华为云用户手册

  • IPsec VPN是否会自动建立连接? IPsec VPN在完成两侧配置后,并不会自行建立连接,需要两侧主机间的数据流来触发隧道的建立。如果云上与用户侧数据中心间没有交互数据流,VPN的连接状态会一直处于Down状态。所谓的数据流,可以是真实的业务访问数据,也可以是主机间Ping测数据。 触发隧道建立的方式有两种,一种是通过建立连接间的网关设备自动触发协商,另一种是通过云上云下主机间的交互流量触发。 云暂不支持通过云端VPN网关自动触发协商。推荐您在首次建立连接时,分别验证两侧的交互数据流均可触发连接建立。即用户侧数据中心主机ping云上主机可触发连接建立,然后断开连接,确认云上主机Ping用户侧数据中心主机亦可触发连接建立。 Ping包的源地址、目的地址需要处于VPN保护的范围内。 在建立连接之前,两端的网关地址应该是可以Ping通的,但是Ping网关IP并不触发VPN连接的建立。 父主题: VPN协商与对接
  • VPN使用的DH group对应的比特位是多少? Diffie-Hellman(DH)组确定密钥交换过程中使用的密钥的强度。较高的组号更安全,但需要额外的时间来计算密钥。 VPN使用的DH group对应的比特位如表1所示。 表1 DH group对应比特位 DH group Modulus 1 768 bits 2 1024 bits 5 1536 bits 14 2048 bits 15 3072 bits 16 4096 bits 19 ecp256 bits 20 ecp384 bits 21 ecp521 bits 以下DH算法有安全风险,不推荐使用:DH group 1、DH group 2、DH group 5。 父主题: VPN协商与对接
  • VPN协商参数有哪些?默认值是什么? 表1 VPN协商参数 协议 配置项 值 IKE 认证算法 MD5(此算法安全性较低,请慎用) SHA1(此算法安全性较低,请慎用) SHA2-256(默认) SHA2-384 SHA2-512 加密算法 3DES(此算法安全性较低,请慎用) AES-256 AES-192 AES-128(默认) DH算法 Group 5(此算法安全性较低,请慎用) Group 2(此算法安全性较低,请慎用) Group 14(默认) Group 1(此算法安全性较低,请慎用) Group 15 Group 16 Group 19 Group 20 Group 21 说明: 部分区域仅支持Group 14、Group 2、Group 5。 版本 v1(有安全风险不推荐) v2(默认) 生命周期 86400(默认) 单位:秒。 取值范围:60-604800。 IPsec 认证算法 SHA1(此算法安全性较低,请慎用) MD5(此算法安全性较低,请慎用) SHA2-256(默认) SHA2-384 SHA2-512 加密算法 AES-128(默认) AES-192 AES-256 3DES(此算法安全性较低,请慎用) PFS DH group 5(此算法安全性较低,请慎用) DH group 2(此算法安全性较低,请慎用) DH group 14(默认) DH group 1(此算法安全性较低,请慎用) DH group 15 DH group 16 DH group 19 DH group 20 DH group 21 Disable 说明: 部分区域仅支持DH group 14、DH group 2、DH group 5。 传输协议 ESP(默认) AH AH-ESP 生命周期 3600(默认) 单位:秒。 取值范围:480-604800。 PFS(Perfect Forward Secrecy,完善的前向安全性)是一种安全特性。 IKE协商分为两个阶段,第二阶段(IPsec SA)的密钥都是由第一阶段协商生成的密钥衍生的,一旦第一阶段的密钥泄露将可能导致IPsec VPN受到侵犯。为提升密钥管理的安全性,IKE提供了PFS(完美向前保密)功能。启用PFS后,在进行IPsec SA协商时会进行一次附加的DH交换,重新生成新的IPsec SA密钥,提高了IPsec SA的安全性。 为了增强安全性,云默认开启PFS,请用户在配置用户侧数据中心网关设备时确认也开启了该功能,否则会导致协商失败。 用户开启此功能的同时,需要保证两端配置一致。 IPsec SA字节生命周期,不是VPN服务可配置参数,云侧采用的是默认配置1843200KB。该参数不是协商参数,不影响双方建立IPsec SA。 父主题: 热点问题
