В данной таблице перечислены параметры туннеля IPSec S2S VPN для vCloud Director версии 9.7. Параметры, жестко прошитые в свойствах Edge и недоступные для изменения, отмечены красным цветом.
| Имя | Значение по умолчанию | Рекомендуемое значение | Варианты | Описание |
| Enabled | Off | Включение/выключение туннеля | ||
| Enable perfect forward secrecy(PFS) | Off | On | Генерация нового ключа для 2й фазы IKE. При включенном PFS группа DH будет такая же как и на 1й фазе. | |
| Name | Название туннеля | |||
| Local Id | Идентификатор Edge Gateway. Как правило - его внешний IP адрес | |||
| Local Endpoint | Внешний IP адрес Edge, с которого осуществляется подключение | |||
| Local Subnets | Список локальных сетей в облаке, доступных через туннель | |||
| Peer Id | Идентификатор удаленного маршрутизатора. Как правило - его внешний IP адрес | |||
| Peer Endpoint | Внешний IP адрес удаленного маршрутизатора, с которого осуществляется подключение | |||
| Peer Subnets | Список удаленных сетей, доступных через туннель | |||
| Encryption Algorithm | AES(AES128) | AES256 | AES(AES128), AES256,AES-CGM, 3DES | Алгоритмы шифрования. 3DES является устаревшим и не рекомендуется к использованию |
| Authentication | PSK | PSK | PSK, Certificate | Способ аутентификации сторон при поднятии туннеля |
| Diffie-Hellman Group | DH5 | DH14 | DH2, DH5, DH14, DH15, DH16 | Размер открытого ключа шифрования |
| Digest Algorithm | SHA1 | SHA-256 | SHA1, SHA-256 | Алгоритм хеширования контроля целостности пакетов |
| IKE Option | IKEv1 | IKEv2 | IKEv1, IKEv2, IKEFlex | Версия протокола обмена ключами* |
| IKE Responder only | Off | Off | При включении Edge будет не инициировать соединение, а ожидать подключения с удаленной стороны.** | |
| Session Type | Policy Based | Policy Based | Policy Based, Route Based | Тип туннеля.*** |
| IKE Phase 1 Mode | Main | Main | Main | Режим 1й фазы IKE. Неизменяемый параметр. |
| IKE Phase 1 Lifetime | 28800 | 28800 | 28800 | Время смены ключей 1й фазы IKE. Неизменяемый параметр. |
| IKE Phase 2 Tunnel Mode | ESP | ESP | ESP | Режим туннеля 2й фазы IKE. Неизменяемый параметр. |
| IKE Phase 2 Lifetime |
3600 | 3600 |
3600 |
Время смены ключей 2й фазы IKE. Неизменяемый параметр. |
* - IKEFlex - нестандартная версия протокола, не поддерживаемая большинством сетевых устройств
** - Настройка может быть полезной в случае когда удаленная конечная точка туннеля на имеет прямого доступа в Интернет и нет возможности корректно настроить NAT
*** - Route Based Type позволяет назначить на туннель собственный IP адрес. Данный вариант поддерживается рядом сетевых устройств, таких как Juniper SRX , и позволяет реализовывать различные схемы отказоустойчивости с использованием динамической маршрутизации.
