Esta página foi traduzida pela API Cloud Translation.

Códigos IKE aceitos

A VPN isolada do Google Distributed Cloud (GDC) aceita as criptografias e parâmetros de configuração a seguir para gateways de VPN de peering.

Pedido de proposta

A VPN do GDC pode atuar como um iniciador ou participante de solicitações do IKE, dependendo da origem do tráfego quando uma nova associação de segurança (SA, na sigla em inglês) é necessária.

Quando a GDC VPN inicia uma conexão VPN, ela propõe os algoritmos na ordem mostrada nas tabelas de criptografia compatíveis para cada função de criptografia. O gateway VPN de peering que recebe a proposta seleciona um algoritmo.

Se o gateway de VPN de peering iniciar a conexão, a VPN do GDC selecionará uma criptografia da proposta usando a mesma ordem mostrada na tabela para cada papel de criptografia.

Dependendo do lado que é o iniciador ou o participante, a criptografia selecionada pode ser diferente. Por exemplo, a criptografia selecionada pode até mesmo mudar ao longo do tempo à medida que novas associações de segurança (SAs) são criadas durante a rotação de chaves.

Para evitar alterações frequentes na seleção de criptografia, configure o gateway da VPN de peering para propor e aceitar apenas uma criptografia para cada papel de criptografia. Essa criptografia precisa ser aceita pela VPN isolada do GDC e pelo seu gateway de VPN de peering. Não forneça uma lista de criptografias para cada papel de criptografia. Essa prática recomendada garante que os dois lados do túnel de VPN isolado por ar do GDC sempre selecionem a mesma criptografia da IKE durante a negociação da IKE.

Fragmentação do IKE

A VPN do GDC oferece suporte à fragmentação de IKE, conforme descrito pelo protocolo de fragmentação IKEv2: https://www.rfc-editor.org/rfc/rfc7383.

Para melhores resultados, o Google recomenda ativar a fragmentação de IKE, se ela ainda não estiver ativada, no gateway de VPN de peering.

Se a fragmentação do IKE não estiver ativada, os pacotes IKE do GDC para o gateway de VPN de peering que forem maiores que a MTU do gateway serão descartados.

Algumas mensagens IKE não podem ser fragmentadas, incluindo as seguintes mensagens:

IKE_SA_INIT
IKE_SESSION_RESUME

Para mais informações, consulte a seção "Limitações" em https://www.rfc-editor.org/rfc/rfc7383.

Tabelas de criptografia compatíveis

Essas tabelas de criptografia compatíveis fornecem as regras para substituir caracteres ou grupos de caracteres durante os processos de criptografia e descriptografia:

Fase 1

Papel do código	Cipher	Observações
Criptografia e integridade	AES-GCM-16-256	Nesta lista, o primeiro número é o tamanho do parâmetro ICV em bytes (octetos) e o segundo é o tamanho da chave em bits. Algumas documentações podem expressar o parâmetro ICV (o primeiro número) em bits (8 se torna 64, 12 se torna 96 e 16 se torna 128).
Função pseudo-aleatória (PRF)	PRF-HMAC-SHA2-512 PRF-HMAC-SHA2-384 PRF-HMAC-SHA2-256	Muitos dispositivos não exigem uma configuração de PRF explícita.
Diffie-Hellman (DH)	MODP-4096 MODP-3072 MODP-2048 MODP-1536
Ciclo de vida da Fase 1	36.000 segundos (10 horas)

Fase 2

Papel do código	Cipher	Observações
Criptografia e integridade	AES-GCM-16-256	Nesta lista, o primeiro número é o tamanho do parâmetro ICV em bytes (octetos) e o segundo é o tamanho da chave em bits. Algumas documentações podem expressar o parâmetro ICV (o primeiro número) em bits (8 se torna 64, 12 se torna 96 e 16 se torna 128).
Função pseudo-aleatória (PRF)	PRF-HMAC-SHA2-512 PRF-HMAC-SHA2-384 PRF-HMAC-SHA2-256	Muitos dispositivos não exigem uma configuração de PRF explícita.
Diffie-Hellman (DH)	MODP-4096 MODP-3072 MODP-2048 MODP-1536
Ciclo de vida da Fase 2	10.800 segundos (3 horas)

Configurar IKE

É possível configurar o IKE no gateway de VPN de peering para roteamento dinâmico, com base em rotas e baseado em políticas.

Os túneis de VPN do GDC precisam usar IKE v2 para aceitar o tráfego IPv6.

Para configurar o gateway e o túnel da VPN de peering para o IKE, use os parâmetros na tabela a seguir:

Para IKEv1 e IKEv2:

Configuração	Valor
Modo IPsec	Modo Túnel ESP+Autenticação (Site-to-Site)
Protocolo de autenticação	`psk`
Senha secreta	Também conhecida como chave IKE pré-compartilhada. Escolha uma senha forte seguindo estas diretrizes. A chave pré-compartilhada é confidencial, porque permite o acesso à sua rede.
Iniciar	`auto` (se o dispositivo de peering cair, ele reiniciará a conexão automaticamente)
PFS (Perfect Forward Secrecy)	`on`
DPD (Dead Peer Detection)	Recomendado: `Aggressive`. O DPD detecta quando a VPN é reiniciada e usa túneis alternativos para rotear o tráfego.
INITIAL_CONTACT (às vezes chamado de `uniqueids`)	Recomendado: `on` (às vezes chamado de `restart`). Finalidade: detectar reinícios com mais rapidez para reduzir a inatividade percebida.
TSi (Traffic Selector - Initiator)	Redes de sub-rede: os intervalos especificados pela sinalização `--local-traffic-selector`. Se `--local-traffic-selector` não tiver sido especificado porque a VPN é uma rede VPC de modo automático e anuncia somente a sub-rede do gateway, esse intervalo de sub-rede será usado. Redes legadas: o intervalo da rede.
TSr (Traffic Selector - Responder)	IKEv2: os intervalos de destino de todas as rotas com `--next-hop-vpn-tunnel` definido para esse túnel. IKEv1: arbitrariamente, o intervalo de destino de uma das rotas com `--next-hop-vpn-tunnel` definido para esse túnel.
MTU	A unidade máxima de transmissão (MTU) do dispositivo de VPN de peering não pode exceder 1.460 bytes. Ative a pré-fragmentação do dispositivo para que os pacotes sejam fragmentados primeiro e, depois, encapsulados.

Parâmetros adicionais somente para IKEv1:

Configuração	Valor
IKE/ISAKMP	`aes128-sha1-modp1024`
ESP	`aes128-sha1`
Algoritmo PFS	Grupo 2 (`MODP_1024`)

Códigos IKE aceitos Mantenha tudo organizado com as coleções Salve e categorize o conteúdo com base nas suas preferências.