虚拟专用网络 VPN-VPN协商参数有哪些?默认值是什么?

时间:2024-11-30 08:54:27

VPN协商参数有哪些?默认值是什么?

表1 VPN协商参数

协议

配置项

IKE

版本

  • v1(v1版本安全性较低,如果用户设备支持v2版本,建议选择v2)
  • v2(默认)

协商模式

  • Main(默认)
  • Aggressive

认证算法

  • MD5(此算法安全性较低,请慎用)
  • SHA1(此算法安全性较低,请慎用)
  • SHA2-256(默认)
  • SHA2-384
  • SHA2-512

加密算法

  • 3DES(此算法安全性较低,请慎用)
  • AES-128(默认)
  • AES-192(此算法安全性较低,请慎用)
  • AES-256(此算法安全性较低,请慎用)

DH算法

  • Group 1(此算法安全性较低,请慎用)
  • Group 2(此算法安全性较低,请慎用)
  • Group 5(此算法安全性较低,请慎用)
  • Group 14(默认)
  • Group 15
  • Group 16
  • Group 19
  • Group 20
  • Group 21

生命周期

86400(默认)

单位:秒。

取值范围:60-604800。

本端标识

  • IP Address

    本端IP地址由系统自动关联显示,无需用户手动配置。

  • FQDN

默认的本端标识类型是IP Address,ID值是VPN网关的公网IP。

对端标识

  • IP Address
  • FQDN

默认的对端标识类型是IP Address,ID值是对端网关的公网IP。

IPsec

认证算法

  • SHA1(此算法安全性较低,请慎用)
  • MD5(此算法安全性较低,请慎用)
  • SHA2-256(默认)
  • SHA2-384
  • SHA2-512

加密算法

  • AES-128(默认)
  • AES-192(此算法安全性较低,请慎用)
  • AES-256(此算法安全性较低,请慎用)
  • 3DES(此算法安全性较低,请慎用)
  • AES-128-GCM-16
  • AES-256-GCM-16

PFS

  • DH group 1(此算法安全性较低,请慎用)
  • DH group 2(此算法安全性较低,请慎用)
  • DH group 5(此算法安全性较低,请慎用)

  • DH group 14(默认)
  • DH group 15
  • DH group 16
  • DH group 19
  • DH group 20
  • DH group 21
  • Disable(此算法安全性较低,请慎用)

传输协议

  • ESP(默认)

生命周期

3600(默认)

单位:秒。

取值范围:30-604800。

  • PFS(Perfect Forward Secrecy,完善的前向安全性)是一种安全特性。

    IKE协商分为两个阶段,第二阶段(IPsec SA)的密钥都是由第一阶段协商生成的密钥衍生的,一旦第一阶段的密钥泄露将可能导致IPsec VPN受到侵犯。为提升密钥管理的安全性,IKE提供了PFS(完美向前保密)功能。启用PFS后,在进行IPsec SA协商时会进行一次附加的DH交换,重新生成新的IPsec SA密钥,提高了IPsec SA的安全性。

  • 为了增强安全性,默认开启PFS,请确认用户侧数据中心网关设备也开启了该功能,且两端配置保持一致,否则会导致协商失败。
  • IPsec SA字节生命周期,不是VPN服务可配置参数,云侧采用的是默认配置1843200KB。该参数不是协商参数,不影响双方建立IPsec SA。
support.huaweicloud.com/vpn_faq/vpn_faq_00040.html