IPsec-Richtlinien für Site-to-site-Verbindungen

  • Artikel

Dieser Artikel zeigt die unterstützten Kombinationen aus IPsec-Richtlinien.

IPsec-Standardrichtlinien

Hinweis

Wenn Sie mit Standardrichtlinien arbeiten, kann Azure beim Setup eines IPsec-Tunnels sowohl als Initiator als auch als Antwortdienst fungieren. Während Virtual WAN-VPN viele Algorithmuskombinationen unterstützt, empfehlen wir GCMAES256 für IPSEC-Verschlüsselung und -Integrität, um eine optimale Leistung zu erzielen. AES256 und SHA256 gelten als weniger leistungsstark, und daher kann bei ähnlichen Algorithmustypen eine Leistungsbeeinträchtigung wie Wartezeit und Paketverluste erwartet werden. Weitere Informationen zu Virtual WAN finden Sie unter Azure Virtual WAN – Häufig gestellte Fragen.

Initiator

Die folgenden Abschnitte listen die unterstützten Richtlinienkombinationen auf, wenn Azure der Initiator für den Tunnel ist.

Phase-1

  • AES_256, SHA1, DH_GROUP_2
  • AES_256, SHA_256, DH_GROUP_2
  • AES_128, SHA1, DH_GROUP_2
  • AES_128, SHA_256, DH_GROUP_2

Phase-2

  • GCM_AES_256, GCM_AES_256, PFS_NONE
  • AES_256, SHA_1, PFS_NONE
  • AES_256, SHA_256, PFS_NONE
  • AES_128, SHA_1, PFS_NONE

Antwortdienst

Die folgenden Abschnitte listen die unterstützten Richtlinienkombinationen auf, wenn Azure der Antwortdienst für den Tunnel ist.

Phase-1

  • AES_256, SHA1, DH_GROUP_2
  • AES_256, SHA_256, DH_GROUP_2
  • AES_128, SHA1, DH_GROUP_2
  • AES_128, SHA_256, DH_GROUP_2

Phase-2

  • GCM_AES_256, GCM_AES_256, PFS_NONE
  • AES_256, SHA_1, PFS_NONE
  • AES_256, SHA_256, PFS_NONE
  • AES_128, SHA_1, PFS_NONE
  • AES_256, SHA_1, PFS_1
  • AES_256, SHA_1, PFS_2
  • AES_256, SHA_1, PFS_14
  • AES_128, SHA_1, PFS_1
  • AES_128, SHA_1, PFS_2
  • AES_128, SHA_1, PFS_14
  • AES_256, SHA_256, PFS_1
  • AES_256, SHA_256, PFS_2
  • AES_256, SHA_256, PFS_14
  • AES_256, SHA_1, PFS_24
  • AES_256, SHA_256, PFS_24
  • AES_128, SHA_256, PFS_NONE
  • AES_128, SHA_256, PFS_1
  • AES_128, SHA_256, PFS_2
  • AES_128, SHA_256, PFS_14

Werte zur SA-Lebensdauer

Diese Werte zur Lebensdauer gelten sowohl für den Initiator als auch für den Antwortdienst.

  • SA-Lebensdauer in Sekunden: 3.600 Sekunden
  • SA-Lebensdauer in Bytes: 102.400.000 KB

Benutzerdefinierte IPsec-Richtlinien

Beachten Sie bei der Arbeit mit benutzerdefinierten IPsec-Richtlinien die folgenden Anforderungen:

  • IKE: Für IKE können Sie einen beliebigen Parameter aus der IKE-Verschlüsselung, einen beliebigen Parameter aus der IKE-Integrität sowie einen beliebigen Parameter aus der DH-Gruppe auswählen.
  • IPsec: Für IPsec können Sie einen beliebigen Parameter aus der IPsec-Verschlüsselung, einen beliebigen Parameter aus der IPsec-Integrität sowie PFS auswählen. Falls einer der Parameter für die IPsec-Verschlüsselung oder die IPsec-Integrität GCM ist, müssen die Parameter für beide Einstellungen GCM sein.

Die benutzerdefinierte Standardrichtlinie umfasst SHA-1, DHGroup2 und 3DES aus Gründen der Abwärtskompatibilität. Dies sind schwächere Algorithmen, die beim Erstellen einer benutzerdefinierten Richtlinie nicht unterstützt werden. Es wird empfohlen, nur die folgenden Algorithmen zu verwenden:

Verfügbare Einstellungen und Parameter

Einstellung Parameter
IKE-Verschlüsselung GCMAES256, GCMAES128, AES256, AES128
IKE-Integrität SHA384, SHA256
DH-Gruppe ECP384, ECP256, DHGroup24, DHGroup14
IPsec-Verschlüsselung GCMAES256, GCMAES128, AES256, AES128, Keine
IPsec-Integrität GCMAES256, GCMAES128, SHA256
PFS-Gruppe ECP384, ECP256, PFS24, PFS14, Keine
SA-Gültigkeitsdauer Integer, min. 300/Standard: 3600 Sekunden

Nächste Schritte

Schritte zum Konfigurieren einer benutzerdefinierten IPsec-Richtlinie finden Sie unter Konfigurieren einer benutzerdefinierten IPsec-Richtlinie für ein Virtual WAN.

Weitere Informationen zu Virtual WAN, finden Sie unter Über Virtual WAN und FAQS zu Azure Virtual WAN.