L'estremità locale di qualsiasi VPN IPsec deve essere configurato in modo da corrispondere alle impostazioni specificate per il punto finale SDDC di tale VPN.

Le informazioni riportate nelle tabelle seguenti riepilogano le impostazioni disponibili per la VPN IPsec di SDDC. Alcune impostazioni sono configurabili. Altre sono statiche. Utilizzare queste informazioni per verificare che la soluzione VPN locale possa essere configurata in modo da corrispondere a quella impostata nell'SDDC. Scegliere una soluzione VPN locale che supporti tutte le impostazioni statiche e una qualsiasi delle impostazioni configurabili elencate in queste tabelle.

Informazioni relative all'impatto dei gruppi Diffie-Hellman sulle prestazioni e sulla sicurezza di VPN IPsec

La configurazione di VPN IPsec richiede la scelta di un gruppo Diffie-Hellman (DH), utilizzato in entrambe le fasi della negoziazione IKE per comunicare in modo sicuro le chiavi private tra gli endpoint su un percorso non attendibile. I gruppi DH 19-21 rappresentano un incremento significativo della sicurezza rispetto ai gruppi 14-16 e utilizzano meno risorse durante la crittografia. La Guida alle VPN IPsec del NIST (PDF) fornisce informazioni più dettagliate su queste e altre opzioni di configurazione di VPN IPsec.
Nota: I gruppi DH 2 e 5 non sono approvati dal NIST e devono essere utilizzati solo se necessario per garantire la compatibilità con un dispositivo locale meno recente.

La procedura consigliata prevede che le impostazioni configurabili siano uguali per entrambe le fasi.

Impostazioni VPN IPsec fase 1 (profilo IKE)

Tabella 1. Impostazioni configurabili
Attributo Valori consentiti Valore consigliato
Protocollo IKEv1, IKEv2, IKE FLEX IKEv2
Algoritmo di crittografia AES (128, 256), AES-GCM (128, 192, 256) AES GCM

La crittografia con profondità di bit più elevate è più complessa da violare, ma causa un carico maggiore sul dispositivo endpoint.

Algoritmo digest tunnel/IKE SHA1, SHA2 (256, 384, 512)

Se si specifica una crittografia basata su GCM per la crittografia IKE, impostare l'opzione Algoritmo digest IKE su Nessuno. La funzione del digest è fondamentale per la crittografia GCM. Se si utilizza una crittografia basata su GCM, è necessario utilizzare IKE V2

Diffie Hellman Gruppi DH 2, 5, 14-16, 19-21 Gruppi DH 19-21 o 14-16
Tabella 2. Impostazioni statiche
Attributo Valore
Modalità ISAKMP Modalità principale
Durata SA ISAKMP/IKE 86400 secondi (24 ore)
Modalità IPsec Tunnel
Autenticazione IKE Chiave già condivisa

Impostazioni VPN IPsec fase 2 (profilo IPsec)

Le impostazioni configurabili sono le stesse per fase 1 e fase 2.

Tabella 3. Impostazioni configurabili
Attributo Valori consentiti Valore consigliato
Protocollo IKEv1, IKEv2, IKE FLEX IKEv2
Algoritmo di crittografia AES (128, 256), AES-GCM (128, 192, 256) AES GCM

La crittografia con profondità di bit più elevate è più complessa da violare, ma causa un carico maggiore sul dispositivo endpoint.

Algoritmo digest tunnel/IKE SHA-1, SHA2 (256, 384, 512)

Se si specifica una crittografia basata su GCM per la crittografia IKE, impostare l'opzione Algoritmo digest IKE su Nessuno. La funzione del digest è fondamentale per la crittografia GCM. Se si utilizza una crittografia basata su GCM, è necessario utilizzare IKE V2

Diffie Hellman Gruppi DH 2, 5, 14-16, 19-21 Gruppi DH 19-21 o 14-16
Tabella 4. Impostazioni statiche
Attributo Valore
Modalità tunnel Incapsulamento del payload di sicurezza (ESP)
Durata SA 3600 secondi (un'ora)

Configurazione VPN IPsec locale

Fare clic su SCARICA CONFIG nella pagina di stato di qualsiasi VPN per scaricare un file contenente i dettagli della configurazione VPN. È possibile utilizzare questi dettagli per configurare l'estremità locale della VPN.
Nota: Non configurare il lato locale di una VPN con un timeout di inattività (ad esempio, l'impostazione Timeout inattività sessione di NSX). I timeout di inattività locali possono provocare la disconnessione periodica della VPN.
Il Riferimento per la configurazione VPN IPsec della Tech Zone VMware fornisce consigli dettagliati sulla configurazione dell'endpoint; su VMware {code} sono disponibili i file di configurazione esemplificativi per diversi dispositivi endpoint comuni.