Cloud VPN 支援下列加密方式和設定參數,適用於對等互連 VPN 裝置或 VPN 服務。只要對等互連端使用支援的網際網路金鑰交換 (IKE) 密碼設定,Cloud VPN 就會自動協商連線。
如需設定操作說明,請參閱「設定對等互連 VPN 閘道」。
Cloud VPN 採用 IPsec ESP 通道模式。
傳統 VPN 和 HA VPN 支援下列 IKE 加密方式。
高可用性 VPN 閘道介面支援 IPv6 位址,目前為預先發布版。
提案順序
需要新的安全關聯時,Cloud VPN 可根據流量來源,做為 IKE 要求的啟動器或回應器。
Cloud VPN 啟動 VPN 連線時,會提議使用 Cloud VPN 通道中設定的加密演算法。如果您尚未設定密碼演算法 ([預覽版](https://cloud.google.com/products#product-launch-stages)),Cloud VPN 通道會依據各密碼角色支援的密碼表中顯示的順序,提議密碼演算法。接收提案的對等端選取演算法。
如果對等端啟動連線,Cloud VPN 會從提案中選取密碼,選取順序與每個密碼角色在表格中設定或顯示的順序相同。
視哪一方是發起者或回應者而定,所選的密碼可能會有所不同。舉例來說,在金鑰輪替期間建立新的安全關聯 (SA) 時,所選的密碼可能會隨之變更。因為變更加密選項可能會影響重要的通道特性,例如效能或 MTU,請使用穩定的加密選項。如要進一步瞭解 MTU,請參閱 MTU 注意事項。
為避免頻繁變更加密方式選取項目,請將對等互連 VPN 閘道和 Cloud VPN 通道設定為只為每個加密方式角色提議及接受一種加密方式。Cloud VPN 和對等互連 VPN 閘道都必須支援此密碼。請勿為每個密碼角色提供密碼清單。這項最佳做法可確保 Cloud VPN 通道兩端在 IKE 協商期間,一律選取相同的 IKE 密碼。
Cloud Location Finder 可協助您找出全球實體位置最近的 Google Cloud 區域和可用區。使用 Cloud Location Finder,您可以根據資訊決定要在哪個 Google Cloud 區域部署 Cloud VPN 閘道,進而可能改善延遲時間、地理位置和碳能源用量。詳情請參閱 Cloud Location Finder 說明文件。
如果是高可用性 VPN 通道配對,請在對等互連 VPN 閘道上設定兩個高可用性 VPN 通道,使用相同的密碼和 IKE 第 2 階段生命週期值。
IKE 分割
Cloud VPN 支援 IKE 分段,如 IKEv2 分段通訊協定 (RFC 7383) 所述。
為獲得最佳成效,Google 建議您在對等 VPN 裝置上啟用 IKE 分段 (如果尚未啟用)。
如果未啟用 IKE 分段,系統會捨棄從 Google Cloud 對等互連 VPN 裝置傳送的 IKE 封包,這些封包的大小會超過閘道 MTU。
部分 IKE 訊息無法分段傳送,包括:
IKE_SA_INITIKE_SESSION_RESUME
詳情請參閱 RFC 7383 的「限制」一節。
支援的密碼表
以下各節列出 Cloud VPN 支援的加密方式。
使用 AEAD 的 IKEv2 加密方式
下列密碼使用附帶相關資料的驗證式加密 (AEAD)。
第 1 階段
| 加密角色 | 密碼名稱 | 設定值 (區分大小寫) |
附註 |
|---|---|---|---|
| 加密與完整性 |
|
|
在這個清單中,第一個數字是 ICV 參數的大小 (以位元組 (八位元組) 為單位),第二個數字則是金鑰長度 (以位元為單位)。 部分文件可能會以位元表示 ICV 參數 (第一個數字),例如 8 會變成 64、12 會變成 96,而 16 會變成 128。 |
| 假隨機函式 (PRF) |
|
|
許多裝置不需要明確設定 PRF。 |
| Diffie-Hellman (DH) |
|
|
