支持的 IKE 加密方式

Cloud VPN 支持对等 VPN 设备或 VPN 服务的以下加密方式和配置参数。只要对等端使用支持的 IKE 加密设置,Cloud VPN 就会自动协商连接。

如需了解配置说明,请参阅配置对等 VPN 网关

IKE 加密方式概览

传统 VPN 和高可用性 VPN 支持以下 IKE 加密方式。IKEv2 具有两个部分,一个用于使用带关联数据的加密认证 (AEAD) 的加密方式,另一个用于不使用 AEAD 的加密方式。

使用 AEAD 的 IKEv2 加密方式

第 1 阶段

加密角色 加密方式 备注
加密和完整性
  • AES-GCM-8-128
  • AES-GCM-8-192
  • AES-GCM-8-256
  • AES-GCM-12-128
  • AES-GCM-12-192
  • AES-GCM-12-256
  • AES-GCM-16-128
  • AES-GCM-16-192
  • AES-GCM-16-256
在此列表中,第一个数字是以字节(八位字节)为单位的 ICV 参数的大小,第二个数字是以位为单位的密钥长度。

某些文档可能会以位为单位表示 ICV 参数(第一个数字),这时原本的数字 8 需要变为 64,12 变为 96,16 变为 128。
伪随机函数 (PRF)
  • PRF-AES128-XCBC
  • PRF-AES128-CMAC
  • PRF-HMAC-SHA1
  • PRF-HMAC-MD5
  • PRF-HMAC-SHA2-256
  • PRF-HMAC-SHA2-384
  • PRF-HMAC-SHA2-512
许多设备都不需要显式 PRF 设置。
Diffie-Hellman (DH)
  • modp_2048(第 14 组)
  • modp_2048_224 (modp_2048s224)
  • modp_2048_256 (modp_2048s256)
  • modp_1536(第 5 组)
  • modp_3072(第 15 组)
  • modp_4096(第 16 组)
  • modp_8192(第 18 组)
  • modp_1024(第 2 组)
  • modp_1024_160 (modp_1024s160)
Cloud VPN 的提案按照所示顺序显示这些密钥交换算法。Cloud VPN 接受包含以上一个算法或多个任意顺序算法的任何提案。
第 1 阶段存在期 36000 秒(10 小时)

第 2 阶段

加密角色 加密方式 备注
加密和完整性
  • AES-GCM-16-128
  • AES-GCM-16-256
  • AES-GCM-16-192
  • AES-GCM-12-128
  • AES-GCM-8-128
Cloud VPN 的提案按照所示顺序显示这些算法。Cloud VPN 接受包含以上一个算法或多个任意顺序算法的任何提案。

请注意,每个算法中的第一个数字是以字节(八位字节)为单位的 ICV 参数的大小,第二个数字是以位为单位的密钥长度。某些文档可能会以位为单位表示 ICV 参数(第一个数字),这时原本的数字 8 需要变为 64,12 变为 96,16 变为 128。
PFS 算法(必需)
  • modp_2048(第 14 组)
  • modp_2048_224 (modp_2048s224)
  • modp_2048_256 (modp_2048s256)
  • modp_1536(第 5 组)
  • modp_3072(第 15 组)
  • modp_4096(第 16 组)
  • modp_8192(第 18 组)
  • modp_1024(第 2 组)
  • modp_1024_160 (modp_1024s160)
Cloud VPN 的提案按照所示顺序显示这些密钥交换算法。Cloud VPN 接受包含以上一个算法或多个任意顺序算法的任何提案。
Diffie-Hellman (DH) 请参阅第 1 阶段 如果您的 VPN 网关需要第 2 阶段的 DH 设置,请使用您在第 1 阶段中使用的相同设置。
第 2 阶段存在期 10800 秒(3 小时)

