Quando si creano tunnel IPSec da Edge a Edge, è possibile modificare le impostazioni di configurazione del criterio di protezione a livello di configurazione del cliente.

Procedura

  1. Nel portale dell'operatore, passare a Gestisci clienti (Manage Customers).
  2. Selezionare un cliente e fare clic su Azioni (Actions) > Modifica (Modify) oppure fare clic sul link del cliente.
  3. Nel portale dell'azienda, fare clic su Configura (Configure) > Clienti (Customers).
  4. Nella pagina Configurazione cliente (Customer Configuration) configurare le impostazioni seguenti nell'area Criterio di sicurezza (Security Policy).
    1. Hash: per impostazione predefinita, non è configurata alcuna funzione SHA (Secure Hash Algorithm). Se si disabilita la modalità Galois/Counter Mode (GCM), è possibile selezionare una delle seguenti funzioni SHA supportate nell'elenco a discesa visualizzato:
      • SHA 1
      • SHA 256
    2. Crittografia (Encryption): AES 128-Galois/Counter Mode (GCM), AES 256-GCM, AES 128-Cipher Block Chaining (CBC) e AES 256-CBC sono le modalità degli algoritmi di crittografia utilizzate per fornire la riservatezza. Selezionare AES 128 o AES 256 come dimensione della chiave degli algoritmi AES per crittografare i dati. La modalità dell'algoritmo di crittografia predefinita è AES 128-GCM, quando la casella di controllo Disabilita GCM (Disable GCM) non è selezionata.
    3. Gruppo DH (DH Group): selezionare l'algoritmo del gruppo Diffie-Hellman (DH) da utilizzare quando si scambia una chiave PSK (Pre-Shared Key). Il gruppo DH imposta la potenza dell'algoritmo in bit. I gruppi DH supportati sono 2, 5, 14, 15 e 16. È consigliabile utilizzare il gruppo DH 14.
    4. PFS: selezionare il livello di PFS (Perfect Forward Secrecy) per una protezione aggiuntiva. I livelli di PFS supportati sono 2, 5, 14, 15 e 16. PFS è disabilitato per impostazione predefinita.
    5. Disabilita GCM (Disable GCM): la modalità AES 128-GCM è abilitata per impostazione predefinita. Se necessario, selezionare la casella di controllo per disabilitare questa modalità. Se si disabilita la casella di controllo, viene abilitata la modalità AES 128-CBC.
  5. Dopo aver aggiornato le impostazioni, fare clic su Salva modifiche (Save Changes).
    Nota: Quando si modificano le impostazioni di sicurezza, le modifiche possono causare interruzioni ai servizi correnti. Queste impostazioni possono inoltre ridurre la velocità effettiva complessiva e aumentare il tempo necessario per la configurazione del tunnel VCMP. Ciò può influire sui tempi di configurazione del tunnel dinamico da filiale a filiale e sul ripristino da un errore dell'Edge in un cluster.