NSX-T IPsec VPN – IKE SAのパラメータの変更

今回はNSX-TのIKE SAの各種パラメータが変更可能かを確認しました。

 

検証結果

検証内容、構成

Tier-1 GWでSegment 1を収容します。
Tier-1 GWとTier-0 GWを接続します。
NSX EdgeにTier-0 GWのSRを配置し、物理ネットワークとNSX-Tの仮想ネットワークを接続します。

Tier-0 GWのSRとR2間でIPsec VPNを確立し、10.1.1.0/24と20.2.2.0/24間の通信をESPで暗号化します。
IKEにばバージョン2のIKEv2を使用します。

IKE SAで使用する暗号化方式、認証方式、DH Groupが変更可能か確認します。

 

ネットワーク機器のCLIの設定


interface GigabitEthernet2
 ip address 10.1.1.1 255.255.255.0
!
ip route 0.0.0.0 0.0.0.0 10.1.1.254
            


crypto ikev2 proposal IKEV2_PROPOSAL
 encryption aes-cbc-128
 integrity sha256
 group 14
!
crypto ikev2 policy IKEV2_POLICY
 proposal IKEV2_PROPOSAL
!
crypto ikev2 keyring IKEV2_KEYRING
 peer PEER_BLOCK
  address 10.2.2.1
  pre-shared-key Zaq12wsx!@
!
crypto ikev2 profile IKEV2_PROFILE
 match identity remote address 10.2.2.1 255.255.255.255
 identity local address 20.1.1.100
 authentication remote pre-share
 authentication local pre-share
 keyring local IKEV2_KEYRING
!
crypto ipsec transform-set TRANSFORM_SET esp-gcm
 mode tunnel
!
crypto map CRYPTO_MAP 10 ipsec-isakmp
 set peer 10.2.2.1
 set transform-set TRANSFORM_SET
 set ikev2-profile IKEV2_PROFILE
 match address CRYPTO_ACL
!
interface Loopback0
 ip address 20.2.2.2 255.255.255.0
!
interface GigabitEthernet2
 ip address 20.1.1.100 255.255.255.0
 crypto map CRYPTO_MAP
!
ip route 0.0.0.0 0.0.0.0 20.1.1.1
!
ip access-list extended CRYPTO_ACL
 10 permit ip 20.2.2.0 0.0.0.255 10.1.1.0 0.0.0.255
            

 

デフォルトの設定値を使用

IPsecの設定

VPNサービスの定義

 

ローカルエンドポイントの定義

 

ポリシーベースのIPsecセッションの定義

 

スタティックルートの設定

 

状態確認

Tier-0 GWのSRのIKE SAの暗号化アルゴリズムがAES128-CBC、認証アルゴリズムがHMAC-SHA256-128、DH Groupが14であることが確認できます。

NSX Edge1

edge1> get ipsecvpn ikesa
    Total Number of IKE SAs: 1

    IKE Version              : IKEv2
    IKE Status               : Up
    IKE Session ID           : 8193
    Session Name             : Tunnel-f195da00-47294555-8ad48653-c00f5b16
    Session Type             : Policy Based

    IKE SPI Initiator        : 0x13b4e00a799af762
    IKE SPI Responder        : 0xd3cc4c3d6bf57f34
    Role                     : Initiator

    Number of Child SA Pairs : 1
    Created Timestamp        : 2020-09-06 12:27:50
    IKE SA Uptime            : 707 sec
    IKE SA Lifetime          : 86400 sec
    DPD Probe Interval       : 60 sec

    IP Address:
      Local                  : 10.2.2.1
      Remote                 : 20.1.1.100

    Identity:
      Local                  : 10.2.2.1 (ipv4)
      Remote                 : 20.1.1.100 (ipv4)

    Algorithm:
      Encryption             : aes128-cbc
      Authentication         : hmac-sha256-128
      PRF                    : hmac-sha256
    DH Group                 : 14

    Authentication Method    : Pre-shared key
    ----------------------------------------
            

 

以下はTier-0 GWのSRがR2に対して送信した最初のISAKMPメッセージのキャプチャになります。暗号化アルゴリズムがAES128-CBC、認証アルゴリズムがHMAC-SHA256-128、DH Groupが14であることが確認できます。

 

IKE Profileを修正

IPsecの設定

IKE Profileの定義(NSX-T)

新規にIKE Profileを作成し、暗号化アルゴリズムにAES-256、認証アルゴリズムにSHA2-512、DH Groupに2を指定します。

 

ポリシーベースのIPsecセッションの修正(NSX-T)

IPsec Sessionに先程定義したIKE Profileを適用します。

 

IKEv2 Proposalの修正(Ciscoルータ)

R2のIKEv2 Proposalの各種アルゴリズムをNSX-T側の値に合わせます。

R2

crypto ikev2 proposal IKEV2_PROPOSAL
 encryption aes-cbc-256
 integrity sha512
 group 2
            

 

状態確認

Tier-0 GWのSRのIKE SAの暗号化アルゴリズムがAES256-CBC、認証アルゴリズムがHMAC-SHA512-256、DH Groupが2に変化したことが確認できます。

NSX Edge1

edge1> get ipsecvpn ikesa
    Total Number of IKE SAs: 1

    IKE Version              : IKEv2
    IKE Status               : Up
    IKE Session ID           : 8193
    Session Name             : Tunnel-f195da00-47294555-8ad48653-c00f5b16
    Session Type             : Policy Based

    IKE SPI Initiator        : 0x598639ae125a9b17
    IKE SPI Responder        : 0x62700f6efe49eb74
    Role                     : Initiator

    Number of Child SA Pairs : 1
    Created Timestamp        : 2020-09-06 14:56:16
    IKE SA Uptime            : 131 sec
    IKE SA Lifetime          : 86400 sec
    DPD Probe Interval       : 60 sec

    IP Address:
      Local                  : 10.2.2.1
      Remote                 : 20.1.1.100

    Identity:
      Local                  : 10.2.2.1 (ipv4)
      Remote                 : 20.1.1.100 (ipv4)

    Algorithm:
      Encryption             : aes256-cbc
      Authentication         : hmac-sha512-256
      PRF                    : hmac-sha512
    DH Group                 : 2

    Authentication Method    : Pre-shared key
    ----------------------------------------
            

 

以下はTier-0 GWのSRがR2に対して送信した最初のISAKMPメッセージのキャプチャになります。暗号化アルゴリズムがAES256-CBC、認証アルゴリズムがHMAC-SHA512-256、DH Groupが2に変化したことが確認できます。

コメント

タイトルとURLをコピーしました