Estos contenidos se han traducido de forma automática para su comodidad, pero Huawei Cloud no garantiza la exactitud de estos. Para consultar los contenidos originales, acceda a la versión en inglés.
Centro de ayuda/ Virtual Private Network/ Preguntas frecuentes/ VPN clásico/ Preguntas generales/ ¿Qué son los parámetros de negociación de VPN? ¿Cuáles son sus valores predeterminados?
Actualización más reciente 2023-11-13 GMT+08:00

¿Qué son los parámetros de negociación de VPN? ¿Cuáles son sus valores predeterminados?

Tabla 1 Parámetros de negociación de VPN

Política

Parámetro

Valor

IKE

Authentication Algorithm

  • MD5 (Este algoritmo es inseguro. Tenga cuidado al usar este algoritmo.)
  • SHA1 (Este algoritmo es inseguro. Tenga cuidado al usar este algoritmo.)
  • SHA2-256 (valor predeterminado)

  • SHA2-384
  • SHA2-512

Encryption Algorithm

  • 3DES (Este algoritmo es inseguro. Tenga cuidado al usar este algoritmo.)
  • AES-256
  • AES-192
  • AES-128 (valor predeterminado)

DH Algorithm

  • Grupo 5 (Este algoritmo es inseguro. Tenga cuidado al usar este algoritmo.)
  • Grupo 2 (Este algoritmo es inseguro. Tenga cuidado al usar este algoritmo.)
  • Grupo 14 (valor predeterminado)
  • Grupo 1 (Este algoritmo es inseguro. Tenga cuidado al usar este algoritmo.)
  • Grupo 15
  • Grupo 16
  • Grupo 19
  • Grupo 20
  • Grupo 21
NOTA:

En algunas regiones, solo Group 14, Group 2 y Group 5 están disponibles.

Version

  • v1 (no recomendado debido a riesgos de seguridad)
  • v2 (valor predeterminado)

Lifecycle (s)

86400 (predeterminado)

Unidad: segundo

Rango de valores: de 60 a 604800

IPsec

Authentication Algorithm

  • SHA1 (Este algoritmo es inseguro. Tenga cuidado al usar este algoritmo.)
  • MD5 (Este algoritmo es inseguro. Tenga cuidado al usar este algoritmo.)
  • SHA2-256 (valor predeterminado)
  • SHA2-384
  • SHA2-512

Encryption Algorithm

  • AES-128 (valor predeterminado)
  • AES-192
  • AES-256
  • 3DES (Este algoritmo es inseguro. Tenga cuidado al usar este algoritmo.)

PFS

  • DH grupo 5 (Este algoritmo es inseguro. Tenga cuidado al usar este algoritmo.)
  • DH grupo 2 (Este algoritmo es inseguro. Tenga cuidado al usar este algoritmo.)
  • DH grupo 14 (valor predeterminado)
  • DH grupo 1 (Este algoritmo es inseguro. Tenga cuidado al usar este algoritmo.)
  • DH grupo 15
  • DH grupo 16
  • DH grupo 19
  • DH grupo 20
  • DH grupo 21
  • Deshabilitar
NOTA:

En algunas regiones, solo DH group 14, DH group 2 y DH group 5 están disponibles.

Transfer Protocol

  • ESP (valor predeterminado)
  • AH
  • AH-ESP

Lifecycle (s)

3600 (predeterminado)

Unidad: segundo

Rango de valores: de 480 a 604800

  • Perfect Forward Secrecy (PFS) es una característica de seguridad.

    La negociación de IKE tiene dos fases, la fase 1 y la fase 2. La clave de la fase 2 (IPsec SA) se deriva de la clave generada en la fase 1. Una vez que se divulga la clave en la fase 1, la seguridad de la VPN IPsec puede verse afectada negativamente. Para mejorar la seguridad de la clave, IKE proporciona PFS. Después de configurar PFS, se realizará un intercambio de DH adicional durante la negociación de SA IPsec y se generará una nueva clave de SA IPsec, lo que mejorará la seguridad de SA IPsec.

  • Para garantizar la seguridad, PFS está habilitado en Huawei Cloud de forma predeterminada. Asegúrese de que PFS también esté habilitado en el gateway local. De lo contrario, la negociación no funcionará.
  • Para habilitar PFS, asegúrese de que las configuraciones en ambos extremos de una VPN son las mismas.
  • La vida útil basada en el tráfico de IPsec SA en Huawei Cloud VPN es de 1,843,200 KB y no se puede cambiar. Esta duración no afecta al establecimiento de una SA IPsec.