修改VPN网关策略模板
场景描述
若VPN网关规格为“专业型1-非固定IP”或“专业型2-非固定IP”,您可以在VPN网关页面修改策略模板。
操作步骤
- 登录管理控制台。
- 在管理控制台左上角单击图标,选择区域和项目。
- 在页面左上角单击图标,选择 。
- 在左侧导航栏,选择 。
- 单击“站点入云VPN网关”进入“站点入云VPN网关”页面。
- 选择目标VPN网关所在行,单击操作列“查看/修改策略模板”,在“策略模板”页签下单击“修改策略模板”进行修改。
修改策略模板后,以非固定IP接入的对端网关需要更新对应配置重新接入,否则会导致连接中断。
表1 策略模板参数说明 参数
说明
是否支持修改
IKE策略
版本
IKE密钥交换协议版本,支持v2。
×
认证算法
认证哈希算法,支持的算法:
- SHA2-256
- SHA2-384
- SHA2-512
默认配置为:SHA2-256。
√
加密算法
加密算法,支持的算法:
- AES-128-GCM-16
- AES-256-GCM-16
- AES-128(此算法安全性较低,请慎用)
- AES-192(此算法安全性较低,请慎用)
- AES-256(此算法安全性较低,请慎用)
默认配置为:AES-128
√
DH算法
支持的算法 :
- Group 14(此算法安全性较低,请慎用)
- Group 15
- Group 16
- Group 19
- Group 20
- Group 21
默认配置为:Group 15。
√
生命周期(秒)
安全联盟(Security Association,SA)的生存时间。
在超过生存时间后,安全联盟将被重新协商。
- 单位:秒。
- 取值范围:60~604800
默认配置为:86400。
√
本端标识
IPsec连接协商时,VPN网关的鉴权标识。在对端网关配置的VPN网关标识需要和此处配置的本端标识保持一致,否则协商失败。
默认配置为:VPN网关的EIP。
×
IPsec策略
认证算法
认证哈希算法,支持的算法:
- SHA2-256
- SHA2-384
- SHA2-512
默认配置为:SHA2-256。
√
加密算法
加密算法,支持的算法:
- AES-128-GCM-16
- AES-256-GCM-16
- AES-128(此算法安全性较低,请慎用)
- AES-192(此算法安全性较低,请慎用)
- AES-256(此算法安全性较低,请慎用)
默认配置为:AES-128。
√
PFS
PFS(Perfect Forward Secrecy)即完美前向安全功能,配置IPsec隧道协商时使用。
PFS组支持的算法:
- DH group 14(此算法安全性较低,请慎用)
- DH group 15
- DH group 16
- DH group 19
- DH group 20
- DH group 21
- Disable
默认配置为:DH group 15。
√
传输协议
IPsec传输和封装用户数据时使用的安全协议。
目前支持的协议:ESP。
×
生命周期(秒)
安全联盟(Security Association,SA)的生存时间。
在超过生存时间后,安全联盟将被重新协商。
- 单位:秒。
- 取值范围:30~604800
默认配置:3600。
√
- 单击“确定”。