O Cloud VPN aceita as criptografias e parâmetros de configuração a seguir para dispositivos de VPN de peering ou serviços de VPN. O Cloud VPN negocia automaticamente a conexão, desde que o lado do peering use uma configuração de criptografia compatível com o Internet Key Exchange (IKE).
Para instruções de configuração, consulte Como configurar o gateway de VPN de peering.
Observação: o Cloud VPN opera no modo de túnel IPSec ESP
As seguintes criptografias IKE são compatíveis com a VPN clássica e a VPN de alta disponibilidade.
O suporte a endereços IPv6 para interfaces de gateway de VPN de alta disponibilidade está em Prévia.
Pedido de proposta
O Cloud VPN pode atuar como um iniciador ou participante de solicitações do IKE, dependendo da origem do tráfego quando uma nova associação de segurança é necessária.
Quando o Cloud VPN inicia uma conexão VPN, ele propõe os algoritmos de criptografia configurados no túnel do Cloud VPN. Se você não tiver configurado os algoritmos de criptografia ([Pré-lançamento](/products#product-launch-stages)), o túnel do Cloud VPN propõe os algoritmos de criptografia na ordem mostrada nas tabelas de criptografia compatíveis para cada papel de criptografia. O par que recebe a proposta seleciona um algoritmo.
Se o peering iniciar a conexão, o Cloud VPN selecionará uma criptografia da proposta usando a mesma ordem configurada ou mostrada na tabela para cada papel de criptografia.
Dependendo do lado que é o iniciador ou o participante, a criptografia selecionada pode ser diferente. Por exemplo, a criptografia selecionada pode até mesmo mudar ao longo do tempo, à medida que novas associações de segurança (SAs) são criadas durante a rotação de chaves. Como uma mudança na seleção de criptografia pode afetar características importantes do túnel, como desempenho ou MTU, use uma seleção de criptografia estável. Para ver mais informações sobre MTU, consulte Considerações sobre MTU.
Para evitar mudanças frequentes na seleção de criptografia, configure o gateway de VPN de peering e o túnel do Cloud VPN para propor e aceitar apenas uma criptografia para cada papel de criptografia. Essa criptografia precisa ser aceita pelo Cloud VPN e pelo seu gateway de VPN de peering. Não forneça uma lista de criptografias para cada papel de criptografia. Essa prática recomendada garante que os dois lados do túnel do Cloud VPN sempre selecionem a mesma criptografia da IKE durante a negociação da IKE.
O Localizador de locais do Cloud ajuda a identificar as regiões e zonas Google Cloud mais próximas dos seus locais físicos em todo o mundo. Com o Localizador de locais do Cloud, você pode tomar decisões informadas sobre em qual Google Cloud região implantar seus gateways do Cloud VPN, potencialmente otimizando a latência, a localização geográfica e o uso de energia de carbono. Para mais informações, consulte a documentação do Localizador de locais do Cloud.
Para pares de túneis de VPN de alta disponibilidade, configure os dois túneis de VPN de alta disponibilidade no gateway de VPN de peering para usar os mesmos valores de vida útil de criptografia e fase IKE 2.
Fragmentação do IKE
O Cloud VPN oferece suporte à fragmentação de IKE, conforme descrito pelo protocolo de fragmentação IKEv2 (RFC 7383).
Para melhores resultados, o Google recomenda ativar a fragmentação de IKE, se ela ainda não estiver ativada, no dispositivo de VPN de peering.
Se a fragmentação do IKE não estiver ativada, os pacotes IKE de Google Cloud para o dispositivo de VPN de peering que forem maiores que a MTU do gateway serão descartados.
Algumas mensagens IKE não podem ser fragmentadas, incluindo as seguintes mensagens:
IKE_SA_INITIKE_SESSION_RESUME
Para mais informações, consulte a Seção "Limitações" na RFC 7383.
Tabelas de criptografia compatíveis
As seções a seguir listam as criptografias compatíveis com o Cloud VPN.
Criptografias IKEv2 que usam AEAD
As criptografias a seguir usam criptografia autenticada com dados associados (AEAD, na sigla em inglês).
