IPsec VPN のオンプレミス側の設定は、その VPN の Software-Defined Data Center (SDDC) 側で指定した設定と同じにする必要があります。

次の表は、SDDC IPsec VPN 設定の概要を示したものです。設定には変更可能なものと、変更できない固定的なものがあります。この情報を使用して、オンプレミスの VPN ソリューションを SDDC 内の VPN ソリューションと一致するように設定できるかどうかを確認してください。以下の表に記載されたすべての固定設定と、変更可能な任意の設定をサポートするオンプレミスの VPN ソリューションを選択します。

IKE (Internet Key Exchange) フェーズ 1 の設定

表 1. 変更可能な IKE フェーズ 1 設定
属性 使用可能な値 推奨値
プロトコル IKEv1、IKEv2、IKE FLEX IKEv2
暗号化アルゴリズム AES(128、256)、AES-GCM(128、192、256) AES GCM
トンネル/IKE ダイジェスト アルゴリズム SHA-1、SHA-2 SHA-2
Diffie Hellman (DH) DH グループ 2、5、14 ~ 16 DH グループ 14 ~ 16
表 2. 固定の IKE フェーズ 1 設定
属性
ISAKMP モード Main モード(アグレッシブ モードを無効化)
ISAKMP/IKE SA ライフタイム 86,400 秒(24 時間)
IPsec モード トンネル
IKE 認証 PSK (Pre Shared Key)

フェーズ 2 の IKE 設定

表 3. 変更可能な IKE フェーズ 2 設定
属性 使用可能な値 推奨値
暗号化アルゴリズム AES-256、AES-GCM、AES AES-GCM
PFS (Perfect Forward Secrecy) Enabled、Disabled 有効
Diffie Hellman (DH) DH グループ 2、5、14 ~ 16 DH グループ 14 ~ 16
表 4. 固定の IKE フェーズ 2 設定
属性
ハッシュ アルゴリズム SHA-1
トンネル モード ESP (Encapsulating Security Payload)
SA ライフタイム 3600 秒(1 時間)

オンプレミス IPsec VPN の設定

VPN 設定の詳細を含むファイルをダウンロードするには、VPN のステータス ページで [設定のダウンロード] をクリックします。これらの詳細を使用して、VPN のオンプレミスのエンドを設定できます。
注: VPN のオンプレミス側では、アイドル タイムアウト(たとえば、NSX の [セッション アイドル タイムアウト])を設定しないでください。オンプレミスのアイドル タイムアウトを設定すると、VPN の切断が断続的に発生する可能性があります。
VMware {code} には、いくつかの一般的なエンドポイント デバイスのサンプル構成ファイルが提供されています。