Edge 間の IPsec トンネルを作成する場合は、ユーザー構成レベルでセキュリティ ポリシーの構成設定を変更できます。

手順

  1. オペレータ ポータルで、[ユーザーの管理 (Manage Customers)] に移動します。
  2. ユーザーを選択して [アクション (Actions)] > [変更 (Modify)] をクリックするか、ユーザーへのリンクをクリックします。
  3. エンタープライズ ポータルで、[構成 (Configure)] > [ユーザー (Customers)] をクリックします。[ユーザー構成 (Customer Configuration)] ページが表示されます。
  4. [セキュリティ ポリシー (Security Policy)] 領域で、次のセキュリティ設定を構成できます。
    1. [ハッシュ (Hash)]:デフォルトでは、VPN ヘッダーには認証アルゴリズムが構成されていません。Galois/カウンタ モード (GCM) が無効になっている場合は、表示されるドロップダウン リストから VPN ヘッダーの認証アルゴリズムとして次のいずれかを選択できます。
      • SHA 1
      • SHA 256
      • SHA 384
      • SHA 512
    2. [暗号化] - AES 128-Galois/Counter Mode (GCM)、AES 256-GCM、AES 128-Cipher Block Chaining (CBC) および AES 256-CBC は、機密性を確保するために使用される暗号化アルゴリズム モードです。データを暗号化するアルゴリズムとして [AES 128] または [AES 256] のいずれかを選択します。[GCM の無効化 (Disable GCM)] チェックボックスがオンになっていない場合、デフォルトの暗号化アルゴリズム モードは AES 128-GCM です。
    3. [DH グループ (DH Group)]:事前共有キーを交換するときに使用する Diffie-Hellman (DH) グループ アルゴリズムを選択します。DH グループは、アルゴリズムの強度をビット単位で設定します。サポートされている DH グループは、2、5、14、15、16 です。DH グループ 14 を使用することをお勧めします。
    4. [PFS] - セキュリティを強化するために、Perfect Forward Secrecy (PFS) レベルを選択します。サポートされている PFS レベルは 2、5、14、15、16 です。デフォルトでは、PFS は無効になっています。
    5. [GCM の無効化 (Disable GCM)] - デフォルトでは、AES 128-GCM が有効になっています。必要に応じて、チェックボックスをオンにしてこのモードを無効にします。チェックボックスをオフにすると、AES 128-CBC モードが有効になります。
    6. [IPsec SA の有効期間 (IPsec SA Lifetime)] - Edge のインターネット セキュリティ プロトコル (IPsec) の再キー化が開始される時間。IPsec の有効期間の最小値は 3 分、最大値は 480 分です。デフォルト値は 480 分です。
    7. [IKE SA の有効期間 (IKE SA Lifetime)] - Edge のインターネット キー交換 (IKE) の再キー化が開始される時間。IKE の有効期間の最小値は 10 分、最大値は 1,440 分です。デフォルト値は 1440 分です。
      注: 低い存続期間の値(IPsec の場合は 10 分未満、IKE の場合は 30 分未満)を設定することは推奨されません。これは、再キー化により一部の環境でトラフィックが中断する可能性があるからです。低い存続期間の値は、デバッグ目的でのみ使用されます。
  5. 設定を構成した後、[変更の保存 (Save Changes)] をクリックします。
    注: セキュリティ設定を変更すると、変更によって現在のサービスが中断する可能性があります。また、これらの設定により、全体的なスループットが低下し、VCMP トンネルの設定に必要な時間が増加する場合があります。これにより、ブランチ間の動的トンネルの設定時間や、クラスタ内の Edge の障害からのリカバリに影響する可能性があります。