インターネット キー交換 (IKE) プロファイルは、IKE トンネルの確立時にネットワーク サイト間の共有シークレット キーの認証、暗号化、および確立に使用されるアルゴリズムに関する情報を提供します。

NSX-T Data Center は、IPsec VPN または L2 VPN サービスの構成時にデフォルトで割り当てられるシステム生成の IKE プロファイルを提供します。次の表では、デフォルトで提供されるプロファイルを示します。
表 1. IPsec VPN または L2 VPN サービスで使用されるデフォルトの IKE プロファイル
デフォルトの IKE プロファイル名 説明
nsx-default-l2vpn-ike-profile
  • L2 VPN サービス構成で使用されます。
  • IKE V2、AES CBC 128 暗号化アルゴリズム、SHA2 256 アルゴリズム、および Diffie-Hellman グループ 14 キー交換アルゴリズムで構成されます。
nsx-default-l3vpn-ike-profile
  • IPsec VPN サービス構成で使用されます。
  • IKE V2、AES CBC 128 暗号化アルゴリズム、SHA2 256 アルゴリズム、および Diffie-Hellman グループ 14 キー交換アルゴリズムで構成されます。

デフォルトの IKE プロファイルではなく、NSX-T Data Center 2.5 以降でサポートされるコンプライアンス スイートのいずれかを選択することもできます。詳細については、サポートされているコンプライアンス スイートについてを参照してください。

デフォルトで提供される IKE プロファイルまたはコンプライアンス スイートを使用しない場合は、次の手順に従って独自の IKE プロファイルを構成できます。

手順

  1. 管理者権限で NSX Manager にログインします。
  2. [ネットワーク] > [VPN] の順に選択し、[プロファイル] タブをクリックします。
  3. プロファイル タイプに [IKE プロファイル] を選択し、[IKE プロファイルの追加] をクリックします。
  4. IKE プロファイルの名前を入力します。
  5. [IKE バージョン] ドロップダウン メニューから、使用する IKE バージョンを選択して、IPsec プロトコル スイートで Security Association (SA) を設定します。
    表 2. IKE バージョン
    IKE バージョン 説明
    IKEv1 選択すると、IPsec VPN が開始され、IKEv1 プロトコルのみに応答します。
    IKEv2 これがデフォルトのバージョンです。選択すると、IPsec VPN が開始され、IKEv2 プロトコルのみに応答します。
    IKE-Flex このバージョンを選択すると、IKEv2 プロトコルでトンネルの確立に失敗した場合に、送信元サイトにフォールバックされず、IKEv1 プロトコルで接続が開始されます。リモート サイトから IKEv1 プロトコルで接続を開始した場合、接続は許可されます。
  6. ドロップダウン メニューから暗号化、ダイジェスト、および Diffie-Hellman グループ アルゴリズムを選択します。複数のアルゴリズムを選択して適用したり、選択したアルゴリズムを適用しない場合に選択解除したりできます。
    表 3. 使用するアルゴリズム
    アルゴリズムのタイプ 有効な値 説明
    暗号化
    • AES 128(デフォルト)
    • AES 256
    • AES GCM 128
    • AES GCM 192
    • AES GCM 256

    インターネット キー交換 (IKE) ネゴシエーション実行中に使用される暗号化アルゴリズム。

    AES 128 および AES 256 アルゴリズムは、CBC 操作モードを使用します。

    AES-GCM アルゴリズムは IKEv2 でサポートされます。IKEv1 ではサポートされません。

    ダイジェスト
    • SHA2 256(デフォルト)
    • SHA 1
    • SHA2 384
    • SHA2 512

    IKE ネゴシエーションの実行中に使用されるセキュア ハッシュ アルゴリズム。

    [暗号化アルゴリズム] テキスト ボックスで暗号化アルゴリズムとして AES-GCM のみが選択されている場合、RFC 5282 のセクション 8 の仕様のため、[ダイジェスト アルゴリズム ] テキスト ボックスでハッシュ アルゴリズムを指定できません。擬似乱数関数 (PRF) アルゴリズムの HMAC-SHA2-256 が暗黙的に選択され、IKE Security Association (SA) のネゴシエーションで使用されます。IKE SA ネゴシエーションのフェーズ 1 を成功させるには、ピア ゲートウェイで PRF-HMAC-SHA2-256 アルゴリズムも構成する必要があります。

    [暗号化アルゴリズム] テキスト ボックスで、AES-GCM アルゴリズムの他に複数のアルゴリズムが指定されている場合、[ダイジェスト アルゴリズム] テキスト ボックスで 1 つ以上のハッシュ アルゴリズムを選択できます。IKE SA ネゴシエーションで使用される PRF アルゴリズムは、構成したハッシュ アルゴリズムに基づいて暗黙的に決まります。IKE SA ネゴシエーションのフェーズ 1 を成功させるには、照合する 1 つ以上の PRF アルゴリズムをピア ゲートウェイで構成する必要があります。たとえば、[暗号化アルゴリズム] テキスト ボックスに AES 128 と AES GCM 128 が表示され、[ダイジェスト アルゴリズム] テキスト ボックスに SHA1 が指定されている場合、IKE SA ネゴシエーションで PRF-HMAC-SHA1 アルゴリズムが使用されます。これは、ピア ゲートウェイでも構成する必要があります。

    Diffie-Hellman グループ
    • グループ 14(デフォルト)
    • グループ 2
    • グループ 5
    • グループ 15
    • グループ 16
    • グループ 19
    • グループ 20
    • グループ 21

    ピア サイトおよび NSX Edge がセキュアでない通信チャネルを介して共有シークレット キーを確立するために使用する暗号化スキーム。

    注: 2 つの暗号化アルゴリズムまたは 2 つのダイジェスト アルゴリズムを使用して GUARD VPN Client(旧称 QuickSec VPN Client)と IPsec VPN トンネルを確立しようとすると、GUARD VPN Client が提案するネゴシエーション リストに別のアルゴリズムが追加されます。たとえば、IPsec VPN トンネルの確立に使用される IKE プロファイルに暗号化アルゴリズムとして AES 128 と AES 256 を指定し、ダイジェスト アルゴリズムとして SHA2 256 と SHA2 512 を指定した場合、GUARD VPN Client はネゴシエーション リストに AES 192(CBC モードを使用)と SHA2 384 を追加します。この場合、 NSX-T Data Center が IPsec VPN トンネルを確立するときに、ユーザーが選択した最初の暗号化アルゴリズムが使用されます。
  7. デフォルト値の 86,400 秒(24 時間)を変更する場合は、Security Association (SA) の有効期間の値を秒単位で入力します。
  8. 必要に応じて説明を入力し、タグを追加します。
  9. [保存] をクリックします。

結果

利用可能な IKE プロファイルのテーブルに新しい行が追加されます。システムで作成されていないプロファイルを編集または削除するには、3 つのドットで示されるメニュー(縦に並んだ 3 つの黒いドットこのアイコンをクリックすると、サブコマンドのメニューが表示されます。)をクリックし、実行可能なアクションのリストから選択します。