Cipher IKE yang didukung

VPN dengan sistem tertutup Google Distributed Cloud (GDC) mendukung cipher dan parameter konfigurasi berikut untuk gateway VPN peer.

Urutan proposal

VPN GDC dapat bertindak sebagai inisiator atau penerima respons atas permintaan IKE bergantung pada asal traffic saat pengaitan keamanan (SA) dibutuhkan.

Saat GDC VPN memulai koneksi VPN, GDC VPN mengusulkan algoritma sesuai urutan yang ditampilkan dalam tabel cipher yang didukung untuk setiap peran cipher. Gateway VPN peer yang menerima proposal akan memilih algoritma.

Jika gateway VPN peer memulai koneksi, maka GDC VPN akan memilih cipher dari proposal menggunakan urutan yang sama seperti yang ditampilkan dalam tabel untuk setiap peran cipher.

Bergantung pada sisi mana yang merupakan inisiator atau penerima respons, cipher yang dipilih dapat berbeda. Misalnya, cipher yang dipilih bahkan dapat berubah seiring waktu saat pengaitan keamanan (SA) baru dibuat selama rotasi kunci.

Agar tidak sering mengubah pemilihan cipher, konfigurasikan gateway VPN peer Anda untuk mengusulkan dan hanya menerima satu cipher untuk setiap peran cipher. Cipher ini harus didukung oleh VPN dengan sistem tertutup GDC dan gateway VPN peer Anda. Jangan berikan daftar cipher untuk setiap peran cipher. Praktik terbaik ini memastikan bahwa kedua sisi tunnel VPN air gap GDC Anda selalu memilih cipher IKE yang sama selama negosiasi IKE.

Fragmentasi IKE

VPN GDC mendukung fragmentasi IKE seperti yang dijelaskan oleh protokol fragmentasi IKEv2: https://www.rfc-editor.org/rfc/rfc7383.

Untuk mendapatkan hasil terbaik, Google merekomendasikan agar Anda mengaktifkan fragmentasi IKE, jika belum diaktifkan, di gateway VPN peer Anda.

Jika Anda tidak mengaktifkan fragmentasi IKE, paket IKE dari GDC ke gateway VPN peer yang lebih besar dari MTU gateway akan dihapus.

Beberapa pesan IKE tidak dapat difragmentasi, termasuk pesan berikut:

  • IKE_SA_INIT
  • IKE_SESSION_RESUME

Untuk mengetahui informasi selengkapnya, lihat bagian Batasan di https://www.rfc-editor.org/rfc/rfc7383.

Tabel cipher yang didukung

Tabel cipher yang didukung ini memberikan aturan untuk mengganti karakter atau grup karakter selama proses enkripsi dan dekripsi:

Fase 1

Peran chiper Cipher Notes
Enkripsi & Integritas
  • AES-GCM-16-256

Dalam daftar ini, angka pertama adalah ukuran parameter ICV dalam byte (octet), dan yang kedua adalah key length dalam bit.

Beberapa dokumentasi mungkin menyatakan parameter ICV (angka pertama) dalam bit (8 menjadi 64, 12 menjadi 96, dan 16 menjadi 128).
Fungsi Pseudo-Random (PRF)
  • PRF-HMAC-SHA2-512
  • PRF-HMAC-SHA2-384
  • PRF-HMAC-SHA2-256
 Banyak perangkat yang tidak memerlukan setelan PRF eksplisit.
Diffie-Hellman (DH)
  • MODP-4096
  • MODP-3072
  • MODP-2048
  • MODP-1536
Masa aktif fase 1 36000 detik (10 jam)

Fase 2

Peran chiper Cipher Notes
Enkripsi & Integritas
  • AES-GCM-16-256

Dalam daftar ini, angka pertama adalah ukuran parameter ICV dalam byte (octet), dan yang kedua adalah key length dalam bit.

Beberapa dokumentasi mungkin menyatakan parameter ICV (angka pertama) dalam bit (8 menjadi 64, 12 menjadi 96, dan 16 menjadi 128).
Fungsi Pseudo-Random (PRF)
  • PRF-HMAC-SHA2-512
  • PRF-HMAC-SHA2-384
  • PRF-HMAC-SHA2-256
 Banyak perangkat yang tidak memerlukan setelan PRF eksplisit.
Diffie-Hellman (DH)
  • MODP-4096
  • MODP-3072
  • MODP-2048
  • MODP-1536
Masa aktif fase 2 10800 detik (3 jam)

Mengonfigurasi IKE

Anda dapat mengonfigurasi IKE di gateway VPN peer untuk perutean dinamis, berbasis rute, dan berbasis kebijakan.

Tunnel VPN GDC harus menggunakan IKE v2 untuk mendukung traffic IPv6.

Untuk mengonfigurasi gateway dan tunnel VPN peer untuk IKE, gunakan parameter pada tabel berikut:

Untuk IKEv1 dan IKEv2

Setelan Nilai
Mode IPsec Mode Tunnel ESP+Auth (Situs ke Situs)
Protokol Auth psk
Rahasia bersama Juga dikenal sebagai IKE pre-shared key. Pilih sandi yang kuat dengan mengikuti panduan ini. Pre-shared key bersifat sensitif karena mengizinkan akses ke jaringan Anda.
Mulai auto (jika perangkat peer mengalami penurunan performa, perangkat akan memulai ulang koneksi secara otomatis.
PFS (Kerahasiaan Penerusan Sempurna) on
DPD (Deteksi Peer Mati) Direkomendasikan: Aggressive. DPD mendeteksi kapan VPN dimulai ulang dan menggunakan tunnel alternatif untuk mengarahkan traffic.
INITIAL_CONTACT
(terkadang disebut uniqueids)		 Direkomendasikan: on (terkadang disebut restart). Tujuan: mendeteksi mulai ulang lebih cepat sehingga periode nonaktif yang dirasakan berkurang.
TSi (Pemilih Traffic - Inisiator)

Jaringan subnet: rentang yang ditentukan oleh flag --local-traffic-selector. JIka --local-traffic-selector tidak ditentukan karena VPN berada dalam jaringan VPC mode otomatis dan hanya mengumumkan subnet gateway, rentang subnet tersebut akan digunakan.

Jaringan lama: rentang jaringan.
TSr (Pemilih Traffic - Responden)

IKEv2: Tujuan berkisar dari semua rute dengan --next-hop-vpn-tunnel yang ditetapkan ke tunnel ini.

IKEv1: Secara sembarang, rentang tujuan dari salah satu rute yang menetapkan --next-hop-vpn-tunnel ke tunnel ini.
MTU Unit transmisi maksimum (MTU) perangkat VPN peer tidak boleh melebihi 1460 byte. Aktifkan prafragmentasi di perangkat Anda agar paket difragmentasi terlebih dahulu, lalu dienkapsulasi.

Parameter tambahan hanya untuk IKEv1

Setelan Nilai
IKE/ISAKMP aes128-sha1-modp1024
ESP aes128-sha1
Algoritma PFS Grup 2 (MODP_1024)