IKEv2 DH小组关于SonicWall

Question

我正在为IPsec防火墙上的SonicWall VPN设置开发内部标准，我一直在学习IKEv2。当选择IKEv2“模式”时，UI将禁用DH组、加密和身份验证字段，我无法在文档中的任何地方找到所使用的值。IKEv2是否有某种机制将这些字段协商成“最高公分母”？如果没有，我周一就打电话给技术支持部门。

Answer 1

IKEv2是否有某种机制将这些字段协商成“最高公分母”？

好的，IKEv2允许发起者列出哪些DH组、加密算法和身份验证算法(以及其他)，以及哪些组合；然后响应者从列表中选择将要使用的内容。它实际上相当灵活(除了DH组之外，这有点混乱，因为发起者必须选择一个“主组”，如果响应方不喜欢它，它需要列出它真正想要的DH组，我们将与该组进行另一次往返旅行)。

现在，发起者按优先顺序列出事情(例如，首先列出它喜欢的加密算法)，响应方应该遵守该顺序。在IKE协议本身中没有内置逻辑，例如，AES-GCM比ChaCha20更好(或者更糟)；这是由发起者来决定的。

当选择IKEv2“模式”时，UI将禁用DH组、加密和身份验证字段，我无法在文档中的任何地方找到所使用的值。

这是绝对应该是可变的和有记录的事情；如果你看起来不太可能想出一个能让每个人都高兴的政策。

Answer 2

你用6.2吗？如果是这样，请看一看如何在IKE2 2 6.2及以上版本中使用SonicOS动态客户端方案建立虚拟专用网站点

注意:菜单"DH组“、”加密“和”身份验证“将为灰色，因为常规选项卡中的"IPsec主网关名称或地址”填充为"0.0.0.0“或空白。它们将在步骤3中配置。