  • 无带宽信息的网关无法创建新的连接如何解决? VPN网关无带宽显示,说明该网关为老版VPN的产品,云已不支持创建该版本的产品。 老版VPN在使用过程中带宽无法保障,一个网关只能创建一条连接,用户可以删除网关后重建(影响业务); 用户也可以提交工单处理,工作人员会在后台将该网关变更为新版VPN网关(不影响业务)。 默认情况下变更至新版VPN网关的带宽规格为10M,用户后期可根据实际需要调整带宽大小; 变更后转为包年/包月的网关支持到期后续费带宽降配。 父主题: Console与页面使用
  • 连接云下的多台服务器需要购买几个连接? VPN属于IPsec VPN,它是用于打通云上VPC和用户侧数据中心子网的VPN,所以购买VPN连接的个数与服务器的数量无关,而与这些服务器所在的数据中心数量有关。 大部分情况下一个用户侧数据中心会有一个公网出口网关,所有服务器(或用户主机)都通过该网关连接至Internet,因此对于这种情况配置一个VPN连接即可,通过该连接即可打通VPC与用户网络之间的流量。 父主题: 组网与使用场景
  • VPN使用的DH group对应的比特位是多少? Diffie-Hellman(DH)组确定密钥交换过程中使用的密钥的强度。较高的组号更安全,但需要额外的时间来计算密钥。 VPN使用的DH group对应的比特位如表1所示。 表1 DH group对应比特位 DH group Modulus 1 768 bits 2 1024 bits 5 1536 bits 14 2048 bits 15 3072 bits 16 4096 bits 19 ecp256 bits 20 ecp384 bits 21 ecp521 bits 以下DH算法有安全风险,不推荐使用:DH group 1、DH group 2、DH group 5。 父主题: 产品咨询
  • VPN网关带宽计费方式在选择按带宽计费和按流量计费时有什么差别? VPN网关带宽的计费方式是针对VPN网关的。 如果选择按需付费方式(即后付费),可以选择按带宽或按流量计费 : 按带宽计费,计费的周期为1小时,费用也会因带宽大小存在差异。 按流量计费,统计1小时内产生的流量费用,调整带宽大小不产生计费差异,只按产生的出VPC流量进行计费。 如果选择包年/包月付费方式,则仅支持按带宽,不支持按流量;同时包年/包月付费方式相按需付费享受更多折扣优惠。 父主题: 计费类
  • 哪些设备可以与华为云进行VPN对接? VPN支持标准IPsec协议,用户可以通过以下两个方面确认用户侧数据中心的设备能否与云进行对接: 设备是否具备IPsec功能和授权:请查询设备的特性列表获取是否支持IPsec VPN。 关于组网结构,要求用户侧数据中心有固定的公网IP或者经过NAT映射后的固定公网IP(即NAT穿越,VPN设备在NAT网关后部署)也可以。 设备型号多为路由器、防火墙等,对接配置请参见管理员指南。 普通家庭宽带路由器、个人的移动终端设备、Windows主机自带的VPN服务(如L2TP)无法与云进行VPN对接。 与VPN服务做过对接测试厂商包括: 设备厂商:华为(防火墙/AR)、山石(防火墙),CheckPoint(防火墙)。 云服务厂商包括:阿里云,腾讯云,亚马逊(aws),微软(Microsoft Azure)。 软件厂商包括:strongSwan。 IPsec协议属于IETF标准协议,宣称支持该协议的厂商均可与云进行对接,用户不需要关注具体的设备型号。 目前绝大多数企业级路由器和防火墙都支持该协议。 部分硬件厂商在特性规格列表中是宣称支持IPsec VPN的,但是需要专门购买软件License才能激活相关功能。 请用户侧数据中心管理员根据设备具体型号与厂商进行确认。 父主题: VPN协商与对接
