El formulario web de configuración de Horizon Cloud muestra los parámetros y los protocolos de VPN IPsec obligatorios y opcionales si elige configurar una VPN de sitio a sitio entre la red y el centro de datos de VMware.

Para las VPN IPsec, Horizon Cloud Service utiliza Edge Gateway, un dispositivo virtual que proporciona funciones y opciones de seguridad adicionales. Edge Gateway tiene soporte para el modo principal para la fase 1 y para el modo rápido para la fase 2. Para obtener una explicación de estos términos, consulte a su ingeniero de redes o consulte la Guía de administración de VMware NSX.

En la siguiente tabla se enumeran los protocolos y los parámetros que se utilizarán en cada fase. Debe establecer para cada fase de la red los mismos protocolos y parámetros que en Horizon Cloud Service. Por ejemplo, los parámetros ISAKMP se utilizan para la fase 1, los parámetros IKE se utilizan para la fase 2 y los protocolos Oakley se utilizan para la autenticación, así como el grupo MODP 2. Todos los parámetros son obligatorios. En la actualización a Edge Gateway, la confidencialidad directa total (PFS) de fase 2 para volver a establecer las claves es opcional.

Protocolos y parámetros Fase 1 Fase 2
Hash (SHA o MD5) SHA1 SHA1
Modo de autenticación Principal Rápida
Cifrado AES, AES256, Triple DES, AES-GCM AES, AES256, Triple DES, AES-GCM
Grupo Diffie-Hellman (2, 5, 14, 15 o 16) 2 2
Encapsulación (AH o ESP) N/D ESP
Duración 28800 3600
Confidencialidad directa total N/D Verdadero. Requisitos del secreto compartido: puede proporcionar su propio secreto compartido o bien Horizon Cloud Service puede generar un secreto compartido aleatorio para usarlo en ambos lados.
  • Entre 32 y 128 caracteres
  • Al menos 1 letra en mayúscula
  • Al menos 1 letra en minúscula
  • Al menos 1 número
  • No hay caracteres especiales
Nota: Algunos parámetros de VPN IPsec, como los temporizadores de duración de SA (Asociación de seguridad), que definen la duración que un túnel determinado utiliza para cifrar los datos, no pueden cambiarse en Edge Gateway. Estos parámetros se deben cambiar en el equipo del arrendatario para que coincidan con los de Edge Gateway. El proceso de implementación incluye dos fases, y tanto la fase 1 como la fase 2 incluyen temporizadores de duración de SA. Cuando el temporizador de SA caduca, vuelve a negociar la autenticación para ambos lados. Sin embargo, Edge Gateway no vuelve a autenticarse en el tráfico, sino que vuelve a autenticarse solo en el temporizador de duración. Por lo tanto, si no se establecen los temporizadores en el lado del arrendatario para que coincidan con los del lado de Horizon Cloud Service, pueden causar problemas en el túnel de VPN.