如果您選擇在您的網路和 VMware 資料中心之間設定站台對站台 VPN,Horizon Cloud 設定 Web 表單會列出必要和選用的 IPsec VPN 通訊協定和參數。

針對 IPsec VPN,Horizon Cloud Service 會使用 Edge 閘道,這是可提供額外的安全性選項和功能的虛擬應用裝置。Edge 閘道對階段 1 支援主要模式,對階段 2 支援快速模式。如需這些詞彙的說明,請洽詢您的網路工程師或《VMware NSX 管理指南》

下表列出要在每個階段中使用的通訊協定和參數。您必須如同在 Horizon Cloud Service 中,針對網路上的每個階段設定相同的通訊協定和參數。例如,ISAKMP 參數用於階段 1、IKE 參數用於階段 2,以及 Oakley 通訊協定用於驗證以及 MODP 群組 2。所有參數皆為必要參數。在升級至 Edge 閘道的程序中,用於重設金鑰的階段 2 完整轉寄密碼 (PFS) 為選用。

通訊協定和參數 階段 1 階段 2
雜湊 (SHA 或 MD5) SHA1 SHA1
驗證模式 主要 快速
加密 AES、AES256、Triple DES、AES-GCM AES、AES256、Triple DES、AES-GCM
Diffie-Hellman 群組 (2、5、14、15 或 16) 2 2
封裝 (AH 或 ESP) 不適用 ESP
使用期限 28800 3600
完整轉寄密碼 不適用 True。共用密碼的需求:您可以提供自己的共用密碼,或者 Horizon Cloud Service 可產生要在這兩端上使用的隨機共用密碼。
  • 介於 32 到 128 個字元之間
  • 至少 1 個大寫字母
  • 至少 1 個小寫字母
  • 至少 1 個數字
  • 無特殊字元
備註: 某些 IPsec VPN 參數,例如定義指定通道用來加密資料的存留期的安全性關聯 (SA) 存留期計時器,即無法在 Edge 閘道中變更。必須在租用戶設備上將這些參數變更,以符合 Edge 閘道中的那些參數。部署程序包含兩個階段,且階段 1 和階段 2 均包含 SA 存留期計時器。當 SA 計時器到期,它會對這兩端重新交涉驗證。不過,Edge 閘道不會在流量上重新驗證,只會在存留期計時器上重新驗證。因此,若未在租用戶端上將計時器設定為符合 Horizon Cloud Service 端上的計時器,即可能導致 VPN 通道中的問題。