Les profils IPSec (Internet Protocol Security ) fournissent des informations sur les algorithmes utilisés pour authentifier, chiffrer et établir un secret partagé entre les sites du réseau lorsque vous établissez un tunnel IPSec.
NSX fournit des profils IPSec générés par le système qui sont attribuées par défaut lorsque vous configurez un service VPN IPSec ou VPN de couche 2. Le tableau suivant répertorie les profils IPSec par défaut fournis.
Tableau 1.
Profils IPSec par défaut utilisés pour les services VPN IPSec ou VPN de couche 2
Nom du profil IPSec par défaut |
Description |
nsx-default-l2vpn-tunnel-profile |
- Utilisé pour le VPN de couche 2.
- Configuré avec un algorithme de chiffrement AES GCM 128 et un algorithme d'échange de clés de groupe 14 Diffie-Hellman.
|
nsx-default-l3vpn-tunnel-profile |
- Utilisé pour le VPN IPSec.
- Configuré avec un algorithme de chiffrement AES GCM 128 et un algorithme d'échange de clés de groupe 14 Diffie-Hellman.
|
Au lieu du profil IPSec par défaut, vous pouvez également sélectionner l'une des suites de conformité prises en charge. Pour plus d'informations, reportez-vous à la section À propos des suites de conformité prises en charge.
Si vous décidez de ne pas utiliser les profils IPSec ou les suites de conformité par défaut fournis, vous pouvez configurer votre propre profil à l'aide de la procédure suivante.
Procédure
- Avec des privilèges d'administrateur, connectez-vous à NSX Manager.
- Sélectionnez , puis cliquez sur l'onglet Profils.
- Sélectionnez le type de profil Profils IPSec et cliquez sur Ajouter un profil IPSec.
- Entrez un nom pour le profil IPSec.
- Sélectionnez les algorithmes de chiffrement, Digest et Diffie-Hellman dans les menus déroulants. Vous pouvez sélectionner plusieurs algorithmes à appliquer.
Désélectionnez ceux que vous ne voulez pas utiliser.
Tableau 2.
Algorithmes utilisés
Type d'algorithme |
Valeurs valides |
Description |
Chiffrement |
- AES GCM 128 (par défaut)
- AES 128
- AES 256
- AES GCM 192
- AES GCM 256
- Aucune authentification de chiffrement AES GMAC 128
- Aucune authentification de chiffrement AES GMAC 192
- Aucune authentification de chiffrement AES GMAC 256
- Aucun chiffrement
|
L'algorithme de chiffrement utilisé lors de la négociation Internet Protocol Security (IPSec). Les algorithmes AES 128 et AES 256 utilisent le mode de fonctionnement CBC. |
Digest |
- SHA 1
- SHA 2 256
- SHA 2 384
- SHA 2 512
|
L'algorithme de hachage sécurisé utilisé lors de la négociation IPSec. |
Groupe Diffie-Hellman |
- Groupe 14 (par défaut)
- Groupe 2
- Groupe 5
- Groupe 15
- Groupe 16
- Groupe 19
- Groupe 20
- Groupe 21
|
Les schémas de chiffrement utilisés par le site homologue et le dispositif NSX Edge pour établir un secret partagé sur un canal de communication non sécurisé. |
- Désélectionnez l'option Groupe PFS si vous décidez de ne pas utiliser le protocole de groupe PFS sur votre service VPN.
Cette option est sélectionnée par défaut.
- Dans la zone de texte Durée de vie de la SA, modifiez le nombre de secondes par défaut avant que le tunnel IPSec soit rétabli.
Par défaut, une durée de vie de la SA de 24 heures (86 400 secondes) est utilisée.
- Sélectionnez la valeur du Bit DF à utiliser avec le tunnel IPSec.
Cette valeur détermine comment gérer le bit « DF (ne pas fragmenter) » inclus dans le paquet de données reçu. Les valeurs acceptées sont décrites dans le tableau suivant.
Tableau 3.
Valeurs du bit DF
Valeur du bit DF |
Description |
COPY |
Valeur par défaut. Lorsque cette valeur est sélectionnée, NSX copie la valeur du bit DF depuis le paquet reçu vers le paquet transmis. Cette valeur signifie que si le bit DF est défini sur le paquet de données reçu, alors le bit DF est également défini sur le paquet après le chiffrement. |
CLEAR |
Lorsque cette valeur est sélectionnée, NSX ignore la valeur du bit DF dans le paquet de données reçu et le bit DF est toujours défini sur 0 dans le paquet chiffré. |
- Fournissez une description et ajoutez une balise, si nécessaire.
- Cliquez sur Enregistrer.
Résultats
Une nouvelle ligne est ajoutée au tableau de profils IPSec disponibles. Pour modifier ou supprimer un profil non créé par le système, cliquez sur le menu à trois points ( ) et sélectionnez une option dans la liste des actions disponibles.