必须将任何 IPsec VPN 的内部部署端配置为与为该 VPN 的 SDDC 端指定的设置相匹配。

以下各表中的信息汇总了可用的 SDDC IPsec VPN 设置。一些设置是可以配置的。一些设置是静态的。使用此信息可验证是否可以将内部部署 VPN 解决方案配置为与 SDDC 中的解决方案匹配。选择支持这些表中列出的所有静态设置和任何可配置设置的内部部署 VPN 解决方案。

阶段 1 Internet 密钥交换 (IKE) 设置

表 1. 可配置的 IKE 阶段 1 设置
属性 允许的值 建议的值
协议 IKEv1、IKEv2、IKE FLEX IKEv2
加密算法 AES (128、256)、AES-GCM (128、192、256) AES GCM
隧道/IKE 摘要算法 SHA-1、SHA-2 SHA-2
Diffie Hellman DH 组 2、5、14-16 DH 组 14-16
表 2. 静态 IKE 阶段 1 设置
属性
ISAKMP 模式 主模式(禁用攻击性模式)
ISAKMP/IKE SA 生命周期 86400 秒(24 个小时)
IPsec 模式 通道
IKE 身份验证 预共享密钥

阶段 2 IKE 设置

表 3. 可配置的 IKE 阶段 2 设置
属性 允许的值 建议的值
加密算法 AES-256、AES-GCM、AES AES-GCM
完全向前保密 (PFS) 已启用、已禁用 已启用
Diffie Hellman DH 组 2、5、14-16 DH 组 14-16
表 4. 静态 IKE 阶段 2 设置
属性
哈希算法 SHA-1
通道模式 封装式安全措施负载 (ESP)
SA 生命周期 3600 秒(1 个小时)

内部部署 IPsec VPN 配置

在任意 VPN 的状态页面上,单击 下载配置以下载包含 VPN 配置详细信息的文件。您可以使用这些详细信息配置 VPN 的内部部署端。
注: 请勿将 VPN 的内部部署端配置为具有空闲超时(例如,NSX 会话空闲超时设置)。内部部署空闲超时可能会导致 VPN 变得定期断开连接。
VMware {code} 上提供了几个常用端点设备的示例配置文件。