  • 哪些设备可以与华为云进行VPN对接? VPN支持标准IPsec协议,用户可以通过以下两个方面确认用户侧数据中心的设备能否与云进行对接: 设备是否具备IPsec功能和授权:请查询设备的特性列表获取是否支持IPsec VPN。 关于组网结构,要求用户侧数据中心有固定的公网IP或者经过NAT映射后的固定公网IP(即NAT穿越,VPN设备在NAT网关后部署)也可以。 设备型号多为路由器、防火墙等,对接配置请参见管理员指南。 普通家庭宽带路由器、个人的移动终端设备、Windows主机自带的VPN服务(如L2TP)无法与云进行VPN对接。 与VPN服务做过对接测试厂商包括: 设备厂商:华为(防火墙/AR)、山石(防火墙),CheckPoint(防火墙)。 云服务厂商包括:阿里云,腾讯云,亚马逊(aws),微软(Microsoft Azure)。 软件厂商包括:strongSwan。 IPsec协议属于IETF标准协议,宣称支持该协议的厂商均可与云进行对接,用户不需要关注具体的设备型号。 目前绝大多数企业级路由器和防火墙都支持该协议。 部分硬件厂商在特性规格列表中是宣称支持IPsec VPN的,但是需要专门购买软件License才能激活相关功能。 请用户侧数据中心管理员根据设备具体型号与厂商进行确认。 父主题: 产品咨询
  • IKEv1存在的安全风险 IKEv1 支持的密码算法已超过10年未做更新,并不支持诸如AES-GCM、ChaCha20-Poly1305等推荐的强密码算法。IKEv1使用ISALMP头的E比特位来指定该头后跟随的是加密载荷,但是这些加密载荷的数据完整性校验值放在单独的hash载荷中。这种加密和完整性校验的分离阻碍了v1使用认证加密(AES-GCM),从而限制了只能使用初期定义的AES算法。 协议本身也无法防止报文放大攻击(属于DOS攻击)初始报文交换,IKEv1容易被半连接攻击,响应方响应初始化报文后维护发起-响应的关系,维护了大量的关系会消耗大量的系统资源。 针对连接的DOS攻击,IKEv2协议上有针对性的解决方案。 IKEv1野蛮模式安全性低:野蛮模式开始信息报文不加密,存在用户配置信息泄漏的风险,当前也存在针对野蛮攻击,如:中间人攻击。
  • IKEv2相比IKEv1的优点 简化了安全联盟的协商过程,提高了协商效率。 修复了多处公认的密码学方面的安全漏洞,提高了安全性能。 加入对EAP(Extensible Authentication Protocol)身份认证方式的支持,提高了认证方式的灵活性和可扩展性。 EAP是一种支持多种认证方法的认证协议,可扩展性是其最大的优点,即如果想加入新的认证方式,可以像组件一样加入,而不用变动原来的认证体系。当前EAP认证已经广泛应用于拨号接入网络中。 IKEv2使用基于ESP设计的加密载荷,v2加密载荷将加密和数据完整性保护关联起来,即加密和完整性校验放在相同的载荷中。AES-GCM同时具备保密性、完整性和可认证性的加密形式与v2的配合比较好。
  • IKEv1和IKEv2的区别 协商过程不同。 IKEv1协商安全联盟主要分为两个阶段,其协议相对复杂、带宽占用较多。IKEv1阶段1的目的是建立IKE SA,它支持两种协商模式:主模式和野蛮模式。主模式用6条ISAKMP消息完成协商。野蛮模式用3条ISAKMP消息完成协商。野蛮模式的优点是建立IKE SA的速度较快。但是由于野蛮模式密钥交换与身份认证一起进行无法提供身份保护。IKEv1阶段2的目的就是建立用来传输数据的IPsec SA,通过快速交换模式(3条ISAKMP消息)完成协商。 IKEv2简化了安全联盟的协商过程。IKEv2正常情况使用2次交换共4条消息就可以完成一个IKE SA和一对IPsec SA,如果要求建立的IPsec SA大于一对时,每一对SA只需额外增加1次交换,也就是2条消息就可以完成。 