Cloud VPN supporta le seguenti crittografie e parametri di configurazione per i dispositivi VPN peer o i servizi VPN. Cloud VPN negozia automaticamente la connessione purché il lato peer utilizzi un'impostazione di crittografia IKE (Internet Key Exchange) supportata.
Per le istruzioni di configurazione, consulta Configurare il gateway VPN peer.
Cloud VPN funziona in modalità tunnel ESP IPsec.
Le seguenti crittografie IKE sono supportate per VPN classica e VPN ad alta disponibilità.
Il supporto degli indirizzi IPv6 per le interfacce gateway VPN ad alta disponibilità è in anteprima.
Ordine proposta
Cloud VPN può fungere da avvio o da risponditore alle richieste IKE a seconda dell'origine del traffico quando è necessaria una nuova associazione di sicurezza (SA).
Quando Cloud VPN avvia una connessione VPN, Cloud VPN propone gli algoritmi nell'ordine mostrato nelle tabelle di crittografia supportate per ogni ruolo di crittografia. Il lato peer che riceve la proposta seleziona un algoritmo.
Se il lato peer avvia la connessione, Cloud VPN seleziona una crittografia dalla proposta utilizzando lo stesso ordine mostrato nella tabella per ogni ruolo di crittografia.
A seconda di quale lato è l'utente che ha avviato la sessione o l'autore della risposta, la crittografia selezionata può essere diversa. Ad esempio, la crittografia selezionata potrebbe persino cambiare nel tempo, quando vengono create nuove associazioni di sicurezza (SA) durante la rotazione della chiave. Poiché una modifica nella selezione della crittografia può influire su caratteristiche importanti del tunnel, come prestazioni o MTU, assicurati che la selezione della crittografia sia stabile. Per ulteriori informazioni sulla MTU, consulta le considerazioni sulla MTU.
Per impedire modifiche frequenti nella selezione della crittografia, configura il gateway VPN peer in modo da proporre e accettare una sola crittografia per ogni ruolo di crittografia. Questa crittografia deve essere supportata sia da Cloud VPN sia dal gateway VPN peer. Non fornire un elenco di crittografie per ogni ruolo di crittografia. Questa best practice garantisce che entrambi i lati del tunnel Cloud VPN selezionino sempre la stessa crittografia IKE durante la negoziazione IKE.
Per le coppie di tunnel VPN ad alta disponibilità, configura entrambi i tunnel VPN ad alta disponibilità sul gateway VPN peer in modo da utilizzare la stessa crittografia e i valori di lifetime IKE di fase 2.
Frammentazione IKE
Cloud VPN supporta la frammentazione IKE come descritto dal protocollo di frammentazione IKEv2 (RFC 7383).
Per ottenere risultati ottimali, Google consiglia di abilitare la frammentazione IKE, se non è già abilitata, sul dispositivo VPN peer.
Se non hai abilitato la frammentazione IKE, i pacchetti IKE da Google Cloud al dispositivo VPN peer di dimensioni superiori alla MTU del gateway vengono eliminati.
Alcuni messaggi IKE non possono essere frammentati, inclusi i messaggi seguenti:
IKE_SA_INIT
IKE_SESSION_RESUME
Per ulteriori informazioni, consulta la sezione Limitazioni in RFC 7383.
Tabelle di crittografia supportate
Le sezioni seguenti elencano le crittografie supportate per la VPN ad alta disponibilità.
Cifrari IKEv2 che utilizzano AEAD
Le seguenti crittografie utilizzano la crittografia autenticata con dati associati (AEAD).
