云侧IPSec VPN实例暂时只支持IKEv2协议。
1.云侧IPSec VPN实例支持的算法
云侧IPSec VPN实例支持的算法如下表所示:
加密算法 非AEAD加密算法 AEAD加密算法
加密算法 非AEAD加密算法 AEAD加密算法
aes128 aes128gcm16
aes192 aes192gcm16
aes256 aes256gcm16
integrity完整性算法 sha1
sha256
sha384
sha512
prf算法 prfsha1
prfsha256
prfsha384
prfsha512
DH Group算法 modp1024
modp2048
modp3072
modp4096
modp6144
modp8192
2.常用IKE与ESP算法组合
IKEv2协议IKE与ESP配置规范:
ike=encryption-integrity[-prf]-dhgroup
当加密算法配置为AEAD时,integrity算法必须用prf替换。
esp=encryption-integrity-[dhgroup]-[esnmode]
对于AEAD算法,prf、dhgroup、esn都是可选项,非AEAD算法,dhgroup与esn是可选项。非AEAD算法不能与PRF算法共同使用。
常用IKE与ESP算法组合如下:
AEAD加密算法组合
(推荐)
ike=aes128gcm16-prfsha256-modp2048!
esp=aes128gcm16!
ike=aes256gcm16-prfsha256-modp2048!
esp=aes256gcm16-esn!
ike=aes256gcm16-prfsha256-modp2048!
esp=aes256gcm16-prfsha256-esn!
ike=aes256gcm16-prfsha256-modp2048!
esp=aes256gcm16-prfsha256!
非AEAD加密算法组合 ike=aes128-sha1-modp1024!
esp=aes128-sha1-esn!
ike=aes128-sha1-modp1024!
esp=aes128-sha1!
ike=aes256-sha256-modp2048!
esp=aes256-sha256-esn!
ike=aes256-sha256-modp2048!
esp=aes256-sha256!
3.客户侧防火墙配置例子
演示环境私网网段信息:
客户侧私网网段:192.168.10.0/24
云侧私网网段:10.132.0.0/24,10.132.1.0/24,10.132.20.0/24,10.132.21.0/24
演示环境在客户侧安装strongswan5.8.0模拟客户防火墙。
云侧是被动协商,不需要配置IKE与ESP算法,只需在客户侧防火墙配置云侧支持的算法(3.5.1节与3.5.2节表格)即可。
云侧IPSec VPN实例信息以3.2节录入的信息为例:
IPSec VPN名称:IPSec_VPN演示
客户侧私网网段:192.168.10.0/24
客户侧公网地址:58.63.x.2
IKE版本:IKEv2
预共享密钥:6xA5YB_1nmaa!
确认密钥:6xA5YB_1nmaa!
标识符类型:FQDN
云端标识符:cloud.responder
客户侧标识符:customer.initiator
身份重新认证模式:MAKE_BEFORE_BREAK=NO
客户侧strongswan配置如下:
(1)修改/etc/strongswan/ipsec.conf,参考配置如下:
conn %default
ikelifetime=12h
keylife=4h
rekeymargin=3m
keyingtries=1
authby=psk
keyexchange=ikev2
mobike=no
conn customer-to-cloud
left=58.63.x.2
leftsubnet=192.168.10.0/24
leftauth=psk
leftid=@customer.initiator
right=113.125.x.102
rightsubnet=10.132.0.0/24,10.132.1.0/24,10.132.20.0/24,10.132.21.0/24
rightauth=psk
rightid=@cloud.responder
ike=aes128gcm16-prfsha256-modp2048!
esp=aes128gcm16-esn!
auto=start
dpddelay=10s
dpdtimeout=90s
dpdaction=restart
(2)修改/etc/strongswan/ipsec.secrets配置预共享密钥为“6xA5YB_1nmaa!”。
(3)修改/etc/strongswwan/strongswan.d/charon.conf,设置make_before_break=no,默认是no。