IPsec/IKE 安全设置
下表提供了有关 Psec/IKE 安全性参数的更多信息。
| 参数 | 描述 |
|---|---|
| 加密算法 | 将用于确保数据在传输过程中不可见的加密算法。默认情况下,所有算法都处于选中状态。必须在本地网关设备上为每个 IKE 阶段配置至少一种选定的算法。 |
| 哈希算法 | 将用于验证数据完整性和真实性的哈希算法。默认情况下,所有算法都处于选中状态。必须在本地网关设备上为每个 IKE 阶段配置至少一种选定的算法。 |
| Diffie-Hellman 组号 |
Diffie-Hellman 组号定义 Internet 密钥交换 (IKE) 过程中所使用密钥的强度。 组号越高越安全,但需要更多时间来计算密钥。 默认情况下,所有组都处于选中状态。必须在本地网关设备上为每个 IKE 阶段配置至少一个选定组。 |
| 生命周期(秒) |
生命周期值通过一组用户数据包的加密/身份验证密钥来确定连接实例的持续时间(从成功协商到到期)。 阶段 1 的范围:900-28800 秒(默认值为 28800)。 阶段 2 的范围:900-3600 秒(默认值为 3600)。 阶段 2 的生命周期必须短于阶段 1 的生命周期。 连接将在其到期之前通过密钥通道重新协商,请参阅密钥更新等待时间。如果本地端和远程端的生命周期不一致,则生命周期较长的一侧将出现连接废弃的混乱情况。另请参见密钥更新时间和密钥更新模糊。 |
| 密钥更新等待时间(秒) | 连接到期或密钥通道到期之前的等待时间,在此期间 VPN 连接的本地端会尝试协商替换。根据密钥更新模糊值随机选择密钥更新的确切时间。仅在本地相关,远端无需对此达成协商。范围:900-3600 秒。默认值为 3600。 |
| 重播窗口大小(数据包) |
此连接的 IPsec 重播窗口大小。 默认值 -1 使用 strongswan.conf 文件中 charon.replay_window 配置的值。 仅当使用 Netlink 后端时才支持大于 32 的值。 值为 0 将禁用 IPsec 重播保护。 |
| 密钥更新模糊(%) |
随机增加 marginbytes、marginpackets 和 margintime 以随机化密钥更新间隔的最大百分比(对于具有多个连接的主机很重要)。 密钥更新模糊值可以超过 100%。随机增加后,marginTYPE 的值不得超过 lifeTYPE,其中 TYPE 是字节、数据包或时间之一。 值 0% 表示禁用随机功能。仅在本地相关,远端无需对此达成协商。 |
| DPD 超时(秒) | 失效对等检测 (DPD) 超时发生的时间。可以指定 30 或更高的值。默认值为 30。 |
| 失效对等检测(DPD)超时操作 |
失效对等检测 (DPD) 超时发生后采取的操作。 重新启动 - DPD 超时发生后重新启动会话。 清除 - DPD 超时发生后结束会话。 无 - DPD 超时发生后不采取任何操作。 |
| 启动操作 |
确定哪一侧发起连接,并建立 VPN 连接的隧道。 添加 - 本地 VPN 网关发起连接。 开始 - 云 VPN 网关发起连接。 路由 - 适用于支持路由选项的 VPN 网关。仅当有从本地 VPN 网关或云 VPN 网关发起的流量时,隧道才会建立。 |