IKEv1协商,主模式需要6+3,共9个报文;野蛮模式需要3+3,共6个报文。IKEv2协商,只需要2+2,共4个报文。 认证方法不同。 数字信封认证(hss-de)仅IKEv1支持(需要安装加密卡),IKEv2不支持。 IKEv2支持EAP身份认证。IKEv2可以借助AAA服务器对远程接入的PC、手机等进行身份认证、分配私网IP地址。IKEv1无法提供此功能,必须借助L2TP来分配私网地址。 IKE SA的完整性算法支持情况不同。IKE SA的完整性算法仅IKEv2支持,IKEv1不支持。 DPD中超时重传实现不同。 retry-interval参数仅IKEv1支持。表示发送DPD报文后,如果超过此时间间隔未收到正确的应答报文,DPD记录失败事件1次。当失败事件达到5次时,删除IKE SA和相应的IPsec SA。直到隧道中有流量时,两端重新协商建立IKE SA。 对于IKEv2方式的IPsec SA,超时重传时间间隔从1到64以指数增长的方式增加。在8次尝试后还未收到对端发过来的报文,则认为对端已经下线,删除IKE SA和相应的IPsec SA。 IKE SA与IPsec SA超时时间手工调整功能支持不同。 IKEv2的IKE SA软超时为硬超时的9/10±一个随机数,所以IKEv2一般不存在两端同时发起重协商的情况,故IKEv2不需要配置软超时时间。
  • IKEv1与IKEv2的协议介绍 IKEv1协议是一个混合型协议,其自身的复杂性不可避免地带来一些安全及性能上的缺陷,已经成为目前实现的IPsec系统的瓶颈。 IKEv2协议保留了IKEv1的基本功能,并针对IKEv1研究过程中发现的问题进行修正,同时兼顾简洁性、高效性、安全性和健壮性的需要,整合了IKEv1的相关文档,由RFC4306单个文档替代。通过核心功能和默认密码算法的最小化规定,新协议极大地提高了不同IPsec VPN系统的互操作性。
  • IKEv2相比IKEv1的优点 简化了安全联盟的协商过程,提高了协商效率。 修复了多处公认的密码学方面的安全漏洞,提高了安全性能。 加入对EAP(Extensible Authentication Protocol)身份认证方式的支持,提高了认证方式的灵活性和可扩展性。 EAP是一种支持多种认证方法的认证协议,可扩展性是其最大的优点,即如果想加入新的认证方式,可以像组件一样加入,而不用变动原来的认证体系。当前EAP认证已经广泛应用于拨号接入网络中。 IKEv2使用基于ESP设计的加密载荷,v2加密载荷将加密和数据完整性保护关联起来,即加密和完整性校验放在相同的载荷中。AES-GCM同时具备保密性、完整性和可认证性的加密形式,与v2的配合比较好。
  • IKEv1与IKEv2的协议介绍 IKEv1协议是一个混合型协议,其自身的复杂性不可避免地带来一些安全及性能上的缺陷,已经成为目前实现的IPsec系统的瓶颈。 IKEv2协议保留了IKEv1的基本功能,并针对IKEv1研究过程中发现的问题进行修正,同时兼顾简洁性、高效性、安全性和健壮性的需要,整合了IKEv1的相关文档,由RFC4306单个文档替代。通过核心功能和默认密码算法的最小化规定,新协议极大地提高了不同IPsec VPN系统的互操作性。
  • IKEv1存在的安全风险 IKEv1 支持的密码算法已超过10年未做更新,并不支持诸如AES-GCM、ChaCha20-Poly1305等推荐的强密码算法。IKEv1使用ISALMP头的E比特位来指定该头后跟随的是加密载荷,但是这些加密载荷的数据完整性校验值放在单独的hash载荷中。这种加密和完整性校验的分离阻碍了v1使用认证加密(AES-GCM),从而限制了只能使用初期定义的AES算法。 协议本身也无法防止报文放大攻击(属于DOS攻击)初始报文交换,IKEv1容易被半连接攻击,响应方响应初始化报文后维护发起-响应的关系,维护了大量的关系会消耗大量的系统资源。 针对连接的DOS攻击,IKEv2协议上有针对性的解决方案。 IKEv1野蛮模式安全性低:野蛮模式开始信息报文不加密,存在用户配置信息泄漏的风险,当前也存在针对野蛮攻击,如:中间人攻击。
