文档首页> 虚拟专用网络 VPN> 常见问题> 热点问题> VPN协商参数有哪些?华为云默认值是什么?
更新时间:2021-12-17 GMT+08:00
分享

VPN协商参数有哪些?华为云默认值是什么?

表1 VPN协商参数

协议

配置项

IKE

认证算法

SHA2-256(默认)、SHA1、MD5、SHA2-384、SHA2-512。

加密算法

AES-128(默认)、AES-192、AES-256、3DES。

DH算法

Group 14(默认)、Group 1、Group 2、Group 5、Group 15、Group 16、Group 19、Group 20、Group 21 。

说明:

部分区域仅支持Group 14、Group 2、Group 5。

版本

v2(默认)、v1。

生命周期

86400(默认)

单位:秒。

取值范围:60-604800。

协商模式

Main(默认)、Aggressive。

版本选择“v1”时,需配置该参数。

IPsec

认证算法

SHA2-256(默认)、SHA1、MD5、SHA2-384、SHA2-512。

加密算法

AES-128(默认)、AES-192、AES-256、3DES。

PFS

DH group 14(默认)、DH group 1、DH group 2、DH group 5、DH group 15、DH group 16、DH group 19、DH group 20、DH group 21、Disable。

说明:

部分区域仅支持DH group 14、DH group 2、DH group 5。

传输协议

ESP(默认)、AH、AH-ESP。

传输模式

隧道模式(不支持传输模式)。

生命周期

3600(默认)

单位:秒。

取值范围:480-604800。

  • PFS(Perfect Forward Secrecy,完善的前向安全性)是一种安全特性。

    IKE协商分为两个阶段,第二阶段(IPsec SA)的密钥都是由第一阶段协商生成的密钥衍生的,一旦第一阶段的密钥泄露将可能导致IPsec VPN受到侵犯。为提升密钥管理的安全性,IKE提供了PFS(完美向前保密)功能。启用PFS后,在进行IPsec SA协商时会进行一次附加的DH交换,重新生成新的IPsec SA密钥,提高了IPsec SA的安全性。

  • 为了增强安全性,华为云默认开启PFS,请用户在配置用户侧数据中心网关设备时确认也开启了该功能,否则会导致协商失败。
  • 用户开启此功能的同时,需要保证两端配置一致。
  • IPsec SA字节生命周期,不是华为云VPN服务可配置参数,华为云侧采用的是默认配置1843200KB。该参数不是协商参数,不影响双方建立IPsec SA。
分享:

热点问题 所有常见问题

more

关闭导读