Параметры IPSec Site-to-Site VPN, поддерживаемые Edge Gateway (vCloud Director v 9.7)

В данной таблице перечислены параметры туннеля IPSec S2S VPN для vCloud Director версии 9.7. Параметры, жестко прошитые в свойствах Edge и недоступные для изменения, отмечены красным цветом.

Имя Значение по умолчанию Рекомендуемое значение Варианты Описание
Enabled Off     Включение/выключение туннеля
Enable perfect forward secrecy(PFS) Off On   Генерация нового ключа для 2й фазы IKE. При включенном PFS группа DH будет такая же как и на 1й фазе.
Name       Название туннеля
Local Id       Идентификатор Edge Gateway. Как правило - его внешний IP адрес
Local Endpoint       Внешний IP адрес Edge, с которого осуществляется подключение
Local Subnets       Список локальных сетей в облаке, доступных через туннель
Peer Id       Идентификатор удаленного маршрутизатора. Как правило - его внешний IP адрес
Peer Endpoint       Внешний IP адрес удаленного маршрутизатора, с которого осуществляется подключение
Peer Subnets       Список удаленных сетей, доступных через туннель
Encryption Algorithm AES(AES128) AES256 AES(AES128), AES256,AES-CGM, 3DES Алгоритмы шифрования. 3DES является устаревшим и не рекомендуется к использованию
Authentication PSK PSK PSK, Certificate Способ аутентификации сторон при поднятии туннеля
Diffie-Hellman Group DH5 DH14 DH2, DH5, DH14, DH15, DH16 Размер открытого ключа шифрования 
Digest Algorithm SHA1 SHA-256 SHA1, SHA-256 Алгоритм хеширования контроля целостности пакетов
IKE Option IKEv1 IKEv2 IKEv1, IKEv2, IKEFlex Версия протокола обмена ключами*
IKE Responder only Off Off   При включении Edge будет не инициировать соединение, а ожидать подключения с удаленной стороны.**
Session Type Policy Based Policy Based Policy Based, Route Based Тип туннеля.***
IKE Phase 1 Mode Main Main Main Режим 1й фазы IKE. Неизменяемый параметр.
IKE Phase 1 Lifetime 28800 28800 28800 Время смены ключей 1й фазы IKE. Неизменяемый параметр.
IKE Phase 2 Tunnel Mode ESP ESP ESP Режим туннеля 2й фазы IKE. Неизменяемый параметр.
IKE Phase 2 Lifetime
3600 3600
3600
Время смены ключей 2й фазы IKE. Неизменяемый параметр.

* - IKEFlex - нестандартная версия протокола, не поддерживаемая большинством сетевых устройств

** -  Настройка может быть полезной в случае когда удаленная конечная точка туннеля на имеет прямого доступа в Интернет и нет возможности корректно настроить NAT

*** - Route Based Type позволяет назначить на туннель собственный IP адрес. Данный вариант поддерживается рядом сетевых устройств, таких как Juniper SRX , и позволяет реализовывать различные схемы отказоустойчивости с использованием динамической маршрутизации.

Вы уже работаете с сервисами Cloud4Y?

Перейти на вебсайт

Попробовать бесплатно

  • 53 Пользователи нашли это полезным
Помог ли вам данный ответ?

Связанные статьи

Juniper SRX, Site-to-Site VPN

Настройка Site-to-Site VPN между Edge gateway и Juniper SRX Схема: С подробным описанием...

Site to Site IPsec Policy Based VPN между Edge Gateway и Mikrotik. Dual WAN (два провайдера).

Инструкция описывает сценарий настройки Site to Site IPsec VPN между облаком Cloud4Y (Edge...

Отказоустойчивая конфигурация IPSec c помощью EDGE Gateway

Прежде, чем вы начнете Технология создания туннелей GRE была добавлена в NSX 6.4. Данная...

Резервирование VPN подключения

Однажды к нам обратился клиент с просьбой обеспечить резервирование VPN туннеля между офисом и...

Mikrotik, Site to Site VPN

 С подробным описанием параметров туннеля можно ознакомиться в отдельной статье. Краткая...