Cloud VPN supporta i seguenti algoritmi di crittografia e parametri di configurazione per i dispositivi VPN peer o i servizi VPN. Cloud VPN negozia automaticamente la connessione, a condizione che il lato peer utilizzi un'impostazione di crittografia IKE (Internet Key Exchange) supportata.
Per le istruzioni di configurazione, consulta Configurare il gateway VPN peer.
Cloud VPN opera in modalità tunnel ESP IPsec.
I seguenti tipi di crittografia IKE sono supportati per la VPN classica e la VPN ad alta disponibilità.
Il supporto degli indirizzi IPv6 per le interfacce dei gateway VPN ad alta disponibilità è in anteprima.
Ordine delle proposte
Cloud VPN può agire come iniziatore o come rispondente alle richieste IKE, a seconda dell'origine del traffico, quando è necessaria una nuova associazione di sicurezza (SA).
Quando Cloud VPN avvia una connessione VPN, propone gli algoritmi nell'ordine mostrato nelle tabelle di cifrari supportati per ogni ruolo di cifrario. Il peer che riceve la proposta seleziona un algoritmo.
Se è il lato peer ad avviare la connessione, Cloud VPN seleziona un cifrario dalla proposta utilizzando lo stesso ordine mostrato nella tabella per ogni ruolo di cifrario.
A seconda di quale lato è l'iniziatore o il rispondente, la crittografia selezionata può essere diversa. Ad esempio, la crittografia selezionata potrebbe persino cambiare nel tempo man mano che vengono create nuove associazioni di sicurezza (SA) durante rotazione della chiave. Poiché una modifica della selezione del cifrario può influire su caratteristiche importanti del tunnel come le prestazioni o l'MTU, assicurati che la selezione del cifrario sia stabile. Per ulteriori informazioni sull'MTU, consulta la sezione Considerazioni su MTU.
Per evitare modifiche frequenti nella selezione dei cifrari, configura il gateway VPN peer in modo che proponga e accetti un solo cifrario per ogni ruolo. Questo cifrario deve essere supportato sia da Cloud VPN sia dal gateway VPN peer. Non fornire un elenco di crittografi per ogni ruolo. Questa best practice garantisce che entrambi i lati del tunnel Cloud VPN selezionino sempre lo stesso cifrario IKE durante la negoziazione IKE.
Per le coppie di tunnel VPN ad alta disponibilità, configura entrambi i tunnel VPN ad alta disponibilità sul gateway VPN peer in modo che utilizzino gli stessi valori di crittografia e della durata della fase 2 di IKE.
Frammentazione IKE
Cloud VPN supporta la frammentazione IKE come descritto dal protocollo di frammentazione IKEv2 (RFC 7383).
Per risultati ottimali, Google consiglia di attivare la frammentazione IKE, se non è già attivata, sul dispositivo VPN peer.
Se la frammentazione IKE non è attivata, i pacchetti IKE da Google Cloud al dispositivo VPN peer più grandi dell'MTU del gateway vengono ignorati.
Alcuni messaggi IKE non possono essere frammentati, tra cui i seguenti:
IKE_SA_INIT
IKE_SESSION_RESUME
Per ulteriori informazioni, consulta la sezione Limitazioni nell'RFC 7383.
Tabelle di crittografia supportate
Le sezioni seguenti elencano le crittografie supportate per Cloud VPN.
Crittografie IKEv2 che utilizzano AEAD
I seguenti algoritmi di crittografia utilizzano la crittografia autenticata con dati associati (AEAD).