  • IKEv1和IKEv2的区别 协商过程不同。 IKEv1协商安全联盟主要分为两个阶段,其协议相对复杂、带宽占用较多。IKEv1阶段1的目的是建立IKE SA,它支持两种协商模式:主模式和野蛮模式。主模式用6条ISAKMP消息完成协商。野蛮模式用3条ISAKMP消息完成协商。野蛮模式的优点是建立IKE SA的速度较快。但是由于野蛮模式密钥交换与身份认证一起进行无法提供身份保护。IKEv1阶段2的目的就是建立用来传输数据的IPsec SA,通过快速交换模式(3条ISAKMP消息)完成协商。 IKEv2简化了安全联盟的协商过程。IKEv2正常情况使用2次交换共4条消息就可以完成一个IKE SA和一对IPsec SA,如果要求建立的IPsec SA大于一对时,每一对SA只需额外增加1次交换,也就是2条消息就可以完成。 IKEv1协商,主模式需要6+3,共9个报文;野蛮模式需要3+3,共6个报文。IKEv2协商,只需要2+2,共4个报文。 认证方法不同。 数字信封认证(hss-de)仅IKEv1支持(需要安装加密卡),IKEv2不支持。 IKEv2支持EAP身份认证。IKEv2可以借助AAA服务器对远程接入的PC、手机等进行身份认证、分配私网IP地址。IKEv1无法提供此功能,必须借助L2TP来分配私网地址。 IKE SA的完整性算法支持情况不同。IKE SA的完整性算法仅IKEv2支持,IKEv1不支持。 DPD中超时重传实现不同。 retry-interval参数仅IKEv1支持。表示发送DPD报文后,如果超过此时间间隔未收到正确的应答报文,DPD记录失败事件1次。当失败事件达到5次时,删除IKE SA和相应的IPsec SA。直到隧道中有流量时,两端重新协商建立IKE SA。 对于IKEv2方式的IPsec SA,超时重传时间间隔从1到64以指数增长的方式增加。在8次尝试后还未收到对端发过来的报文,则认为对端已经下线,删除IKE SA和相应的IPsec SA。 IKE SA与IPsec SA超时时间手工调整功能支持不同。 IKEv2的IKE SA软超时为硬超时的9/10±一个随机数,所以IKEv2一般不存在两端同时发起重协商的情况,故IKEv2不需要配置软超时时间。
  • VPN网关带宽计费方式在选择按带宽计费和按流量计费时有什么差别? VPN网关带宽的计费方式是针对VPN网关的。 如果选择按需付费方式(即后付费),可以选择按带宽或按流量计费 : 按带宽计费,计费的周期为1小时,费用也会因带宽大小存在差异。 按流量计费,统计1小时内产生的流量费用,调整带宽大小不产生计费差异,只按产生的出VPC流量进行计费。 如果选择包年/包月付费方式,则仅支持按带宽,不支持按流量;同时包年/包月付费方式相按需付费享受更多折扣优惠。 父主题: 产品咨询
  • 对接云时,如何配置DPD信息? 云默认开启DPD配置,且不可关闭该配置。 DPD配置信息如下: DPD-type:按需 DPD idle-time:30s DPD retransmit-interval:15s DPD retry-limit:3次 DPD msg:seq-hash-notify。 两端DPD的type、空闲时间、重传间隔、重传次数无需一致,只要能接收和回应DPD探测报文即可,DPD msg格式必须一致。 父主题: VPN协商与对接
  • 本地防火墙无法收到VPN子网的回复包怎么解决? 如果二阶段协商中需要检查云下的路由、安全策略、NAT和感兴趣流、协商策略信息。 路由设置:将访问云上子网的数据送入隧道。 安全策略:放行云下子网访问云上子网的流量。 NAT策略:云下子网访问云上子网不做源nat。 感兴趣流:两端感兴趣流配置互为镜像,使用IKE v2配置感兴趣流不可使用地址对象名称。 协商信息:协商策略信息云上云下一致,特别注意PFS的配置。 确认一、二阶段协商均已正常后,请检查云上安全组策略,放行入方向的云下子网访问云上子网的ICMP协议。 父主题: VPN协商与对接
