Параметры IPSec Site-to-Site VPN, поддерживаемые Edge Gateway (vCloud Director v 9.7)

В данной таблице перечислены параметры туннеля IPSec S2S VPN для vCloud Director версии 9.7. Параметры, жестко прошитые в свойствах Edge и недоступные для изменения, отмечены красным цветом.

Имя Значение по умолчанию Рекомендуемое значение Варианты Описание
Enabled Off     Включение/выключение туннеля
Enable perfect forward secrecy(PFS) Off On   Генерация нового ключа для 2й фазы IKE. При включенном PFS группа DH будет такая же как и на 1й фазе.
Name       Название туннеля
Local Id       Идентификатор Edge Gateway. Как правило - его внешний IP адрес
Local Endpoint       Внешний IP адрес Edge, с которого осуществляется подключение
Local Subnets       Список локальных сетей в облаке, доступных через туннель
Peer Id       Идентификатор удаленного маршрутизатора. Как правило - его внешний IP адрес
Peer Endpoint       Внешний IP адрес удаленного маршрутизатора, с которого осуществляется подключение
Peer Subnets       Список удаленных сетей, доступных через туннель
Encryption Algorithm AES(AES128) AES256 AES(AES128), AES256,AES-CGM, 3DES Алгоритмы шифрования. 3DES является устаревшим и не рекомендуется к использованию
Authentication PSK PSK PSK, Certificate Способ аутентификации сторон при поднятии туннеля
Diffie-Hellman Group DH5 DH14 DH2, DH5, DH14, DH15, DH16 Размер открытого ключа шифрования 
Digest Algorithm SHA1 SHA-256 SHA1, SHA-256 Алгоритм хеширования контроля целостности пакетов
IKE Option IKEv1 IKEv2 IKEv1, IKEv2, IKEFlex Версия протокола обмена ключами*
IKE Responder only Off Off   При включении Edge будет не инициировать соединение, а ожидать подключения с удаленной стороны.**
Session Type Policy Based Policy Based Policy Based, Route Based Тип туннеля.***
IKE Phase 1 Mode Main Main Main Режим 1й фазы IKE. Неизменяемый параметр.
IKE Phase 1 Lifetime 28800 28800 28800 Время смены ключей 1й фазы IKE. Неизменяемый параметр.
IKE Phase 2 Tunnel Mode ESP ESP ESP Режим туннеля 2й фазы IKE. Неизменяемый параметр.
IKE Phase 2 Lifetime
3600 3600
3600
Время смены ключей 2й фазы IKE. Неизменяемый параметр.

* - IKEFlex - нестандартная версия протокола, не поддерживаемая большинством сетевых устройств

** -  Настройка может быть полезной в случае когда удаленная конечная точка туннеля на имеет прямого доступа в Интернет и нет возможности корректно настроить NAT

*** - Route Based Type позволяет назначить на туннель собственный IP адрес. Данный вариант поддерживается рядом сетевых устройств, таких как Juniper SRX , и позволяет реализовывать различные схемы отказоустойчивости с использованием динамической маршрутизации.

Ещё не пробовали услугу "Облачный хостинг" от Cloud4Y?

 

Отправьте заявку сейчас и получите 10-ти дневный бесплатный доступ.

 

 

 

Смотреть подробности   

 

 

  • 52 Пользователи нашли это полезным
Помог ли вам данный ответ?

Связанные статьи

NSX Edge - характеристики, производительность

  VMware NSX Edge – это решение, обеспечивающее для виртуального дата-центра функции...

Remote Access SSL VPN-Plus

Настройка сервера удаленного доступа SSL VPN-Plus   Технология SSL VPN-Plus позволяет...

Mikrotik, Site to Site VPN

 С подробным описанием параметров туннеля можно ознакомиться в отдельной статье. Краткая...

Резервирование VPN подключения

Однажды к нам обратился клиент с просьбой обеспечить резервирование VPN туннеля между офисом и...

Juniper SRX, Site-to-Site VPN

Настройка Site-to-Site VPN между Edge gateway и Juniper SRX Схема: С подробным описанием...