Das lokale Ende eines IPsec-VPN muss so konfiguriert werden, dass es den Einstellungen entspricht, die Sie für das SDDC-Ende dieses VPN angegeben haben.

Die Informationen in den folgenden Tabellen fassen die verfügbaren IPsec-VPN-Einstellungen des SDDC zusammen. Einige der Einstellungen können konfiguriert werden. Einige sind statisch. Verwenden Sie diese Informationen, um sicherzustellen, dass Ihre lokale VPN-Lösung so konfiguriert werden kann, dass sie mit der in Ihrem SDDC übereinstimmt. Wählen Sie eine lokale VPN-Lösung aus, die alle statischen Einstellungen und alle in diesen Tabellen aufgeführten konfigurierbaren Einstellungen unterstützt.

Phase 1 – IKE-Einstellungen (Internet Key Exchange)

Tabelle 1. Konfigurierbare Einstellungen der IKE Phase 1
Attribut Zulässige Werte Empfohlener Wert
Protokoll IKEv1, IKEv2, IKE FLEX IKEv2
Verschlüsselungsalgorithmus AES (128, 256), AES-GCM (128, 192, 256) AES-GCM
Tunnel-/IKE-Digest-Algorithmus SHA-1, SHA-2 SHA-2
Diffie-Hellman DH-Gruppen 2, 5, 14-16 DH-Gruppe 14-16
Tabelle 2. Statische Einstellungen der IKE Phase 1
Attribut Wert
ISAKMP-Modus Hauptmodus (Aggressiven Modus deaktivieren)
ISAKMP/IKE SA-Lebensdauer 86.400 Sekunden (24 Stunden)
IPsec-Modus Tunnel
IKE-Authentifizierung Vorinstallierter Schlüssel

Phase 2 – IKE-Einstellungen

Tabelle 3. Konfigurierbare Einstellungen der IKE Phase 2
Attribut Zulässige Werte Empfohlener Wert
Verschlüsselungsalgorithmus AES-256, AES-GCM, AES AES-GCM
Perfect Forward Secrecy (PFS) Aktiviert, Deaktiviert Aktiviert
Diffie-Hellman DH-Gruppen 2, 5, 14-16 DH-Gruppe 14-16
Tabelle 4. Statische Einstellungen der IKE Phase 2
Attribut Wert
Hashing-Algorithmus SHA-1
Tunnelmodus Encapsulating Security Payload (ESP)
SA-Lebensdauer 3.600 Sekunden (1 Stunde)

Lokale IPsec-VPN-Konfiguration

Klicken Sie auf KONFIGURATION HERUNTERLADEN auf der Statusseite eines beliebigen VPN, um eine Datei mit den VPN-Konfigurationsdetails herunterzuladen. Sie können diese Details verwenden, um das lokale Ende des VPN zu konfigurieren.
Hinweis: Konfigurieren Sie die lokale Seite eines VPN nicht für eine Leerlauf-Zeitüberschreitung (z. B. die NSX-Einstellung Sitzungszeitüberschreitung bei Leerlauf). Lokale Leerlauf-Zeitüberschreitungen können dazu führen, dass das VPN in regelmäßigen Abständen getrennt wird.
Beispiel-Konfigurationsdateien für mehrere gängige Endpoint-Geräte sind auf VMware {code} verfügbar.