必须将任何 IPsec VPN 的内部部署端配置为与为该 VPN 的 SDDC 端指定的设置相匹配。
以下各表中的信息汇总了可用的 SDDC IPsec VPN 设置。一些设置是可以配置的。一些设置是静态的。使用此信息可验证是否可以将内部部署 VPN 解决方案配置为与 SDDC 中的解决方案匹配。选择支持这些表中列出的所有静态设置和任何可配置设置的内部部署 VPN 解决方案。
了解 Diffie-Hellman 组如何影响 IPsec VPN 性能和安全性
IPsec VPN 配置要求选择一个 Diffie-Hellman (DH) 组,在 IKE 协商的两个阶段中,将使用该组通过不受信任的路径安全地在端点之间传达私钥。与 DH 组 14-16 相比,组19-21 的安全性显著提高,且在加密过程中消耗的资源更少。NIST
IPsec VPN 指南 (PDF) 提供了有关这些配置和其他 IPsec VPN 配置选项的更多详细信息。
注: DH 组 2 和 5 未经 NIST 批准,仅应在需要与较旧的内部部署设备兼容时使用。
最佳做法是,这两个阶段的可配置设置应一样。
阶段 1(IKE 配置文件)IPsec VPN 设置
| 属性 | 允许的值 | 建议的值 |
|---|---|---|
| 协议 | IKEv1、IKEv2、IKE FLEX | IKEv2 |
| 加密算法 | AES (128、256)、AES-GCM (128、192、256) | AES GCM 具有较高位深度的加密更难破解,但会在端点设备上产生更多负载。 |
| 隧道/IKE 摘要算法 | SHA1、SHA2(256、384、512) | 如果为 IKE 加密指定基于 GCM 的密码,请将 IKE 摘要算法设置为无。摘要函数是 GCM 密码不可或缺的一部分。如果使用基于 GCM 的密码,则必须使用 IKE V2 |
| Diffie Hellman | DH 组 2、5、14-16、19-21 | DH 组 19-21 或 14-16 |
| 属性 | 值 |
|---|---|
| ISAKMP 模式 | 主要模式 |
| ISAKMP/IKE SA 生命周期 | 86400 秒(24 个小时) |
| IPsec 模式 | 通道 |
| IKE 身份验证 | 预共享密钥 |
阶段 2 (IPsec 配置文件) IPsec VPN 设置
阶段 1 和阶段 2 的可配置设置相同。
| 属性 | 允许的值 | 建议的值 |
|---|---|---|
| 协议 | IKEv1、IKEv2、IKE FLEX | IKEv2 |
| 加密算法 | AES (128、256)、AES-GCM (128、192、256) | AES GCM 具有较高位深度的加密更难破解,但会在端点设备上产生更多负载。 |
| 隧道/IKE 摘要算法 | SHA-1、SHA2(256、384、512) | 如果为 IKE 加密指定基于 GCM 的密码,请将 IKE 摘要算法设置为无。摘要函数是 GCM 密码不可或缺的一部分。如果使用基于 GCM 的密码,则必须使用 IKE V2 |
| Diffie Hellman | DH 组 2、5、14-16、19-21 | DH 组 19-21 或 14-16 |
| 属性 | 值 |
|---|---|
| 通道模式 | 封装式安全措施负载 (ESP) |
| SA 生命周期 | 3600 秒(1 个小时) |
内部部署 IPsec VPN 配置
在任意 VPN 的状态页面上,单击
下载配置以下载包含 VPN 配置详细信息的文件。您可以使用这些详细信息配置 VPN 的内部部署端。
注: 请勿将 VPN 的内部部署端配置为具有空闲超时(例如,NSX
会话空闲超时设置)。内部部署空闲超时可能会导致 VPN 变得定期断开连接。
VMware 技术区
IPSec VPN 配置参考提供了详细的端点配置建议,而且 VMware {code} 上提供了多个常用端点设备的示例配置文件。
