Quando si creano tunnel IPSec da Edge a Edge, è possibile modificare le impostazioni di configurazione del criterio di protezione a livello di configurazione del cliente.

Procedura

  1. Nel portale dell'operatore, passare a Gestisci clienti (Manage Customers).
  2. Selezionare un cliente e fare clic su Azioni (Actions) > Modifica (Modify) oppure fare clic sul link del cliente.
  3. Nel portale dell'azienda, fare clic su Configura (Configure) > Clienti (Customers). Viene visualizzata la pagina Configurazione cliente (Customer Configuration).
  4. Nell'area Criterio di protezione (Security Policy), è possibile configurare le seguenti impostazioni di protezione:
    1. Hash: per impostazione predefinita, non è stato configurato alcun algoritmo di autenticazione per l'intestazione VPN. Quando la modalità GCM (Galois/Counter Mode) è disabilitata, è possibile selezionare uno dei seguenti come algoritmo di autenticazione per l'intestazione VPN, nell'elenco a discesa visualizzato:
      • SHA 1
      • SHA 256
      • SHA 384
      • SHA 512
    2. Crittografia (Encryption): AES 128-Galois/Counter Mode (GCM), AES 256-GCM, AES 128-Cipher Block Chaining (CBC) e AES 256-CBC sono le modalità degli algoritmi di crittografia utilizzate per fornire la riservatezza. Selezionare AES 128 o AES 256 come dimensione della chiave degli algoritmi AES per crittografare i dati. La modalità dell'algoritmo di crittografia predefinita è AES 128-GCM, quando la casella di controllo Disabilita GCM (Disable GCM) non è selezionata.
    3. Gruppo DH (DH Group): selezionare l'algoritmo del gruppo Diffie-Hellman (DH) da utilizzare quando si scambia una chiave PSK (Pre-Shared Key). Il gruppo DH imposta la potenza dell'algoritmo in bit. I gruppi DH supportati sono 2, 5, 14, 15 e 16. È consigliabile utilizzare il gruppo DH 14.
    4. PFS: selezionare il livello di PFS (Perfect Forward Secrecy) per una protezione aggiuntiva. I livelli di PFS supportati sono 2, 5, 14, 15 e 16. PFS è disabilitato per impostazione predefinita.
    5. Disabilita GCM (Disable GCM): la modalità AES 128-GCM è abilitata per impostazione predefinita. Se necessario, selezionare la casella di controllo per disabilitare questa modalità. Se si disabilita la casella di controllo, viene abilitata la modalità AES 128-CBC.
    6. Durata SA IPSec (IPsec SA Lifetime): indica quando la ridefinizione delle chiavi IPSec (Internet Security Protocol) viene avviata per gli Edge. La durata minima delle chiavi IPSec è 3 minuti e la durata massima è 480 minuti. Il valore predefinito è 480 minuti.
    7. Durata SA IKE (IKE SA Lifetime): indica quando la ridefinizione delle chiavi IKE (Internet Key Exchange) viene avviata per gli Edge. La durata minima delle chiavi IKE è 10 minuti e la durata massima è 1440 minuti. Il valore predefinito è 1440 minuti.
      Nota: Non è consigliabile configurare valori di durata bassi per IPSec (meno di 10 minuti) e IKE (meno di 30 minuti) perché possono causare un'interruzione del traffico in alcune distribuzioni a causa della ridefinizione delle chiavi. I valori di durata bassi sono solo a scopo di debug.
  5. Dopo aver aggiornato le impostazioni, fare clic su Salva modifiche (Save Changes).
    Nota: Quando si modificano le impostazioni di sicurezza, le modifiche possono causare interruzioni ai servizi correnti. Queste impostazioni possono inoltre ridurre la velocità effettiva complessiva e aumentare il tempo necessario per la configurazione del tunnel VCMP. Ciò può influire sui tempi di configurazione del tunnel dinamico da filiale a filiale e sul ripristino da un errore dell'Edge in un cluster.