모든 IPsec VPN의 온-프레미스 끝은 해당 VPN의 SDDC 끝에 대해 지정한 설정과 일치하도록 구성되어야 합니다.

다음 표의 정보에는 사용 가능한 SDDC IPsec VPN 설정이 요약되어 있습니다. 일부 설정은 구성이 가능합니다. 일부는 정적입니다. 이 정보를 사용하여 온-프레미스 VPN 솔루션을 SDDC의 솔루션과 일치하도록 구성할 수 있는지 확인합니다. 이 표에 나열된 모든 정적 설정과 구성 가능한 설정을 지원하는 온-프레미스 VPN 솔루션을 선택합니다.

1단계 IKE(Internet Key Exchange) 설정

표 1. 구성 가능한 IKE 1단계 설정
특성 허용되는 값 권장되는 값
프로토콜 IKEv1, IKEv2, IKE FLEX IKEv2
암호화 알고리즘 AES(128, 256), AES-GCM(128, 192, 256) AES GCM
터널/IKE 다이제스트 알고리즘 SHA-1, SHA-2 SHA-2
Diffie Hellman DH 그룹 2, 5, 14-16 DH 그룹 14-16
표 2. 정적 IKE 1단계 설정
특성
ISAKMP 모드 기본 모드(적극적 모드 사용 안 함)
ISAKMP/IKE SA 수명 86400초(24시간)
IPsec 모드 터널
IKE 인증 사전 공유 키

2단계 IKE 설정

표 3. 구성 가능한 IKE 2단계 설정
특성 허용되는 값 권장되는 값
암호화 알고리즘 AES-256, AES-GCM, AES AES-GCM
PFS(Perfect Forward Secrecy) 사용, 사용 안 함 사용
Diffie Hellman DH 그룹 2, 5, 14-16 DH 그룹 14-16
표 4. 정적 IKE 2단계 설정
특성
해싱 알고리즘 SHA-1
터널 모드 ESP(Encapsulating Security Payload)
SA 수명 3600초(1시간)

온-프레미스 IPsec VPN 구성

VPN의 상태 페이지에서 구성 다운로드를 클릭하여 VPN 구성 세부 정보가 포함된 파일을 다운로드합니다. 이러한 세부 정보를 사용하여 VPN의 온-프레미스 끝을 구성할 수 있습니다.
참고: VPN의 온-프레미스 쪽에 유휴 시간 초과가 발생하도록 구성하지 마십시오(예: NSX 세션 유휴 시간 초과 설정). 온-프레미스 유휴 시간 초과로 인해 주기적으로 VPN 연결이 끊어질 수 있습니다.
가장 많이 사용되는 몇 가지 끝점 디바이스에 대한 샘플 구성 파일은 VMware {code}에서 사용할 수 있습니다.