不使用 AEAD 的 IKEv2 加密方式

第 1 阶段

加密角色 加密方式 备注
加密
  • AES-CBC-128
  • AES-CBC-192
  • AES-CBC-256
  • 3DES-CBC
  • AES-XCBC-96
  • AES-CMAC-96
Cloud VPN 的提案按照所示顺序显示这些对称加密算法。Cloud VPN 接受使用以上一个算法或多个任意顺序算法的任何提案。
完整性
  • HMAC-SHA1-96
  • HMAC-MD5-96
  • HMAC-SHA2-256-128
  • HMAC-SHA2-384-192
  • HMAC-SHA2-512-256
Cloud VPN 的提案按照所示顺序显示这些 HMAC 算法。Cloud VPN 接受包含以上一个算法或多个任意顺序算法的任何提案。

您本地 VPN 网关文档使用的算法名称可能会略有不同。例如,HMAC-SHA2-512-256 可能简称为 SHA2-512SHA-512,后者丢弃了截断长度数和其他无关信息。
伪随机函数 (PRF)
  • PRF-AES-128-XCBC
  • PRF-AES-128-CMAC
  • PRF-SHA1
  • PRF-MD5
  • PRF-SHA2-256
  • PRF-SHA2-384
  • PRF-SHA2-512
许多设备都不需要显式 PRF 设置。
Diffie-Hellman (DH)
  • modp_2048(第 14 组)
  • modp_2048_224 (modp_2048s224)
  • modp_2048_256 (modp_2048s256)
  • modp_1536(第 5 组)
  • modp_3072(第 15 组)
  • modp_4096(第 16 组)
  • modp_8192(第 18 组)
  • modp_1024(第 2 组)
  • modp_1024_160 (modp_1024s160)
Cloud VPN 的提案按照所示顺序显示这些密钥交换算法。Cloud VPN 接受包含以上一个算法或多个任意顺序算法的任何提案。
第 1 阶段存在期 36000 秒(10 小时)

第 2 阶段

加密角色 加密方式 备注
加密
  • AES-CBC-128
  • AES-CBC-256
  • AES-CBC-192
Cloud VPN 的提案按照所示顺序显示这些对称加密算法。Cloud VPN 接受包含以上一个算法或多个任意顺序算法的任何提案。
完整性
  • HMAC-SHA2-256-128
  • HMAC-SHA2-512-256
  • HMAC-SHA1-96
Cloud VPN 的提案按照所示顺序显示这些 HMAC 算法。Cloud VPN 接受包含以上一个算法或多个任意顺序算法的任何提案。

您本地 VPN 网关文档使用的算法名称可能会略有不同。例如,HMAC-SHA2-512-256 可能简称为 SHA2-512SHA-512,后者丢弃了截断长度数和其他无关信息。
PFS 算法(必需)
  • modp_2048(第 14 组)
  • modp_2048_224 (modp_2048s224)
  • modp_2048_256 (modp_2048s256)
  • modp_1536(第 5 组)
  • modp_3072(第 15 组)
  • modp_4096(第 16 组)
  • modp_8192(第 18 组)
  • modp_1024(第 2 组)
  • modp_1024_160 (modp_1024s160)
Cloud VPN 的提案按照所示顺序显示这些密钥交换算法。Cloud VPN 接受包含以上一个算法或多个任意顺序算法的任何提案。
Diffie-Hellman (DH) 请参阅第 1 阶段。 如果您的 VPN 网关需要第 2 阶段的 DH 设置,请使用您在第 1 阶段中使用的相同设置。
第 2 阶段存在期 10800 秒(3 小时)

IKEv1 加密方式

第 1 阶段

加密角色 加密方式
加密 AES-CBC-128
完整性 HMAC-SHA1-96
伪随机函数 (PRF) PRF-SHA1-96
Diffie-Hellman (DH) modp_1024(第 2 组)
第 1 阶段存在期 36600 秒(10 小时 10 分钟)

第 2 阶段

加密角色 加密方式
加密 AES-CBC-128
完整性 HMAC-SHA1-96
PFS 算法(必需) modp_1024(第 2 组)
Diffie-Hellman (DH) 如果您需要为 VPN 网关指定 DH,请使用您在第 1 阶段中使用的相同设置。
第 2 阶段存在期 10800 秒(3 小时)

后续步骤