支持的 IKE 加密方式

Cloud VPN 支持对等 VPN 设备或 VPN 服务的以下加密方式和配置参数。只要对等端使用支持的 IKE 加密设置,Cloud VPN 就会自动协商连接。

如需了解配置说明,请参阅配置对等 VPN 网关

传统 VPN 和高可用性 VPN 支持以下 IKE 加密方式。

使用 AEAD 的 IKEv2 加密方式

以下加密技术使用关联数据加密的身份验证 (AEAD)

第 1 阶段

加密角色 加密方式 备注
加密和完整性
  • AES-GCM-16-128
  • AES-GCM-16-192
  • AES-GCM-16-256

在此列表中,第一个数字是以字节(八位字节)为单位的 ICV 参数的大小,第二个数字是以为单位的密钥长度。

某些文档可能会以位为单位表示 ICV 参数(第一个数字),这时原本的数字 8 需要变为 64,12 变为 96,16 变为 128。

伪随机函数 (PRF)
  • PRF-AES128-XCBC
  • PRF-AES128-CMAC
  • PRF-HMAC-SHA1
  • PRF-HMAC-MD5
  • PRF-HMAC-SHA2-256
  • PRF-HMAC-SHA2-384
  • PRF-HMAC-SHA2-512
许多设备不需要显式 PRF 设置。
Diffie-Hellman (DH)
  • modp_2048(第 14 组)
  • modp_2048_224 (modp_2048s224)
  • modp_2048_256 (modp_2048s256)
  • modp_1536(第 5 组)
  • modp_3072(第 15 组)
  • modp_4096(第 16 组)
  • modp_8192(第 18 组)
  • modp_1024(第 2 组)
  • modp_1024_160 (modp_1024s160)
  • ecp_256(第 19 组)
  • ecp_384(第 20 组)
  • ecp_521(第 21 组)
  • curve_25519(第 31 组)
Cloud VPN 的提案按照所示顺序显示这些密钥交换算法。Cloud VPN 接受包含以上一个算法或多个任意顺序算法的任何提案。
第 1 阶段存在期 36,000 秒(10 小时)

第 2 阶段

加密角色 加密方式 备注
加密和完整性
  • AES-GCM-16-128
  • AES-GCM-16-256
  • AES-GCM-16-192

Cloud VPN 的提案按照所示顺序显示这些算法。Cloud VPN 接受包含以上一个算法或多个任意顺序算法的任何提案。

每个算法中的第一个数字是以字节(八位字节)为单位的 ICV 参数的大小,第二个数字是以位为单位的密钥长度。某些文档可能会以位为单位表示 ICV 参数(第一个数字),这时原本的数字 8 需要变为 64,12 变为 96,16 变为 128。

PFS 算法(必需)
  • modp_2048(第 14 组)
  • modp_2048_224 (modp_2048s224)
  • modp_2048_256 (modp_2048s256)
  • modp_1536(第 5 组)
  • modp_3072(第 15 组)
  • modp_4096(第 16 组)
  • modp_8192(第 18 组)
  • modp_1024(第 2 组)
  • modp_1024_160 (modp_1024s160)
  • ecp_256(第 19 组)
  • ecp_384(第 20 组)
  • ecp_521(第 21 组)
  • curve_25519(第 31 组)
Cloud VPN 的提案按照所示顺序显示这些密钥交换算法。Cloud VPN 接受包含以上一个算法或多个任意顺序算法的任何提案。
Diffie-Hellman (DH) 请参阅第 1 阶段。 如果您的 VPN 网关需要第 2 阶段的 DH 设置,请使用与第 1 阶段相同的设置。
第 2 阶段存在期 10800 秒(3 小时)

不使用 AEAD 的 IKEv2 加密方式

第 1 阶段

加密角色 加密方式 备注
加密
  • AES-CBC-128
  • AES-CBC-192
  • AES-CBC-256
  • 3DES-CBC
  • AES-XCBC-96
  • AES-CMAC-96
Cloud VPN 的提案按照所示顺序显示这些对称加密算法。Cloud VPN 接受包含以上一个算法或多个任意顺序算法的任何提案。
完整性
  • HMAC-SHA1-96
  • HMAC-MD5-96
  • HMAC-SHA2-256-128
  • HMAC-SHA2-384-192
  • HMAC-SHA2-512-256

