Directivas IPsec de sitio a sitio

  • Artículo

En este artículo se muestran las combinaciones admitidas de la directiva de IPsec.

Directivas IPsec predeterminadas

Nota

Cuando se trabaja con directivas predeterminadas, Azure puede actuar como iniciador y como respondedor durante la configuración de un túnel IPsec. Aunque Virtual WAN VPN admite muchas combinaciones de algoritmos, nuestra recomendación es GCMAES256 para el cifrado IPSEC y la integridad para un rendimiento óptimo. AES256 y SHA256 se consideran menos avanzados y, por tanto, se puede esperar una degradación del rendimiento como la latencia y la caída de paquetes para tipos de algoritmo similares. Para más información sobre Virtual WAN, consulte Preguntas más frecuentes sobre Azure Virtual WAN.

Iniciador

Las secciones siguientes enumeran las combinaciones de directivas compatibles cuando Azure es el iniciador para el túnel.

Fase 1

  • AES_256, SHA1, DH_GROUP_2
  • AES_256, SHA_256, DH_GROUP_2
  • AES_128, SHA1, DH_GROUP_2
  • AES_128, SHA_256, DH_GROUP_2

Fase 2

  • GCM_AES_256, GCM_AES_256, PFS_NONE
  • AES_256, SHA_1, PFS_NONE
  • AES_256, SHA_256, PFS_NONE
  • AES_128, SHA_1, PFS_NONE

Servicio de respuesta

Las secciones siguientes enumeran las combinaciones de directivas compatibles cuando Azure es el respondedor para el túnel.

Fase 1

  • AES_256, SHA1, DH_GROUP_2
  • AES_256, SHA_256, DH_GROUP_2
  • AES_128, SHA1, DH_GROUP_2
  • AES_128, SHA_256, DH_GROUP_2

Fase 2

  • GCM_AES_256, GCM_AES_256, PFS_NONE
  • AES_256, SHA_1, PFS_NONE
  • AES_256, SHA_256, PFS_NONE
  • AES_128, SHA_1, PFS_NONE
  • AES_256, SHA_1, PFS_1
  • AES_256, SHA_1, PFS_2
  • AES_256, SHA_1, PFS_14
  • AES_128, SHA_1, PFS_1
  • AES_128, SHA_1, PFS_2
  • AES_128, SHA_1, PFS_14
  • AES_256, SHA_256, PFS_1
  • AES_256, SHA_256, PFS_2
  • AES_256, SHA_256, PFS_14
  • AES_256, SHA_1, PFS_24
  • AES_256, SHA_256, PFS_24
  • AES_128, SHA_256, PFS_NONE
  • AES_128, SHA_256, PFS_1
  • AES_128, SHA_256, PFS_2
  • AES_128, SHA_256, PFS_14

Valores de vigencia de Microsoft Software Assurance

Estos valores de vigencia se aplican tanto al iniciador como al respondedor:

  • Vigencia de Microsoft Software Assurance en segundos: 3600 segundos
  • Duración de Microsoft Software Assurance en bytes: 102 400 000 KB

Directivas IPsec personalizadas

Al trabajar con directivas IPsec personalizadas, tenga en cuenta los siguientes requisitos:

  • IKE: en el caso de IKE, puede seleccionar cualquier parámetro de Cifrado de IKE, más cualquier parámetro de Integridad de IKE, más cualquier parámetro de Grupo DH.
  • IPsec: en el caso de IPsec, puede seleccionar cualquier parámetro de Cifrado de IPsec, más cualquier parámetro de Integridad de IPsec, más PFS. Si cualquiera de parámetros de Cifrado de IPsec o Integridad de IPsec es GCM, los parámetros de ambos valores deben ser GCM.

La directiva personalizada predeterminada incluye SHA1, DHGroup2 y 3DES para la compatibilidad con versiones anteriores. Estos son algoritmos más débiles que no se admiten al crear una directiva personalizada. Se recomienda usar solo los siguientes algoritmos:

Parámetros y valores disponibles

Configuración Parámetros
Cifrado de IKE GCMAES256, GCMAES128, AES256, AES128
Integridad de IKE SHA384, SHA256
Grupo DH ECP384, ECP256, DHGroup24, DHGroup14
Cifrado IPsec GCMAES256, GCMAES128, AES256, AES128, None
Integridad de IPsec GCMAES256, GCMAES128, SHA256
Grupo PFS ECP384, ECP256, PFS24, PFS14, None
Vigencia de SA entero, mín. 300/predeterminado 3600 segundos

Pasos siguientes

Para conocer los pasos para configurar una directiva IPsec personalizada, consulte Configuración de una directiva IPsec personalizada para Virtual WAN.

Para obtener más información sobre Virtual WAN, vea Acerca de Azure Virtual WAN y Preguntas más frecuentes sobre Azure Virtual WAN.