VPN协商参数有哪些？华为云默认值是什么？

更新时间：2020/08/25 GMT+08:00

PFS（Perfect Forward Secrecy，完善的前向安全性）是一种安全特性。
IKE协商分为两个阶段，第二阶段（IPSec SA）的密钥都是由第一阶段协商生成的密钥衍生的，一旦第一阶段的密钥泄露将可能导致IPSec VPN受到侵犯。为提升密钥管理的安全性，IKE提供了PFS（完美向前保密）功能。启用PFS后，在进行IPSec SA协商时会进行一次附加的DH交换，重新生成新的IPSec SA密钥，提高了IPSec SA的安全性。
为了增强安全性，华为云默认开启PFS，请用户在配置用户侧数据中心网关设备时确认也开启了该功能，否则会导致协商失败。
用户开启此功能的同时，需要保证两端配置一致。
IPSec SA字节生命周期，不是华为云VPN服务可配置参数，华为云侧采用的是默认配置1843200KB。该参数不是协商参数，不影响双方建立IPSec SA。

父主题： VPN协商与对接

非常感谢您的反馈，我们会继续努力做到更好！

反馈提交失败，请稍后再试！

如您有其它疑问，您也可以通过华为云社区问答频道来与我们联系探讨