Stratégies IPsec site à site

  • Article

Cet article montre les combinaisons de stratégies IPsec prises en charge.

Stratégies IPsec par défaut

Notes

Quand vous utilisez des stratégies par défaut, Azure peut jouer le rôle d’initiateur et de répondeur lors de la configuration d’un tunnel IPsec. Bien qu’un VPN Virtual WAN prenne en charge de nombreuses combinaisons d’algorithmes, pour optimiser les performances, nous recommandons l’algorithme GCMAES256 tant pour le chiffrement que pour l’intégrité IPSEC. Les algorithmes AES256 et SHA256 étant considérés comme moins performants, une dégradation des performances, par exemple, sur le plan de la latence et des rejets de paquets est prévisible pour des types d’algorithmes similaires. Pour plus d’informations sur Virtual WAN, consultez le Questions fréquentes (FAQ) sur Azure Virtual WAN.

Initiateur

Les sections suivantes répertorient les combinaisons de stratégies prises en charge quand Azure représente l’initiateur du tunnel.

Phase-1

  • AES_256, SHA1, DH_GROUP_2
  • AES_256, SHA_256, DH_GROUP_2
  • AES_128, SHA1, DH_GROUP_2
  • AES_128, SHA_256, DH_GROUP_2

Phase-2

  • GCM_AES_256, GCM_AES_256, PFS_NONE
  • AES_256, SHA_1, PFS_NONE
  • AES_256, SHA_256, PFS_NONE
  • AES_128, SHA_1, PFS_NONE

Répondeur

Les sections suivantes répertorient les combinaisons de stratégies prises en charge quand Azure représente le répondeur du tunnel.

Phase-1

  • AES_256, SHA1, DH_GROUP_2
  • AES_256, SHA_256, DH_GROUP_2
  • AES_128, SHA1, DH_GROUP_2
  • AES_128, SHA_256, DH_GROUP_2

Phase-2

  • GCM_AES_256, GCM_AES_256, PFS_NONE
  • AES_256, SHA_1, PFS_NONE
  • AES_256, SHA_256, PFS_NONE
  • AES_128, SHA_1, PFS_NONE
  • AES_256, SHA_1, PFS_1
  • AES_256, SHA_1, PFS_2
  • AES_256, SHA_1, PFS_14
  • AES_128, SHA_1, PFS_1
  • AES_128, SHA_1, PFS_2
  • AES_128, SHA_1, PFS_14
  • AES_256, SHA_256, PFS_1
  • AES_256, SHA_256, PFS_2
  • AES_256, SHA_256, PFS_14
  • AES_256, SHA_1, PFS_24
  • AES_256, SHA_256, PFS_24
  • AES_128, SHA_256, PFS_NONE
  • AES_128, SHA_256, PFS_1
  • AES_128, SHA_256, PFS_2
  • AES_128, SHA_256, PFS_14

Valeurs de durée de vie de SA

Ces valeurs de durée de vie s’appliquent à l’initiateur et au répondeur

  • Durée de vie de SA en secondes : 3600 secondes
  • Durée de vie de SA en octets : 102 400 000 Ko

Stratégies IPsec personnalisées

Quand vous utilisez des stratégies IPsec personnalisées, gardez à l’esprit les exigences suivantes :

  • IKE - Pour IKE, vous pouvez sélectionner n’importe quel paramètre de chiffrement IKE, d’intégrité IKE et de groupe DH.
  • IPsec - Pour IPsec, vous pouvez sélectionner n’importe quel paramètre de chiffrement IPsec, d’intégrité IPsec et de PFS. Si GCM est utilisé dans les paramètres de chiffrement IPsec ou d’intégrité IPsec, alors il doit être utilisé pour le chiffrement et l’intégrité.

La stratégie personnalisée par défaut inclut SHA1, DHGroup2 et 3DES pour une compatibilité descendante. Il s’agit d’algorithmes plus faibles qui ne sont pas pris en charge lors de la création d’une stratégie personnalisée. Nous vous recommandons d’utiliser uniquement les algorithmes suivants :

Paramètres et configurations disponibles

Paramètre Paramètres
Chiffrement IKE GCMAES256, GCMAES128, AES256, AES128
Intégrité IKE SHA384, SHA256
Groupe DH ECP384, ECP256, DHGroup24, DHGroup14
Chiffrement IPsec GCMAES256, GCMAES128, AES256, AES128, aucun
Intégrité IPsec GCMAES256, GCMAES128, SHA256
Groupe PFS ECP384, ECP256, PFS24, PFS14, aucun
Durée de vie de l’AS entier ; min. 300 / 3600 secondes par défaut

Étapes suivantes

Pour connaître les étapes de configuration d’une stratégie IPsec personnalisée, consultez Configurer une stratégie IPsec personnalisée pour Virtual WAN.

Pour en plus sur le réseau WAN virtuel, consultez À propos du réseau WAN virtuel Azure et la FAQ sur le réseau WAN virtuel Azure.