe 14 de Diffie-Hellman.

Au lieu des profils IKE par défaut utilisés, vous pouvez également sélectionner l'une des suites de conformité prises en charge à partir de la version NSX-T Data Center 2.5. Pour plus d'informations, reportez-vous à la section À propos des suites de conformité prises en charge.

Si vous décidez de ne pas utiliser les profils IKE par défaut ou les suites de conformité par défaut fournis, vous pouvez configurer votre propre profil IKE à l'aide de la procédure suivante.

Procédure

  1. Dans le navigateur, connectez-vous avec des privilèges d'administrateur à un dispositif NSX Manager sur https://<nsx-manager-ip-address>.
  2. Sélectionnez Mise en réseau > VPN, puis cliquez sur l'onglet Profils.
  3. Sélectionnez le type de profil Profils IKE et cliquez sur Ajouter un profil IKE.
  4. Entrez un nom pour le profil IKE.
  5. Dans le menu déroulant Version IKE, sélectionnez la version IKE à utiliser pour configurer une association de sécurité (SA) dans la suite de protocoles IPSec.
    Tableau 2. Versions IKE
    Version IKE Description
    IKEv1 Lorsqu'il est sélectionné, le VPN IPSec initie et répond au protocole IKEv1 uniquement.
    IKEv2 Il s'agit de la version par défaut. Lorsqu'il est sélectionné, le VPN IPSec initie et répond au protocole IKEv2 uniquement.
    IKE-Flex Si cette version est sélectionnée et si l'établissement de tunnel échoue avec le protocole IKEv2, le site source ne se rétablit pas et n'établit pas de connexion avec le protocole IKEv1. En revanche, si le site distant initie une connexion avec le protocole IKEv1, la connexion est acceptée.
  6. Sélectionnez les algorithmes de chiffrement, Digest et du groupe Diffie-Hellman dans les menus déroulants. Vous pouvez sélectionner plusieurs algorithmes pour les appliquer ou désélectionner tous les algorithmes que vous ne souhaitez pas appliquer.
    Tableau 3. Algorithmes utilisés
    Type d'algorithme Valeurs valides Description
    Chiffrement
    • AES 128 (par défaut)
    • AES 256
    • AES GCM 128
    • AES GCM 192
    • AES GCM 256

    L'algorithme de chiffrement utilisé lors de la négociation IKE (Internet Key Exchange).

    Les algorithmes AES 128 et AES 256 utilisent le mode de fonctionnement CBC.

    Les algorithmes AES-GCM sont pris en charge lorsqu'ils sont utilisés avec IKEv2. Ils ne sont pas pris en charge lorsqu'ils sont utilisés avec IKEv1.

    Digest
    • SHA2 256 (par défaut)
    • SHA 1
    • SHA2 384
    • SHA2 512

    L'algorithme de hachage sécurisé utilisé lors de la négociation IKE.

    Si AES-GCM est le seul algorithme de chiffrement sélectionné dans la zone de texte Algorithme de chiffrement, aucun algorithme de hachage ne peut être spécifié dans la zone de texte Algorithme Digest, conformément à la section 8 de RFC 5282. De plus, l'algorithme Pseudo-Random Function (PRF, fonction pseudo-aléatoire) PRF-HMAC-SHA2-256 est implicitement sélectionné et utilisé dans la négociation de l'association de sécurité (SA) IKE. L'algorithme PRF-HMAC-SHA2-256 doit également être configuré sur la passerelle homologue afin que la phase 1 de la négociation de la SA IKE aboutisse.

    Si d'autres algorithmes sont spécifiés dans la zone de texte Algorithme de chiffrement, en plus de l'algorithme AES-GCM, un ou plusieurs algorithmes de hachage peuvent être sélectionnés dans la zone de texte Algorithme Digest. De plus, l'algorithme PRF utilisé dans la négociation de la SA IKE est implicitement déterminé en fonction des algorithmes de hachage configurés. Au moins l'un des algorithmes PRF correspondants doit également être configuré sur la passerelle homologue pour que la phase 1 de la négociation de la SA IKE aboutisse. Par exemple, si la zone de texte Algorithme de chiffrement contient AES 128 et AES GCM 128 et que SHA1 est spécifié dans la zone de texte Algorithme Digest, l'algorithme PRF-HMAC-SHA1 est utilisé lors de la négociation de la SA IKE. Il doit également être configuré dans la passerelle homologue.

    Groupe Diffie-Hellman
    • Groupe 14 (par défaut)
    • Groupe 2
    • Groupe 5
    • Groupe 15
    • Groupe 16
    • Groupe 19
    • Groupe 20
    • Groupe 21

    Les schémas de chiffrement utilisés par le site homologue et le dispositif NSX Edge pour établir un secret partagé sur un canal de communication non sécurisé.

    Note : Lorsque vous tentez d'établir un tunnel VPN IPSec avec un client VPN GUARD (précédemment client VPN QuickSec) à l'aide de deux algorithmes de chiffrement ou de deux algorithmes Digest, le client VPN GUARD ajoute des algorithmes supplémentaires dans la liste de négociation proposée. Par exemple, si vous avez spécifié AES 128 et AES 256 comme algorithmes de chiffrement et SHA2 256 et SHA2 512 comme algorithmes Digest à utiliser dans le profil IKE que vous utilisez pour établir le tunnel VPN IPSec, le client VPN GUARD propose également AES 192 (à l'aide du mode CBC) et SHA2 384 dans la liste de négociation. Dans ce cas, NSX-T Data Center utilise le premier algorithme de chiffrement que vous avez sélectionné lors de l'établissement du tunnel VPN IPSec.
  7. Entrez une valeur de durée de vie pour l'association de sécurité (SA), en secondes, si vous souhaitez qu'elle soit différente de la valeur par défaut de 86 400 secondes (24 heures).
  8. Fournissez une description et ajoutez une balise, si nécessaire.
  9. Cliquez sur Enregistrer.

Résultats

Une nouvelle ligne est ajoutée au tableau de profils IKE disponibles. Pour modifier ou supprimer un profil non créé par le système, cliquez sur le menu à trois points ( Trois points noirs alignés verticalement. Cliquer sur cette icône affiche un menu de sous-commandes. ) et sélectionnez une option dans la liste des actions disponibles.