支持的 IKE 加密方式

Google Distributed Cloud (GDC) 气隙 VPN 支持对等 VPN 网关的以下加密方式和配置参数。

建议顺序

GDC VPN 可以充当 IKE 请求的发起者或响应者,具体取决于需要新的安全关联 (SA) 时的流量来源。

当 GDC VPN 启动 VPN 连接时,GDC VPN 会按照支持的加密表中针对每个加密角色显示的顺序提出算法建议。接收建议的对等 VPN 网关会选择一种算法。

如果对等 VPN 网关启动连接,则 GDC VPN 会使用每个加密角色表中显示的顺序从建议中选择加密方式。

所选加密方式可能因哪一端是发起者或响应者而异。例如,所选加密甚至可能随着时间的推移而改变,因为在密钥轮替期间会创建新的安全关联 (SA)。

为防止频繁更改加密方式,请将对等 VPN 网关配置为针对每个加密角色建议并接受一种加密。GDC 气隙 VPN 和对等 VPN 网关都必须支持此加密。请勿为每个加密角色提供加密列表。这种最佳实践可确保 GDC 气隙 VPN 隧道的两端在 IKE 协商期间始终选择相同的 IKE 加密方式。

IKE 分片

GDC VPN 支持 IKE 分段,如 IKEv2 分段协议 (https://www.rfc-editor.org/rfc/rfc7383) 所述。

为获得最佳结果,Google 建议您在对等 VPN 网关上启用 IKE 分片(如果尚未启用)。

如果您未启用 IKE 分片,则从 GDC 到对等 VPN 网关的大于网关 MTU 的 IKE 数据包会被丢弃。

某些 IKE 消息无法进行分片,包括以下消息:

  • IKE_SA_INIT
  • IKE_SESSION_RESUME

如需了解详情,请参阅 https://www.rfc-editor.org/rfc/rfc7383 中的“限制”部分。

支持的加密表

以下支持的加密表提供了在加密和解密过程中替换字符或字符组的规则:

第 1 阶段

加密角色 Cipher 备注
加密和完整性
  • AES-GCM-16-256

在此列表中,第一个数字是以字节(八位字节)为单位的 ICV 参数的大小,第二个数字是以为单位的密钥长度。

某些文档可能会以位为单位表示 ICV 参数(第一个数字),这时原本的数字 8 需要变为 64,12 变为 96,16 变为 128。
伪随机函数 (PRF)
  • PRF-HMAC-SHA2-512
  • PRF-HMAC-SHA2-384
  • PRF-HMAC-SHA2-256
 许多设备不需要显式 PRF 设置。
迪菲-赫尔曼 (DH)
  • MODP-4096
  • MODP-3072
  • MODP-2048
  • MODP-1536
第 1 阶段存在期 36,000 秒(10 小时)

第 2 阶段

加密角色 Cipher 备注
加密和完整性
  • AES-GCM-16-256

在此列表中,第一个数字是以字节(八位字节)为单位的 ICV 参数的大小,第二个数字是以为单位的密钥长度。

某些文档可能会以位为单位表示 ICV 参数(第一个数字),这时原本的数字 8 需要变为 64,12 变为 96,16 变为 128。
伪随机函数 (PRF)
  • PRF-HMAC-SHA2-512
  • PRF-HMAC-SHA2-384
  • PRF-HMAC-SHA2-256
 许多设备不需要显式 PRF 设置。
迪菲-赫尔曼 (DH)
  • MODP-4096
  • MODP-3072
  • MODP-2048
  • MODP-1536
第 2 阶段存在期 10800 秒(3 小时)

配置 IKE

您可以在对等 VPN 网关上配置 IKE,以实现动态路由、基于路由和基于政策的路由。

GDC VPN 隧道必须使用 IKE v2 来支持 IPv6 流量。

如需为 IKE 配置对等 VPN 网关和隧道,请使用下表中的参数:

对于 IKEv1 和 IKEv2

设置
IPsec 模式 ESP+身份验证隧道模式(站点到站点)
身份验证协议 psk
共享密钥 也称为 IKE 预共享密钥。请遵循这些准则选择安全系数高的密码。预共享密钥属于敏感信息,因为它允许访问您的网络。
启动 auto(如果对等设备丢失,应自动重启连接)
PFS(完全正向加密) on
DPD(死对等体检测) 推荐:Aggressive。DPD 会检测 VPN 重启的时间,并使用备用隧道路由流量。
INITIAL_CONTACT
(有时称为 uniqueids		 推荐:on(有时称为 restart)。用途:更快地检测重启,以便减少感知的停机时间。
TSi(流量选择器 - 发起程序)

子网网络--local-traffic-selector 标志指定的范围。如果未指定 --local-traffic-selector(原因是 VPN 处于自动模式 VPC 网络并且仅发布网关的子网),则使用该子网范围。

旧版网络:网络的范围。
TSr(流量选择器 - 响应程序)

IKEv2:将 --next-hop-vpn-tunnel 设置为该隧道的所有路由的目标范围。

IKEv1:将 --next-hop-vpn-tunnel 设置为该隧道的其中一条路由的任意目标范围。
MTU 对等 VPN 设备的最大传输单元 (MTU) 不得超过 1460 字节。在设备上启用预碎片化,以便先对数据包进行分段,然后进行封装。

仅适用于 IKEv1 的其他参数

设置
IKE/ISAKMP aes128-sha1-modp1024
ESP aes128-sha1
PFS 算法 Group 2 (MODP_1024)