O Cloud VPN aceita as criptografias e parâmetros de configuração a seguir para dispositivos de VPN de peering ou serviços de VPN. O Cloud VPN negocia automaticamente a conexão, desde que o lado do peering use uma configuração de criptografia compatível com o Internet Key Exchange (IKE).
Para instruções de configuração, consulte Como configurar o gateway de VPN de peering.
Observação: o Cloud VPN opera no modo de túnel IPSec ESP
As seguintes criptografias IKE são compatíveis com a VPN clássica e a VPN de alta disponibilidade.
O suporte a endereços IPv6 para interfaces de gateway de VPN de alta disponibilidade está em Prévia.
Pedido de proposta
O Cloud VPN pode atuar como um iniciador ou participante de solicitações do IKE, dependendo da origem do tráfego quando uma nova associação de segurança (SA, na sigla em inglês) é necessária.
Quando o Cloud VPN inicia uma conexão VPN, o Cloud VPN propõe os algoritmos na ordem mostrada nas tabelas de criptografia compatíveis para cada papel de criptografia. O par que recebe a proposta seleciona um algoritmo.
Se o peering iniciar a conexão, o Cloud VPN selecionará uma criptografia da proposta usando a mesma ordem mostrada na tabela para cada papel de criptografia.
Dependendo do lado que é o iniciador ou o participante, a criptografia selecionada pode ser diferente. Por exemplo, a criptografia selecionada pode até mesmo mudar ao longo do tempo, à medida que novas associações de segurança (SAs) são criadas durante a rotação de chaves. Como uma mudança na seleção de criptografia pode afetar as características importantes do túnel, como o desempenho ou a MTU, verifique se sua seleção de criptografia está estável. Para ver mais informações sobre MTU, consulte Considerações sobre MTU.
Para evitar alterações frequentes na seleção de criptografia, configure o gateway da VPN de peering para propor e aceitar apenas uma criptografia para cada papel de criptografia. Essa criptografia precisa ser aceita pelo Cloud VPN e pelo seu gateway de VPN de peering. Não forneça uma lista de criptografias para cada papel de criptografia. Essa prática recomendada garante que os dois lados do túnel do Cloud VPN sempre selecionem a mesma criptografia da IKE durante a negociação da IKE.
Para pares de túneis de VPN de alta disponibilidade, configure os dois túneis de VPN de alta disponibilidade no gateway de VPN de peering para usar os mesmos valores de vida útil de criptografia e fase IKE 2.
Fragmentação do IKE
O Cloud VPN oferece suporte à fragmentação de IKE, conforme descrito pelo protocolo de fragmentação IKEv2 (RFC 7383).
Para melhores resultados, o Google recomenda ativar a fragmentação de IKE, se ela ainda não estiver ativada, no dispositivo de VPN de peering.
Se a fragmentação do IKE não estiver ativada, os pacotes IKE do Google Cloud para o dispositivo de VPN de peering que forem maiores que a MTU do gateway serão descartados.
Algumas mensagens IKE não podem ser fragmentadas, incluindo as seguintes mensagens:
IKE_SA_INIT
IKE_SESSION_RESUME
Para mais informações, consulte a Seção "Limitações" na RFC 7383.
Tabelas de criptografia compatíveis
As seções abaixo listam as criptografias compatíveis com a VPN de alta disponibilidade.
Criptografias IKEv2 que usam AEAD
As criptografias a seguir usam criptografia autenticada com dados associados (AEAD, na sigla em inglês).
