配置信息
最近更新时间: 2023-03-20 15:18:06
VPN 通道的建立包括以下配置信息:
• 基本信息
• SPD(Security Policy Database)策略
• IKE 配置(选填)
• IPsec 配置(选填)
下面详细介绍基本信息、SPD 策略、IKE 配置(选填)和 IPsec 配置(选填)。
1 基本信息
协议类型:IKE/IPsec
预共享秘钥:预共享密钥是用于验证 L2TP/IPSec 连接的 Unicode 字符串,本端和对端必须使用相同的预共享密钥。
2 SPD(Security Policy Database)策略
SPD(Security Policy Database)策略由一系列 SPD 规则组成,每条规则用于指定 VPC 内哪些网段可以和 IDC 中哪些网段通信。
每条 SPD 策略对应一个本端网段和多个对端网段,本段网段和对端网段不能重叠;
所有策略的集合中本端网段之间不可重叠;
每个本端网段的多条对端网段不可重叠;
对端网段不可与私有网络网段重叠
下面是一个正确的实例:
SPD 策略 1 本端网段 10.0.0.0/24,对端网段为 192.168.0.0/24、192.168.1.0/24。
SPD 策略 2 本端网段 10.0.1.0/24,对端网段为 192.168.2.0/24。
SPD 策略 3 本端网段 10.0.2.0/24,对端网段为 192.168.2.0/24。
3 IKE 配置
| 配置项 | 说明 |
| 版本 | IKE V1 |
| 身份认证方法 | 默认预共享密钥 |
| 认证算法 | 身份认证算法,支持MD5和SHA1 |
| 协商模式 | 支持main(主模式)和aggressive(野蛮模式) |
| 二者的不同之处在于,aggressive 模式可以用更少的包发送更多信息,这样做的优点是快速建立连接,而代价是以清晰的方式发送安全网关的身份,使用 aggressive 模式时,配置参数如 Diffie-Hellman 和 PFS 不能进行协商,因此两端拥有兼容的配置是至关重要的 | |
| 本端标识 | 支持 IP address 和 FQDN(全称域名) |
| 对端标识 | 支持 IP address 和 FQDN |
| DH group | 指定 IKE 交换密钥时使用的 DH 组,密钥交换的安全性随着 DH 组的扩大而增加,但交换的时间也增加了 |
| Group1:采用 768-bit 模指数(Modular Exponential,MODP )算法的 DH 组 | |
| Group2:采用 1024-bit MODP 算法的 DH 组 | |
| Group5:采用 1536-bit MODP 算法的 DH 组 | |
| Group14:采用 2048-bit MODP 算法,不支持动态 VPN 实现此选项 | |
| Group24:带 256 位的素数阶子群的 2048-bit MODP算法 DH 组,不支持组 VPN 实现此选项 | |
| IKE SA Lifetime | 单位:秒 |
| 设置 IKE 安全提议的 SA 生存周期,在设定的生存周期超时前,会提前协商另一个 SA 来替换旧的 SA。在新的 SA 还没有协商完之前,依然使用旧的 SA;在新的 SA 建立后,将立即使用新的 SA,而旧的 SA 在生存周期超时后,被自动清除 |
4 Ipsec 信息
| 配置项 | 说明 |
|---|---|
| 加密算法 | 支持 3DES、AES-128、AES-192、AES-256、DES |
| 认证算法 | 支持 MD5 和 SHA1 |
| 报文封装模式 | Tunnel |
| 安全协议 | ESP |
| PFS | 支持 disable、dh-group1、dh-group2、dh-group5、dh-group14和dh-group24 |
| IPsec SA lifetime(s) | 单位:秒 |
| IPsec SA lifetime(KB) | 单位:KB |