  • VPN协商参数有哪些?默认值是什么? 表1 VPN协商参数 协议 配置项 值 IKE 认证算法 MD5(此算法安全性较低,请慎用) SHA1(此算法安全性较低,请慎用) SHA2-256(默认) SHA2-384 SHA2-512 加密算法 3DES(此算法安全性较低,请慎用) AES-256 AES-192 AES-128(默认) DH算法 Group 5(此算法安全性较低,请慎用) Group 2(此算法安全性较低,请慎用) Group 14(默认) Group 1(此算法安全性较低,请慎用) Group 15 Group 16 Group 19 Group 20 Group 21 说明: 部分区域仅支持Group 14、Group 2、Group 5。 版本 v1(有安全风险不推荐) v2(默认) 生命周期 86400(默认) 单位:秒。 取值范围:60-604800。 IPsec 认证算法 SHA1(此算法安全性较低,请慎用) MD5(此算法安全性较低,请慎用) SHA2-256(默认) SHA2-384 SHA2-512 加密算法 AES-128(默认) AES-192 AES-256 3DES(此算法安全性较低,请慎用) PFS DH group 5(此算法安全性较低,请慎用) DH group 2(此算法安全性较低,请慎用) DH group 14(默认) DH group 1(此算法安全性较低,请慎用) DH group 15 DH group 16 DH group 19 DH group 20 DH group 21 Disable 说明: 部分区域仅支持DH group 14、DH group 2、DH group 5。 传输协议 ESP(默认) AH AH-ESP 生命周期 3600(默认) 单位:秒。 取值范围:480-604800。 PFS(Perfect Forward Secrecy,完善的前向安全性)是一种安全特性。 IKE协商分为两个阶段,第二阶段(IPsec SA)的密钥都是由第一阶段协商生成的密钥衍生的,一旦第一阶段的密钥泄露将可能导致IPsec VPN受到侵犯。为提升密钥管理的安全性,IKE提供了PFS(完美向前保密)功能。启用PFS后,在进行IPsec SA协商时会进行一次附加的DH交换,重新生成新的IPsec SA密钥,提高了IPsec SA的安全性。 为了增强安全性,云默认开启PFS,请用户在配置用户侧数据中心网关设备时确认也开启了该功能,否则会导致协商失败。 用户开启此功能的同时,需要保证两端配置一致。 IPsec SA字节生命周期,不是VPN服务可配置参数,云侧采用的是默认配置1843200KB。该参数不是协商参数,不影响双方建立IPsec SA。 父主题: 产品咨询
  • VPN使用的DH group对应的比特位是多少? Diffie-Hellman(DH)组确定密钥交换过程中使用的密钥的强度。较高的组号更安全,但需要额外的时间来计算密钥。 VPN使用的DH group对应的比特位如表1所示。 表1 DH group对应比特位 DH group Modulus 1 768 bits 2 1024 bits 5 1536 bits 14 2048 bits 15 3072 bits 16 4096 bits 19 ecp256 bits 20 ecp384 bits 21 ecp521 bits 以下DH算法有安全风险,不推荐使用:DH group 1、DH group 2、DH group 5。 父主题: VPN协商与对接
