必須設定任何 IPsec VPN 的內部部署端,以符合針對該 VPN 的 SDDC 端所指定的設定。

下表中的資訊概述了可用的 SDDC IPsec VPN 設定。您可以設定其中部分設定。部分是靜態的。使用此資訊以確認內部部署 VPN 解決方案可設定為符合 SDDC 中的設定。選擇一個內部部署 VPN 解決方案,該解決方案支援這些資料表中的所有靜態設定和任何可設定的設定。

階段 1 網際網路金鑰交換 (IKE) 設定

表 1. 可設定的 IKE 階段 1 設定
屬性 允許的值 建議的值
通訊協定 IKEv1、IKEv2、IKE FLEX IKEv2
加密演算法 AES (128、256)、AES-GCM (128、192、256) AES GCM
通道/IKE 摘要演算法 SHA-1、SHA-2 SHA-2
Diffie Hellman DH 群組 2、5、14-16 DH 群組 14-16
表 2. 靜態 IKE 階段 1 設定
屬性
ISAKMP 模式 主要模式 (停用積極模式)
ISAKMP/IKE SA 存留時間 86400 秒 (24 小時)
IPsec 模式 通道
IKE 驗證 預先共用金鑰

階段 2 IKE 設定

表 3. 可設定的 IKE 階段 2 設定
屬性 允許的值 建議的值
加密演算法 AES-256、AES-GCM、AES AES-GCM
完整轉寄密碼 (PFS) 已啟用、已停用 已啟用
Diffie Hellman DH 群組 2、5、14-16 DH 群組 14-16
表 4. 靜態 IKE 階段 2 設定
屬性
雜湊演算法 SHA-1
通道模式 封裝安全性裝載 (ESP)
SA 存留時間 3600 秒 (1 小時)

內部部署 IPsec VPN 組態

按一下任何 VPN 的 [狀態] 頁面上的 下載組態,以下載包含 VPN 組態詳細資料的檔案。您可以使用這些詳細資料設定 VPN 的內部部署端。
備註: 請勿將 VPN 的內部部署端設定為存在閒置逾時 (例如,NSX 的 工作階段閒置逾時設定)。內部部署閒置逾時可能會導致 VPN 定期中斷連線。
VMware {code} 上提供了多個常用端點裝置的範例組態檔。