必須設定任何 IPsec VPN 的內部部署端,以符合針對該 VPN 的 SDDC 端所指定的設定。

下表中的資訊概述了可用的 SDDC IPsec VPN 設定。您可以設定其中部分設定。部分是靜態的。使用此資訊以確認內部部署 VPN 解決方案可設定為符合 SDDC 中的設定。選擇一個內部部署 VPN 解決方案,該解決方案支援這些資料表中的所有靜態設定和任何可設定的設定。

瞭解 Diffie-Hellman 群組如何影響 IPsec VPN 效能和安全性

IPsec VPN 組態需要您選擇 Diffie-Hellman (DH) 群組以用於 IKE 交涉的兩個階段,以便透過不受信任的路徑在端點之間安全地傳遞私密金鑰。相比群組 14-16,DH 群組 19-21 的安全性顯著提高,並且在加密期間耗用的資源較少。NIST 的 《IPsec VPN 指南》(PDF) 提供了有關這些和其他 IPsec VPN 組態選擇的更多詳細資料。
備註: DH 群組 2 和 5 未經 NIST 核准,應僅在需要與較舊的內部部署裝置相容時使用。

最佳做法是,這兩個階段可設定的設定應相同。

階段 1 (IKE 設定檔) IPsec VPN 設定

表 1. 可設定的設定
屬性 允許的值 建議的值
通訊協定 IKEv1、IKEv2、IKE FLEX IKEv2
加密演算法 AES (128、256)、AES-GCM (128、192、256) AES GCM

具有較高位元深度的加密難以破解,但會在端點裝置上產生更多負載。

通道/IKE 摘要演算法 SHA1、SHA2 (256、384、512)

如果為 IKE 加密指定 GCM 型加密時,請將 IKE 摘要演算法設為。摘要功能對於 GCM 加密非常重要。如果您使用 GCM 型加密,則必須使用 IKE V2

Diffie Hellman DH 群組 2、5、14-16、19-21 DH 群組 19-21 或 14-16
表 2. 靜態設定
屬性
ISAKMP 模式 主要模式
ISAKMP/IKE SA 存留時間 86400 秒 (24 小時)
IPsec 模式 通道
IKE 驗證 預先共用金鑰

階段 2 (IPsec 設定檔) IPsec VPN 設定

階段 1 和階段 2 之可設定的設定相同。

表 3. 可設定的設定
屬性 允許的值 建議的值
通訊協定 IKEv1、IKEv2、IKE FLEX IKEv2
加密演算法 AES (128、256)、AES-GCM (128、192、256) AES GCM

具有較高位元深度的加密難以破解,但會在端點裝置上產生更多負載。

通道/IKE 摘要演算法 SHA-1、SHA2 (256、384、512)

如果為 IKE 加密指定 GCM 型加密時,請將 IKE 摘要演算法設為。摘要功能對於 GCM 加密非常重要。如果您使用 GCM 型加密,則必須使用 IKE V2

Diffie Hellman DH 群組 2、5、14-16、19-21 DH 群組 19-21 或 14-16
表 4. 靜態設定
屬性
通道模式 封裝安全性裝載 (ESP)
SA 存留時間 3600 秒 (1 小時)

內部部署 IPsec VPN 組態

按一下任何 VPN 的 [狀態] 頁面上的 下載組態,以下載包含 VPN 組態詳細資料的檔案。您可以使用這些詳細資料設定 VPN 的內部部署端。
備註: 請勿將 VPN 的內部部署端設定為存在閒置逾時 (例如,NSX 的 工作階段閒置逾時設定)。內部部署閒置逾時可能會導致 VPN 定期中斷連線。
VMware 技術區 IPSec VPN 組態參考提供了詳細的端點組態建議,且可在 VMware {code} 上取得多個常用端點裝置的範例組態檔。