Cloud VPN supporta le seguenti cifrature e i seguenti parametri di configurazione per i servizi o i dispositivi VPN peer. Cloud VPN negozia automaticamente la connessione, a condizione che la parte peer utilizzi un'impostazione di crittografia Internet Key Exchange (IKE) supportata.
Per le istruzioni di configurazione, consulta la sezione Configurare il gateway VPN peer.
Cloud VPN funziona in modalità tunnel ESP IPsec.
I seguenti tipi di crittografia IKE sono supportati per la VPN classica e la VPN ad alta disponibilità.
Il supporto degli indirizzi IPv6 per le interfacce dei gateway VPN ad alta disponibilità è in anteprima.
Ordine di proposta
Cloud VPN può fungere da iniziatore o risponditore alle richieste IKE a seconda dell'origine del traffico quando è necessaria una nuova associazione di sicurezza.
Quando Cloud VPN avvia una connessione VPN, propone gli algoritmi di crittografia configurati nel tunnel Cloud VPN. Se non hai configurato gli algoritmi di crittografia ([Anteprima](https://cloud.google.com/products#product-launch-stages)), il tunneCloud VPNud propone gli algoritmi di crittografia nell'ordine mostrato nelle tabelle degli algoritmi di crittografia supportati per ogni ruolo di crittografia. La controparte che riceve la proposta seleziona un algoritmo.
Se la connessione viene avviata dalla parte peer, Cloud VPN seleziona una cifra dalla proposta utilizzando lo stesso ordine configurato o mostrato nella tabella per ogni ruolo di cifra.
A seconda di quale lato è l'iniziatore o il rispondente, la crittografia selezionata può essere diversa. Ad esempio, la crittografia selezionata potrebbe cambiare nel tempo man mano che vengono create nuove associazioni di sicurezza (SA) durante rotazione della chiave. Poiché una modifica alla selezione della crittografia può influire su caratteristiche importanti del tunnel, come le prestazioni o l'MTU, utilizza una selezione della crittografia stabile. Per ulteriori informazioni sulla MTU, consulta Considerazioni sulla MTU.
Per evitare modifiche frequenti nella selezione della crittografia, configura il gateway VPN peer e il tunnel Cloud VPN in modo che propongano e accettino una sola crittografia per ogni ruolo di crittografia. Questa crittografia deve essere supportata sia da Cloud VPN sia dal gateway VPN peer. Non fornire un elenco di cifrari per ogni ruolo di cifrario. Questa best practice garantisce che entrambe le parti del tunnel Cloud VPN selezionino sempre la stessa crittografia IKE durante la negoziazione IKE.
Cloud Location Finder ti aiuta a identificare le regioni e le zone più vicine alle tue sedi fisiche in tutto il mondo. Google Cloud Utilizzando Cloud Location Finder, puoi prendere decisioni informate su quale regione Google Cloud implementare i gateway Cloud VPN, ottimizzando potenzialmente latenza, posizione geografica e utilizzo di energia a emissioni di CO2. Per saperne di più, consulta la documentazione di Cloud Location Finder.
Per le coppie di tunnel VPN ad alta disponibilità, configura entrambi i tunnel VPN ad alta disponibilità sul gateway VPN peer in modo che utilizzino gli stessi valori di durata della fase 2 di IKE e della crittografia.
Frammentazione IKE
Cloud VPN supporta la frammentazione IKE come descritto dal protocollo di frammentazione IKEv2 (RFC 7383).
Per risultati ottimali, Google consiglia di attivare la frammentazione IKE, se non è già attiva, sul dispositivo VPN peer.
Se la frammentazione IKE non è abilitata, i pacchetti IKE da Google Cloud al dispositivo VPN peer più grandi dell'MTU del gateway vengono eliminati.
Alcuni messaggi IKE non possono essere frammentati, tra cui:
IKE_SA_INITIKE_SESSION_RESUME
Per ulteriori informazioni, consulta la sezione Limitazioni della RFC 7383.
Tabelle di cifratura supportate
Le sezioni seguenti elencano le crittografie supportate per Cloud VPN.
Crittografie IKEv2 che utilizzano AEAD
Le seguenti crittografie utilizzano la crittografia autenticata con dati associati (AEAD).
