Aggiunta di profili IKE

I profili IKE (Internet Key Exchange) forniscono informazioni sugli algoritmi utilizzati per autenticare, crittografare e stabilire un segreto condiviso tra siti di rete quando si stabilisce un tunnel IKE.

NSX fornisce profili IKE generati dal sistema che vengono assegnati per impostazione predefinita quando si configura un servizio VPN IPSec o VPN L2. Nella tabella seguente sono elencati i profili predefiniti forniti.

Tabella 1. Profili IKE predefiniti utilizzati per i servizi VPN IPSec o VPN L2
Nome profilo IKE predefinito	Descrizione
nsx-default-l2vpn-ike-profile	Utilizzato per una configurazione del servizio VPN L2. Configurato con IKE V2, algoritmo di crittografia AES CBC 128, algoritmo SHA2 256 e algoritmo di scambio chiavi Diffie-Hellman Gruppo 14.
nsx-default-l3vpn-ike-profile	Utilizzato per la configurazione di un servizio VPN IPSec. Configurato con IKE V2, algoritmo di crittografia AES CBC 128, algoritmo SHA2 256 e algoritmo di scambio chiavi Diffie-Hellman Gruppo 14.

Oltre ai profili IKE predefiniti, è possibile selezionare anche una delle suite di conformità supportate a partire da NSX 2.5. Per ulteriori informazioni, vedere Informazioni sulle suite di conformità supportate.

Se si decide di non utilizzare i profili IKE predefiniti o le suite di conformità fornite, è possibile configurare il proprio profilo IKE attenendosi alla procedura seguente.

Procedura

Con i privilegi admin, accedere a NSX Manager.
Selezionare Rete > VPN, quindi fare clic sulla scheda Profili.
Selezionare il tipo di profilo Profili IKE e fare clic su Aggiungi profilo IKE.
Immettere un nome per il profilo IKE.

Dal menu a discesa Versione IKE, selezionare la versione IKE da utilizzare per configurare un'associazione di sicurezza (SA) nella suite di protocolli IPSec.

Tabella 2. Versioni IKE
Versione IKE	Descrizione
IKEv1	Quando questa opzione è selezionata, la VPN IPSec viene avviata e risponde solo a un protocollo IKEv1.
IKEv2	Questa versione è la predefinita. Quando questa opzione è selezionata, la VPN IPSec viene avviata e risponde solo a un protocollo IKEv2.
IKE Flex	Se viene selezionata questa versione e la creazione del tunnel non riesce con il protocollo IKEv2, il sito di origine non esegue il fallback e avvia una connessione con il protocollo IKEv1. Se invece il sito remoto avvia una connessione con il protocollo IKEv1, la connessione viene accettata.

Nei menu a discesa, selezionare gli algoritmi di crittografia, digest e gruppo Diffie-Hellman. È possibile selezionare più algoritmi da applicare o deselezionare tutti gli algoritmi selezionati che non si desidera applicare.

Tabella 3. Algoritmi utilizzati
Tipo di algoritmo	Valori validi	Descrizione
Crittografia	AES 128 (predefinito) AES 256 GCM AES 128 GCM AES 192 GCM AES 256	Algoritmo di crittografia utilizzato durante la negoziazione IKE (Internet Key Exchange). Gli algoritmi AES 128 e AES 256 utilizzano la modalità di funzionamento CBC. Gli algoritmi AES-GCM sono supportati quando utilizzati con IKEv2. Non sono supportati se utilizzati con IKEv1.
Digest	SHA2 256 (predefinito) SHA1 SHA2 384 SHA2 512	Algoritmo di hash sicuro utilizzato durante la negoziazione IKE. Se AES-GCM è l'unico algoritmo di crittografia selezionato nella casella di testo Algoritmo di crittografia, non è possibile specificare alcun algoritmo di hash nella casella di testo Algoritmo con classificazione, in base alla sezione 8 in RFC 5282. Inoltre, l'algoritmo PRF (Psuedo-Random Function) PRF-HMAC-SHA2-256 viene selezionato implicitamente e utilizzato nella negoziazione dell'associazione di sicurezza (SA) IKE. L'algoritmo PRF-HMAC-SHA2-256 deve essere configurato anche nel gateway peer affinché la fase 1 della negoziazione SA IKE abbia esito positivo. Se nella casella di testo Algoritmo di crittografia sono specificati più algoritmi oltre all'algoritmo AES-GCM, è possibile selezionare uno o più algoritmi hash nella casella di testo Algoritmo con classificazione. Inoltre, l'algoritmo PRF utilizzato nella negoziazione SA IKE viene determinato implicitamente in base agli algoritmi hash configurati. Almeno uno degli algoritmi PRF corrispondenti deve essere configurato anche nel gateway peer affinché la fase 1 della negoziazione SA IKE abbia esito positivo. Ad esempio, se la casella di testo Algoritmo di crittografia contiene AES 128 e AES GCM 128 e nella casella di testo Algoritmo con classificazione è specificato SHA1, durante la negoziazione SA IKE viene utilizzato l'algoritmo PRF-HMAC-SHA1. Deve inoltre essere configurato nel gateway peer.
Gruppo Diffie-Hellman	Gruppo 14 (predefinito) Gruppo 2 Gruppo 5 Gruppo 15 Gruppo 16 Gruppo 19 Gruppo 20 Gruppo 21	Schemi di crittografia utilizzati dal sito peer e da NSX Edge per stabilire un segreto condiviso in un canale di comunicazione non protetto.

Nota: Quando si tenta di stabilire un tunnel VPN IPSec con un client VPN GUARD (in precedenza QuickSec VPN Client) utilizzando due algoritmi di crittografia o due algoritmi digest, il client VPN GUARD aggiunge altri algoritmi nell'elenco di negoziazione proposto. Ad esempio, se si specifica AES 128 e AES 256 come algoritmi di crittografia e SHA2 256 e SHA2 512 come algoritmi digest da utilizzare nel profilo IKE utilizzato per stabilire il tunnel VPN IPSec, nell'elenco di negoziazione il client VPN GUARD suggerisce anche AES 192 (utilizzando la modalità CBC) e SHA2 384. In questo caso, NSX utilizza il primo algoritmo di crittografia selezionato per stabilire il tunnel VPN IPSec.

Immettere un valore di durata dell'associazione di sicurezza (SA), in secondi, se si desidera che sia diverso dal valore predefinito di 86400 secondi (24 ore).
Specificare una descrizione e aggiungere un tag, se necessario.
Fare clic su Salva.

risultati

Alla tabella dei profili IKE disponibili viene aggiunta una nuova riga. Per modificare o eliminare un profilo non creato dal sistema, fare clic sul menu con i tre puntini ( Tre puntini allineati verticalmente. facendo clic su questa icona viene visualizzato un menu di sotto comandi ) ed effettuare la selezione dall'elenco delle azioni disponibili.