IPsec-Richtlinie erstellen

Sie können angepasste IPsec-Richtlinien verwenden, um Sicherheitsparameter für die Verwendung während Phase 2 der IKE-Vereinbarung zu definieren. In dieser Phase verwenden die VPN und das Peer-Gerät die Sicherheitszuordnung, die während der Phase 1 eingerichtet wurde, um zu verhandeln, welcher Datenverkehr gesendet wird und wie dieser Datenverkehr authentifiziert und verschlüsselt wird.

Erstellen einer IPsec-Richtlinie in der Konsole

Führen Sie die folgenden Schritte aus, um eine IPsec-Richtlinie mithilfe der Benutzerschnittstelle zu erstellen:

Wählen Sie auf der Listenseite 'VPNs for VPC' die Registerkarten Site-to-site-Gateways > IPsec-Richtlinien aus.
Klicken Sie auf Erstellen + und geben Sie die folgenden Informationen an:
- Name - Geben Sie einen Namen für die IPsec-Richtlinie ein.
- Ressourcengruppe: Wählen Sie die Ressourcengruppe für diese IPsec-Richtlinie aus.
- Region - Wählen Sie die Region für diese IPsec-Richtlinie aus.
- Authentifizierung - Der Authentifizierungsalgorithmus, der für IKE Phase 2 verwendet werden soll.
- Verschlüsselung - Die Verschlüsselung, die für IKE Phase 2 verwendet werden soll.
- Perfect Forward Secrecy: Aktivieren Sie PFS.
- Diffie-Hellman-Gruppe (wenn PFS aktiviert ist): Die DH-Gruppe, die für den IKE Phase 2-Schlüsselaustausch verwendet werden soll.
- Schlüssellebensdauer: Die Lebensdauer in Sekunden des Phase 2-Tunnels.
Klicken Sie auf IPsec-Richtlinie erstellen.
Legen Sie auf der Seite VPN-Verbindungsdetails für das Feld IPsec-Richtlinien die Verwendung der gewünschten IPsec-Richtlinie fest.

Erstellen einer IPsec-Richtlinie über die CLI

Bevor Sie beginnen, richten Sie Ihre CLI-Umgebung ein.

Um eine IPsec-Richtlinie über die CLI zu erstellen, geben Sie den folgenden Befehl ein:

ibmcloud is ipsec-policy-create IPSEC_POLICY_NAME AUTHENTICATION_ALGORITHM ENCRYPTION_ALGORITHM PFS
    [--key-lifetime KEY_LIFETIME]
    [--resource-group-id RESOURCE_GROUP_ID | --resource-group-name RESOURCE_GROUP_NAME]
    [--output JSON] [-q, --quiet]

Dabei gilt:

md-5 und sha-1 Authentifizierungsalgorithmen, group_2 und group_5 DH-Gruppen und der triple_des Verschlüsselungsalgorithmus sind seit dem 20. September 2022 veraltet und werden von der Konsole nicht mehr unterstützt.

IPSEC_POLICY_NAME - Name der IPsec-Richtlinie.
AUTHENTICATION_ALGORITHM - Authentifizierungsalgorithmus. Einer der folgenden Werte: sha256, sha384, sha512, disabled
ENCRYPTION_ALGORITHM - Verschlüsselungsalgorithmus. Eine der folgenden Optionen: aes128, aes192, aes256, aes128gcm16, aes192gcm16, aes256gcm16
PFS - Diffie-Hellman-Gruppe. Entweder disabled, group_14, group_15, group_16, group_17, group_18, group_19, group_20, group_21, group_22, group_23, group_24, group_31.
--key-lifetime value - Die Laufzeit des Schlüssels in Sekunden. Maximum: 86400, Minimum: 1800. Der Standardwert ist 3600.
--resource-group-id value - ID der Ressourcengruppe. Diese Option und die Option --resource-group-name schließen sich gegenseitig aus.
--resource-group-name value - Name der Ressourcengruppe. Diese Option und die Option --resource-group-id schließen sich gegenseitig aus.
--output value - Legt als Ausgabeformat JSON fest.
-q, --quiet - Ausführliche Ausgabe unterdrücken.

AUTHENTICATION_ALGORITHM muss disabled sein, wenn und nur wenn ENCRYPTION_ALGORITHM aes128gcm16, aes192gcm16 oder aes256gcm16 ist.

Befehlsbeispiele

Erstellen Sie eine IPsec-Richtlinie mit SHA 256-Authentifizierung, AES 128-Verschlüsselung und PFS mit DH-Gruppe 14: ibmcloud is ipsec-policy-create my-ipsec-policy sha256 aes128 group_14
Erstellen Sie eine IPsec-Richtlinie mit denselben Parametern und einer Lebensdauer von 3600 Sekunden. ibmcloud is ipsec-policy-create my-ipsec-policy sha256 aes128 group_14 --key-lifetime 3600
Erstellen Sie eine IPsec-Richtlinie mit denselben Parametern und einer Ressourcengruppen-ID: ibmcloud is ipsec-policy-create my-ipsec-policy sha256 aes128 group_14 --resource-group-id fee82deba12e4c0fb69c3b09d1f12345 --output JSON

Erstellen einer IPsec-Richtlinie mit der API

Um eine IPsec-Richtlinie mit der API zu erstellen, gehen Sie wie folgt vor:

Richten Sie Ihre API-Umgebung mit den richtigen Variablen ein.
Speichern Sie weitere Variablen, die in den API-Befehlen verwendet werden sollen. Zum Beispiel:

ResourceGroupId - Suchen Sie die Ressourcengruppen-ID mithilfe des Befehls get resource groups und füllen Sie dann die Variable:
```
export ResourceGroupId=<your_resourcegroup_id>
```

Wenn alle Variablen initialisiert sind, erstellen Sie die IPsec-Richtlinie:

   curl -X POST "$vpc_api_endpoint/v1/ipsec_policies?version=$api_version&generation=2" \
     -H "Authorization: $iam_token" \
     -d '{
        "name": "my-new-ipsec-policy",
        "authentication_algorithm": "sha256",
        "encryption_algorithm": "aes128",
        "pfs": "group_14",
        "resource_group": {
          "id": "'$ResourceGroupId'"
        }
      }'

IPsec-Richtlinie unter Verwendung von Terraform erstellen

Das folgende Beispiel veranschaulicht die Erstellung einer IPse-Richtlinie mit Terraform:

   resource "ibm_is_ipsec_policy" "is_ipsec_policy" {
     name                     = "my-ipsec-policy"
     authentication_algorithm = "sha256"
     encryption_algorithm     = "aes128"
     pfs                      = "group_14"
   }

Weitere Informationen finden Sie in der Terraform-Registrierung.

Nächste Schritte

Erstellen Sie eine IKE-Richtlinie, wenn Sie sich für die Verwendung einer angepassten IKE-Richtlinie anstelle einer automatischen Vereinbarung entscheiden.
Erstellen Sie eine VPN-Verbindung, wenn Sie dies noch nicht bei der Erstellung des VPN-Gateways getan haben. Wenn Sie keine VPN-Verbindung erstellt haben, können Sie dies tun, nachdem das VPN-Gateway bereitgestellt wurde. Weitere Informationen finden Sie unter Verbindungen zu einem VPN-Gateway hinzufügen.
Wählen Sie für ein routenbasiertes VPN eine Routing-Tabelle aus oder erstellen Sie eine Routing-Tabelle. Anschließend erstellen Sie eine Route mit dem VPN-Verbindungstyp.