Fase 1
Ruolo Cipher | Cipher | Note |
---|---|---|
Crittografia e integrità |
|
In questo elenco, il primo numero indica la dimensione del parametro ICV in byte (oktet) e il secondo la lunghezza della chiave in bit. In alcuni casi, il parametro ICV (il primo numero) potrebbe essere espresso in bit (8 diventa 64, 12 diventa 96 e 16 diventa 128). |
Funzione pseudo-casuale (PRF) |
|
Molti dispositivi non richiedono un'impostazione PRF esplicita. |
Diffie-Hellman (DH) |
|
* La crittografia modp_8192 non è supportata per i gateway VPN ad alta disponibilità con interfacce IPv6 (gatewayIpVersion=IPv6 ). |
Durata della fase 1 | 36.000 secondi (10 ore) |
Fase 2
Ruolo Cipher | Cipher | Note |
---|---|---|
Crittografia e integrità |
|
Il primo numero in ogni algoritmo è la dimensione del parametro ICV in byte (oktet) e il secondo è la lunghezza della chiave in bit. In alcuni casi, il parametro ICV (il primo numero) potrebbe essere espresso in bit (8 diventa 64, 12 diventa 96, 16 diventa 128). |
Algoritmo PFS (obbligatorio) |
|
* La crittografia modp_8192 non è supportata per i gateway VPN ad alta disponibilità con interfacce IPv6 (gatewayIpVersion=IPv6 ). |
Diffie-Hellman (DH) | Fai riferimento alla Fase 1. | Se il gateway VPN richiede impostazioni DH per la Fase 2, utilizza le stesse impostazioni utilizzate per la Fase 1. |
Durata della fase 2 | 10.800 secondi (3 ore) |
Crittografie IKEv2 che non utilizzano AEAD
Fase 1
Ruolo Cipher | Cipher | Note |
---|---|---|
Crittografia |
|
|
Integrità |
|
La documentazione del gateway VPN on-premise potrebbe utilizzare un nome leggermente diverso per l'algoritmo. Ad esempio,
|
Funzione pseudo-casuale (PRF) |
|
Molti dispositivi non richiedono un'impostazione PRF esplicita. |
Diffie-Hellman (DH) |
|
* La crittografia modp_8192 non è supportata per i gateway VPN ad alta disponibilità con interfacce IPv6 (gatewayIpVersion=IPv6 ). |
Durata della fase 1 | 36.000 secondi (10 ore) |
Fase 2
Ruolo Cipher | Cipher | Note |
---|---|---|
Crittografia |
|
|
Integrità |
|
La documentazione del gateway VPN on-premise potrebbe utilizzare un nome leggermente diverso per l'algoritmo. Ad esempio,
|
Algoritmo PFS (obbligatorio) |
|
* La crittografia modp_8192 non è supportata per i gateway VPN ad alta disponibilità con interfacce IPv6 (gatewayIpVersion=IPv6 ). |
Diffie-Hellman (DH) | Fai riferimento alla Fase 1. | Se il gateway VPN richiede impostazioni DH per la Fase 2, utilizza le stesse impostazioni utilizzate per la Fase 1. |
Durata della fase 2 | 10.800 secondi (3 ore) |
Crittografie IKEv1
Fase 1
Ruolo Cipher | Cipher |
---|---|
Crittografia | AES-CBC-128 |
Integrità | HMAC-SHA1-96 |
Funzione pseudo-casuale (PRF)* | PRF-SHA1-96 |
Diffie-Hellman (DH) | modp_1024 (gruppo 2) |
Durata della fase 1 | 36.600 secondi (10 ore e 10 minuti) |
*Per ulteriori informazioni su PRF in IKEv1, consulta la RFC 2409.
Fase 2
Ruolo Cipher | Cipher |
---|---|
Crittografia | AES-CBC-128 |
Integrità | HMAC-SHA1-96 |
Algoritmo PFS (obbligatorio) | modp_1024 (gruppo 2) |
Diffie-Hellman (DH) | Se devi specificare DH per il gateway VPN, utilizza la stessa impostazione utilizzata per la Fase 1. |
Durata della fase 2 | 10.800 secondi (3 ore) |
Passaggi successivi
- Per informazioni sui concetti di base di Cloud VPN, consulta la panoramica di Cloud VPN.
- Per aiutarti a risolvere i problemi comuni che potresti riscontrare durante l'utilizzo di Cloud VPN, consulta la sezione Risoluzione dei problemi.