Im Webformular für die Horizon Cloud-Einrichtung sind die erforderlichen und optionalen IPsec-VPN-Protokolle und -Parameter aufgelistet, wenn Sie sich dafür entscheiden, eine Site-to-Site-VPN-Verbindung zwischen Ihrem Netzwerk und dem VMware-Datencenter einzurichten.

Für IPSec-VPNs verwendet das Horizon Cloud Service-Edge Gateway, eine virtuelle Appliance, die zusätzliche Sicherheitsoptionen und -Funktionen bereitstellt. Das Edge Gateway unterstützt „Main Mode“ für Phase 1 und „Quick Mode“ für Phase 2. Eine Erläuterung dieser Begriffe erhalten Sie von Ihrem Netzwerktechniker oder im VMware Administratorhandbuch für NSX.

In der folgenden Tabelle sind die Protokolle und Parameter aufgeführt, die in den einzelnen Phasen zu verwenden sind. Sie müssen für jede Phase in Ihrem Netzwerk dieselben Protokolle und Parameter wie in Horizon Cloud Service festlegen. Beispiel: ISAKMP-Parameter werden für Phase 1 verwendet, IKE-Parameter werden für Phase 2 verwendet, und Oakley-Protokolle werden sowohl für die Authentifizierung als auch für die MODP-Gruppe 2 verwendet. Alle Parameter sind erforderlich. Beim Upgrade auf das Edge Gateway ist die Phase 2-Perfect Forward Secrecy (PFS) für die Schlüsselneuerzeugung optional.

Protokolle und Parameter Phase 1 Phase 2
Hash (SHA oder MD5) SHA1 SHA1
Authentifizierungsmodus Main Quick
Verschlüsselung AES, AES256, Triple DES, AES-GCM AES, AES256, Triple DES, AES-GCM
Diffie-Hellman Group (2, 5, 14, 15 oder 16) 2 2
Kapselung (AH oder ESP) K. A. ESP
Lebensdauer 28800 3600
Perfect Forward Secrecy K. A. Wahr. Anforderungen an den gemeinsamen geheimen Schlüssel: Sie können Ihren eigenen gemeinsamen geheimen Schlüssel bereitstellen. Alternativ kann Horizon Cloud Service einen zufälligen gemeinsamen Schlüssel generieren, der auf beiden Seiten verwendet werden kann.
  • Zwischen 32 und 128 Zeichen
  • Mindestens 1 Großbuchstabe
  • Mindestens 1 Kleinbuchstabe
  • Mindestens 1 Ziffer
  • Keine Sonderzeichen
Hinweis: Einige IPSec-VPN-Parameter, wie z. B. die Lifetime-Timer der Sicherheitsverbindung (Security Association, SA), die die Lebensdauer definieren, die ein bestimmter Tunnel für das Verschlüsseln von Daten verwendet, können im Edge Gateway nicht geändert werden. Diese Parameter müssen auf dem Mandantengerät an die im Edge Gateway festgelegten Parameter angepasst werden. Der Bereitstellungsprozess umfasst zwei Phasen, und sowohl Phase 1 als auch Phase 2 enthalten SA-Lebensdauer-Timer. Wenn der SA-Timer abläuft, verhandelt er die Authentifizierung für beide Seiten neu. Allerdings wird das Edge Gateway für Datenverkehr nicht erneut authentifiziert, sondern nur für den Lifetime-Timer. Wenn die Timer auf der Mandantenseite nicht so festgelegt sind, dass sie auf der Horizon Cloud Service-Seite übereinstimmen, können sie daher Probleme im VPN-Tunnel verursachen.