Códigos IKE aceitos

O Cloud VPN aceita as criptografias e parâmetros de configuração a seguir para dispositivos de VPN de peering ou serviços de VPN. O Cloud VPN negocia automaticamente a conexão se o lado do peering usar uma configuração de criptografia IKE compatível.

Para instruções de configuração, consulte Como configurar o gateway de VPN de peering.

Visão geral da criptografia IKE

As seguintes criptografias IKE são compatíveis com a VPN clássica e a VPN de alta disponibilidade.

Há duas seções para IKEv2, uma para criptografia autenticada com dados associados (AEAD, na sigla em inglês) e outra para criptografias que não usam AEAD.

Criptografias IKEv2 que usam AEAD

Fase 1

Papel do código Cipher Notas
Criptografia e integridade
  • AES-GCM-16-128
  • AES-GCM-16-192
  • AES-GCM-16-256
Nesta lista, o primeiro número é o tamanho do parâmetro ICV em bytes (octetos) e o segundo é o tamanho da chave em bits.

Uma documentação pode expressar o parâmetro ICV (o primeiro número) em bits (8 se torna 64, 12 se torna 96 e 16 se torna 128).
Função pseudo-aleatória (PRF)
  • PRF-AES128-XCBC
  • PRF-AES128-CMAC
  • PRF-HMAC-SHA1
  • PRF-HMAC-MD5
  • PRF-HMAC-SHA2-256
  • PRF-HMAC-SHA2-384
  • PRF-HMAC-SHA2-512
Muitos dispositivos não exigem uma configuração de PRF explícita.
Diffie-Hellman (DH)
  • modp_2048 (grupo 14)
  • modp_2048_224 (modp_2048s224)
  • modp_2048_256 (modp_2048s256)
  • modp_1536 (grupo 5)
  • modp_3072 (grupo 15)
  • modp_4096 (grupo 16)
  • modp_8192 (grupo 18)
  • modp_1024 (grupo 2)
  • modp_1024_160 (modp_1024s160)
A proposta do Cloud VPN apresenta esses algoritmos de troca de chaves na ordem mostrada. O Cloud VPN aceita qualquer proposta que inclua um ou mais desses algoritmos, em qualquer ordem.
Ciclo de vida da Fase 1 36.000 segundos (10 horas)

Fase 2

Papel do código Cipher Notas
Criptografia e integridade
  • AES-GCM-16-128
  • AES-GCM-16-256
  • AES-GCM-16-192
A proposta do Cloud VPN apresenta esses algoritmos na ordem mostrada. O Cloud VPN aceita qualquer proposta que inclua um ou mais desses algoritmos, em qualquer ordem.

O primeiro número em cada algoritmo é o tamanho do parâmetro ICV em bytes (octetos) e o segundo é o tamanho da chave em bits. Alguns documentos podem expressar o parâmetro ICV (o primeiro número) em bits (8 se torna 64, 12 se torna 96, 16 se torna 128).
Algoritmo PFS (obrigatório)
  • modp_2048 (grupo 14)
  • modp_2048_224 (modp_2048s224)
  • modp_2048_256 (modp_2048s256)
  • modp_1536 (grupo 5)
  • modp_3072 (grupo 15)
  • modp_4096 (grupo 16)
  • modp_8192 (grupo 18)
  • modp_1024 (grupo 2)
  • modp_1024_160 (modp_1024s160)
A proposta do Cloud VPN apresenta esses algoritmos de troca de chaves na ordem mostrada. O Cloud VPN aceita qualquer proposta que tenha um ou mais desses algoritmos, em qualquer ordem.
Diffie-Hellman (DH) Consulte a Fase 1 Se o gateway da VPN exigir configurações de DH para a Fase 2, use as mesmas configurações usadas para a Fase 1.
Ciclo de vida da Fase 2 10.800 segundos (3 horas)

Criptografias IKEv2 que não usam AEAD

Fase 1

Papel do código Cipher Notas
Criptografia
  • AES-CBC-128
  • AES-CBC-192
  • AES-CBC-256
  • 3DES-CBC
  • AES-XCBC-96
  • AES-CMAC-96
A proposta do Cloud VPN apresenta esses algoritmos simétricos de criptografia na ordem mostrada. O Cloud VPN aceita qualquer proposta que use um ou mais desses algoritmos, em qualquer ordem.
Integridade
  • HMAC-SHA1-96
  • HMAC-MD5-96
  • HMAC-SHA2-256-128
  • HMAC-SHA2-384-192
  • HMAC-SHA2-512-256
A proposta do Cloud VPN apresenta esses algoritmos HMAC na ordem mostrada. O Cloud VPN aceita qualquer proposta que tenha um ou mais desses algoritmos, em qualquer ordem.