高可用性 VPN 閘道不支援 modp_8192 加密方式,且不支援 IPv6 介面 (gatewayIpVersion=IPv6)。 |
| 階段 1 生命週期 | 36,000 秒 (10 小時) |
第 2 階段
| 加密角色 | 密碼名稱 | 設定值 (區分大小寫) |
附註 |
|---|---|---|---|
| 加密與完整性 |
|
|
每個演算法的第一個數字是 ICV 參數的大小 (以位元組 (八位元組) 為單位),第二個數字則是其金鑰長度 (以位元為單位)。部分文件可能會以位元表示 ICV 參數 (第一個數字),例如 8 會變成 64、12 會變成 96,而 16 會變成 128。 |
| PFS 演算法 (必要) |
|
|
高可用性 VPN 閘道不支援 modp_8192 加密方式,且不支援 IPv6 介面 (gatewayIpVersion=IPv6)。 |
| Diffie-Hellman (DH) | 請參閱第 1 階段。 | 請參閱第 1 階段。 | 如果 VPN 閘道需要第 2 階段的 DH 設定,請使用與第 1 階段相同的設定。 |
| 階段 2 生命週期 | 10,800 秒 (3 小時) |
不使用 AEAD 的 IKEv2 加密方式
第 1 階段
| 加密角色 | 密碼名稱 | 設定值 (區分大小寫) |
附註 |
|---|---|---|---|
| 加密 |
|
|
|
| 完整性 |
|
|
內部部署 VPN 閘道的說明文件可能會使用略有不同的演算法名稱。舉例來說, |
| 假隨機函式 (PRF) |
|
|
許多裝置不需要明確設定 PRF。 |
| Diffie-Hellman (DH) |
|
|
高可用性 VPN 閘道不支援 modp_8192 加密方式,且不支援 IPv6 介面 (gatewayIpVersion=IPv6)。 |
| 階段 1 生命週期 | 36,000 秒 (10 小時) |
第 2 階段
| 加密角色 | 密碼名稱 | 設定值 (區分大小寫) |
附註 |
|---|---|---|---|
| 加密 |
|
|
|
| 完整性 |
|
|
內部部署 VPN 閘道的說明文件可能會使用略有不同的演算法名稱。舉例來說, |
| PFS 演算法 (必要) |
|
|
高可用性 VPN 閘道不支援 modp_8192 加密方式,且不支援 IPv6 介面 (gatewayIpVersion=IPv6)。 |
| Diffie-Hellman (DH) | 請參閱第 1 階段。 | 請參閱第 1 階段。 | 如果 VPN 閘道需要第 2 階段的 DH 設定,請使用與第 1 階段相同的設定。 |
| 階段 2 生命週期 | 10,800 秒 (3 小時) |
IKEv1 加密方式
第 1 階段
| 加密角色 | 加密方式 |
|---|---|
| 加密 | AES-CBC-128 |
| 完整性 | HMAC-SHA1-96 |
| 虛擬隨機函式 (PRF)1 | PRF-SHA1-96 |
| Diffie-Hellman (DH) | modp_1024 (第 2 組) |
| 階段 1 生命週期 | 36,600 秒 (10 小時 10 分鐘) |
1如要進一步瞭解 IKEv1 中的 PRF,請參閱 RFC 2409。
第 2 階段
| 加密角色 | 加密方式 |
|---|---|
| 加密 | AES-CBC-128 |
| 完整性 | HMAC-SHA1-96 |
| PFS 演算法 (必要) | modp_1024 (第 2 組) |
| Diffie-Hellman (DH) | 如需為 VPN 閘道指定 DH,請使用與第 1 階段相同的設定。 |
| 階段 2 生命週期 | 10,800 秒 (3 小時) |
後續步驟
- 如要瞭解 Cloud VPN 的基本概念,請參閱 Cloud VPN 總覽。
- 如要解決使用 Cloud VPN 時可能遇到的常見問題,請參閱「疑難排解」。