更新时间:2024-11-29 GMT+08:00

修改VPN网关策略模板

场景描述

若VPN网关规格为“专业型1-非固定IP”“专业型2-非固定IP”,您可以在VPN网关页面修改策略模板。

操作步骤

  1. 登录管理控制台。
  2. 在管理控制台左上角单击图标,选择区域和项目。
  3. 在页面左上角单击图标,选择网络 > 虚拟专用网络VPN
  4. 在左侧导航栏,选择虚拟专用网络 > 企业版-VPN网关
  5. 单击“站点入云VPN网关”进入“站点入云VPN网关”页面。
  6. 选择目标VPN网关所在行,单击操作列“查看/修改策略模板”,在“策略模板”页签下单击“修改策略模板”进行修改。

    修改策略模板后,以非固定IP接入的对端网关需要更新对应配置重新接入,否则会导致连接中断。

    表1 策略模板参数说明

    参数

    说明

    是否支持修改

    IKE策略

    版本

    IKE密钥交换协议版本,支持v2。

    ×

    认证算法

    认证哈希算法,支持的算法:

    • SHA2-256
    • SHA2-384
    • SHA2-512

    默认配置为:SHA2-256。

    加密算法

    加密算法,支持的算法:

    • AES-128-GCM-16
    • AES-256-GCM-16
    • AES-128(此算法安全性较低,请慎用)
    • AES-192(此算法安全性较低,请慎用)
    • AES-256(此算法安全性较低,请慎用)

    默认配置为:AES-128

    DH算法

    支持的算法 :

    • Group 14(此算法安全性较低,请慎用)
    • Group 15
    • Group 16
    • Group 19
    • Group 20
    • Group 21

    默认配置为:Group 15。

    生命周期(秒)

    安全联盟(Security Association,SA)的生存时间。

    在超过生存时间后,安全联盟将被重新协商。

    • 单位:秒。
    • 取值范围:60~604800

    默认配置为:86400。

    本端标识

    IPsec连接协商时,VPN网关的鉴权标识。在对端网关配置的VPN网关标识需要和此处配置的本端标识保持一致,否则协商失败。

    默认配置为:VPN网关的EIP。

    ×

    IPsec策略

    认证算法

    认证哈希算法,支持的算法:

    • SHA2-256
    • SHA2-384
    • SHA2-512

    默认配置为:SHA2-256。

    加密算法

    加密算法,支持的算法:

    • AES-128-GCM-16
    • AES-256-GCM-16
    • AES-128(此算法安全性较低,请慎用)
    • AES-192(此算法安全性较低,请慎用)
    • AES-256(此算法安全性较低,请慎用)

    默认配置为:AES-128。

    PFS

    PFS(Perfect Forward Secrecy)即完美前向安全功能,配置IPsec隧道协商时使用。

    PFS组支持的算法:

    • DH group 14(此算法安全性较低,请慎用)
    • DH group 15
    • DH group 16
    • DH group 19
    • DH group 20
    • DH group 21
    • Disable

    默认配置为:DH group 15。

    传输协议

    IPsec传输和封装用户数据时使用的安全协议。

    目前支持的协议:ESP。

    ×

    生命周期(秒)

    安全联盟(Security Association,SA)的生存时间。

    在超过生存时间后,安全联盟将被重新协商。

    • 单位:秒。
    • 取值范围:30~604800

    默认配置:3600。

  7. 单击“确定”