A documentação do seu gateway VPN local pode usar um nome um pouco diferente para o algoritmo. Por exemplo, HMAC-SHA2-512-256 pode ser chamado de apenas SHA2-512 ou SHA-512, eliminando o número de comprimento de truncamento e outras informações irrelevantes.
Função pseudo-aleatória (PRF)
  • PRF-AES-128-XCBC
  • PRF-AES-128-CMAC
  • PRF-SHA1
  • PRF-MD5
  • PRF-SHA2-256
  • PRF-SHA2-384
  • PRF-SHA2-512
Muitos dispositivos não exigem uma configuração de PRF explícita.
Diffie-Hellman (DH)
  • modp_2048 (grupo 14)
  • modp_2048_224 (modp_2048s224)
  • modp_2048_256 (modp_2048s256)
  • modp_1536 (grupo 5)
  • modp_3072 (grupo 15)
  • modp_4096 (grupo 16)
  • modp_8192 (grupo 18)
  • modp_1024 (grupo 2)
  • modp_1024_160 (modp_1024s160)
A proposta do Cloud VPN apresenta esses algoritmos de troca de chaves na ordem mostrada. O Cloud VPN aceita qualquer proposta que contenha um ou mais desses algoritmos, em qualquer ordem.
Ciclo de vida da Fase 1 36.000 segundos (10 horas)

Fase 2

Papel do código Cipher Notas
Criptografia
  • AES-CBC-128
  • AES-CBC-256
  • AES-CBC-192
A proposta do Cloud VPN apresenta esses algoritmos simétricos de criptografia na ordem mostrada. O Cloud VPN aceita qualquer proposta que contenha um ou mais desses algoritmos, em qualquer ordem.
Integridade
  • HMAC-SHA2-256-128
  • HMAC-SHA2-512-256
  • HMAC-SHA1-96
A proposta do Cloud VPN apresenta esses algoritmos HMAC na ordem mostrada. O Cloud VPN aceita qualquer proposta que contenha um ou mais desses algoritmos, em qualquer ordem.

A documentação do seu gateway VPN local pode usar um nome um pouco diferente para o algoritmo. Por exemplo, HMAC-SHA2-512-256 pode ser chamado de apenas SHA2-512 ou SHA-512, eliminando o número de comprimento de truncamento e outras informações irrelevantes.
Algoritmo PFS (obrigatório)
  • modp_2048 (grupo 14)
  • modp_2048_224 (modp_2048s224)
  • modp_2048_256 (modp_2048s256)
  • modp_1536 (grupo 5)
  • modp_3072 (grupo 15)
  • modp_4096 (grupo 16)
  • modp_8192 (grupo 18)
  • modp_1024 (grupo 2)
  • modp_1024_160 (modp_1024s160)
A proposta do Cloud VPN apresenta esses algoritmos de troca de chaves na ordem mostrada. O Cloud VPN aceita qualquer proposta que contenha um ou mais desses algoritmos, em qualquer ordem.
Diffie-Hellman (DH) Consulte a Fase 1. Se seu gateway VPN exigir as configurações de DH para a Fase 2, use as mesmas configurações usadas para a Fase 1.
Ciclo de vida da Fase 2 10.800 segundos (3 horas)

Criptografias IKEv1

Fase 1

Papel do código Cipher
Criptografia AES-CBC-128
Integridade HMAC-SHA1-96
Função pseudo-aleatória (PRF)* PRF-SHA1-96
Diffie-Hellman (DH) modp_1024 (grupo 2)
Ciclo de vida da Fase 1 36.600 segundos (10 horas, 10 minutos)

* Para mais informações sobre o PRF no IKEv1, consulte RFC 2409.

Fase 2

Papel do código Cipher
Criptografia AES-CBC-128
Integridade HMAC-SHA1-96
Algoritmo PFS (obrigatório) modp_1024 (grupo 2)
Diffie-Hellman (DH) Se você precisar especificar DH para o gateway da VPN, use a mesma configuração usada para a Fase 1.
Ciclo de vida da Fase 2 10.800 segundos (3 horas)

A seguir