Cloud VPN 支援下列對等互連 VPN 裝置或 VPN 服務的加密方式和設定參數。只要對等端使用支援的網際網路金鑰交換通訊協定 (IKE) 密碼設定,Cloud VPN 就會自動協商連線。
如需設定操作說明,請參閱「設定對等互連 VPN 閘道」。
Cloud VPN 會以 IPsec ESP 通道模式運作。
傳統 VPN 和 HA VPN 支援下列 IKE 加密方式。
高可用性 VPN 閘道介面的 IPv6 位址支援功能處於前測階段。
提案順序
在需要建立新安全關聯時,Cloud VPN 可視流量來源而做為 IKE 要求的啟動器或回應者。
當 Cloud VPN 啟動 VPN 連線時,Cloud VPN 會建議在 Cloud VPN 通道中設定的加密演算法。如果您尚未設定加密演算法 ([預先發布版](/products#product-launch-stages)),Cloud VPN 通道會依據支援的加密表格中列出的順序,為每個加密角色建議加密演算法。接收提案的對等方會選取演算法。
如果對等端啟動連線,Cloud VPN 會使用與表格中各個密碼角色的設定或顯示順序,從提案中選取密碼。
視發起方或回應方而定,所選的密碼可能會有所不同。舉例來說,在金鑰輪替期間建立新的安全性關聯 (SA) 時,所選的密碼編譯器甚至可能會隨時間變更。由於加密選項的變更可能會影響效能或 MTU 等重要的隧道特性,因此請使用穩定的加密選項。如要進一步瞭解 MTU,請參閱MTU 注意事項。
為避免加密方式選取頻繁變動,請將對等互連 VPN 閘道和 Cloud VPN 通道設為只為每個加密方式角色提出及接受一個加密方式。Cloud VPN 和對等互連 VPN 閘道都必須支援此密碼編譯。請勿為每個密碼角色提供密碼清單。這個最佳做法可確保 Cloud VPN 通道的兩端在 IKE 協商期間一律選取相同的 IKE 密碼編譯器。
Cloud Location Finder 可協助您找出全球實體位置最接近的 Google Cloud 區域和區域。您可以使用 Cloud Location Finder,針對要部署 Cloud VPN 閘道的 Google Cloud 區域做出明智決策,進而盡可能降低延遲、地理位置和碳能源使用量。詳情請參閱 Cloud Location Finder 說明文件。
針對高可用性 VPN 通道組,請在對等互連 VPN 閘道上設定兩個高可用性 VPN 通道,以便使用相同的密碼和 IKE 第 2 階段的生命週期值。
IKE 分割
Cloud VPN 支援 IKE 分段,如 IKEv2 分段通訊協定 (RFC 7383) 所述。
為獲得最佳成果,Google 建議您在對等 VPN 裝置上啟用 IKE 分割功能 (如果尚未啟用)。
如果您未啟用 IKE 分割功能,從 Google Cloud 傳送至對等 VPN 裝置的 IKE 封包如果大於閘道 MTU,就會遭到捨棄。
某些 IKE 訊息無法分割,包括以下訊息:
IKE_SA_INITIKE_SESSION_RESUME
詳情請參閱 RFC 7383 中的限制部分。
支援的密碼表
以下各節會列出 Cloud VPN 支援的加密方式。
使用 AEAD 的 IKEv2 加密方式
下列密碼使用附帶相關資料的驗證式加密 (AEAD)。
第 1 階段
| 加密角色 | 加密名稱 | 設定值 (區分大小寫) |
附註 |
|---|---|---|---|
| 加密與完整性 |
|
|
在這個清單中,第一個數字是 ICV 參數的大小 (以 bytes (octets) 為單位),第二個數字是鍵長度 (以 bits 為單位)。 部分說明文件可能會以位元表示 ICV 參數 (第一個數字),例如 8 會變成 64、12 會變成 96,而 16 會變成 128。 |
| 假隨機函式 (PRF) |
|
|
許多裝置不需要明確的 PRF 設定。 |
| Diffie-Hellman (DH) |
|
|
