必須設定任何 IPsec VPN 的內部部署端,以符合針對該 VPN 的 SDDC 端所指定的設定。
下表中的資訊概述了可用的 SDDC IPsec VPN 設定。您可以設定其中部分設定。部分是靜態的。使用此資訊以確認內部部署 VPN 解決方案可設定為符合 SDDC 中的設定。選擇一個內部部署 VPN 解決方案,該解決方案支援這些資料表中的所有靜態設定和任何可設定的設定。
瞭解 Diffie-Hellman 群組如何影響 IPsec VPN 效能和安全性
IPsec VPN 組態需要您選擇 Diffie-Hellman (DH) 群組以用於 IKE 交涉的兩個階段,以便透過不受信任的路徑在端點之間安全地傳遞私密金鑰。相比群組 14-16,DH 群組 19-21 的安全性顯著提高,並且在加密期間耗用的資源較少。NIST 的
《IPsec VPN 指南》(PDF) 提供了有關這些和其他 IPsec VPN 組態選擇的更多詳細資料。
備註: DH 群組 2 和 5 未經 NIST 核准,應僅在需要與較舊的內部部署裝置相容時使用。
最佳做法是,這兩個階段可設定的設定應相同。
階段 1 (IKE 設定檔) IPsec VPN 設定
| 屬性 | 允許的值 | 建議的值 |
|---|---|---|
| 通訊協定 | IKEv1、IKEv2、IKE FLEX | IKEv2 |
| 加密演算法 | AES (128、256)、AES-GCM (128、192、256) | AES GCM 具有較高位元深度的加密難以破解,但會在端點裝置上產生更多負載。 |
| 通道/IKE 摘要演算法 | SHA1、SHA2 (256、384、512) | 如果為 IKE 加密指定 GCM 型加密時,請將 IKE 摘要演算法設為無。摘要功能對於 GCM 加密非常重要。如果您使用 GCM 型加密,則必須使用 IKE V2 |
| Diffie Hellman | DH 群組 2、5、14-16、19-21 | DH 群組 19-21 或 14-16 |
| 屬性 | 值 |
|---|---|
| ISAKMP 模式 | 主要模式 |
| ISAKMP/IKE SA 存留時間 | 86400 秒 (24 小時) |
| IPsec 模式 | 通道 |
| IKE 驗證 | 預先共用金鑰 |
階段 2 (IPsec 設定檔) IPsec VPN 設定
階段 1 和階段 2 之可設定的設定相同。
| 屬性 | 允許的值 | 建議的值 |
|---|---|---|
| 通訊協定 | IKEv1、IKEv2、IKE FLEX | IKEv2 |
| 加密演算法 | AES (128、256)、AES-GCM (128、192、256) | AES GCM 具有較高位元深度的加密難以破解,但會在端點裝置上產生更多負載。 |
| 通道/IKE 摘要演算法 | SHA-1、SHA2 (256、384、512) | 如果為 IKE 加密指定 GCM 型加密時,請將 IKE 摘要演算法設為無。摘要功能對於 GCM 加密非常重要。如果您使用 GCM 型加密,則必須使用 IKE V2 |
| Diffie Hellman | DH 群組 2、5、14-16、19-21 | DH 群組 19-21 或 14-16 |
| 屬性 | 值 |
|---|---|
| 通道模式 | 封裝安全性裝載 (ESP) |
| SA 存留時間 | 3600 秒 (1 小時) |
內部部署 IPsec VPN 組態
按一下任何 VPN 的 [狀態] 頁面上的
下載組態,以下載包含 VPN 組態詳細資料的檔案。您可以使用這些詳細資料設定 VPN 的內部部署端。
備註: 請勿將 VPN 的內部部署端設定為存在閒置逾時 (例如,NSX 的
工作階段閒置逾時設定)。內部部署閒置逾時可能會導致 VPN 定期中斷連線。
VMware 技術區
IPSec VPN 組態參考提供了詳細的端點組態建議,且可在 VMware {code} 上取得多個常用端點裝置的範例組態檔。
