Share via

Helyek közötti IPsec-szabályzatok

  • Cikk

Ez a cikk a támogatott IPsec-szabályzatkombinációkat mutatja be.

Alapértelmezett IPsec-szabályzatok

Megjegyzés

Az Alapértelmezett szabályzatok használatakor az Azure kezdeményezőként és válaszadóként is működhet az IPsec-alagút beállítása során. Bár Virtual WAN VPN számos algoritmuskombinációt támogat, javaslatunk az IPSEC-titkosítás és az integritás esetében is GCMAES256 az optimális teljesítmény érdekében. Az AES256 és az SHA256 kevésbé teljesítménnyel jár, ezért a hasonló algoritmustípusok esetében teljesítménycsökkenés, például késés és csomagcsúcsok várhatók. A Virtual WAN kapcsolatos további információkért tekintse meg az Azure Virtual WAN gyakori kérdéseit.

Kezdeményező

Az alábbi szakaszok a támogatott szabályzatkombinációkat sorolják fel, ha az Azure az alagút kezdeményezője.

1. fázis

  • AES_256, SHA1, DH_GROUP_2
  • AES_256, SHA_256, DH_GROUP_2
  • AES_128, SHA1, DH_GROUP_2
  • AES_128, SHA_256, DH_GROUP_2

2. fázis

  • GCM_AES_256, GCM_AES_256, PFS_NONE
  • AES_256, SHA_1, PFS_NONE
  • AES_256, SHA_256, PFS_NONE
  • AES_128, SHA_1, PFS_NONE

Válaszadó

Az alábbi szakaszok a támogatott szabályzatkombinációkat sorolják fel, ha az Azure az alagút válaszadója.

1. fázis

  • AES_256, SHA1, DH_GROUP_2
  • AES_256, SHA_256, DH_GROUP_2
  • AES_128, SHA1, DH_GROUP_2
  • AES_128, SHA_256, DH_GROUP_2

2. fázis

  • GCM_AES_256, GCM_AES_256, PFS_NONE
  • AES_256, SHA_1, PFS_NONE
  • AES_256, SHA_256, PFS_NONE
  • AES_128, SHA_1, PFS_NONE
  • AES_256, SHA_1, PFS_1
  • AES_256, SHA_1, PFS_2
  • AES_256, SHA_1, PFS_14
  • AES_128, SHA_1, PFS_1
  • AES_128, SHA_1, PFS_2
  • AES_128, SHA_1, PFS_14
  • AES_256, SHA_256, PFS_1
  • AES_256, SHA_256, PFS_2
  • AES_256, SHA_256, PFS_14
  • AES_256, SHA_1, PFS_24
  • AES_256, SHA_256, PFS_24
  • AES_128, SHA_256, PFS_NONE
  • AES_128, SHA_256, PFS_1
  • AES_128, SHA_256, PFS_2
  • AES_128, SHA_256, PFS_14

SA-élettartam értékei

Ezek az élettartam-értékek mind a kezdeményezőre, mind a válaszadóra érvényesek

  • SA élettartama másodpercben: 3600 másodperc
  • SA-élettartam bájtban: 102 400 000 KB

Egyéni IPsec-szabályzatok

Egyéni IPsec-szabályzatok használatakor tartsa szem előtt az alábbi követelményeket:

  • IKE – Az IKE-hez bármely paramétert kiválaszthat az IKE-titkosításból, valamint az IKE-integritás bármely paraméterét, valamint a DH-csoport bármely paraméterét.
  • IPsec – Az IPsec esetében bármelyik paramétert kiválaszthatja az IPsec-titkosításból, valamint az IPsec-integritás és a PFS bármely paraméterét. Ha az IPsec-titkosítás vagy az IPsec-integritás bármelyik paramétere GCM, akkor mindkét beállítás paramétereinek GCM-nek kell lenniük.

Az alapértelmezett egyéni szabályzat tartalmazza az SHA1, a DHGroup2 és a 3DES-t a visszamenőleges kompatibilitás érdekében. Ezek gyengébb algoritmusok, amelyek nem támogatottak egyéni szabályzatok létrehozásakor. Javasoljuk, hogy csak a következő algoritmusokat használja:

Elérhető beállítások és paraméterek

Beállítás Paraméterek
IKE-titkosítás GCMAES256, GCMAES128, AES256, AES128
IKE-integritás SHA384, SHA256
DH-csoport ECP384, ECP256, DHGroup24, DHGroup14
IPsec-titkosítás GCMAES256, GCMAES128, AES256, AES128, None
IPsec-integritás GCMAES256, GCMAES128, SHA256
PFS-csoport ECP384, ECP256, PFS24, PFS14, None
SA élettartama Egész; min. 300/ alapértelmezett 3600 másodperc

Következő lépések

Az egyéni IPsec-szabályzat konfigurálásának lépéseit lásd: Egyéni IPsec-szabályzat konfigurálása Virtual WAN.

A Virtual WAN kapcsolatos további információkért lásd: Az Azure Virtual WAN és az Azure Virtual WAN gyakori kérdések.