Fase 1
| Ruolo di Cipher | Nome della crittografia | Valore di configurazione (sensibile alle maiuscole) |
Note |
|---|---|---|---|
| Crittografia e integrità |
|
|
In questo elenco, il primo numero è la dimensione del parametro ICV in byte (ottetti) e il secondo è la lunghezza della chiave in bit. Alcuni documenti potrebbero esprimere il parametro ICV (il primo numero) in bit (8 diventa 64, 12 diventa 96 e 16 diventa 128). |
| Funzione pseudo-random (PRF) |
|
|
Molti dispositivi non richiedono un'impostazione PRF esplicita. |
| Diffie-Hellman (DH) |
|
|
La crittografia modp_8192 non è supportata per i gateway VPN ad alta disponibilità con interfacce IPv6 (gatewayIpVersion=IPv6). |
| Durata della fase 1 | 36.000 secondi (10 ore) |
Fase 2
| Ruolo di Cipher | Nome della crittografia | Valore di configurazione (sensibile alle maiuscole) |
Note |
|---|---|---|---|
| Crittografia e integrità |
|
|
Il primo numero di ogni algoritmo è la dimensione del parametro ICV in byte (ottetti), mentre il secondo è la lunghezza della chiave in bit. Alcuni documenti potrebbero esprimere il parametro ICV (il primo numero) in bit (8 diventa 64, 12 diventa 96, 16 diventa 128). |
| Algoritmo PFS (obbligatorio) |
|
|
La crittografia modp_8192 non è supportata per i gateway VPN ad alta disponibilità con interfacce IPv6 (gatewayIpVersion=IPv6). |
| Diffie-Hellman (DH) | Fai riferimento alla Fase 1. | Fai riferimento alla Fase 1. | Se il gateway VPN richiede impostazioni DH per la fase 2, utilizza le stesse impostazioni che hai utilizzato per la fase 1. |
| Durata della fase 2 | 10.800 secondi (3 ore) |
Crittografie IKEv2 che non utilizzano AEAD
Fase 1
| Ruolo di Cipher | Nome della crittografia | Valore di configurazione (sensibile alle maiuscole) |
Note |
|---|---|---|---|
| Crittografia |
|
|
|
| Integrità |
|
|
La documentazione del gateway VPN on-premise potrebbe utilizzare un nome leggermente
diverso per l'algoritmo. Ad esempio,
|
| Funzione pseudo-random (PRF) |
|
|
Molti dispositivi non richiedono un'impostazione PRF esplicita. |
| Diffie-Hellman (DH) |
|
|
La crittografia modp_8192 non è supportata per i gateway VPN ad alta disponibilità con interfacce IPv6 (gatewayIpVersion=IPv6). |
| Durata della fase 1 | 36.000 secondi (10 ore) |
Fase 2
| Ruolo di Cipher | Nome della crittografia | Valore di configurazione (sensibile alle maiuscole) |
Note |
|---|---|---|---|
| Crittografia |
|
|
|
| Integrità |
|
|
La documentazione del gateway VPN on-premise potrebbe utilizzare un nome leggermente
diverso per l'algoritmo. Ad esempio,
|
| Algoritmo PFS (obbligatorio) |
|
|
La crittografia modp_8192 non è supportata per i gateway VPN ad alta disponibilità con interfacce IPv6 (gatewayIpVersion=IPv6). |
| Diffie-Hellman (DH) | Fai riferimento alla Fase 1. | Fai riferimento alla Fase 1. | Se il gateway VPN richiede impostazioni DH per la fase 2, utilizza le stesse impostazioni che hai utilizzato per la fase 1. |
| Durata della fase 2 | 10.800 secondi (3 ore) |
Crittografie IKEv1
Fase 1
| Ruolo di Cipher | Cipher |
|---|---|
| Crittografia | AES-CBC-128 |
| Integrità | HMAC-SHA1-96 |
| Funzione pseudocasuale (PRF)1 | PRF-SHA1-96 |
| Diffie-Hellman (DH) | modp_1024 (Group 2) |
| Durata della fase 1 | 36.600 secondi (10 ore e 10 minuti) |
1Per ulteriori informazioni su PRF in IKEv1, consulta RFC 2409.
Fase 2
| Ruolo di Cipher | Cipher |
|---|---|
| Crittografia | AES-CBC-128 |
| Integrità | HMAC-SHA1-96 |
| Algoritmo PFS (obbligatorio) | modp_1024 (Group 2) |
| Diffie-Hellman (DH) | Se devi specificare DH per il gateway VPN, utilizza la stessa impostazione che hai utilizzato per la fase 1. |
| Durata della fase 2 | 10.800 secondi (3 ore) |
Passaggi successivi
- Per scoprire i concetti di base di Cloud VPN, consulta la panoramica di Cloud VPN.
- Per aiutarti a risolvere i problemi comuni che potresti riscontrare quando utilizzi Cloud VPN, consulta la sezione Risoluzione dei problemi.