VPN协商参数有哪些?华为云默认值是什么?
协议 |
配置项 |
值 |
---|---|---|
IKE |
认证算法 |
SHA2-256(默认)、SHA1、MD5、SHA2-384、SHA2-512。 |
加密算法 |
AES-128(默认)、AES-192、AES-256、3DES。 |
|
DH算法 |
Group 14(默认)、Group 1、Group 2、Group 5、Group 15、Group 16、Group 19、Group 20、Group 21 。 说明:
部分区域仅支持Group 14、Group 2、Group 5。 |
|
版本 |
v2(默认)、v1。 |
|
生命周期 |
86400(默认) 单位:秒。 取值范围:60-604800。 |
|
协商模式 |
Main(默认)、Aggressive。 版本选择“v1”时,需配置该参数。 |
|
IPsec |
认证算法 |
SHA2-256(默认)、SHA1、MD5、SHA2-384、SHA2-512。 |
加密算法 |
AES-128(默认)、AES-192、AES-256、3DES。 |
|
PFS |
DH group 14(默认)、DH group 1、DH group 2、DH group 5、DH group 15、DH group 16、DH group 19、DH group 20、DH group 21、Disable。 说明:
部分区域仅支持DH group 14、DH group 2、DH group 5。 |
|
传输协议 |
ESP(默认)、AH、AH-ESP。 |
|
传输模式 |
隧道模式(不支持传输模式)。 |
|
生命周期 |
3600(默认) 单位:秒。 取值范围:480-604800。 |

- PFS(Perfect Forward Secrecy,完善的前向安全性)是一种安全特性。
IKE协商分为两个阶段,第二阶段(IPsec SA)的密钥都是由第一阶段协商生成的密钥衍生的,一旦第一阶段的密钥泄露将可能导致IPsec VPN受到侵犯。为提升密钥管理的安全性,IKE提供了PFS(完美向前保密)功能。启用PFS后,在进行IPsec SA协商时会进行一次附加的DH交换,重新生成新的IPsec SA密钥,提高了IPsec SA的安全性。
- 为了增强安全性,华为云默认开启PFS,请用户在配置用户侧数据中心网关设备时确认也开启了该功能,否则会导致协商失败。
- 用户开启此功能的同时,需要保证两端配置一致。
- IPsec SA字节生命周期,不是华为云VPN服务可配置参数,华为云侧采用的是默认配置1843200KB。该参数不是协商参数,不影响双方建立IPsec SA。
产品咨询所有常见问题
- IPsec VPN适用连接典型组网结构有哪些?
- 什么是VPC、VPN网关、VPN连接?
- VPC、VPN网关、VPN连接之间有什么关系?
- VPN连接是什么?用户在购买VPN网关时如何选择VPN连接数?
- 如何理解VPN连接中的远端网关和远端子网?
- VPN接入VPC的网络地址如何规划?
- IPsec VPN是否会自动建立连接?
- VPN工单分类方法有哪些?如何提交VPN工单?
- 哪些设备可以与华为云进行VPN对接?
- VPN协商参数有哪些?华为云默认值是什么?
- 建立IPsec VPN连接需要帐户名和密码吗?
- 如何在已创建的VPN连接中,限定特定的主机访问云上子网?
- VPN监控可以监控哪些内容?
- EIP能作为VPN的网关IP吗?
- 通过VPN互访的主机需要购买EIP吗?
- 虚拟专用网络是否支持SSL VPN?
- VPN配置下发后,多久能够生效?
- 无带宽信息的网关无法创建新的连接如何解决?
- 华为云VPN是否支持IPv6?
- 如何选择购买VPN带宽的大小?
- VPN连接支持使用国产加密算法吗?
- 创建VPN连接时如何选择IKE的版本?
- 华为云VPN使用的DH group对应的比特位是多少?
- 是否可以通过VPN实现跨境访问国外网站?
- 是否可以将应用部署在云端,数据库放在本地IDC,然后通过VPN实现互联?
- IPsec VPN和SSL VPN在使用场景和连接方式上有什么区别?
- 创建VPN都会产生哪些费用,VPN网关IP收费吗?
- VPN网关带宽计费方式在选择按带宽计费和按流量计费时有什么差别?
- 按流量计费的VPN可以使用共享流量包?
- VPN网关删除后公网地址是否可以保留?
- 通过VPN互访的主机需要购买EIP吗?
- Console界面在哪添加VPN远端路由?
- VPN连接中断后会通知我吗?
- 如何解决VPN连接无法建立连接问题?
- VPN的带宽限速,是限制的哪个方向的带宽,带宽的单位是什么?
more
