El extremo local de cualquier VPN de IPsec se debe configurar para que coincida con la configuración especificada para el extremo de SDDC de dicha VPN.

La información recogida en las siguientes tablas resume la configuración de VPN de IPsec de SDDC disponible. Algunas de estas opciones son configurables, mientras que otras son estáticas. Utilice esta información para comprobar si su solución de VPN local se puede configurar para que sea la misma que la del SDDC. Elija una solución de VPN local que admita todas las configuraciones estáticas y alguna de las opciones configurables que aparecen en estas tablas.

Configuración de Intercambio de claves por red (Internet Key Exchange, IKE) de la fase 1

Tabla 1. Opciones de IKE de fase 1 configurables
Atributo Valores permitidos Valor recomendado
Protocolo IKEv1, IKEv2, IKE FLEX IKEv2
Algoritmo de cifrado AES (128, 256), AES-GCM (128, 192, 256) AES GCM
Algoritmo de resumen de túnel/IKE SHA-1, SHA-2 SHA-2
Diffie-Hellman Grupos de DH 2, 5, 14-16 Grupos de DH 14-16
Tabla 2. Opciones de IKE de fase 1 estáticas
Atributo Valor
Modo ISAKMP Modo principal (deshabilitar el modo agresivo)
Duración de asociación de seguridad ISAKMP/IKE 86.400 segundos (24 horas)
Modo de IPsec Túnel
Autenticación de IKE Clave precompartida

Configuración de IKE de fase 2

Tabla 3. Opciones de IKE de fase 2 configurables
Atributo Valores permitidos Valor recomendado
Algoritmo de cifrado AES-256, AES-GCM, AES AES-GCM
Confidencialidad directa total (Perfect Forward Secrecy, PFS) Habilitada, deshabilitada Habilitada
Diffie-Hellman Grupos de DH 2, 5, 14-16 Grupos de DH 14-16
Tabla 4. Opciones de IKE de fase 2 estáticas
Atributo Valor
Algoritmo de hash SHA-1
Modo de túnel Carga de seguridad encapsuladora (Encapsulating Security Payload, ESP)
Vida útil de asociación de seguridad 3.600 segundos (una hora)

Configuración de VPN de IPsec local

Haga clic en DESCARGAR CONFIGURACIÓN en la página de estado de cualquier VPN para descargar un archivo que contenga los detalles de configuración de la VPN. Puede utilizar estos detalles para configurar el extremo local de la VPN.
Nota: No configure un tiempo de espera de inactividad en el lado local de una VPN (por ejemplo, la opción Tiempo de espera de inactividad de sesión de NSX). Los tiempos de espera inactivos en el lado local pueden hacer que la VPN se desconecte a intervalos.
Los archivos de configuración de ejemplo para varios dispositivos de endpoint populares están disponibles en VMware {code}.