VPN协商参数有哪些?默认值是什么?
协议 |
配置项 |
值 |
---|---|---|
IKE |
版本 |
|
协商模式 |
|
|
认证算法 |
|
|
加密算法 |
|
|
DH算法 |
|
|
生命周期(秒) |
86400(默认) 单位:秒。 取值范围:60-604800。 |
|
本端标识 |
默认的本端标识类型是IP Address,ID值是VPN网关的公网IP。 |
|
对端标识 |
默认的对端标识类型是IP Address,ID值是对端网关的公网IP。 |
|
IPsec |
认证算法 |
|
加密算法 |
|
|
PFS |
||
传输协议 |
|
|
生命周期(秒) |
3600(默认) 单位:秒。 取值范围:30-604800。 |
- PFS(Perfect Forward Secrecy,完善的前向安全性)是一种安全特性。
IKE协商分为两个阶段,第二阶段(IPsec SA)的密钥都是由第一阶段协商生成的密钥衍生的,一旦第一阶段的密钥泄露将可能导致IPsec VPN受到侵犯。为提升密钥管理的安全性,IKE提供了PFS(完美向前保密)功能。启用PFS后,在进行IPsec SA协商时会进行一次附加的DH交换,重新生成新的IPsec SA密钥,提高了IPsec SA的安全性。
- 为了增强安全性,默认开启PFS,请确认用户侧数据中心网关设备也开启了该功能,且两端配置保持一致,否则会导致协商失败。
- IPsec SA字节生命周期,不是VPN服务可配置参数,云侧采用的是默认配置1843200KB。该参数不是协商参数,不影响双方建立IPsec SA。