I profili IPSec (Internet Protocol Security) forniscono informazioni sugli algoritmi utilizzati per autenticare, crittografare e stabilire un segreto condiviso tra i siti di rete quando si stabilisce un tunnel IPSec.
NSX-T Data Center fornisce profili IPSec generati dal sistema che vengono assegnati per impostazione predefinita quando si configura un servizio VPN IPSec o VPN L2. Nella tabella seguente sono elencati i profili IPSec predefiniti forniti.
Tabella 1.
Profili IPSec predefiniti utilizzati per i servizi VPN IPSec o VPN L2
Nome del profilo IPSec predefinito |
Descrizione |
nsx-default-l2vpn-tunnel-profile |
- Utilizzato per VPN L2.
- Configurato con l'algoritmo di crittografia AES GCM 128 e l'algoritmo di scambio chiavi Diffie-Hellman Gruppo 14.
|
nsx-default-l3vpn-tunnel-profile |
- Utilizzato per VPN IPSec.
- Configurato con l'algoritmo di crittografia AES GCM 128 e l'algoritmo di scambio chiavi Diffie-Hellman Gruppo 14.
|
Oltre al profilo IPSec predefinito, è possibile selezionare anche una delle suite di conformità supportate a partire da NSX-T Data Center 2.5. Per ulteriori informazioni, vedere Informazioni sulle suite di conformità supportate.
Se si decide di non utilizzare i profili IPSec predefiniti o le suite di conformità fornite, è possibile configurare il proprio attenendosi alla procedura seguente.
Procedura
- Con i privilegi admin, accedere a NSX Manager.
- Selezionare , quindi fare clic sulla scheda Profili.
- Selezionare il tipo di profilo Profili IPSec e fare clic su Aggiungi profilo IPSec.
- Immettere un nome per il profilo IPSec.
- Dai menu a discesa, selezionare gli algoritmi di crittografia, digest e Diffie-Hellman. È possibile selezionare più algoritmi da applicare.
Deselezionare quelli che non si desidera utilizzare.
Tabella 2.
Algoritmi utilizzati
Tipo di algoritmo |
Valori validi |
Descrizione |
Crittografia |
- AES GCM 128 (predefinito)
- AES 128
- AES 256
- AES GCM 192
- AES GCM 256
- Nessuna autenticazione di crittografia AES GMAC 128
- Nessuna autenticazione di crittografia AES GMAC 192
- Nessuna autenticazione di crittografia AES GMAC 256
- Nessuna crittografia
|
Algoritmo di crittografia utilizzato durante la negoziazione IPSec (Internet Protocol Security). Gli algoritmi AES 128 e AES 256 utilizzano la modalità di funzionamento CBC. |
Digest |
- SHA1
- SHA2 256
- SHA2 384
- SHA2 512
|
Algoritmo di hash sicuro utilizzato durante la negoziazione IPSec. |
Gruppo Diffie-Hellman |
- Gruppo 14 (predefinito)
- Gruppo 2
- Gruppo 5
- Gruppo 15
- Gruppo 16
- Gruppo 19
- Gruppo 20
- Gruppo 21
|
Schemi di crittografia utilizzati dal sito peer e da NSX Edge per stabilire un segreto condiviso in un canale di comunicazione non protetto. |
- Deselezionare Gruppo di PFS se si decide di non utilizzare il protocollo Gruppo PFS nel servizio VPN.
È selezionato per impostazione predefinita.
- Nella casella di testo Durata SA (secondi), modificare il numero predefinito di secondi da attendere prima che sia necessario ristabilire il tunnel IPSec.
Per impostazione predefinita, viene utilizzata una durata SA di 24 ore (86400 secondi).
- Selezionare il valore Bit di Non frammentazione da utilizzare con il tunnel IPSec.
Il valore determina come gestire il bit di non frammentazione (DF, Don't Fragment) incluso nel pacchetto dati ricevuto. I valori accettabili sono descritti nella seguente tabella.
Tabella 3.
Valori di Bit di Non frammentazione
Valore di Bit di Non frammentazione |
Descrizione |
COPY |
Il valore predefinito. Quando si seleziona questo valore, NSX-T Data Center copia il valore del bit di non frammentazione dal pacchetto ricevuto al pacchetto inoltrato. Questo valore implica che se il pacchetto di dati ricevuto ha il bit di non frammentazione impostato, dopo la crittografia, anche il pacchetto avrà il bit di non frammentazione impostato. |
CLEAR |
Quando si seleziona questo valore, NSX-T Data Center ignora il valore del bit di non frammentazione nel pacchetto di dati ricevuto e il bit di non frammentazione è sempre 0 nel pacchetto crittografato. |
- Fornire una descrizione e aggiungere un tag, se necessario.
- Fare clic su Salva.
risultati
Alla tabella dei profili IPSec disponibili viene aggiunta una nuova riga. Per modificare o eliminare un profilo non creato dal sistema, fare clic sul menu con i tre puntini () ed effettuare la selezione dall'elenco delle azioni disponibili.