IPsec VPN のオンプレミス側の設定は、その VPN の Software-Defined Data Center (SDDC) 側で指定した設定と同じにする必要があります。
次の表は、SDDC IPsec VPN 設定の概要を示したものです。設定には変更可能なものと、変更できない固定的なものがあります。この情報を使用して、オンプレミスの VPN ソリューションを SDDC 内の VPN ソリューションと一致するように設定できるかどうかを確認してください。以下の表に記載されたすべての固定設定と、変更可能な任意の設定をサポートするオンプレミスの VPN ソリューションを選択します。
Diffie-Hellman グループが IPsec VPN のパフォーマンスとセキュリティに与える影響について
IPsec VPN 構成では、Diffie-Hellman (DH) グループを選択する必要があります。これは、IKE ネゴシエーションの両フェーズで、信頼されていないパスを介してエンドポイント間でプライベート キーを安全にやり取りする際に使用されます。DH グループ 19 ~ 21 は、グループ 14 ~ 16 に比べてセキュリティが大幅に強化され、暗号化時のリソース使用が少なくなります。NIST の
Guide to IPsec VPNs (PDF) では、これらと IPsec VPN 構成の他の選択肢について非常に詳細に説明しています。
注: DH グループ 2 と 5 は NIST で非承認のため、古いオンプレミス デバイスとの互換性のために必要な場合にかぎり使用してください。
ベスト プラクティスとして、構成可能な設定は両フェーズで同じにする必要があります。
フェーズ 1(IKE プロファイル)IPsec VPN 設定
| 属性 | 使用可能な値 | 推奨値 |
|---|---|---|
| プロトコル | IKEv1、IKEv2、IKE FLEX | IKEv2 |
| 暗号化アルゴリズム | AES(128、256)、AES-GCM(128、192、256) | AES GCM 暗号化のビット深度を大きくすると、解読が難しくなりますが、エンドポイント デバイスの負荷が増えます。 |
| トンネル/IKE ダイジェスト アルゴリズム | SHA1、SHA2 (256、384、512) | [IKE 暗号化] に GCM ベースの暗号を指定する場合は、[IKE ダイジェスト アルゴリズム] を [なし] に設定します。ダイジェスト機能は GCM 暗号に不可欠です。GCM ベースの暗号を使用する場合は IKE V2 を使用する必要があります |
| Diffie Hellman (DH) | DH グループ 2、5、14 ~ 16、19 ~ 21 | DH グループ 19 ~ 21 または 14 ~ 16 |
| 属性 | 値 |
|---|---|
| ISAKMP モード | Main モード |
| ISAKMP/IKE SA ライフタイム | 86,400 秒(24 時間) |
| IPsec モード | トンネル |
| IKE 認証 | PSK (Pre Shared Key) |
フェーズ 2(IPsec プロファイル)IPsec VPN 設定
構成可能な設定は、フェーズ 1 とフェーズ 2 で同じです。
| 属性 | 使用可能な値 | 推奨値 |
|---|---|---|
| プロトコル | IKEv1、IKEv2、IKE FLEX | IKEv2 |
| 暗号化アルゴリズム | AES(128、256)、AES-GCM(128、192、256) | AES GCM 暗号化のビット深度を大きくすると、解読が難しくなりますが、エンドポイント デバイスの負荷が増えます。 |
| トンネル/IKE ダイジェスト アルゴリズム | SHA-1、SHA2(256、384、512) | [IKE 暗号化] に GCM ベースの暗号を指定する場合は、[IKE ダイジェスト アルゴリズム] を [なし] に設定します。ダイジェスト機能は GCM 暗号に不可欠です。GCM ベースの暗号を使用する場合は IKE V2 を使用する必要があります |
| Diffie Hellman (DH) | DH グループ 2、5、14 ~ 16、19 ~ 21 | DH グループ 19 ~ 21 または 14 ~ 16 |
| 属性 | 値 |
|---|---|
| トンネル モード | ESP (Encapsulating Security Payload) |
| SA ライフタイム | 3600 秒(1 時間) |
オンプレミス IPsec VPN の設定
VPN 構成の詳細を含むファイルをダウンロードするには、VPN のステータス ページで
[設定のダウンロード] をクリックします。これらの詳細を使用して、VPN のオンプレミスのエンドを構成できます。
注: VPN のオンプレミス側では、アイドル タイムアウト(たとえば、NSX の
[セッション アイドル タイムアウト])を構成しないでください。オンプレミスのアイドル タイムアウトを設定すると、VPN の切断が断続的に発生する可能性があります。
VMware Tech Zone の
IPsec VPN 構成リファレンスでは、エンドポイントの構成に関する詳細なアドバイスを提供しています。また、VMware {code} では、一般的なエンドポイント デバイスのサンプル構成ファイルが入手できます。
