vpn
/vpn_faq/vpn_08_0600.html
VPN协商参数有哪些?华为云默认值是什么?
更新时间:
2020/03/13 GMT+08:00
协议 |
配置项 |
值 |
IKE |
认证算法 |
SHA1 |
加密算法 |
aes-128 |
|
DH算法 |
group5 |
|
版本 |
ikev1 |
|
协商模式 |
main |
|
生命周期 |
86400 |
|
IPsec |
认证算法 |
SHA1 |
加密算法 |
aes-128 |
|
DH算法(即二阶段pfs) |
group5 (华为云默认开启) |
|
传输协议 |
esp |
|
传输模式 |
隧道模式(不支持传输模式) |
|
生命周期 |
3600 |
- PFS(Perfect Forward Secrecy,完善的前向安全性)是一种安全特性。
IKE协商分为两个阶段,第二阶段(IPSec SA)的密钥都是由第一阶段协商生成的密钥衍生的,一旦第一阶段的密钥泄露将可能导致IPSec VPN受到侵犯。为提升密钥管理的安全性,IKE提供了PFS(完美向前保密)功能。启用PFS后,在进行IPSec SA协商时会进行一次附加的DH交换,重新生成新的IPSec SA密钥,提高了IPSec SA的安全性。
- 为了增强安全性,华为云默认开启PFS,请用户在配置用户侧数据中心网关设备时确认也开启了该功能,否则会导致协商失败。
- 用户开启此功能的同时,需要保证两端配置一致。
- IPSec SA字节生命周期,不是华为云VPN服务可配置参数,华为云侧采用的是默认配置1843200KB。该参数不是协商参数,不影响双方建立IPSec SA。
父主题:
VPN协商与对接