Fase 1
Ruolo di crittografia | Crittografia | Note |
---|---|---|
Crittografia e integrità |
|
In questo elenco, il primo numero indica la dimensione del parametro ICV in byte (ottetti), mentre il secondo è la lunghezza della chiave in bit. Alcune documentazione potrebbero esprimere il parametro ICV (il primo numero) in bit (8 diventa 64, 12 diventa 96 e 16 diventa 128). |
Funzione pseudo-casuale (PRF) |
|
Molti dispositivi non richiedono un'impostazione PRF esplicita. |
Diffie-Hellman (DH) |
|
* La crittografia modp_8192 non è supportata per i gateway VPN ad alta disponibilità con interfacce IPv6 (gatewayIpVersion=IPv6 ). |
Durata della fase 1 | 36.000 secondi (10 ore) |
Fase 2
Ruolo di crittografia | Crittografia | Note |
---|---|---|
Crittografia e integrità |
|
Il primo numero di ogni algoritmo è la dimensione del parametro ICV in byte (ottetti), mentre il secondo è la lunghezza della chiave in bit. Alcune documentazione potrebbero esprimere il parametro ICV (il primo numero) in bit (8 diventa 64, 12 diventa 96 e 16 diventa 128). |
Algoritmo PFS (obbligatorio) |
|
* La crittografia modp_8192 non è supportata per i gateway VPN ad alta disponibilità con interfacce IPv6 (gatewayIpVersion=IPv6 ). |
Diffie-Hellman (DH) | Fai riferimento alla fase 1. | Se il gateway VPN richiede le impostazioni DH per la fase 2, utilizza le stesse impostazioni utilizzate per la fase 1. |
Durata (fase 2) | 10.800 secondi (3 ore) |
crittografie IKEv2 che non utilizzano AEAD
Fase 1
Ruolo di crittografia | Crittografia | Note |
---|---|---|
Crittografia |
|
|
Integrità |
|
La documentazione del gateway VPN on-premise potrebbe utilizzare un nome leggermente diverso per l'algoritmo. Ad esempio, |
Funzione pseudo-casuale (PRF) |
|
Molti dispositivi non richiedono un'impostazione PRF esplicita. |
Diffie-Hellman (DH) |
|
* La crittografia modp_8192 non è supportata per i gateway VPN ad alta disponibilità con interfacce IPv6 (gatewayIpVersion=IPv6 ). |
Durata della fase 1 | 36.000 secondi (10 ore) |
Fase 2
Ruolo di crittografia | Crittografia | Note |
---|---|---|
Crittografia |
|
|
Integrità |
|
La documentazione del gateway VPN on-premise potrebbe utilizzare un nome leggermente diverso per l'algoritmo. Ad esempio, |
Algoritmo PFS (obbligatorio) |
|
* La crittografia modp_8192 non è supportata per i gateway VPN ad alta disponibilità con interfacce IPv6 (gatewayIpVersion=IPv6 ). |
Diffie-Hellman (DH) | Fai riferimento alla fase 1. | Se il gateway VPN richiede le impostazioni DH per la fase 2, utilizza le stesse impostazioni utilizzate per la fase 1. |
Durata (fase 2) | 10.800 secondi (3 ore) |
crittografie IKEv1
Fase 1
Ruolo di crittografia | Crittografia |
---|---|
Crittografia | AES-CBC-128 |
Integrità | HMAC-SHA1-96 |
Funzione pseudo-casuale (PRF)* | PRF-SHA1-96 |
Diffie-Hellman (DH) | modp_1024 (Gruppo 2) |
Durata della fase 1 | 36.600 secondi (10 ore e 10 minuti) |
* Per ulteriori informazioni su PRF in IKEv1, consulta RFC 2409.
Fase 2
Ruolo di crittografia | Crittografia |
---|---|
Crittografia | AES-CBC-128 |
Integrità | HMAC-SHA1-96 |
Algoritmo PFS (obbligatorio) | modp_1024 (Gruppo 2) |
Diffie-Hellman (DH) | Se devi specificare il livello di DH per il gateway VPN, utilizza la stessa impostazione utilizzata per la fase 1. |
Durata (fase 2) | 10.800 secondi (3 ore) |
Passaggi successivi
- Per conoscere i concetti di base di Cloud VPN, consulta la panoramica di Cloud VPN.
- Per aiutarti a risolvere i problemi comuni che potresti riscontrare quando utilizzi Cloud VPN, consulta Risoluzione dei problemi.