L'extrémité sur site de n'importe quel VPN IPsec doit être configurée pour correspondre aux paramètres que vous avez spécifiés pour l'extrémité SDDC de ce VPN.

Les informations des tableaux ci-dessous résument les paramètres de VPN IPsec SDDC disponibles. Certains paramètres peuvent être configurés. D'autres sont statiques. Utilisez ces informations pour vérifier que votre solution VPN sur site peut être configurée pour correspondre à celle de votre SDDC. Choisissez une solution VPN sur site qui prend en charge tous les paramètres statiques et les paramètres configurables répertoriés dans ces tableaux.

Comprendre comment les groupes Diffie-Hellman affectent les performances et la sécurité du VPN IPsec

La configuration de VPN IPsec nécessite de choisir un groupe Diffie-Hellman (DH), qui est utilisé dans les deux phases de la négociation IKE pour communiquer en toute sécurité des clés privées entre les points de terminaison sur un chemin non approuvé. Les groupes DH 19-21 représentent une augmentation significative de la sécurité par rapport aux groupes 14-16 et consomment moins de ressources lors du chiffrement. Le guide Guide to IPsec VPNs (PDF) de NIST fournit plus de détails sur ces derniers et d'autres choix de configuration VPN IPsec.
Note : Les groupes DH 2 et 5 ne sont pas approuvés par NIST et ne doivent être utilisés que lorsque cela est nécessaire à des fins de compatibilité avec un périphérique sur site plus ancien.

Il est recommandé de configurer les paramètres pour les deux phases.

Paramètres de VPN IPsec de phase 1 (Profil IKE)

Tableau 1. Paramètres configurables
Attribut Valeurs autorisées Valeur recommandée
Protocole IKEv1, IKEv2, IKE FLEX IKEv2
Algorithme de chiffrement AES (128, 256), AES-GCM (128, 192, 256) AES GCM

Le chiffrement avec des profondeurs de bits plus élevées est plus difficile à craquer, mais crée une charge supplémentaire sur votre terminal de point de terminaison.

Tunnel/Algorithme IKE Digest SHA1, SHA2 (256, 384, 512)

Si vous spécifiez un chiffrement basé sur GCM pour Chiffrement IKE, définissez l'algorithme de chiffrement IKE sur Aucun. La fonction de chiffrement est intégrée au chiffrement GCM. Vous devez utiliser IKE V2 si vous utilisez un chiffrement basé sur GCM

Diffie Hellman Groupes DH 2, 5, 14-16, 19-21 Groupes DH 19-21 ou 14-16
Tableau 2. Paramètres statiques
Attribut Valeur
Mode ISAKMP Mode principal
Durée de vie ISAKMP/IKE SA 86 400 secondes (24 heures)
Mode IPsec Tunnel
Authentification IKE Clé prépartagée

Paramètres de VPN IPsec de phase 2 (Profil IPsec)

Les paramètres configurables sont les mêmes pour la phase 1 et la phase 2.

Tableau 3. Paramètres configurables
Attribut Valeurs autorisées Valeur recommandée
Protocole IKEv1, IKEv2, IKE FLEX IKEv2
Algorithme de chiffrement AES (128, 256), AES-GCM (128, 192, 256) AES GCM

Le chiffrement avec des profondeurs de bits plus élevées est plus difficile à craquer, mais crée une charge supplémentaire sur votre terminal de point de terminaison.

Tunnel/Algorithme IKE Digest SHA-1, SHA2 (256, 384, 512)

Si vous spécifiez un chiffrement basé sur GCM pour Chiffrement IKE, définissez l'algorithme de chiffrement IKE sur Aucun. La fonction de chiffrement est intégrée au chiffrement GCM. Vous devez utiliser IKE V2 si vous utilisez un chiffrement basé sur GCM

Diffie Hellman Groupes DH 2, 5, 14-16, 19-21 Groupes DH 19-21 ou 14-16
Tableau 4. Paramètres statiques
Attribut Valeur
Mode tunnel Protocole ESP (Encapsulating Security Payload)
Durée de vie SA 3 600 secondes (une heure)

Configuration de VPN IPsec sur site

Cliquez sur TÉLÉCHARGER LA CONFIGURATION sur la page d'état de n'importe quel VPN pour télécharger un fichier contenant les détails de la configuration VPN. Vous pouvez utiliser ces détails pour configurer l'extrémité sur site du VPN.
Note : Ne configurez pas le côté sur site du VPN afin d'avoir un délai d'inactivité (par exemple, le paramètre NSX Délai d'inactivité de session). Les délais d'inactivité sur site peuvent ponctuellement provoquer la déconnexion du VPN.
L'article VMware Tech Zone Référence de configuration de VPN IPSec fournit des conseils détaillés sur la configuration du point de terminaison et des exemples de fichiers de configuration pour plusieurs périphériques de point de terminaison populaires sont disponibles sur VMware {code}.