支援的 IKE 加密方式

Google Distributed Cloud (GDC) 氣隙 VPN 支援對等互連 VPN 閘道的下列加密方式和設定參數。

提案順序

需要新的安全關聯 (SA) 時,GDC VPN 可根據流量來源,做為 IKE 要求的發起者或回應者。

當 GDC VPN 啟動 VPN 連線時,GDC VPN 會依據每個密碼角色支援的密碼表,依序提議演算法。接收提案的對等互連 VPN 閘道會選取演算法。

如果對等 VPN 閘道啟動連線,則 GDC VPN 會從提案中選取密碼,選取順序與表格中每個密碼角色的順序相同。

視哪一方是發起者或回應者而定,所選的密碼可能會有所不同。舉例來說,隨著金鑰輪替期間建立新的安全關聯 (SA),所選的密碼可能會隨時間變更。

為避免加密方式選取項目頻繁變更,請將對等 VPN 閘道設定為只為每個加密方式角色提議及接受一種加密方式。GDC 氣隙 VPN 和對等互連 VPN 閘道都必須支援這個密碼。請勿為每個密碼角色提供密碼清單。這項最佳做法可確保 GDC 氣隙 VPN 通道的兩端在 IKE 協商期間,一律選取相同的 IKE 密碼。

IKE 分割

GDC VPN 支援 IKE 分段,如 IKEv2 分段通訊協定所述:https://www.rfc-editor.org/rfc/rfc7383

為獲得最佳成效,Google 建議您在對等 VPN 閘道上啟用 IKE 分段 (如果尚未啟用)。

如果未啟用 IKE 分段,從 GDC 傳送至對等 VPN 閘道的 IKE 封包若大於閘道 MTU,就會遭到捨棄。

部分 IKE 訊息無法分段,包括下列訊息:

  • IKE_SA_INIT
  • IKE_SESSION_RESUME

詳情請參閱 https://www.rfc-editor.org/rfc/rfc7383 中的「限制」一節。

支援的密碼表

這些支援的密碼表提供加密和解密程序期間,用來替換字元或字元群組的規則:

第 1 階段

加密角色 加密方式 附註
加密與完整性
  • AES-GCM-16-256

在這個清單中,第一個數字是 ICV 參數的大小 (以位元組 (八位元) 為單位),第二個數字則是金鑰長度 (以位元為單位)。

部分文件可能會以位元表示 ICV 參數 (第一個數字),例如 8 會變成 64、12 會變成 96,而 16 會變成 128。
假隨機函式 (PRF)
  • PRF-HMAC-SHA2-512
  • PRF-HMAC-SHA2-384
  • PRF-HMAC-SHA2-256
 許多裝置不需要明確設定 PRF。
Diffie-Hellman (DH)
  • MODP-4096
  • MODP-3072
  • MODP-2048
  • MODP-1536
階段 1 生命週期 36,000 秒 (10 小時)

第 2 階段

加密角色 加密方式 附註
加密與完整性
  • AES-GCM-16-256

在這個清單中,第一個數字是 ICV 參數的大小 (以位元組 (八位元) 為單位),第二個數字則是金鑰長度 (以位元為單位)。

部分文件可能會以位元表示 ICV 參數 (第一個數字),例如 8 會變成 64、12 會變成 96,而 16 會變成 128。
假隨機函式 (PRF)
  • PRF-HMAC-SHA2-512
  • PRF-HMAC-SHA2-384
  • PRF-HMAC-SHA2-256
 許多裝置不需要明確設定 PRF。
Diffie-Hellman (DH)
  • MODP-4096
  • MODP-3072
  • MODP-2048
  • MODP-1536
階段 2 生命週期 10,800 秒 (3 小時)

設定 IKE

您可以在對等互連 VPN 閘道上設定 IKE,以進行動態、路徑型和政策型轉送。

GDC VPN 通道必須使用 IKE v2,才能支援 IPv6 流量。

如要設定對等互連 VPN 閘道和 IKE 通道,請使用下表中的參數:

適用於 IKEv1 和 IKEv2

設定
IPsec 模式 ESP + 驗證通道模式 (站台對站台)
驗證通訊協定 psk
共用密鑰 又稱為 IKE 預先共用密鑰,按照這些準則選用高強度密碼。 預先共用金鑰可存取您的網路,因此屬於機密資訊。
開始 auto (如果對等裝置中斷連線,應該會自動重新啟動連線)
PFS (完全正向密碼) on
DPD (無效對等互連偵測) 建議做法:Aggressive。DPD 會偵測 VPN 何時重新啟動,並使用替代通道轉送流量。
INITIAL_CONTACT
(有時稱為 uniqueids)		 建議:on (有時稱為 restart)。 用途:更快偵測重新啟動,減少停機時間。
TSi (流量選取器 - 啟動器)

子網路:--local-traffic-selector 標記指定的範圍。如果未指定 --local-traffic-selector,因為 VPN 位於自動模式 VPC 網路中,且只會發布閘道的子網路,則會使用該子網路範圍。

舊版網路:網路的範圍。
TSr (流量選取器 - 回應器)

IKEv2:所有路徑的目的地範圍,這些路徑的 --next-hop-vpn-tunnel 都設為這個通道。

IKEv1:任意選擇目的地範圍,但必須是設有 --next-hop-vpn-tunnel 的路徑,且該路徑已設為這個通道。
MTU 對等 VPN 裝置的最大傳輸單位 (MTU) 不得超過 1460 個位元組。 在裝置上啟用預先分段功能,讓封包先分段再封裝。

僅限 IKEv1 的其他參數

設定
IKE/ISAKMP aes128-sha1-modp1024
ESP aes128-sha1
PFS 演算法 群組 2 (MODP_1024)