Cloud VPN 的提案按照所示顺序显示这些 HMAC 算法。Cloud VPN 接受包含以上一个算法或多个任意顺序算法的任何提案。

您本地 VPN 网关文档使用的算法名称可能会略有不同。例如,HMAC-SHA2-512-256 可能简称为 SHA2-512SHA-512,后者丢弃了截断长度数和其他无关信息。

伪随机函数 (PRF)
  • PRF-AES-128-XCBC
  • PRF-AES-128-CMAC
  • PRF-SHA1
  • PRF-MD5
  • PRF-SHA2-256
  • PRF-SHA2-384
  • PRF-SHA2-512
许多设备不需要显式 PRF 设置。
Diffie-Hellman (DH)
  • modp_2048(第 14 组)
  • modp_2048_224 (modp_2048s224)
  • modp_2048_256 (modp_2048s256)
  • modp_1536(第 5 组)
  • modp_3072(第 15 组)
  • modp_4096(第 16 组)
  • modp_8192(第 18 组)
  • modp_1024(第 2 组)
  • modp_1024_160 (modp_1024s160)
  • ecp_256(第 19 组)
  • ecp_384(第 20 组)
  • ecp_521(第 21 组)
  • curve_25519(第 31 组)
Cloud VPN 的提案按照所示顺序显示这些密钥交换算法。Cloud VPN 接受包含以上一个算法或多个任意顺序算法的任何提案。
第 1 阶段存在期 36,000 秒(10 小时)

第 2 阶段

加密角色 加密方式 备注
加密
  • AES-CBC-128
  • AES-CBC-256
  • AES-CBC-192
Cloud VPN 的提案按照所示顺序显示这些对称加密算法。Cloud VPN 接受包含以上一个算法或多个任意顺序算法的任何提案。
完整性
  • HMAC-SHA2-256-128
  • HMAC-SHA2-512-256
  • HMAC-SHA1-96

Cloud VPN 的提案按照所示顺序显示这些 HMAC 算法。Cloud VPN 接受包含以上一个算法或多个任意顺序算法的任何提案。

您本地 VPN 网关文档使用的算法名称可能会略有不同。例如,HMAC-SHA2-512-256 可能简称为 SHA2-512SHA-512,后者丢弃了截断长度数和其他无关信息。

PFS 算法(必需)
  • modp_2048(第 14 组)
  • modp_2048_224 (modp_2048s224)
  • modp_2048_256 (modp_2048s256)
  • modp_1536(第 5 组)
  • modp_3072(第 15 组)
  • modp_4096(第 16 组)
  • modp_8192(第 18 组)
  • modp_1024(第 2 组)
  • modp_1024_160 (modp_1024s160)
  • ecp_256(第 19 组)
  • ecp_384(第 20 组)
  • ecp_521(第 21 组)
  • curve_25519(第 31 组)
Cloud VPN 的提案按照所示顺序显示这些密钥交换算法。Cloud VPN 接受包含以上一个算法或多个任意顺序算法的任何提案。
Diffie-Hellman (DH) 请参阅第 1 阶段。 如果您的 VPN 网关需要第 2 阶段的 DH 设置,请使用与第 1 阶段相同的设置。
第 2 阶段存在期 10800 秒(3 小时)

IKEv1 加密方式

第 1 阶段

加密角色 加密方式
加密 AES-CBC-128
完整性 HMAC-SHA1-96
伪随机函数 (PRF)* PRF-SHA1-96
Diffie-Hellman (DH) modp_1024(第 2 组)
第 1 阶段存在期 36600 秒(10 小时 10 分钟)

*如需详细了解 IKEv1 中的 PRF,请参阅 RFC 2409

第 2 阶段

加密角色 加密方式
加密 AES-CBC-128
完整性 HMAC-SHA1-96
PFS 算法(必需) modp_1024(第 2 组)
Diffie-Hellman (DH) 如果您需要为 VPN 网关指定 DH,请使用与第 1 阶段相同的设置。
第 2 阶段存在期 10800 秒(3 小时)

后续步骤