A VPN na nuvem suporta as seguintes cifras e parâmetros de configuração para dispositivos VPN ou serviços VPN de pares. A VPN na nuvem negoceia automaticamente a ligação, desde que o lado do par use uma definição de cifra do Internet Key Exchange (IKE) suportada.
Para ver instruções de configuração, consulte o artigo Configure o gateway de VPN de pares.
O Cloud VPN funciona no modo de túnel ESP IPsec.
As seguintes cifras IKE são suportadas para a VPN clássica e a VPN de alta disponibilidade.
O suporte de endereços IPv6 para interfaces de gateway de VPN de alta disponibilidade está em pré-visualização.
Ordem da proposta
A VPN na nuvem pode atuar como iniciador ou respondente a pedidos IKE, dependendo da origem do tráfego quando é necessária uma nova associação de segurança.
Quando o Cloud VPN inicia uma ligação VPN, propõe os algoritmos de cifragem configurados no túnel do Cloud VPN. Se não tiver configurado os algoritmos de cifragem ([Pré-visualização](https://cloud.google.com/products#product-launch-stages)), o túnel da Cloud VPN propõe os algoritmos de cifragem pela ordem apresentada nas tabelas de cifragem suportadas para cada função de cifragem. O lado de par que recebe a proposta seleciona um algoritmo.
Se o lado de pares iniciar a ligação, o Cloud VPN seleciona uma cifra da proposta usando a mesma ordem que foi configurada ou apresentada na tabela para cada função de cifra.
Dependendo de qual dos lados é o iniciador ou o respondedor, a cifra selecionada pode ser diferente. Por exemplo, a cifra selecionada pode até mudar ao longo do tempo à medida que são criadas novas associações de segurança (ASs) durante a rotação de chaves. Uma vez que uma alteração na seleção de cifras pode afetar características importantes do túnel, como o desempenho ou a MTU, use uma seleção de cifras estável. Para mais informações sobre a MTU, consulte Considerações sobre a MTU.
Para evitar alterações frequentes na seleção de cifras, configure o gateway de VPN paritário e o túnel do Cloud VPN para propor e aceitar apenas uma cifra para cada função de cifra. Esta cifra tem de ser suportada pelo Cloud VPN e pelo gateway de VPN do seu par. Não forneça uma lista de cifras para cada função de cifra. Esta prática recomendada garante que ambos os lados do túnel de VPN do Google Cloud selecionam sempre a mesma cifra IKE durante a negociação IKE.
O Cloud Location Finder ajuda a identificar as regiões Google Cloud e as zonas mais próximas das suas localizações físicas em todo o mundo. Ao usar o Cloud Location Finder, pode tomar decisões informadas sobre a Google Cloud região na qual implementar os gateways da Cloud VPN, o que pode otimizar a latência, a localização geográfica e a utilização de energia de carbono. Para mais informações, consulte a documentação do Cloud Location Finder.
Para pares de túneis de VPN de alta disponibilidade, configure ambos os túneis de VPN de alta disponibilidade no seu gateway de VPN de pares para usar os mesmos valores de cifra e de tempo de vida da fase 2 do IKE.
Fragmentação IKE
A VPN na nuvem suporta a fragmentação IKE, conforme descrito pelo protocolo de fragmentação IKEv2 (RFC 7383).
Para os melhores resultados, a Google recomenda que ative a fragmentação IKE, se ainda não estiver ativada, no seu dispositivo VPN de pares.
Se não tiver a fragmentação IKE ativada, os pacotes IKE do Google Cloud dispositivo VPN de pares que sejam maiores do que a MTU do gateway são ignorados.
Não é possível fragmentar algumas mensagens IKE, incluindo as seguintes mensagens:
IKE_SA_INITIKE_SESSION_RESUME
Para mais informações, consulte a secção Limitações na RFC 7383.
Tabelas de cifras suportadas
As secções seguintes indicam as cifras suportadas para a VPN na nuvem.
Cifras IKEv2 que usam AEAD
As seguintes cifras usam encriptação autenticada com dados associados (AEAD).
