Cipher IKE yang didukung

Cloud VPN mendukung cipher dan parameter konfigurasi berikut untuk perangkat VPN peer atau layanan VPN. Cloud VPN secara otomatis menegosiasikan koneksi selama sisi peer menggunakan setelan cipher Internet Key Exchange (IKE) yang didukung.

Untuk petunjuk konfigurasi, lihat Mengonfigurasi gateway VPN peer.

Cloud VPN beroperasi dalam Mode Tunnel ESP IPsec.

Cipher IKE berikut didukung untuk VPN Classic dan VPN dengan ketersediaan tinggi (HA).

Dukungan alamat IPv6 untuk antarmuka gateway VPN dengan ketersediaan tinggi (HA) ada dalam Pratinjau.

Urutan proposal

Cloud VPN dapat bertindak sebagai inisiator atau penjawab atas permintaan IKE, bergantung pada asal traffic saat pengaitan keamanan (SA) baru diperlukan.

Ketika CLoud VPN menginisasi koneksi VPN, Cloud VPN mengusulkan algoritme sesuai urutan yang ditampilkan pada tabel cipher yang didukung untuk setiap peran cipher. Sisi pembanding yang menerima usulan akan memilih algoritme.

Jika sisi peer yang menginisiasi koneksi, maka Cloud VPN akan memilih cipher dari usulan menggunakan urutan yang sama seperti yang ditampilkan dalam tabel untuk setiap peran cipher.

Bergantung pada sisi mana yang merupakan inisiator atau penerima respons, cipher yang dipilih dapat berbeda. Misalnya, cipher yang dipilih bahkan dapat berubah seiring waktu saat pengaitan keamanan (SA) baru dibuat selama rotasi kunci. Karena perubahan pemilihan cipher dapat memengaruhi karakteristik tunnel penting, seperti performa atau MTU, pastikan pemilihan cipher Anda stabil. Untuk mengetahui informasi lebih lanjut tentang MTU, lihat pertimbangan MTU.

Agar tidak sering mengubah pemilihan cipher, konfigurasikan gateway VPN peer Anda untuk mengusulkan dan hanya menerima satu cipher untuk setiap peran cipher. Cipher ini harus didukung oleh Cloud VPN dan gateway VPN peer Anda. Jangan berikan daftar cipher untuk setiap peran cipher. Praktik terbaik ini memastikan bahwa kedua sisi tunnel Cloud VPN Anda selalu memilih cipher IKE yang sama selama negosiasi IKE.

Untuk sambungan tunnel VPN dengan ketersediaan tinggi (HA), konfigurasikan tunnel VPN dengan ketersediaan tinggi (HA) pada gateway VPN peer untuk menggunakan cipher dan nilai masa aktif Fase 2 IKE yang sama.

Fragmentasi IKE

Cloud VPN mendukung fragmentasi IKE seperti yang dijelaskan oleh protokol fragmentasi IKEv2 (RFC 7383).

Untuk hasil terbaik, Google merekomendasikan agar Anda mengaktifkan fragmentasi IKE, jika belum diaktifkan, di perangkat VPN peer Anda.

Jika Anda tidak mengaktifkan fragmentasi IKE, paket IKE dari Google Cloud ke perangkat VPN peer yang lebih besar dari MTU gateway akan dihapus.

Beberapa pesan IKE tidak dapat difragmentasi, termasuk pesan berikut:

IKE_SA_INIT
IKE_SESSION_RESUME

Untuk informasi selengkapnya, lihat bagian Batasan di RFC 7383.

Tabel cipher yang didukung

Bagian berikut mencantumkan cipher yang didukung untuk VPN dengan ketersediaan tinggi (HA).

Cipher IKEv2 yang menggunakan AEAD

Cipher berikut menggunakan enkripsi yang diautentikasi dengan data terkait (AEAD).

Fase 1

Peran chiper	Cipher	Notes
Enkripsi & Integritas	AES-GCM-16-128 AES-GCM-16-192 AES-GCM-16-256	Dalam daftar ini, angka pertama adalah ukuran parameter ICV dalam byte (octet), dan yang kedua adalah key length dalam bit. Beberapa dokumentasi mungkin menyatakan parameter ICV (angka pertama) dalam bit (8 menjadi 64, 12 menjadi 96, dan 16 menjadi 128).
Fungsi Pseudo-Random (PRF)	PRF-AES128-XCBC PRF-AES128-CMAC PRF-HMAC-SHA1 PRF-HMAC-MD5 PRF-HMAC-SHA2-256 PRF-HMAC-SHA2-384 PRF-HMAC-SHA2-512	Banyak perangkat yang tidak memerlukan setelan PRF eksplisit.
Diffie-Hellman (DH)	modp_2048 (Grup 14) modp_2048_224 (modp_2048s224) modp_2048_256 (modp_2048s256) modp_1536 (Grup 5) modp_3072 (Grup 15) modp_4096 (Grup 16) modp_8192 (Grup 18) * modp_1024 (Grup 2) modp_1024_160 (modp_1024s160) ecp_256 (Grup 19) ecp_384 (Grup 20) ecp_521 (Grup 21) curve_25519 (Grup 31)	* Cipher modp_8192 tidak didukung untuk gateway VPN dengan ketersediaan tinggi (HA) dengan antarmuka IPv6 (`gatewayIpVersion=IPv6`).
Masa aktif fase 1	36000 detik (10 jam)

