網際網路通訊協定安全性 (IPSec) 設定檔提供了在建立 IPSec 通道時用於在網站間驗證、加密及建立共用密碼之演算法的相關資訊。
NSX-T Data Center 提供了系統產生的 IPSec 設定檔,在您設定 IPSec VPN 或 L2 VPN 服務時,依預設會指派這些設定檔。下表列出了所提供的預設 IPSec 設定檔。
表 1.
用於 IPSec VPN 或 L2 VPN 服務的預設 IPSec 設定檔
| 預設 IPSec 設定檔的名稱 |
說明 |
| nsx-default-l2vpn-tunnel-profile |
- 用於 L2 VPN。
- 設定了 AES GCM 128 加密演算法和 Diffie-Hellman 群組 14 金鑰交換演算法。
|
| nsx-default-l3vpn-tunnel-profile |
- 用於 IPSec VPN。
- 設定了 AES GCM 128 加密演算法和 Diffie-Hellman 群組 14 金鑰交換演算法。
|
從 NSX-T Data Center 2.5 開始,除了預設的 IPSec 設定檔,您也可以選取其中一個支援的合規性套件。如需詳細資訊,請參閱關於支援的合規性套件。
如果您決定不使用提供的預設 IPSec 設定檔或合規性套件,可以使用下列步驟自行設定。
程序
- 從瀏覽器以管理員權限登入 NSX Manager,網址為 https://<nsx-manager-ip-address>。
- 選取,然後按一下設定檔索引標籤。
- 選取 IPSec 設定檔設定檔類型,然後按一下新增 IPSec 設定檔。
- 輸入 IPSec 設定檔的名稱。
- 從下拉式功能表中,選取加密、摘要與 Diffie-Hellman 演算法。您可以選取多個要套用的演算法。
取消選取您不想使用的演算法。
表 2.
使用的演算法
| 演算法類型 |
有效值 |
說明 |
| 加密 |
- AES GCM 128 (預設值)
- AES 128
- AES 256
- AES GCM 192
- AES GCM 256
- 無加密驗證 AES GMAC 128
- 無加密驗證 AES GMAC 192
- 無加密驗證 AES GMAC 256
- 無加密
|
在網際網路通訊協定安全性 (IPSec) 交涉期間使用的加密演算法。 AES 128 和 AES 256 演算法使用 CBC 作業模式。 |
| 摘要 |
- SHA1
- SHA2 256
- SHA2 384
- SHA2 512
|
要在 IPSec 交涉期間使用的安全雜湊演算法。 |
| Diffie-Hellman 群組 |
- 群組 14 (預設值)
- 群組 2
- 群組 5
- 群組 15
- 群組 16
- 群組 19
- 群組 20
- 群組 21
|
對等站台和 NSX Edge 用於在不安全的通訊通道上建立共用密碼的密碼編譯配置。 |
- 如果您決定不在 VPN 服務中使用 PFS 群組通訊協定,請取消選取 PFS 群組。
依預設會選取此選項。
- 在 SA 存留時間文字方塊中,修改必須重新建立 IPSec 通道之前所經過的預設秒數。
依預設,使用 24 小時 (86400 秒) 的 SA 存留時間。
- 選取要與 IPSec 通道搭配使用的 DF 位元值。
此值決定如何處理所收到資料封包中包含的「不分段」 (DF) 位元。下表說明可接受的值。
表 3.
DF 位元值
| DF 位元值 |
說明 |
| COPY |
預設值。選取此值後,NSX-T Data Center 會將所收到封包中的 DF 位元值複製到轉送的封包中。此值表示如果所收到的資料封包設定有 DF 位元,加密後,該封包也設定有 DF 位元。 |
| CLEAR |
選取此值後,NSX-T Data Center 會忽略所收到資料封包中的 DF 位元值,加密封包中的 DF 位元一律為 0。 |
- 視需要提供說明並新增標籤。
- 按一下儲存。
結果
可用的 IPSec 設定檔資料表中即會新增一列。若要編輯或刪除非系統建立的設定檔,請按一下三個點功能表 (
),然後從可用動作清單中進行選取。
