網際網路通訊協定安全性 (IPSec) 設定檔提供了在建立 IPSec 通道時用於在網站間驗證、加密及建立共用密碼之演算法的相關資訊。

NSX-T Data Center 提供了系統產生的 IPSec 設定檔,在您設定 IPSec VPN 或 L2 VPN 服務時,依預設會指派這些設定檔。下表列出了所提供的預設 IPSec 設定檔。
表 1. 用於 IPSec VPN 或 L2 VPN 服務的預設 IPSec 設定檔
預設 IPSec 設定檔的名稱 說明
nsx-default-l2vpn-tunnel-profile
  • 用於 L2 VPN。
  • 設定了 AES GCM 128 加密演算法和 Diffie-Hellman 群組 14 金鑰交換演算法。
nsx-default-l3vpn-tunnel-profile
  • 用於 IPSec VPN。
  • 設定了 AES GCM 128 加密演算法和 Diffie-Hellman 群組 14 金鑰交換演算法。

NSX-T Data Center 2.5 開始,除了預設的 IPSec 設定檔,您也可以選取其中一個支援的合規性套件。如需詳細資訊,請參閱關於支援的合規性套件

如果您決定不使用提供的預設 IPSec 設定檔或合規性套件,可以使用下列步驟自行設定。

程序

  1. 從瀏覽器以管理員權限登入 NSX Manager,網址為 https://<nsx-manager-ip-address>。
  2. 選取網路 > VPN,然後按一下設定檔索引標籤。
  3. 選取 IPSec 設定檔設定檔類型,然後按一下新增 IPSec 設定檔
  4. 輸入 IPSec 設定檔的名稱。
  5. 從下拉式功能表中,選取加密、摘要與 Diffie-Hellman 演算法。您可以選取多個要套用的演算法。
    取消選取您不想使用的演算法。
    表 2. 使用的演算法
    演算法類型 有效值 說明
    加密
    • AES GCM 128 (預設值)
    • AES 128
    • AES 256
    • AES GCM 192
    • AES GCM 256
    • 無加密驗證 AES GMAC 128
    • 無加密驗證 AES GMAC 192
    • 無加密驗證 AES GMAC 256
    • 無加密

    在網際網路通訊協定安全性 (IPSec) 交涉期間使用的加密演算法。

    AES 128 和 AES 256 演算法使用 CBC 作業模式。

    摘要
    • SHA1
    • SHA2 256
    • SHA2 384
    • SHA2 512

    要在 IPSec 交涉期間使用的安全雜湊演算法。

    Diffie-Hellman 群組
    • 群組 14 (預設值)
    • 群組 2
    • 群組 5
    • 群組 15
    • 群組 16
    • 群組 19
    • 群組 20
    • 群組 21

    對等站台和 NSX Edge 用於在不安全的通訊通道上建立共用密碼的密碼編譯配置。

  6. 如果您決定不在 VPN 服務中使用 PFS 群組通訊協定,請取消選取 PFS 群組
    依預設會選取此選項。
  7. SA 存留時間文字方塊中,修改必須重新建立 IPSec 通道之前所經過的預設秒數。
    依預設,使用 24 小時 (86400 秒) 的 SA 存留時間。
  8. 選取要與 IPSec 通道搭配使用的 DF 位元值。
    此值決定如何處理所收到資料封包中包含的「不分段」 (DF) 位元。下表說明可接受的值。
    表 3. DF 位元值
    DF 位元值 說明
    COPY

    預設值。選取此值後,NSX-T Data Center 會將所收到封包中的 DF 位元值複製到轉送的封包中。此值表示如果所收到的資料封包設定有 DF 位元,加密後,該封包也設定有 DF 位元。

    CLEAR

    選取此值後,NSX-T Data Center 會忽略所收到資料封包中的 DF 位元值,加密封包中的 DF 位元一律為 0。

  9. 視需要提供說明並新增標籤。
  10. 按一下儲存

結果

可用的 IPSec 設定檔資料表中即會新增一列。若要編輯或刪除非系統建立的設定檔,請按一下三個點功能表 (垂直排列的三個黑點。按一下此圖示會顯示子命令的功能表。),然後從可用動作清單中進行選取。