Fase 1
| Papel do código | Nome da criptografia | Valor de configuração (diferencia maiúsculas de minúsculas) |
Observações |
|---|---|---|---|
| Criptografia e integridade |
|
|
Nesta lista, o primeiro número é o tamanho do parâmetro ICV em bytes (octetos) e o segundo é o tamanho da chave em bits. Algumas documentações podem expressar o parâmetro ICV (o primeiro número) em bits (8 se torna 64, 12 se torna 96 e 16 se torna 128). |
| Função pseudo-aleatória (PRF) |
|
|
Muitos dispositivos não exigem uma configuração de PRF explícita. |
| Diffie-Hellman (DH) |
|
|
A cifra modp_8192 não é compatível com gateways de VPN de alta disponibilidade
com interfaces IPv6 (gatewayIpVersion=IPv6). |
| Ciclo de vida da Fase 1 | 36.000 segundos (10 horas) |
Fase 2
| Papel do código | Nome da criptografia | Valor de configuração (diferencia maiúsculas de minúsculas) |
Observações |
|---|---|---|---|
| Criptografia e integridade |
|
|
O primeiro número em cada algoritmo é o tamanho do parâmetro ICV em bytes (octetos) e o segundo é o tamanho da chave em bits. Algumas documentações podem expressar o parâmetro ICV (o primeiro número) em bits (8 se torna 64, 12 se torna 96, 16 se torna 128). |
| Algoritmo PFS (obrigatório) |
|
|
A cifra modp_8192 não é compatível com gateways de VPN de alta disponibilidade
com interfaces IPv6 (gatewayIpVersion=IPv6). |
| Diffie-Hellman (DH) | Consulte a fase 1. | Consulte a fase 1. | Se o gateway da VPN exigir as configurações de DH para a fase 2, use as mesmas configurações usadas na Fase 1. |
| Ciclo de vida da Fase 2 | 10.800 segundos (3 horas) |
Criptografias IKEv2 que não usam AEAD
Fase 1
| Papel do código | Nome da criptografia | Valor de configuração (diferencia maiúsculas de minúsculas) |
Observações |
|---|---|---|---|
| Criptografia |
|
|
|
| Integridade |
|
|
A documentação do gateway VPN local pode usar um nome um pouco
diferente para o algoritmo. Por exemplo,
|
| Função pseudo-aleatória (PRF) |
|
|
Muitos dispositivos não exigem uma configuração de PRF explícita. |
| Diffie-Hellman (DH) |
|
|
A cifra modp_8192 não é compatível com gateways de VPN de alta disponibilidade
com interfaces IPv6 (gatewayIpVersion=IPv6). |
| Ciclo de vida da Fase 1 | 36.000 segundos (10 horas) |
Fase 2
| Papel do código | Nome da criptografia | Valor de configuração (diferencia maiúsculas de minúsculas) |
Observações |
|---|---|---|---|
| Criptografia |
|
|
|
| Integridade |
|
|
A documentação do gateway VPN local pode usar um nome um pouco
diferente para o algoritmo. Por exemplo,
|
| Algoritmo PFS (obrigatório) |
|
|
A cifra modp_8192 não é compatível com gateways de VPN de alta disponibilidade
com interfaces IPv6 (gatewayIpVersion=IPv6). |
| Diffie-Hellman (DH) | Consulte a fase 1. | Consulte a fase 1. | Se o gateway VPN exigir as configurações de DH para a fase 2, use as mesmas configurações usadas na Fase 1. |
| Ciclo de vida da Fase 2 | 10.800 segundos (3 horas) |
Criptografias IKEv1
Fase 1
| Papel do código | Cipher |
|---|---|
| Criptografia | AES-CBC-128 |
| Integridade | HMAC-SHA1-96 |
| Função pseudo-aleatória (PRF)1 | PRF-SHA1-96 |
| Diffie-Hellman (DH) | modp_1024 (grupo 2) |
| Ciclo de vida da Fase 1 | 36.600 segundos (10 horas, 10 minutos) |
1 Para mais informações sobre o PRF no IKEv1, consulte RFC 2409.
Fase 2
| Papel do código | Cipher |
|---|---|
| Criptografia | AES-CBC-128 |
| Integridade | HMAC-SHA1-96 |
| Algoritmo PFS (obrigatório) | modp_1024 (grupo 2) |
| Diffie-Hellman (DH) | Se você precisar especificar DH para o gateway da VPN, use a mesma configuração usada para a Fase 1. |
| Ciclo de vida da Fase 2 | 10.800 segundos (3 horas) |
A seguir
- Para saber mais sobre os conceitos básicos do Cloud VPN, consulte a Visão geral do Cloud VPN.
- Para ajudar a resolver problemas comuns que você pode encontrar ao usar o Cloud VPN, consulte Solução de problemas.