網際網路金鑰交換 (IKE) 設定檔提供了在建立 IKE 通道時用於在網站間驗證、加密及建立共用密碼之演算法的相關資訊。

NSX-T Data Center 提供了系統產生的 IKE 設定檔,在您設定 IPSec VPN 或 L2 VPN 服務時,依預設會指派這些設定檔。下表列出了所提供的預設設定檔。
表 1. 用於 IPSec VPN 或 L2 VPN 服務的預設 IKE 設定檔
預設 IKE 設定檔名稱 說明
nsx-default-l2vpn-ike-profile
  • 用於 L2 VPN 服務組態。
  • 設定了 IKE V2、AES CBC 128 加密演算法、SHA2 256 演算法,以及 Diffie-Hellman 群組 14 金鑰交換演算法。
nsx-default-l3vpn-ike-profile
  • 用於 IPSec VPN 服務組態。
  • 設定了 IKE V2、AES CBC 128 加密演算法、SHA2 256 演算法,以及 Diffie-Hellman 群組 14 金鑰交換演算法。

NSX-T Data Center 2.5 開始,除了所使用的預設 IKE 設定檔,您也可以選取其中一個支援的合規性套件。如需詳細資訊,請參閱關於支援的合規性套件

如果您決定不使用提供的預設 IKE 設定檔或合規性套件,可以使用下列步驟自行設定 IKE 設定檔。

程序

  1. 從瀏覽器以管理員權限登入 NSX Manager,網址為 https://<nsx-manager-ip-address>。
  2. 選取網路 > VPN,然後按一下設定檔索引標籤。
  3. 選取 IKE 設定檔設定檔類型,然後按一下新增 IKE 設定檔
  4. 輸入 IKE 設定檔的名稱。
  5. IKE 版本下拉式功能表中,選取用於設定 IPSec 通訊協定套件中之安全性關聯 (SA) 的 IKE 版本。
    表 2. IKE 版本
    IKE 版本 說明
    IKEv1 選取後,IPSec VPN 會起始並僅回應 IKEv1 通訊協定。
    IKEv2 此版本為預設值。選取後,IPSec VPN 會起始並僅回應 IKEv2 通訊協定。
    IKE-Flex 如果選取此版本,並且使用 IKEv2 通訊協定建立通道失敗,則來源站台不會回復並使用 IKEv1 通訊協定起始連線。不過,如果遠端站台使用 IKEv1 通訊協定起始連線,則系統會接受連線。
  6. 從下拉式功能表中,選取加密、摘要與 Diffie-Hellman 群組演算法。您可以選取多個要套用的演算法,也可以取消選取任何不想套用的已選取演算法。
    表 3. 使用的演算法
    演算法類型 有效值 說明
    加密
    • AES 128 (預設值)
    • AES 256
    • AES GCM 128
    • AES GCM 192
    • AES GCM 256

    在網際網路金鑰交換 (IKE) 交涉期間使用的加密演算法。

    AES 128 和 AES 256 演算法使用 CBC 作業模式。

    搭配 IKEv2 使用時,會支援 AES-GCM 演算法。搭配 IKEv1 使用時不支援。

    摘要
    • SHA2 256 (預設值)
    • SHA1
    • SHA2 384
    • SHA2 512

    要在 IKE 交涉期間使用的安全雜湊演算法。

    根據 RFC 5282 中的第 8 節,如果 AES-GCM 是加密演算法文字方塊中選取的唯一加密演算法,則無法在摘要演算法文字方塊中指定任何雜湊演算法。此外,會隱含選取偽隨機功能 (PRF) 演算法 PRF HMAC-SHA2 256,且用於 IKE 安全性關聯 (SA) 交涉。也必須在對等閘道上設定 PRF HMAC-SHA2 256 演算法,IKE SA 交涉的階段 1 才會成功。

    如果在加密演算法文字方塊中指定包含 AES-GCM 演算法的多個演算法,則可以在摘要演算法文字方塊中選取一或多個雜湊演算法。此外,會根據設定的雜湊演算法隱含判斷在 IKE SA 交涉中使用的 PRF 演算法。也必須在對等閘道上設定至少一個相符的 PRF 演算法,IKE SA 交涉的第 1 階段才會成功。例如,如果加密演算法文字方塊包含 AES 128 和 AES GCM 128,且在摘要演算法文字方塊中指定了 SHA1,則在 IKE SA 交涉期間會使用 PRF-HMAC-SHA1 演算法。也必須在對等閘道中進行設定。

    Diffie-Hellman 群組
    • 群組 14 (預設值)
    • 群組 2
    • 群組 5
    • 群組 15
    • 群組 16
    • 群組 19
    • 群組 20
    • 群組 21

    對等站台和 NSX Edge 用於在不安全的通訊通道上建立共用密碼的密碼編譯配置。

    備註: 當您嘗試使用兩種加密演算法或兩種摘要演算法與 GUARD VPN 用戶端 (之前為 QuickSec VPN 用戶端) 來建立 IPSec VPN 通道時,GUARD VPN 用戶端會在建議的交涉清單中新增額外的演算法。例如,如果您在用來建立 IPSec VPN 通道的 IKE 設定檔中,將 AES 128 和 AES 256 指定為要使用的加密演算法,並將 SHA2 256 和 SHA2 512 指定為摘要演算法,則 GUARD VPN 用戶端也會在交涉清單中建議 AES 192 (使用 CBC 模式) 和 SHA2 384。在此情況下, NSX-T Data Center 會使用您在建立 IPSec VPN 通道時所選取的第一種加密演算法。
  7. 如果您不想為安全性關聯 (SA) 存留時間使用預設值 86400 秒 (24 小時),則輸入想要使用的值 (以秒為單位)。
  8. 視需要提供說明並新增標籤。
  9. 按一下儲存

結果

可用的 IKE 設定檔資料表中即會新增一列。若要編輯或刪除非系統建立的設定檔,請按一下三個點功能表 (垂直排列的三個黑點。按一下此圖示會顯示子命令的功能表。),然後從可用動作清單中進行選取。