Edge 間の IPsec トンネルを作成する場合は、カスタマー設定レベルでセキュリティ ポリシー設定を変更できます。
手順
- オペレータ ポータルで、[カスタマーの管理 (Manage Customers)] に移動します。
- カスタマーを選択して [アクション (Actions)] > [変更 (Modify)] をクリックするか、カスタマーへのリンクをクリックします。
- エンタープライズ ポータルで、[設定 (Configure)] > [カスタマー (Customers)] をクリックします。
- [カスタマー設定 (Customer Configuration)] ページで、[セキュリティ ポリシー (Security Policy)] 領域で次のセキュリティ設定を行います。
- [ハッシュ (Hash)] - デフォルトでは、セキュア ハッシュ アルゴリズム機能が設定されていません。Galois/カウンタ モード (GCM) を無効にすると、表示されるドロップダウン リストから、次のいずれかのサポートされているセキュア ハッシュ アルゴリズム機能を選択できます。
- SHA 1
- SHA 256
- [暗号化] - AES 128-Galois/Counter Mode (GCM)、AES 256-GCM、AES 128-Cipher Block Chaining (CBC) および AES 256-CBC は、機密性を確保するために使用される暗号化アルゴリズム モードです。データを暗号化するアルゴリズムとして [AES 128] または [AES 256] のいずれかを選択します。[GCM の無効化 (Disable GCM)] チェックボックスがオンになっていない場合、デフォルトの暗号化アルゴリズム モードは AES 128-GCM です。
- [DH グループ (DH Group)]:事前共有キーを交換するときに使用する Diffie-Hellman (DH) グループ アルゴリズムを選択します。DH グループは、アルゴリズムの強度をビット単位で設定します。サポートされている DH グループは、2、5、14、15、16 です。DH グループ 14 を使用することをお勧めします。
- [PFS] - セキュリティを強化するために、Perfect Forward Secrecy (PFS) レベルを選択します。サポートされている PFS レベルは 2、5、14、15、16 です。デフォルトでは、PFS は無効になっています。
- [GCM の無効化 (Disable GCM)] - デフォルトでは、AES 128-GCM が有効になっています。必要に応じて、チェックボックスをオンにしてこのモードを無効にします。チェックボックスをオフにすると、AES 128-CBC モードが有効になります。
- [ハッシュ (Hash)] - デフォルトでは、セキュア ハッシュ アルゴリズム機能が設定されていません。Galois/カウンタ モード (GCM) を無効にすると、表示されるドロップダウン リストから、次のいずれかのサポートされているセキュア ハッシュ アルゴリズム機能を選択できます。
- 設定を行った後、[変更の保存 (Save Changes)] をクリックします。
注: セキュリティ設定を変更すると、変更によって現在のサービスが中断する可能性があります。また、これらの設定により、全体的なスループットが低下し、VCMP トンネルの設定に必要な時間が増加する場合があります。これにより、ブランチ間の動的トンネルの設定時間や、クラスタ内の Edge の障害からのリカバリに影響する可能性があります。
