VPN协商参数有哪些?默认值是什么?
协议 |
配置项 |
值 |
---|---|---|
IKE |
认证算法 |
|
加密算法 |
|
|
DH算法 |
说明:
部分区域仅支持Group 14、Group 2、Group 5。 |
|
版本 |
|
|
生命周期 |
86400(默认) 单位:秒。 取值范围:60-604800。 |
|
IPsec |
认证算法 |
|
加密算法 |
|
|
PFS |
说明:
部分区域仅支持DH group 14、DH group 2、DH group 5。 |
|
传输协议 |
|
|
生命周期 |
3600(默认) 单位:秒。 取值范围:480-604800。 |
![](https://support.huaweicloud.com/vpn_faq/public_sys-resources/note_3.0-zh-cn.png)
- PFS(Perfect Forward Secrecy,完善的前向安全性)是一种安全特性。
IKE协商分为两个阶段,第二阶段(IPsec SA)的密钥都是由第一阶段协商生成的密钥衍生的,一旦第一阶段的密钥泄露将可能导致IPsec VPN受到侵犯。为提升密钥管理的安全性,IKE提供了PFS(完美向前保密)功能。启用PFS后,在进行IPsec SA协商时会进行一次附加的DH交换,重新生成新的IPsec SA密钥,提高了IPsec SA的安全性。
- 为了增强安全性,云默认开启PFS,请用户在配置用户侧数据中心网关设备时确认也开启了该功能,否则会导致协商失败。
- 用户开启此功能的同时,需要保证两端配置一致。
- IPsec SA字节生命周期,不是VPN服务可配置参数,云侧采用的是默认配置1843200KB。该参数不是协商参数,不影响双方建立IPsec SA。
VPN协商与对接 所有常见问题
- 哪些设备可以与云进行VPN对接?
- VPN协商参数有哪些?默认值是什么?
- IPsec VPN是否会自动建立连接?
- 使用VPN连通云端VPC网络,云下设备如何配置?
- VPN支持远端网关域名对接吗?
- 我创建的VPN连接有几个隧道?
- 如何在已创建的VPN连接中,限定特定的主机访问云上子网?
- VPN是否启动了DPD检测机制?
- 如何通过安全组控制使VPN不能访问VPC上的部分虚拟机,实现安全隔离?
- 修改VPN连接的配置会造成连接重建吗?
- 华为云的VPN对接AWS后,为何不可以从AWS向华为云的VPN发起协商?
- 对接云时,如何配置DPD信息?
- 本地防火墙无法收到VPN网关的IKE第一阶段的回复包怎么解决?
- 本地防火墙无法收到VPN子网的回复包怎么解决?
- VPN使用的DH group对应的比特位是多少?
more