Fase 2

Peran chiper	Cipher	Notes
Enkripsi & Integritas	AES-GCM-16-128 AES-GCM-16-256 AES-GCM-16-192	Angka pertama dalam setiap algoritma adalah ukuran parameter ICV dalam byte (octet), dan yang kedua adalah key length dalam bit. Beberapa dokumentasi mungkin menyatakan parameter ICV (angka pertama) dalam bit (8 menjadi 64, 12 menjadi 96, 16 menjadi 128).
Algoritma PFS (wajib)	modp_2048 (Grup 14) modp_2048_224 (modp_2048s224) modp_2048_256 (modp_2048s256) modp_1536 (Grup 5) modp_3072 (Grup 15) modp_4096 (Grup 16) modp_8192 (Grup 18) * modp_1024 (Grup 2) modp_1024_160 (modp_1024s160) ecp_256 (Grup 19) ecp_384 (Grup 20) ecp_521 (Grup 21) curve_25519 (Grup 31)	* Cipher modp_8192 tidak didukung untuk gateway VPN dengan ketersediaan tinggi (HA) dengan antarmuka IPv6 (`gatewayIpVersion=IPv6`).
Diffie-Hellman (DH)	Lihat Fase 1.	Jika gateway VPN Anda memerlukan setelan DH untuk Fase 2, gunakan setelan yang sama dengan yang digunakan untuk Fase 1.
Masa aktif fase 2	10800 detik (3 jam)

Cipher IKEv2 yang tidak menggunakan AEAD

Fase 1

Peran chiper	Cipher	Notes
Enkripsi	AES-CBC-128 AES-CBC-192 AES-CBC-256 3DES-CBC
Integritas	AES-XCBC-96 AES-CMAC-96 HMAC-SHA1-96 HMAC-MD5-96 HMAC-SHA2-256-128 HMAC-SHA2-384-192 HMAC-SHA2-512-256	Dokumentasi untuk gateway VPN lokal mungkin menggunakan nama yang sedikit berbeda untuk algoritma. Misalnya, `HMAC-SHA2-512-256` mungkin disebut sebagai `SHA2-512` atau `SHA-512`, yang mengurangi angka panjang pemotongan dan informasi yang tidak relevan lainnya.
Fungsi Pseudo-Random (PRF)	PRF-AES-128-XCBC PRF-AES-128-CMAC PRF-HMAC-SHA1 PRF-HMAC-MD5 PRF-HMAC-SHA2-256 PRF-HMAC-SHA2-384 PRF-HMAC-SHA2-512	Banyak perangkat yang tidak memerlukan setelan PRF eksplisit.
Diffie-Hellman (DH)	modp_2048 (Grup 14) modp_2048_224 (modp_2048s224) modp_2048_256 (modp_2048s256) modp_1536 (Grup 5) modp_3072 (Grup 15) modp_4096 (Grup 16) modp_8192 (Grup 18) * modp_1024 (Grup 2) modp_1024_160 (modp_1024s160) ecp_256 (Grup 19) ecp_384 (Grup 20) ecp_521 (Grup 21) curve_25519 (Grup 31)	* Cipher modp_8192 tidak didukung untuk gateway VPN dengan ketersediaan tinggi (HA) dengan antarmuka IPv6 (`gatewayIpVersion=IPv6`).
Masa aktif fase 1	36000 detik (10 jam)

Fase 2

Peran chiper	Cipher	Notes
Enkripsi	AES-CBC-128 AES-CBC-256 AES-CBC-192
Integritas	HMAC-SHA2-256-128 HMAC-SHA2-512-256 HMAC-SHA1-96	Dokumentasi untuk gateway VPN lokal mungkin menggunakan nama yang sedikit berbeda untuk algoritma. Misalnya, `HMAC-SHA2-512-256` mungkin disebut sebagai `SHA2-512` atau `SHA-512`, yang mengurangi angka panjang pemotongan dan informasi yang tidak relevan lainnya.
Algoritma PFS (wajib)	modp_2048 (Grup 14) modp_2048_224 (modp_2048s224) modp_2048_256 (modp_2048s256) modp_1536 (Grup 5) modp_3072 (Grup 15) modp_4096 (Grup 16) modp_8192 (Grup 18) * modp_1024 (Grup 2) modp_1024_160 (modp_1024s160) ecp_256 (Grup 19) ecp_384 (Grup 20) ecp_521 (Grup 21) curve_25519 (Grup 31)	* Cipher modp_8192 tidak didukung untuk gateway VPN dengan ketersediaan tinggi (HA) dengan antarmuka IPv6 (`gatewayIpVersion=IPv6`).
Diffie-Hellman (DH)	Lihat Fase 1.	Jika gateway VPN Anda memerlukan setelan DH untuk Fase 2, gunakan setelan yang sama dengan yang digunakan untuk Fase 1.
Masa aktif fase 2	10800 detik (3 jam)

Cipher IKEv1

Fase 1

Peran chiper	Cipher
Enkripsi	AES-CBC-128
Integritas	HMAC-SHA1-96
Fungsi Pseudo-Random (PRF)^*	PRF-SHA1-96
Diffie-Hellman (DH)	modp_1024 (Grup 2)
Masa aktif fase 1	36600 detik (10 jam, 10 menit)

^*Untuk informasi lebih lanjut tentang PRF di IKEv1, lihat RFC 2409.

Fase 2

Peran chiper	Cipher
Enkripsi	AES-CBC-128
Integritas	HMAC-SHA1-96
Algoritma PFS (wajib)	modp_1024 (Grup 2)
Diffie-Hellman (DH)	Jika Anda perlu menentukan DH untuk gateway VPN, gunakan setelan yang sama dengan yang digunakan untuk Fase 1.
Masa aktif fase 2	10800 detik (3 jam)

Langkah selanjutnya

Untuk mempelajari konsep dasar Cloud VPN, lihat ringkasan Cloud VPN.
Untuk membantu memecahkan masalah umum yang mungkin Anda temui saat menggunakan Cloud VPN, lihat Pemecahan masalah.