Όταν δημιουργείτε διοχετεύσεις IPSec Edge-to-Edge ή Edge-to-Gateway, μπορείτε να τροποποιήσετε τις ρυθμίσεις διαμόρφωσης πολιτικής ασφάλειας σε επίπεδο διαμόρφωσης πελάτη.

Διαδικασία

  1. Στην πύλη χειριστή, μεταβείτε στη Διαχείριση πελατών (Manage Customers).
  2. Επιλέξτε έναν πελάτη και κάντε κλικ στην επιλογή Ενέργειες (Actions) > Τροποποίηση (Modify) ή κάντε κλικ στη σύνδεση προς τον πελάτη.
  3. Στην εταιρική πύλη, κάντε κλικ στην επιλογή Διαμόρφωση (Configure) > Πελάτες (Customers). Εμφανίζεται η σελίδα Διαμόρφωση πελατών (Customer Configuration).
  4. Στην περιοχή Πολιτική ασφάλειας (Security Policy), μπορείτε να διαμορφώσετε τις ακόλουθες ρυθμίσεις ασφάλειας:
    1. Κατακερματισμός (Hash) - Από προεπιλογή, δεν υπάρχει διαμορφωμένος αλγόριθμος ελέγχου ταυτότητας για την κεφαλίδα VPN, καθώς το AES-GCM είναι πιστοποιημένος αλγόριθμος κρυπτογράφησης. Όταν επιλέγετε το πλαίσιο ελέγχου Απενεργοποίηση GCM (Turn off GCM), μπορείτε να επιλέξετε ένα από τα παρακάτω ως αλγόριθμο ελέγχου ταυτότητας για την κεφαλίδα VPN, από την αναπτυσσόμενη λίστα:
      • SHA 1
      • SHA 256
      • SHA 384
      • SHA 512
    2. Κρυπτογράφηση (Encryption)—Επιλέξτε είτε AES 128 είτε AES 256 ως μέγεθος κλειδιού αλγορίθμων AES για την κρυπτογράφηση δεδομένων. Η προεπιλεγμένη λειτουργία αλγορίθμου κρυπτογράφησης είναι AES 128-GCM, όταν δεν είναι επιλεγμένο το πλαίσιο ελέγχου Απενεργοποίηση GCM (Turn off GCM).
    3. Ομάδα DH (DH Group)—Επιλέξτε τον αλγόριθμο ομάδας Diffie-Hellman (DH) που θα χρησιμοποιηθεί κατά την ανταλλαγή ενός ήδη κοινόχρηστου κλειδιού. Η ομάδα DH ορίζει την ισχύ του αλγορίθμου σε bit. Οι υποστηριζόμενες ομάδες DH είναι 2, 5, 14, 15 και 16. Συνιστάται η χρήση της Ομάδας DH 14.
    4. PFS—Επιλέξτε το επίπεδο Perfect Forward Secrecy (PFS) για πρόσθετη ασφάλεια. Τα υποστηριζόμενα επίπεδα PFS είναι 2, 5, 14, 15 και 16. Από προεπιλογή, το PFS είναι απενεργοποιημένο.
    5. Απενεργοποίηση GCM (Turn off GCM)—Από προεπιλογή, είναι ενεργοποιημένο το AES 128-GCM. Εάν χρειάζεται, επιλέξτε το πλαίσιο ελέγχου για να απενεργοποιήσετε αυτήν τη λειτουργία.
    6. Διάρκεια ζωής IPsec SA (IPsec SA Lifetime)—Χρόνος εκκίνησης της διαδικασίας δημιουργίας νέου κλειδιού πρωτοκόλλου Internet Security Protocol (IPSec) για Edges. Η ελάχιστη διάρκεια ζωής του IPsec είναι 3 λεπτά και η μέγιστη διάρκεια ζωής του IPsec είναι 480 λεπτά. Η προεπιλεγμένη τιμή είναι 480 λεπτά.
    7. Διάρκεια ζωής IKE SA (IKE SA Lifetime)—Χρόνος εκκίνησης της διαδικασίας δημιουργίας νέου κλειδιού Internet Key Exchange (IKE) για Edges. Η ελάχιστη διάρκεια ζωής του IKE είναι 10 λεπτά και η μέγιστη διάρκεια ζωής του IKE είναι 1440 λεπτά. Η προεπιλεγμένη τιμή είναι 1440 λεπτά.
      Σημείωση: Δεν συνιστάται η διαμόρφωση χαμηλών τιμών διάρκειας ζωής για IPsec (λιγότερο από 10 λεπτά) και IKE (λιγότερο από 30 λεπτά), καθώς μπορεί να προκληθεί διακοπή της κυκλοφορίας σε ορισμένες αναπτύξεις λόγω των νέων κλειδιών. Οι χαμηλές τιμές διάρκειας ζωής προορίζονται μόνο για σκοπούς εντοπισμού σφαλμάτων.
    8. Παράκαμψη ασφαλούς προεπιλεγμένης δρομολόγησης (Secure Default Route Override)— Επιλέξτε το πλαίσιο ελέγχου έτσι ώστε ο προορισμός της κυκλοφορίας που αντιστοιχεί σε μια ασφαλή προεπιλεγμένη δρομολόγηση (είτε στατική είτε δρομολόγηση BGP) από μια πύλη συνεργατών να μπορεί να παρακαμφθεί χρησιμοποιώντας την πολιτική επιχείρησης.
      Για οδηγίες σχετικά με τον τρόπο ενεργοποίησης της ασφαλούς δρομολόγησης σε ένα Edge, ανατρέξτε στην ενότητα Διαμόρφωση παράδοσης συνεργάτη. Για περισσότερες πληροφορίες σχετικά με τη διαμόρφωση του κανόνα υπηρεσίας δικτύου για πολιτική επιχείρησης, ανατρέξτε στην ενότητα «Διαμόρφωση κανόνα υπηρεσίας δικτύου για πολιτική επιχείρησης» στον Οδηγός διαχείρισης VMware SD-WAN που είναι διαθέσιμος στην τεκμηρίωση VMware SD-WAN.
  5. Αφού διαμορφώσετε τις ρυθμίσεις, κάντε κλικ στην επιλογή Αποθήκευση αλλαγών (Save Changes).
    Σημείωση: Όταν τροποποιείτε τις ρυθμίσεις ασφαλείας, οι αλλαγές ενδέχεται να προκαλέσουν διακοπές στις τρέχουσες υπηρεσίες. Επιπλέον, αυτές οι ρυθμίσεις ενδέχεται να μειώσουν τη συνολική ταχύτητα μετάδοσης και να αυξήσουν τον χρόνο που απαιτείται για τη ρύθμιση της διοχέτευσης VCMP, η οποία μπορεί να επηρεάσει τους χρόνους ρύθμισης δυναμικής διοχέτευσης διακλάδωσης προς διακλάδωση και την αποκατάσταση από αποτυχία Edge σε σύμπλεγμα.