IKEv1 は安全で認証された通信に用いられる標準的な手法です。

フェーズ 1 のパラメータ

フェーズ 1 では手動でのピアの認証、暗号パラメータのネゴシエーション、およびセッションキーの生成を設定します。NSX Edge で使用されるフェーズ 1 パラメータ

  • メイン モード。
  • Triple DES、AES-128、AES-256(設定可能)。AES-128 は内部的に使用されるため、フェーズ 1 では AES-GCM はサポートされません。
  • SHA1、SHA_256。
  • MODP グループ 2、5、14、15、16。
  • 事前共有シークレット キーと証明書(設定可能)。
  • 28,800 秒間(8 時間)有効、lifebytes の再キー化不可の SA
  • ISAKMP アグレッシブ モードを無効にする
重要:
  • IPsec VPN は、時間ベースの再キー化のみをサポートします。lifebytes の再キー化を無効にする必要があります。
  • NSX 6.4.5 以降 では、IPsec VPN サービスで Triple DES 暗号化アルゴリズムが廃止されています。

フェーズ 2 のパラメータ

IKE フェーズ 2 では IPsec トンネル用のキー マテリアルを生成することで、IPsec トンネルをネゴシエーションします(IKE フェーズ 1 キーをベースとして使用するか、新しいキーに交換)。NSX Edge でサポートする IKE フェーズ 2 パラメータ

  • Triple DES、AES-128、AES-256、AES-GCM(フェーズ 1 の設定に一致)。
  • SHA1、SHA_256。
  • ESP トンネル モード。
  • MODP グループ 2、5、14、15、16。
  • 再キー化のための Perfect Forward Secrecy。
  • 3,600 秒間(1 時間)有効、lifebytes の再キー化不可の SA
  • IPv4 サブネットを用いたすべての IP プロトコル、すべてのポート、2 ネットワーク間のセレクタ
重要:
  • IPsec VPN は、時間ベースの再キー化のみをサポートします。lifebytes の再キー化を無効にする必要があります。
  • NSX 6.4.5 以降 では、IPsec VPN サービスで Triple DES 暗号化アルゴリズムが廃止されています。

トランザクション モードのサンプル

NSX Edge はフェーズ 1 でメイン モードを、フェーズ 2 でクイック モードをサポートしています。

NSX Edge は、PSK/証明書、3DES/AES128/AES256/AES-GCM、SHA1/SHA256、DH グループ 2/5/14/15/16 を必要とするポリシーを処理します。ピアがこのポリシーを受け入れる必要があります。そうでない場合、ネゴシエーション フェーズで失敗します。

フェーズ 1: メイン モード トランザクション

この例では NSX Edge から開始した Cisco デバイスへのフェーズ 1 のネゴシエーションの交換を示しています。

メイン モードでの NSX Edge と Cisco VPN デバイス間の一連のトランザクションを以下に示します。

  1. NSX Edge から Cisco へ
    • プロポーザル:encrypt 3des-cbc、sha、psk、group5(group2)
    • DPD 有効
  2. Cisco から NSX Edge
    • Cisco の選択によるプロポーザルを含む
    • Cisco デバイスが、ステップ 1 で NSX Edge が送信したパラメータをすべて受け付けなかった場合、Cisco デバイスは NO_PROPOSAL_CHOSEN というフラグでメッセージを送信し、ネゴシエーションを終了します。
  3. NSX Edge から Cisco へ
    • DH キーとナンス
  4. Cisco から NSX Edge
    • DH キーとナンス
  5. NSX Edge から Cisco へ(暗号化)
    • ID (PSK) を含む。
  6. Cisco から NSX Edge へ(暗号化)
    • ID (PSK) を含む。
    • Cisco デバイスが PSK と一致しないと判断すると、Cisco デバイスは INVALID_ID_INFORMATION というフラグでメッセージを送信し、フェーズ 1 は失敗します。

フェーズ 2: クイック モード トランザクション

クイック モードでの NSX Edge と Cisco VPN デバイスとの間の一連のトランザクションは以下のとおりです。

  1. NSX Edge から Cisco へ
    NSX Edge はピアにフェーズ 2 ポリシーを提示します。次はその例です。 
    Aug 26 12:16:09 weiqing-desktop 
ipsec[5789]:
"s1-c1" #2: initiating Quick Mode
PSK+ENCRYPT+TUNNEL+PFS+UP+SAREFTRACK  
{using isakmp#1 msgid:d20849ac 
proposal=3DES(3)_192-SHA1(2)_160 
pfsgroup=OAKLEY_GROUP_MODP1024}
  2. Cisco から NSX Edge

    Cisco デバイスがこのプロポーザルに対しマッチするポリシーが見つけられない場合は、NO_PROPOSAL_CHOSEN を送信します。それ以外では、Cisco デバイスは選択した一連のパラメータを送信します。

  3. NSX Edge から Cisco へ

    デバッグを行うには、NSX Edge の IPSec ログ設定をオンにし、Cisco の暗号デバッグを有効にします (debug crypto isakmp <level>)。