El extremo local de cualquier VPN de IPsec se debe configurar para que coincida con la configuración especificada para el extremo de SDDC de dicha VPN.

La información recogida en las siguientes tablas resume la configuración de VPN de IPsec de SDDC disponible. Algunas de estas opciones son configurables, mientras que otras son estáticas. Utilice esta información para comprobar si su solución de VPN local se puede configurar para que sea la misma que la del SDDC. Elija una solución de VPN local que admita todas las configuraciones estáticas y alguna de las opciones configurables que aparecen en estas tablas.

Comprender cómo los grupos Diffie-Hellman afectan el rendimiento y la seguridad de VPN de IPsec

La configuración de VPN de IPsec requiere que elija un grupo Diffie-Hellman (DH), que se utiliza en ambas fases de la negociación de IKE para comunicar de forma segura las claves privadas entre endpoints a través de una ruta que no es de confianza. Los grupos DH 19-21 representan un aumento significativo en la seguridad respecto a los grupos 14-16 y consumen menos recursos durante el cifrado. La Guía de los VPN de IPsec de NIST (PDF) proporciona muchos más detalles sobre estas y otras opciones de configuración de VPN de IPsec.
Nota: Los grupos DH 2 y 5 no están aprobados por NIST y solo deben utilizarse cuando sea necesario por cuestiones de compatibilidad con un dispositivo local más antiguo.

Como práctica recomendada, los ajustes configurables deben ser iguales para ambas fases.

Configuración de VPN de IPsec de fase 1 (perfil de IKE)

Tabla 1. Ajustes configurables
Atributo Valores permitidos Valor recomendado
Protocolo IKEv1, IKEv2, IKE FLEX IKEv2
Algoritmo de cifrado AES (128, 256), AES-GCM (128, 192, 256) AES GCM

El cifrado con una mayor profundidad de bits es más difícil de descifrar, pero crea una mayor carga en el dispositivo de endpoint.

Algoritmo de resumen de túnel/IKE SHA-1, SHA-2

Si especifica un cifrado basado en GCM en Cifrado de IKE, establezca Algoritmo de resumen de IKE en Ninguno. La función de resumen es fundamental en el cifrado de GCM. Si usa un cifrado basado en GCM, debe usar IKE V2

Diffie-Hellman Grupos DH 2, 5, 14-16, 19-21 Grupos DH 19-21 o 14-16
Tabla 2. Configuración estática
Atributo Valor
Modo ISAKMP Modo principal (deshabilitar el modo agresivo)
Duración de asociación de seguridad ISAKMP/IKE 86.400 segundos (24 horas)
Modo de IPsec Túnel
Autenticación de IKE Clave precompartida

Configuración de VPN de IPsec de fase 2 (perfil de IPsec)

Los ajustes configurables son los mismos para la fase 1 y la fase 2.

Tabla 3. Ajustes configurables
Atributo Valores permitidos Valor recomendado
Protocolo IKEv1, IKEv2, IKE FLEX IKEv2
Algoritmo de cifrado AES (128, 256), AES-GCM (128, 192, 256) AES GCM

El cifrado con una mayor profundidad de bits es más difícil de descifrar, pero crea una mayor carga en el dispositivo de endpoint.

Algoritmo de resumen de túnel/IKE SHA-1, SHA-2

Si especifica un cifrado basado en GCM en Cifrado de IKE, establezca Algoritmo de resumen de IKE en Ninguno. La función de resumen es fundamental en el cifrado de GCM. Si usa un cifrado basado en GCM, debe usar IKE V2

Diffie-Hellman Grupos DH 2, 5, 14-16, 19-21 Grupos DH 19-21 o 14-16
Tabla 4. Configuración estática
Atributo Valor
Modo de túnel Carga de seguridad encapsuladora (Encapsulating Security Payload, ESP)
Vida útil de asociación de seguridad 3.600 segundos (una hora)

Configuración de VPN de IPsec local

Haga clic en DESCARGAR CONFIGURACIÓN en la página de estado de cualquier VPN para descargar un archivo que contenga los detalles de configuración de la VPN. Puede utilizar estos detalles para configurar el extremo local de la VPN.
Nota: No configure un tiempo de espera de inactividad en el lado local de una VPN (por ejemplo, la opción Tiempo de espera de inactividad de sesión de NSX). Los tiempos de espera inactivos en el lado local pueden hacer que la VPN se desconecte a intervalos.
La Referencia de configuración de VPN de IPsec de la zona técnica de VMware proporciona consejos detallados sobre la configuración de los endpoints y archivos de configuración de ejemplo para varios dispositivos de endpoint populares en VMware {code}.