  • VPN资源在什么情况下会被冻结,如何解除被冻结的VPN资源? 包年/包月的VPN资源在到期未续费时会进入宽限期,宽限期内您可正常访问及使用该资源。宽限期结束后,若您仍未续订,该资源将进入保留期,即被冻结状态。被冻结的资源不可用,也不能修改、删除。超过保留期仍未续费,冻结资源将被释放,被释放资源不可恢复。为确保资源持续可用,请在资源到期前及时续费。 按需的VPN资源在欠费时将资源置于欠费状态并进入宽限期,宽限期内您可正常访问及使用该资源。宽限期结束后,若您仍未缴清欠款,该资源将进入保留期,即被冻结状态。被冻结的资源不可用,也不能修改、删除。超过保留期仍未充值缴清欠费金额,冻结资源将被释放,被释放资源不可恢复。为确保资源持续可用,请在资源到期前完成充值,并确保所欠金额已结清。 冻结的VPN资源在续费或充值后会变为可用状态。需要注意的是,VPN连接的状态可能出现“未连接”,请发起数据流(如子网间主机互ping)触发VPN连接至“正常”状态。 父主题: 计费类
  • DPD核心配置 DPD的核心配置包含检测模式、检测时间、报文格式等。以华为设备为例,配置DPD的方法有全局配置和IKE对等体两种方式。IPsec通信时,优先使用IKE对等体的DPD配置参数,如果对等体未配置DPD,则采用全局DPD配置参数。 检测模式:分为按需和周期性检测。华为设备缺省配置中无全局检测配置,是否开启对等体检测要看对等体的DPD配置是否使能。 按需型:当本端需要向对端发送IPsec报文时,如果当前距离最后一次收到对端的IPsec报文的时长已超过DPD空闲时间,则触发DPD检测,本端主动向对端发送DPD请求报文。 周期型:如果当前距离最后一次收到对端的IPsec报文的时长已超过DPD空闲时间,则本端主动向对端发送DPD请求报文。 DPD配置参数:包含DPD空闲时间、DPD报文重传间隔和重传次数,华为设备缺省情况下全局DPD空闲时间、DPD报文重传间隔和重传次数分别为30秒、15秒和3次。 报文格式:有seq-hash-notify和seq-notify-hash两种。华为设备缺省情况下,DPD报文中的载荷顺序为seq-hash-notify。 当IPsec两端未配置DPD报文时,如果隧道内无流量,会等待SA的生命周期到期。到期前会发起硬协商,如果协商未成功则拆除本端SA,同时通知对端。SA的恢复需要再次进行数据流触发协商才能建立。 如果因为网络原因一端拆除SA,另一端没有拆除SA,会导致业务流量不通,需要等待SA生命周期老化或手工清除SA。
  • 对接云时,如何配置DPD信息? 云默认开启DPD配置,且不可关闭该配置。 DPD配置信息如下: DPD-type:按需 DPD idle-time:30s DPD retransmit-interval:15s DPD retry-limit:3次 DPD msg:seq-hash-notify。 两端DPD的type、空闲时间、重传间隔、重传次数无需一致,只要能接收和回应DPD探测报文即可,DPD msg格式必须一致。 父主题: VPN协商与对接
  • 创建VPN都会产生哪些费用,VPN网关IP收费吗? VPN计费模式分为包年/包月和按需两种,费用包含: VPN网关费用 VPN连接费用 默认提供10条免费的VPN连接;超过10条后需要付费购买。 VPN网关弹性公网IP带宽费用 网关带宽的计费又可分为按流量或按带宽计费。 包年/包月计费模式下不可选择按流量计费。如果您选择包年/包月模式创建VPN,在创建网关阶段一次性收取网关带宽费用和连接的费用,用户后续创建VPN连接时不再收取费用。 按需方式为先使用后付费模式,计费周期为1小时。如果您选择按需模式创建VPN,页面会提示同时创建连接,费用包含了网关带宽费用和10个连接组费用,您在创建第11个连接时组时只产生连接的费用。 VPN网关的带宽费用是独立的,与E CS 绑定的EIP带宽相互独立,无法共享。 父主题: 产品咨询