對於具有 IPv6 介面 (gatewayIpVersion=IPv6) 的高可用性 VPN 閘道,系統不支援 modp_8192 加密方式。 |
| 階段 1 生命週期 | 36,000 秒 (10 小時) |
第 2 階段
| 加密角色 | 加密名稱 | 設定值 (區分大小寫) |
附註 |
|---|---|---|---|
| 加密與完整性 |
|
|
每個演算法的第一個數字是 ICV 參數的大小 (以位元組 (八位元組) 為單位),第二個數字則是鍵的長度 (以位元為單位)。部分說明文件可能會以位元表示 ICV 參數 (第一個數字),8 會變成 64、12 會變成 96、16 會變成 128。 |
| PFS 演算法 (必要) |
|
|
對於具有 IPv6 介面 (gatewayIpVersion=IPv6) 的高可用性 VPN 閘道,系統不支援 modp_8192 加密方式。 |
| Diffie-Hellman (DH) | 請參閱第 1 階段。 | 請參閱第 1 階段。 | 如果 VPN 閘道需要第 2 階段的 DH 設定,請使用與第 1 階段相同的設定。 |
| 階段 2 生命週期 | 10,800 秒 (3 小時) |
不使用 AEAD 的 IKEv2 加密方式
第 1 階段
| 加密角色 | 加密名稱 | 設定值 (區分大小寫) |
附註 |
|---|---|---|---|
| 加密 |
|
|
|
| 完整性 |
|
|
內部部署 VPN 閘道的說明文件可能會使用略有不同的演算法名稱。舉例來說, |
| 假隨機函式 (PRF) |
|
|
許多裝置不需要明確的 PRF 設定。 |
| Diffie-Hellman (DH) |
|
|
對於具有 IPv6 介面 (gatewayIpVersion=IPv6) 的高可用性 VPN 閘道,系統不支援 modp_8192 加密方式。 |
| 階段 1 生命週期 | 36,000 秒 (10 小時) |
第 2 階段
| 加密角色 | 加密名稱 | 設定值 (區分大小寫) |
附註 |
|---|---|---|---|
| 加密 |
|
|
|
| 完整性 |
|
|
內部部署 VPN 閘道的說明文件可能會使用略有不同的演算法名稱。舉例來說, |
| PFS 演算法 (必要) |
|
|
對於具有 IPv6 介面 (gatewayIpVersion=IPv6) 的高可用性 VPN 閘道,系統不支援 modp_8192 加密方式。 |
| Diffie-Hellman (DH) | 請參閱第 1 階段。 | 請參閱第 1 階段。 | 如果 VPN 閘道需要第 2 階段的 DH 設定,請使用與第 1 階段相同的設定。 |
| 階段 2 生命週期 | 10,800 秒 (3 小時) |
IKEv1 加密方式
第 1 階段
| 加密角色 | 加密方式 |
|---|---|
| 加密 | AES-CBC-128 |
| 完整性 | HMAC-SHA1-96 |
| 擬似隨機函式 (PRF)1 | PRF-SHA1-96 |
| Diffie-Hellman (DH) | modp_1024 (Group 2) |
| 階段 1 生命週期 | 36,600 秒 (10 小時 10 分鐘) |
1如要進一步瞭解 IKEv1 中的 PRF,請參閱 RFC 2409。
第 2 階段
| 加密角色 | 加密方式 |
|---|---|
| 加密 | AES-CBC-128 |
| 完整性 | HMAC-SHA1-96 |
| PFS 演算法 (必要) | modp_1024 (Group 2) |
| Diffie-Hellman (DH) | 如果您需要為 VPN 閘道指定 DH,請使用與第 1 階段相同的設定。 |
| 階段 2 生命週期 | 10,800 秒 (3 小時) |
後續步驟
- 如要瞭解 Cloud VPN 的基本概念,請參閱 Cloud VPN 總覽。
- 如要解決使用 Cloud VPN 時可能遇到的常見問題,請參閱疑難排解。