Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Tento článek ukazuje podporované kombinace zásad IPsec.
Výchozí zásady IPsec
Poznámka:
Při práci s výchozími zásadami může Azure během nastavování tunelu IPsec fungovat jako iniciátor i respondér. Přestože vpn virtual WAN podporuje mnoho kombinací algoritmů, naše doporučení je GCMAES256 pro šifrování IPSEC i integritu pro optimální výkon. AES256 a SHA256 jsou považovány za méně výkonné, a proto je možné u podobných typů algoritmů očekávat snížení výkonu, jako je latence a poklesy paketů. Další informace o službě Virtual WAN najdete v nejčastějších dotazech ke službě Azure Virtual WAN.
Iniciátor
Následující části obsahují seznam podporovaných kombinací zásad v případě, že je iniciátorem tunelu Azure.
Fáze 1
- AES_256, SHA1, DH_GROUP_2
- AES_256, SHA_256, DH_GROUP_2
- AES_128, SHA1, DH_GROUP_2
- AES_128, SHA_256, DH_GROUP_2
Fáze 2
- GCM_AES_256, GCM_AES_256, PFS_NONE
- AES_256, SHA_1, PFS_NONE
- AES_256, SHA_256, PFS_NONE
- AES_128, SHA_1, PFS_NONE
Odpovídač
Následující části obsahují seznam podporovaných kombinací zásad, když je Azure odpovídajícím pro tunel.
Fáze 1
- AES_256, SHA1, DH_GROUP_2
- AES_256, SHA_256, DH_GROUP_2
- AES_128, SHA1, DH_GROUP_2
- AES_128, SHA_256, DH_GROUP_2
Fáze 2
- GCM_AES_256, GCM_AES_256, PFS_NONE
- AES_256, SHA_1, PFS_NONE
- AES_256, SHA_256, PFS_NONE
- AES_128, SHA_1, PFS_NONE
- AES_256, SHA_1, PFS_1
- AES_256, SHA_1, PFS_2
- AES_256, SHA_1, PFS_14
- AES_128, SHA_1, PFS_1
- AES_128, SHA_1, PFS_2
- AES_128, SHA_1, PFS_14
- AES_256, SHA_256, PFS_1
- AES_256, SHA_256, PFS_2
- AES_256, SHA_256, PFS_14
- AES_256, SHA_1, PFS_24
- AES_256, SHA_256, PFS_24
- AES_128, SHA_256, PFS_NONE
- AES_128, SHA_256, PFS_1
- AES_128, SHA_256, PFS_2
- AES_128, SHA_256, PFS_14
Hodnoty životnosti přidružení služby (SA)
Tyto hodnoty životního času platí pro iniciátora i reagátora.
- Životnost SA v sekundách: 3600 sekund
- Životnost SA v bajtech: 102 400 000 kB
Vlastní zásady IPsec
Při práci s vlastními zásadami protokolu IPsec mějte na paměti následující požadavky:
- IKE – Pro protokol IKE můžete vybrat libovolný parametr z šifrování IKE a libovolný parametr z integrity protokolu IKE a libovolný parametr ze skupiny DH.
- IPsec – Pro protokol IPsec můžete vybrat libovolný parametr ze šifrování IPsec a libovolný parametr z integrity protokolu IPsec a PFS. Pokud některý z parametrů šifrování IPsec nebo integrity protokolu IPsec je GCM, musí být parametry obou nastavení GCM.
Výchozí vlastní zásady zahrnují SHA1, DHGroup2 a 3DES pro zpětnou kompatibilitu. Jedná se o slabší algoritmy, které nejsou podporovány při vytváření vlastních zásad. Doporučujeme používat pouze následující algoritmy:
Dostupná nastavení a parametry
| Nastavení | Parametry |
|---|---|
| Šifrování IKE | GCMAES256, GCMAES128, AES256, AES128 |
| Integrita protokolu IKE | SHA384, SHA256 |
| Skupina DH | ECP384, ECP256, DHGroup24, DHGroup14 |
| Šifrování IPsec | GCMAES256, GCMAES128, AES256, AES128, None |
| Integrita protokolu IPsec | GCMAES256, GCMAES128, SHA256 |
| Skupina PFS | ECP384, ECP256, PFS24, PFS14, Žádné |
| Životnost servisní smlouvy (SA) | celé číslo; min. 300/ výchozí 3600 sekund |
Další kroky
Postup konfigurace vlastních zásad IPsec najdete v tématu Konfigurace vlastních zásad IPsec pro Virtual WAN.
Další informace o službě Virtual WAN najdete v tématu Informace o službě Azure Virtual WAN a nejčastější dotazy ke službě Azure Virtual WAN.