Estos contenidos se han traducido de forma automática para su comodidad, pero Huawei Cloud no garantiza la exactitud de estos. Para consultar los contenidos originales, acceda a la versión en inglés.
Centro de ayuda/ Virtual Private Network/ Preguntas frecuentes/ Consultoría General/ ¿Qué son los parámetros de negociación de VPN? ¿Cuáles son sus valores predeterminados?
Actualización más reciente 2023-11-13 GMT+08:00

¿Qué son los parámetros de negociación de VPN? ¿Cuáles son sus valores predeterminados?

Tabla 1 Parámetros de negociación de VPN

Protocolo

Parámetro

Valor

IKE

Authentication Algorithm

  • MD5 (Este algoritmo es inseguro. Tenga cuidado al usar este algoritmo.)
  • SHA1 (Este algoritmo es inseguro. Tenga cuidado al usar este algoritmo.)
  • SHA2-256 (valor predeterminado)
  • SHA2-384
  • SHA2-512

Encryption Algorithm

  • 3DES (Este algoritmo es inseguro. Tenga cuidado al usar este algoritmo.)
  • AES-128 (valor predeterminado)
  • AES-192
  • AES-256
  • AES-256-GCM-16

DH Algorithm

  • Grupo 1 (Este algoritmo es inseguro. Tenga cuidado al usar este algoritmo.)
  • Grupo 2 (Este algoritmo es inseguro. Tenga cuidado al usar este algoritmo.)
  • Grupo 5 (Este algoritmo es inseguro. Tenga cuidado al usar este algoritmo.)
  • Grupo 14 (valor predeterminado)
  • Grupo 16
  • Grupo 19
  • Grupo 20
  • Grupo 21

Version

  • v1 (no recomendado debido a riesgos de seguridad)
  • v2 (valor predeterminado)

Lifetime (s)

86400 (valor predeterminado)

Unidad: segundo

Rango de valores: de 60 a 604800

Local ID

  • Dirección IP

    La dirección IP local se muestra automáticamente como la EIP del gateway de VPN, eliminando la necesidad de configurarlo manualmente.

  • FQDN

De forma predeterminada, el tipo de ID local es la dirección IP y el valor de ID local es la EIP del gateway de VPN.

Customer ID

  • Dirección IP
  • FQDN

De forma predeterminada, el tipo de ID de cliente es la dirección IP y el valor de ID de cliente es la dirección IP pública del gateway del cliente.

IPsec

Authentication Algorithm

  • SHA1 (Este algoritmo es inseguro. Tenga cuidado al usar este algoritmo.)
  • MD5 (Este algoritmo es inseguro. Tenga cuidado al usar este algoritmo.)
  • SHA2-256 (valor predeterminado)
  • SHA2-384
  • SHA2-512

Encryption Algorithm

  • AES-128 (valor predeterminado)
  • AES-192
  • AES-256
  • 3DES (Este algoritmo es inseguro. Tenga cuidado al usar este algoritmo.)
  • AES-256-GCM-16

PFS

  • DH grupo 1 (Este algoritmo es inseguro. Tenga cuidado al usar este algoritmo.)
  • DH grupo 2 (Este algoritmo es inseguro. Tenga cuidado al usar este algoritmo.)
  • DH grupo 5 (Este algoritmo es inseguro. Tenga cuidado al usar este algoritmo.)

  • DH grupo 14 (valor predeterminado)
  • DH grupo 15
  • DH grupo 16
  • DH grupo 19
  • DH grupo 20
  • DH grupo 21
  • Deshabilitar

Transfer Protocol

  • ESP (valor predeterminado)

Lifetime (s)

3600 (valor predeterminado)

Unidad: segundo

Rango de valores: de 30 a 604800

  • Perfect Forward Secrecy (PFS) es una característica de seguridad.

    La negociación de IKE tiene dos fases, la fase 1 y la fase 2. La clave de la fase 2 (IPsec SA) se deriva de la clave generada en la fase 1. Una vez que se divulga la clave en la fase 1, la seguridad de la VPN IPsec puede verse afectada negativamente. Para mejorar la seguridad de la clave, IKE proporciona PFS. Cuando PFS está habilitado, se realizará un intercambio de DH adicional durante la negociación de SA de IPsec para generar una nueva clave de SA de IPsec, lo que mejorará la seguridad de SA de IPsec.

  • Por motivos de seguridad, PFS está habilitado en Huawei Cloud de forma predeterminada. Asegúrese de que PFS también esté habilitado en el dispositivo de gateway del centro de datos local y de que la configuración de PFS en ambos extremos sea la misma. De lo contrario, la negociación no funcionará.
  • La vida útil predeterminada basada en el tráfico de una SA IPsec es de 1,843,200 KB y no se puede cambiar para Huawei Cloud VPN. Este parámetro no participa en la negociación y no tiene ningún impacto en el establecimiento de una SA IPsec.