Das lokale Ende eines IPsec-VPN muss so konfiguriert werden, dass es den Einstellungen entspricht, die Sie für das SDDC-Ende dieses VPN angegeben haben.

Die Informationen in den folgenden Tabellen fassen die verfügbaren IPsec-VPN-Einstellungen des SDDC zusammen. Einige der Einstellungen können konfiguriert werden. Einige sind statisch. Verwenden Sie diese Informationen, um sicherzustellen, dass Ihre lokale VPN-Lösung so konfiguriert werden kann, dass sie mit der in Ihrem SDDC übereinstimmt. Wählen Sie eine lokale VPN-Lösung aus, die alle statischen Einstellungen und alle in diesen Tabellen aufgeführten konfigurierbaren Einstellungen unterstützt.

Grundlegendes zur Auswirkung von Diffie-Hellman-Gruppen auf die IPsec-VPN-Leistung und -Sicherheit

Für die IPsec-VPN-Konfiguration müssen Sie eine Diffie-Hellman (DH)-Gruppe auswählen, die in beiden Phasen der IKE-Aushandlung verwendet wird, um private Schlüssel zwischen Endpoints über einen nicht vertrauenswürdigen Pfad sicher zu kommunizieren. Die DH-Gruppen 19-21 stellen einen erheblichen Anstieg der Sicherheit gegenüber den Gruppen 14-16 dar und verbrauchen während der Verschlüsselung weniger Ressourcen. Der NIST- Guide to IPsec VPNs (PDF) bietet wesentlich mehr Details zu diesen und anderen IPsec-VPN-Konfigurationsoptionen.
Hinweis: Die DH-Gruppen 2 und 5 sind nicht von NIST zugelassen und sollten nur verwendet werden, wenn sie für die Kompatibilität mit einem älteren lokalen Gerät erforderlich sind.

Als Best Practice sollten die konfigurierbaren Einstellungen für beide Phasen identisch sein.

Phase 1 (IKE-Profil) – IPsec-VPN-Einstellungen

Tabelle 1. Konfigurierbare Einstellungen
Attribut Zulässige Werte Empfohlener Wert
Protokoll IKEv1, IKEv2, IKE FLEX IKEv2
Verschlüsselungsalgorithmus AES (128, 256), AES-GCM (128, 192, 256) AES-GCM

Verschlüsselung mit höheren Bittiefen ist schwer zu knacken, verursacht aber mehr Last auf Ihrem Endpoint-Gerät.
Tunnel-/IKE-Digest-Algorithmus SHA1, SHA2 (256, 384, 512)

Wenn Sie eine GCM-basierte Verschlüsselung für IKE-Verschlüsselung angeben, legen Sie IKE-Digest-Algorithmus auf Keiner fest. Die Digest-Funktion ist integraler Bestandteil der GCM-Verschlüsselung. Sie müssen IKE V2 verwenden, wenn Sie eine GCM-basierte Verschlüsselung verwenden

Diffie-Hellman DH-Gruppen 2, 5, 14-16, 19-21 DH-Gruppen 19-21 oder 14-16
Tabelle 2. Statische Einstellungen
Attribut Wert
ISAKMP-Modus Hauptmodus
ISAKMP/IKE SA-Lebensdauer 86.400 Sekunden (24 Stunden)
IPsec-Modus Tunnel
IKE-Authentifizierung Vorinstallierter Schlüssel

Phase 2 (IPsec-Profil) – IPsec-VPN-Einstellungen

Konfigurierbare Einstellungen sind für Phase 1 und Phase 2 identisch.

Tabelle 3. Konfigurierbare Einstellungen
Attribut Zulässige Werte Empfohlener Wert
Protokoll IKEv1, IKEv2, IKE FLEX IKEv2
Verschlüsselungsalgorithmus AES (128, 256), AES-GCM (128, 192, 256) AES-GCM

Verschlüsselung mit höheren Bittiefen ist schwer zu knacken, verursacht aber mehr Last auf Ihrem Endpoint-Gerät.
Tunnel-/IKE-Digest-Algorithmus SHA-1, SHA2 (256, 384, 512)

Wenn Sie eine GCM-basierte Verschlüsselung für IKE-Verschlüsselung angeben, legen Sie IKE-Digest-Algorithmus auf Keiner fest. Die Digest-Funktion ist integraler Bestandteil der GCM-Verschlüsselung. Sie müssen IKE V2 verwenden, wenn Sie eine GCM-basierte Verschlüsselung verwenden

Diffie-Hellman DH-Gruppen 2, 5, 14-16, 19-21 DH-Gruppen 19-21 oder 14-16
Tabelle 4. Statische Einstellungen
Attribut Wert
Tunnelmodus Encapsulating Security Payload (ESP)
SA-Lebensdauer 3.600 Sekunden (1 Stunde)

Lokale IPsec-VPN-Konfiguration

Klicken Sie auf KONFIGURATION HERUNTERLADEN auf der Statusseite eines beliebigen VPN, um eine Datei mit den VPN-Konfigurationsdetails herunterzuladen. Sie können diese Details verwenden, um das lokale Ende des VPN zu konfigurieren.
Hinweis: Konfigurieren Sie die lokale Seite eines VPN nicht für eine Leerlauf-Zeitüberschreitung (z. B. die NSX-Einstellung Sitzungszeitüberschreitung bei Leerlauf). Lokale Leerlauf-Zeitüberschreitungen können dazu führen, dass das VPN in regelmäßigen Abständen getrennt wird.
Die VMware Tech Zone- IPSec VPN Configuration Reference bietet detaillierte Endpoint-Konfigurationshinweise, und Beispielkonfigurationsdateien für mehrere beliebte Endpoint-Geräte sind auf VMware {code} verfügbar.