Megosztás a következőn keresztül:


ExpressRoute-titkosítás

ExpressRoute supports a couple of encryption technologies to ensure confidentiality and integrity of the data traversing between your network and Microsoft's network. Alapértelmezés szerint az ExpressRoute-kapcsolaton keresztüli forgalom nincs titkosítva.

Pont–pont titkosítás a MACsec által – gyakori kérdések

A MACsec egy IEEE-szabvány. Az adatokat a közegelérés-vezérlés (Media Access Control, MAC) szintjén vagy a 2. hálózati rétegen titkosítja. A MACsec használatával titkosíthatja a hálózati eszközök és a Microsoft hálózati eszközei közötti fizikai kapcsolatokat, amikor ExpressRoute Direct-en keresztül csatlakozik a Microsofthoz. Alapértelmezés szerint a MACsec le van tiltva az ExpressRoute Direct-portokon. A titkosításhoz saját MACsec-kulcsot használhat, és az Azure Key Vaultban tárolhatja. Ön dönthet arról, mikor szeretne kulcsot váltani.

Engedélyezhetem az Azure Key Vault tűzfalszabályzatait a MACsec-kulcsok tárolásakor?

Igen, az ExpressRoute egy megbízható Microsoft-szolgáltatás. Konfigurálhatja az Azure Key Vault tűzfalszabályzatát, és engedélyezheti, hogy a megbízható szolgáltatások megkerüljék a tűzfalat. További információ: Azure Key Vault-tűzfalak és virtuális hálózatok konfigurálása.

Engedélyezhetem a MACsec-et az ExpressRoute-szolgáltató által kiépített ExpressRoute-kapcsolatcsoporton?

Nem. A MACsec egy fizikai kapcsolat összes forgalmát titkosítja egy entitás (például ügyfél) által birtokolt kulccsal. Ezért csak az ExpressRoute Direct-en érhető el.

Titkosíthatok néhány ExpressRoute-kapcsolatcsoportot az ExpressRoute Direct-portokon, és titkosítatlanul hagyhatok más kapcsolatcsoportokat ugyanazon a porton?

Nem. Ha a MACsec engedélyezve van, az összes hálózati forgalom, például a BGP-adatforgalom és az ügyféladat-forgalom titkosítva lesz.

Ha engedélyezem/letiltom a MACsec-et, vagy frissítem a MACsec-kulcsot, a helyszíni hálózatom elveszíti a Kapcsolatot a Microsofttal az ExpressRoute-on keresztül?

Igen. A MACsec-konfiguráció esetében csak az előmegosztott kulcs módot támogatjuk. Ez azt jelenti, hogy frissítenie kell a kulcsot az eszközein és a Microsofton (az API-n keresztül). Ez a változás nem atomi, ezért megszakad a kapcsolat, ha a két oldal között kulcseltérés van. Határozottan javasoljuk, hogy ütemezzen egy karbantartási időszakot a konfiguráció módosításához. Az állásidő minimalizálása érdekében javasoljuk, hogy frissítse a konfigurációt az ExpressRoute Direct egyik hivatkozásán a hálózati forgalom másik hivatkozásra való váltása után.

Továbbra is folyik a forgalom, ha a MACsec-kulcs nem egyezik az eszközeim és a Microsofté között?

Nem. Ha a MACsec konfigurálva van, és egy kulcseltérés történik, elveszíti a Kapcsolatot a Microsofttal. Más adatforgalomban nem kerül vissza titkosítatlan kapcsolatra az adatok felfedése érdekében.

A MACsec engedélyezése az ExpressRoute Directen rontja a hálózati teljesítményt?

A MACsec titkosítása és visszafejtése a használt útválasztók hardverén történik. Nincs teljesítménycsökkenés a mi oldalunkon. Ellenőrizze azonban a hálózati szállítónál a használt eszközöket, és ellenőrizze, hogy a MACsec-nek van-e teljesítményre gyakorolt hatása.

Mely titkosítási csomagok támogatottak?

A következő szabványos titkosításokat támogatjuk:

  • GCM-AES-128
  • GCM-AES-256
  • GCM-AES-XPN-128
  • GCM-AES-XPN-256

Támogatja az ExpressRoute Direct MACsec a biztonságos csatornaazonosítót (SCI)?

Igen, beállíthatja a biztonságos csatornaazonosítót (SCI) az ExpressRoute Direct-portokon. További információ: MACsec konfigurálása.

Végpontok közötti titkosítás az IPsec használatával – gyakori kérdések

Az IPsec egy IETF-szabvány. Ip-szinten vagy 3. hálózati rétegben titkosítja az adatokat. Az IPsec használatával végpontok közötti kapcsolatot titkosíthat a helyszíni hálózat és az Azure-beli virtuális hálózat között.

Engedélyezhetem az IPsec-et a MACsec mellett az ExpressRoute Direct-portokon?

Igen. A MACsec biztosítja az Ön és a Microsoft közötti fizikai kapcsolatokat. Az IPsec biztosítja az Ön és az Azure-beli virtuális hálózatok közötti végpontok közötti kapcsolatot. Ezeket egymástól függetlenül engedélyezheti.

Az Azure VPN Gateway használatával állíthatom be az IPsec-alagutat az Azure Privát társviszony-létesítésen keresztül?

Igen. Ha az Azure Virtual WAN-t alkalmazza, a vpn-ben az ExpressRoute for Virtual WAN-on keresztüli lépéseket követve titkosíthatja a végpontok közötti kapcsolatot. Ha rendszeres Azure-beli virtuális hálózattal rendelkezik, a helyek közötti VPN-kapcsolatot privát társviszony-létesítésen keresztül követve létrehozhat egy IPsec-alagutat az Azure VPN Gateway és a helyszíni VPN-átjáró között.

Milyen átviteli sebességet kapok, miután engedélyeztem az IPsec-et az ExpressRoute-kapcsolaton?

Ha Azure VPN Gatewayt használ, tekintse át ezeket a teljesítményszámokat , és ellenőrizze, hogy megfelelnek-e a várt átviteli sebességnek. Ha külső VPN-átjárót használ, kérdezze meg a szállítót a teljesítményszámukról.

Következő lépések