В данной таблице перечислены параметры туннеля IPSec S2S VPN для vCloud Director версии 9.7. Параметры, жестко прошитые в свойствах Edge и недоступные для изменения, отмечены красным цветом.
Имя | Значение по умолчанию | Рекомендуемое значение | Варианты | Описание |
Enabled | Off | Включение/выключение туннеля | ||
Enable perfect forward secrecy(PFS) | Off | On | Генерация нового ключа для 2й фазы IKE. При включенном PFS группа DH будет такая же как и на 1й фазе. | |
Name | Название туннеля | |||
Local Id | Идентификатор Edge Gateway. Как правило - его внешний IP адрес | |||
Local Endpoint | Внешний IP адрес Edge, с которого осуществляется подключение | |||
Local Subnets | Список локальных сетей в облаке, доступных через туннель | |||
Peer Id | Идентификатор удаленного маршрутизатора. Как правило - его внешний IP адрес | |||
Peer Endpoint | Внешний IP адрес удаленного маршрутизатора, с которого осуществляется подключение | |||
Peer Subnets | Список удаленных сетей, доступных через туннель | |||
Encryption Algorithm | AES(AES128) | AES256 | AES(AES128), AES256,AES-CGM, 3DES | Алгоритмы шифрования. 3DES является устаревшим и не рекомендуется к использованию |
Authentication | PSK | PSK | PSK, Certificate | Способ аутентификации сторон при поднятии туннеля |
Diffie-Hellman Group | DH5 | DH14 | DH2, DH5, DH14, DH15, DH16 | Размер открытого ключа шифрования |
Digest Algorithm | SHA1 | SHA-256 | SHA1, SHA-256 | Алгоритм хеширования контроля целостности пакетов |
IKE Option | IKEv1 | IKEv2 | IKEv1, IKEv2, IKEFlex | Версия протокола обмена ключами* |
IKE Responder only | Off | Off | При включении Edge будет не инициировать соединение, а ожидать подключения с удаленной стороны.** | |
Session Type | Policy Based | Policy Based | Policy Based, Route Based | Тип туннеля.*** |
IKE Phase 1 Mode | Main | Main | Main | Режим 1й фазы IKE. Неизменяемый параметр. |
IKE Phase 1 Lifetime | 28800 | 28800 | 28800 | Время смены ключей 1й фазы IKE. Неизменяемый параметр. |
IKE Phase 2 Tunnel Mode | ESP | ESP | ESP | Режим туннеля 2й фазы IKE. Неизменяемый параметр. |
IKE Phase 2 Lifetime |
3600 | 3600 |
3600 |
Время смены ключей 2й фазы IKE. Неизменяемый параметр. |
* - IKEFlex - нестандартная версия протокола, не поддерживаемая большинством сетевых устройств
** - Настройка может быть полезной в случае когда удаленная конечная точка туннеля на имеет прямого доступа в Интернет и нет возможности корректно настроить NAT
*** - Route Based Type позволяет назначить на туннель собственный IP адрес. Данный вариант поддерживается рядом сетевых устройств, таких как Juniper SRX , и позволяет реализовывать различные схемы отказоустойчивости с использованием динамической маршрутизации.