Fase 1
| Função de cifra | Nome da cifra | Valor de configuração (sensível a maiúsculas e minúsculas) |
Notas |
|---|---|---|---|
| Encriptação e integridade |
|
|
Nesta lista, o primeiro número é o tamanho do parâmetro ICV em bytes (octetos) e o segundo é o comprimento da chave em bits. Alguma documentação pode expressar o parâmetro ICV (o primeiro número) em bits (8 torna-se 64, 12 torna-se 96 e 16 torna-se 128). |
| Função pseudoaleatória (PRF) |
|
|
Muitos dispositivos não requerem uma definição de PRF explícita. |
| Diffie-Hellman (DH) |
|
|
A cifra modp_8192 não é suportada para gateways de VPN de alta disponibilidade com interfaces IPv6 (gatewayIpVersion=IPv6). |
| Fase 1 vitalícia | 36 000 segundos (10 horas) |
Fase 2
| Função de cifra | Nome da cifra | Valor de configuração (sensível a maiúsculas e minúsculas) |
Notas |
|---|---|---|---|
| Encriptação e integridade |
|
|
O primeiro número em cada algoritmo é a dimensão do parâmetro ICV em bytes (octetos) e o segundo é o comprimento da respetiva chave em bits. Alguma documentação pode expressar o parâmetro ICV (o primeiro número) em bits (8 torna-se 64, 12 torna-se 96 e 16 torna-se 128). |
| Algoritmo PFS (obrigatório) |
|
|
A cifra modp_8192 não é suportada para gateways de VPN de alta disponibilidade com interfaces IPv6 (gatewayIpVersion=IPv6). |
| Diffie-Hellman (DH) | Consulte a Fase 1. | Consulte a Fase 1. | Se o gateway de VPN exigir definições de DH para a Fase 2, use as mesmas definições que usou para a Fase 1. |
| Duração da fase 2 | 10 800 segundos (3 horas) |
Cifras IKEv2 que não usam AEAD
Fase 1
| Função de cifra | Nome da cifra | Valor de configuração (sensível a maiúsculas e minúsculas) |
Notas |
|---|---|---|---|
| Encriptação |
|
|
|
| Integridade |
|
|
A documentação da sua gateway de VPN no local pode usar um nome ligeiramente
diferente para o algoritmo. Por exemplo, |
| Função pseudoaleatória (PRF) |
|
|
Muitos dispositivos não requerem uma definição de PRF explícita. |
| Diffie-Hellman (DH) |
|
|
A cifra modp_8192 não é suportada para gateways de VPN de alta disponibilidade com interfaces IPv6 (gatewayIpVersion=IPv6). |
| Fase 1 vitalícia | 36 000 segundos (10 horas) |
Fase 2
| Função de cifra | Nome da cifra | Valor de configuração (sensível a maiúsculas e minúsculas) |
Notas |
|---|---|---|---|
| Encriptação |
|
|
|
| Integridade |
|
|
A documentação da sua gateway de VPN no local pode usar um nome ligeiramente
diferente para o algoritmo. Por exemplo, o nome de domínio |
| Algoritmo PFS (obrigatório) |
|
|
A cifra modp_8192 não é suportada para gateways de VPN de alta disponibilidade com interfaces IPv6 (gatewayIpVersion=IPv6). |
| Diffie-Hellman (DH) | Consulte a Fase 1. | Consulte a Fase 1. | Se o gateway de VPN exigir definições de DH para a Fase 2, use as mesmas definições que usou para a Fase 1. |
| Duração da fase 2 | 10 800 segundos (3 horas) |
Cifras IKEv1
Fase 1
| Função de cifra | Cifra |
|---|---|
| Encriptação | AES-CBC-128 |
| Integridade | HMAC-SHA1-96 |
| Função pseudoraleatória (PRF)1 | PRF-SHA1-96 |
| Diffie-Hellman (DH) | modp_1024 (Group 2) |
| Fase 1 vitalícia | 36 600 segundos (10 horas e 10 minutos) |
1Para mais informações sobre o PRF no IKEv1, consulte o RFC 2409.
Fase 2
| Função de cifra | Cifra |
|---|---|
| Encriptação | AES-CBC-128 |
| Integridade | HMAC-SHA1-96 |
| Algoritmo PFS (obrigatório) | modp_1024 (Group 2) |
| Diffie-Hellman (DH) | Se precisar de especificar o DH para o gateway de VPN, use a mesma definição que usou para a Fase 1. |
| Duração da fase 2 | 10 800 segundos (3 horas) |
O que se segue?
- Para saber mais sobre os conceitos básicos da Cloud VPN, consulte a vista geral da Cloud VPN.
- Para ajudar a resolver problemas comuns que pode encontrar ao usar o Cloud VPN, consulte a secção Resolução de problemas.