  • IKEv1存在的安全风险 IKEv1 支持的密码算法已超过10年未做更新,并不支持诸如AES-GCM、ChaCha20-Poly1305等推荐的强密码算法。IKEv1使用ISALMP头的E比特位来指定该头后跟随的是加密载荷,但是这些加密载荷的数据完整性校验值放在单独的hash载荷中。这种加密和完整性校验的分离阻碍了v1使用认证加密(AES-GCM),从而限制了只能使用初期定义的AES算法。 协议本身也无法防止报文放大攻击(属于DOS攻击)初始报文交换,IKEv1容易被半连接攻击,响应方响应初始化报文后维护发起-响应的关系,维护了大量的关系会消耗大量的系统资源。 针对连接的DOS攻击,IKEv2协议上有针对性的解决方案。 IKEv1野蛮模式安全性低:野蛮模式开始信息报文不加密,存在用户配置信息泄漏的风险,当前也存在针对野蛮攻击,如:中间人攻击。
  • IKEv1和IKEv2的区别 协商过程不同。 IKEv1协商安全联盟主要分为两个阶段,其协议相对复杂、带宽占用较多。IKEv1阶段1的目的是建立IKE SA,它支持两种协商模式:主模式和野蛮模式。主模式用6条ISAKMP消息完成协商。野蛮模式用3条ISAKMP消息完成协商。野蛮模式的优点是建立IKE SA的速度较快。但是由于野蛮模式密钥交换与身份认证一起进行无法提供身份保护。IKEv1阶段2的目的就是建立用来传输数据的IPsec SA,通过快速交换模式(3条ISAKMP消息)完成协商。 IKEv2简化了安全联盟的协商过程。IKEv2正常情况使用2次交换共4条消息就可以完成一个IKE SA和一对IPsec SA,如果要求建立的IPsec SA大于一对时,每一对SA只需额外增加1次交换,也就是2条消息就可以完成。 IKEv1协商,主模式需要6+3,共9个报文;野蛮模式需要3+3,共6个报文。IKEv2协商,只需要2+2,共4个报文。 认证方法不同。 数字信封认证(hss-de)仅IKEv1支持(需要安装加密卡),IKEv2不支持。 IKEv2支持EAP身份认证。IKEv2可以借助AAA服务器对远程接入的PC、手机等进行身份认证、分配私网IP地址。IKEv1无法提供此功能,必须借助L2TP来分配私网地址。 IKE SA的完整性算法支持情况不同。IKE SA的完整性算法仅IKEv2支持,IKEv1不支持。 DPD中超时重传实现不同。 retry-interval参数仅IKEv1支持。表示发送DPD报文后,如果超过此时间间隔未收到正确的应答报文,DPD记录失败事件1次。当失败事件达到5次时,删除IKE SA和相应的IPsec SA。直到隧道中有流量时,两端重新协商建立IKE SA。 对于IKEv2方式的IPsec SA,超时重传时间间隔从1到64以指数增长的方式增加。在8次尝试后还未收到对端发过来的报文,则认为对端已经下线,删除IKE SA和相应的IPsec SA。 IKE SA与IPsec SA超时时间手工调整功能支持不同。 IKEv2的IKE SA软超时为硬超时的9/10±一个随机数,所以IKEv2一般不存在两端同时发起重协商的情况,故IKEv2不需要配置软超时时间。
  • IKEv1与IKEv2的协议介绍 IKEv1协议是一个混合型协议,其自身的复杂性不可避免地带来一些安全及性能上的缺陷,已经成为目前实现的IPsec系统的瓶颈。 IKEv2协议保留了IKEv1的基本功能,并针对IKEv1研究过程中发现的问题进行修正,同时兼顾简洁性、高效性、安全性和健壮性的需要,整合了IKEv1的相关文档,由RFC4306单个文档替代。通过核心功能和默认密码算法的最小化规定,新协议极大地提高了不同IPsec VPN系统的互操作性。
  • IKEv2相比IKEv1的优点 简化了安全联盟的协商过程,提高了协商效率。 修复了多处公认的密码学方面的安全漏洞,提高了安全性能。 加入对EAP(Extensible Authentication Protocol)身份认证方式的支持,提高了认证方式的灵活性和可扩展性。 EAP是一种支持多种认证方法的认证协议,可扩展性是其最大的优点,即如果想加入新的认证方式,可以像组件一样加入,而不用变动原来的认证体系。当前EAP认证已经广泛应用于拨号接入网络中。 IKEv2使用基于ESP设计的加密载荷,v2加密载荷将加密和数据完整性保护关联起来,即加密和完整性校验放在相同的载荷中。AES-GCM同时具备保密性、完整性和可认证性的加密形式与v2的配合比较好。
共100000条