Fase 1
Papel do código | Cipher | Notas |
---|---|---|
Criptografia e integridade |
|
Nesta lista, o primeiro número é o tamanho do parâmetro ICV em bytes (octetos) e o segundo é o tamanho da chave em bits. Algumas documentações podem expressar o parâmetro ICV (o primeiro número) em bits (8 se torna 64, 12 se torna 96 e 16 se torna 128). |
Função pseudo-aleatória (PRF) |
|
Muitos dispositivos não exigem uma configuração de PRF explícita. |
Diffie-Hellman (DH) |
|
* A cifra modp_8192 não é compatível com gateways de VPN de alta disponibilidade
com interfaces IPv6 (gatewayIpVersion=IPv6 ). |
Ciclo de vida da Fase 1 | 36.000 segundos (10 horas) |
Fase 2
Papel do código | Cipher | Notas |
---|---|---|
Criptografia e integridade |
|
O primeiro número em cada algoritmo é o tamanho do parâmetro ICV em bytes (octetos) e o segundo é o tamanho da chave em bits. Algumas documentações podem expressar o parâmetro ICV (o primeiro número) em bits (8 se torna 64, 12 se torna 96, 16 se torna 128). |
Algoritmo PFS (obrigatório) |
|
* A cifra modp_8192 não é compatível com gateways de VPN de alta disponibilidade
com interfaces IPv6 (gatewayIpVersion=IPv6 ). |
Diffie-Hellman (DH) | Consulte a fase 1. | Se o gateway da VPN exigir as configurações de DH para a fase 2, use as mesmas configurações usadas na Fase 1. |
Ciclo de vida da Fase 2 | 10.800 segundos (3 horas) |
Criptografias IKEv2 que não usam AEAD
Fase 1
Papel do código | Cipher | Notas |
---|---|---|
Criptografia |
|
|
Integridade |
|
A documentação do gateway VPN local pode usar um nome um pouco
diferente para o algoritmo. Por exemplo,
|
Função pseudo-aleatória (PRF) |
|
Muitos dispositivos não exigem uma configuração de PRF explícita. |
Diffie-Hellman (DH) |
|
* A cifra modp_8192 não é compatível com gateways de VPN de alta disponibilidade
com interfaces IPv6 (gatewayIpVersion=IPv6 ). |
Ciclo de vida da Fase 1 | 36.000 segundos (10 horas) |
Fase 2
Papel do código | Cipher | Notas |
---|---|---|
Criptografia |
|
|
Integridade |
|
A documentação do gateway VPN local pode usar um nome um pouco
diferente para o algoritmo. Por exemplo,
|
Algoritmo PFS (obrigatório) |
|
* A cifra modp_8192 não é compatível com gateways de VPN de alta disponibilidade
com interfaces IPv6 (gatewayIpVersion=IPv6 ). |
Diffie-Hellman (DH) | Consulte a fase 1. | Se o gateway VPN exigir as configurações de DH para a fase 2, use as mesmas configurações usadas na Fase 1. |
Ciclo de vida da Fase 2 | 10.800 segundos (3 horas) |
Criptografias IKEv1
Fase 1
Papel do código | Cipher |
---|---|
Criptografia | AES-CBC-128 |
Integridade | HMAC-SHA1-96 |
Função pseudo-aleatória (PRF)* | PRF-SHA1-96 |
Diffie-Hellman (DH) | modp_1024 (grupo 2) |
Ciclo de vida da Fase 1 | 36.600 segundos (10 horas, 10 minutos) |
* Para mais informações sobre o PRF no IKEv1, consulte RFC 2409.
Fase 2
Papel do código | Cipher |
---|---|
Criptografia | AES-CBC-128 |
Integridade | HMAC-SHA1-96 |
Algoritmo PFS (obrigatório) | modp_1024 (grupo 2) |
Diffie-Hellman (DH) | Se você precisar especificar DH para o gateway da VPN, use a mesma configuração usada para a Fase 1. |
Ciclo de vida da Fase 2 | 10.800 segundos (3 horas) |
A seguir
- Para saber mais sobre os conceitos básicos do Cloud VPN, consulte a Visão geral do Cloud VPN.
- Para ajudar a resolver problemas comuns que você pode encontrar ao usar o Cloud VPN, consulte Solução de problemas.