Cloud VPN 支持对等 VPN 设备或 VPN 服务的以下加密方式和配置参数。只要对等端使用支持的 IKE 加密设置,Cloud VPN 就会自动协商连接。
如需了解配置说明,请参阅配置对等 VPN 网关。
IKE 加密方式概览
传统 VPN 和高可用性 VPN 支持以下 IKE 加密方式。
IKEv2 具有两个部分,一个用于使用带关联数据的加密认证 (AEAD) 的加密方式,另一个用于不使用 AEAD 的加密方式。
使用 AEAD 的 IKEv2 加密方式
第 1 阶段
加密角色 | 加密方式 | 备注 |
---|---|---|
加密和完整性 |
|
在此列表中,第一个数字是以字节(八位字节)为单位的 ICV 参数的大小,第二个数字是以位为单位的密钥长度。 某些文档可能会以位为单位表示 ICV 参数(第一个数字),这时原本的数字 8 需要变为 64,12 变为 96,16 变为 128。 |
伪随机函数 (PRF) |
|
许多设备都不需要显式 PRF 设置。 |
Diffie-Hellman (DH) |
|
Cloud VPN 的提案按照所示顺序显示这些密钥交换算法。Cloud VPN 接受包含以上一个算法或多个任意顺序算法的任何提案。 |
第 1 阶段存在期 | 36000 秒(10 小时) | — |
第 2 阶段
加密角色 | 加密方式 | 备注 |
---|---|---|
加密和完整性 |
|
Cloud VPN 的提案按照所示顺序显示这些算法。Cloud VPN 接受包含以上一个算法或多个任意顺序算法的任何提案。 请注意,每个算法中的第一个数字是以字节(八位字节)为单位的 ICV 参数的大小,第二个数字是以位为单位的密钥长度。某些文档可能会以位为单位表示 ICV 参数(第一个数字),这时原本的数字 8 需要变为 64,12 变为 96,16 变为 128。 |
PFS 算法(必需) |
|
Cloud VPN 的提案按照所示顺序显示这些密钥交换算法。Cloud VPN 接受包含以上一个算法或多个任意顺序算法的任何提案。 |
Diffie-Hellman (DH) | 请参阅第 1 阶段 | 如果您的 VPN 网关需要第 2 阶段的 DH 设置,请使用与第 1 阶段相同的设置。 |
第 2 阶段存在期 | 10800 秒(3 小时) | — |
不使用 AEAD 的 IKEv2 加密方式
第 1 阶段
加密角色 | 加密方式 | 备注 |
---|---|---|
加密 |
|
Cloud VPN 的提案按照所示顺序显示这些对称加密算法。Cloud VPN 接受使用以上一个算法或多个任意顺序算法的任何提案。 |
完整性 |
|
Cloud VPN 的提案按照所示顺序显示这些 HMAC 算法。Cloud VPN 接受包含以上一个算法或多个任意顺序算法的任何提案。 您本地 VPN 网关文档使用的算法名称可能会略有不同。例如, HMAC-SHA2-512-256 可能简称为 SHA2-512 或 SHA-512 ,后者丢弃了截断长度数和其他无关信息。 |
伪随机函数 (PRF) |
|
许多设备都不需要显式 PRF 设置。 |
Diffie-Hellman (DH) |
|
Cloud VPN 的提案按照所示顺序显示这些密钥交换算法。Cloud VPN 接受包含以上一个算法或多个任意顺序算法的任何提案。 |
第 1 阶段存在期 | 36000 秒(10 小时) | — |
第 2 阶段
加密角色 | 加密方式 | 备注 |
---|---|---|
加密 |
|
Cloud VPN 的提案按照所示顺序显示这些对称加密算法。Cloud VPN 接受包含以上一个算法或多个任意顺序算法的任何提案。 |
完整性 |
|
Cloud VPN 的提案按照所示顺序显示这些 HMAC 算法。Cloud VPN 接受包含以上一个算法或多个任意顺序算法的任何提案。 您本地 VPN 网关文档使用的算法名称可能会略有不同。例如, HMAC-SHA2-512-256 可能简称为 SHA2-512 或 SHA-512 ,后者丢弃了截断长度数和其他无关信息。 |
PFS 算法(必需) |
|
Cloud VPN 的提案按照所示顺序显示这些密钥交换算法。Cloud VPN 接受包含以上一个算法或多个任意顺序算法的任何提案。 |
Diffie-Hellman (DH) | 请参阅第 1 阶段。 | 如果您的 VPN 网关需要第 2 阶段的 DH 设置,请使用与第 1 阶段相同的设置。 |
第 2 阶段存在期 | 10800 秒(3 小时) | — |
IKEv1 加密方式
第 1 阶段
加密角色 | 加密方式 |
---|---|
加密 | AES-CBC-128 |
完整性 | HMAC-SHA1-96 |
伪随机函数 (PRF)* | PRF-SHA1-96 |
Diffie-Hellman (DH) | modp_1024(第 2 组) |
第 1 阶段存在期 | 36600 秒(10 小时 10 分钟) |
*如需详细了解 IKEv1 中的 PRF,请参阅 RFC 2409。
第 2 阶段
加密角色 | 加密方式 |
---|---|
加密 | AES-CBC-128 |
完整性 | HMAC-SHA1-96 |
PFS 算法(必需) | modp_1024(第 2 组) |
Diffie-Hellman (DH) | 如果您需要为 VPN 网关指定 DH,请使用与第 1 阶段相同的设置。 |
第 2 阶段存在期 | 10800 秒(3 小时) |
后续步骤
- 了解 Cloud VPN 的基本概念
- 创建自定义 Virtual Private Cloud 网络
- 维护 VPN 隧道和网关
- 如需了解高可用性、高吞吐量场景或多子网场景,请参阅高级配置。
- 查看日志和监控指标
- 获取问题排查帮助