ExpressRoute-titkosítás
ExpressRoute supports a couple of encryption technologies to ensure confidentiality and integrity of the data traversing between your network and Microsoft's network. Alapértelmezés szerint az ExpressRoute-kapcsolaton keresztüli forgalom nincs titkosítva.
Pont–pont titkosítás a MACsec által – gyakori kérdések
A MACsec egy IEEE-szabvány. Az adatokat a közegelérés-vezérlés (Media Access Control, MAC) szintjén vagy a 2. hálózati rétegen titkosítja. A MACsec használatával titkosíthatja a hálózati eszközök és a Microsoft hálózati eszközei közötti fizikai kapcsolatokat, amikor ExpressRoute Direct-en keresztül csatlakozik a Microsofthoz. Alapértelmezés szerint a MACsec le van tiltva az ExpressRoute Direct-portokon. A titkosításhoz saját MACsec-kulcsot használhat, és az Azure Key Vaultban tárolhatja. Ön dönthet arról, mikor szeretne kulcsot váltani.
Engedélyezhetem az Azure Key Vault tűzfalszabályzatait a MACsec-kulcsok tárolásakor?
Igen, az ExpressRoute egy megbízható Microsoft-szolgáltatás. Konfigurálhatja az Azure Key Vault tűzfalszabályzatát, és engedélyezheti, hogy a megbízható szolgáltatások megkerüljék a tűzfalat. További információ: Azure Key Vault-tűzfalak és virtuális hálózatok konfigurálása.
Engedélyezhetem a MACsec-et az ExpressRoute-szolgáltató által kiépített ExpressRoute-kapcsolatcsoporton?
Nem. A MACsec egy fizikai kapcsolat összes forgalmát titkosítja egy entitás (például ügyfél) által birtokolt kulccsal. Ezért csak az ExpressRoute Direct-en érhető el.
Titkosíthatok néhány ExpressRoute-kapcsolatcsoportot az ExpressRoute Direct-portokon, és titkosítatlanul hagyhatok más kapcsolatcsoportokat ugyanazon a porton?
Nem. Ha a MACsec engedélyezve van, az összes hálózati forgalom, például a BGP-adatforgalom és az ügyféladat-forgalom titkosítva lesz.
Ha engedélyezem/letiltom a MACsec-et, vagy frissítem a MACsec-kulcsot, a helyszíni hálózatom elveszíti a Kapcsolatot a Microsofttal az ExpressRoute-on keresztül?
Igen. A MACsec-konfiguráció esetében csak az előmegosztott kulcs módot támogatjuk. Ez azt jelenti, hogy frissítenie kell a kulcsot az eszközein és a Microsofton (az API-n keresztül). Ez a változás nem atomi, ezért megszakad a kapcsolat, ha a két oldal között kulcseltérés van. Határozottan javasoljuk, hogy ütemezzen egy karbantartási időszakot a konfiguráció módosításához. Az állásidő minimalizálása érdekében javasoljuk, hogy frissítse a konfigurációt az ExpressRoute Direct egyik hivatkozásán a hálózati forgalom másik hivatkozásra való váltása után.
Továbbra is folyik a forgalom, ha a MACsec-kulcs nem egyezik az eszközeim és a Microsofté között?
Nem. Ha a MACsec konfigurálva van, és egy kulcseltérés történik, elveszíti a Kapcsolatot a Microsofttal. Más adatforgalomban nem kerül vissza titkosítatlan kapcsolatra az adatok felfedése érdekében.
A MACsec engedélyezése az ExpressRoute Directen rontja a hálózati teljesítményt?
A MACsec titkosítása és visszafejtése a használt útválasztók hardverén történik. Nincs teljesítménycsökkenés a mi oldalunkon. Ellenőrizze azonban a hálózati szállítónál a használt eszközöket, és ellenőrizze, hogy a MACsec-nek van-e teljesítményre gyakorolt hatása.
Mely titkosítási csomagok támogatottak?
A következő szabványos titkosításokat támogatjuk:
- GCM-AES-128
- GCM-AES-256
- GCM-AES-XPN-128
- GCM-AES-XPN-256
Támogatja az ExpressRoute Direct MACsec a biztonságos csatornaazonosítót (SCI)?
Igen, beállíthatja a biztonságos csatornaazonosítót (SCI) az ExpressRoute Direct-portokon. További információ: MACsec konfigurálása.
Végpontok közötti titkosítás az IPsec használatával – gyakori kérdések
Az IPsec egy IETF-szabvány. Ip-szinten vagy 3. hálózati rétegben titkosítja az adatokat. Az IPsec használatával végpontok közötti kapcsolatot titkosíthat a helyszíni hálózat és az Azure-beli virtuális hálózat között.
Engedélyezhetem az IPsec-et a MACsec mellett az ExpressRoute Direct-portokon?
Igen. A MACsec biztosítja az Ön és a Microsoft közötti fizikai kapcsolatokat. Az IPsec biztosítja az Ön és az Azure-beli virtuális hálózatok közötti végpontok közötti kapcsolatot. Ezeket egymástól függetlenül engedélyezheti.
Az Azure VPN Gateway használatával állíthatom be az IPsec-alagutat az Azure Privát társviszony-létesítésen keresztül?
Igen. Ha az Azure Virtual WAN-t alkalmazza, a vpn-ben az ExpressRoute for Virtual WAN-on keresztüli lépéseket követve titkosíthatja a végpontok közötti kapcsolatot. Ha rendszeres Azure-beli virtuális hálózattal rendelkezik, a helyek közötti VPN-kapcsolatot privát társviszony-létesítésen keresztül követve létrehozhat egy IPsec-alagutat az Azure VPN Gateway és a helyszíni VPN-átjáró között.
Milyen átviteli sebességet kapok, miután engedélyeztem az IPsec-et az ExpressRoute-kapcsolaton?
Ha Azure VPN Gatewayt használ, tekintse át ezeket a teljesítményszámokat , és ellenőrizze, hogy megfelelnek-e a várt átviteli sebességnek. Ha külső VPN-átjárót használ, kérdezze meg a szállítót a teljesítményszámukról.
Következő lépések
Az IPsec konfigurációjáról további információt az IPsec konfigurálása című témakörben talál .
A MACsec konfigurációjáról további információt a MACsec konfigurálása című témakörben talál.
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: