Bagikan melalui


Kebijakan IPsec siitus ke situs

Artikel ini memperlihatkan kombinasi kebijakan IPsec yang didukung.

Kebijakan IPsec default

Catatan

Saat bekerja dengan kebijakan Default, Azure dapat bertindak sebagai inisiator dan penanggap selama penyiapan terowongan IPsec. Meskipun Virtual WAN VPN mendukung banyak kombinasi algoritma, rekomendasi kami adalah GCMAES256 untuk Enkripsi dan Integritas IPSEC untuk performa yang optimal. AES256 dan SHA256 dianggap kurang berperforma dan oleh karena itu degradasi performa seperti latensi dan packet drop dapat diharapkan untuk jenis algoritma serupa. Untuk informasi lebih lanjut tentang WAN Virtual, lihat Azure Virtual WAN FAQ.

Inisiator

Bagian berikut mencantumkan kombinasi kebijakan yang didukung saat Azure adalah inisiator untuk terowongan.

Fase-1

  • AES_256, SHA1, DH_GROUP_2
  • AES_256, SHA_256, DH_GROUP_2
  • AES_128, SHA1, DH_GROUP_2
  • AES_128, SHA_256, DH_GROUP_2

Fase-2

  • GCM_AES_256, GCM_AES_256, PFS_NONE
  • AES_256, SHA_1, PFS_NONE
  • AES_256, SHA_256, PFS_NONE
  • AES_128, SHA_1, PFS_NONE

Penanggap

Bagian berikut mencantumkan kombinasi kebijakan yang didukung saat Azure adalah penanggap untuk terowongan.

Fase-1

  • AES_256, SHA1, DH_GROUP_2
  • AES_256, SHA_256, DH_GROUP_2
  • AES_128, SHA1, DH_GROUP_2
  • AES_128, SHA_256, DH_GROUP_2

Fase-2

  • GCM_AES_256, GCM_AES_256, PFS_NONE
  • AES_256, SHA_1, PFS_NONE
  • AES_256, SHA_256, PFS_NONE
  • AES_128, SHA_1, PFS_NONE
  • AES_256, SHA_1, PFS_1
  • AES_256, SHA_1, PFS_2
  • AES_256, SHA_1, PFS_14
  • AES_128, SHA_1, PFS_1
  • AES_128, SHA_1, PFS_2
  • AES_128, SHA_1, PFS_14
  • AES_256, SHA_256, PFS_1
  • AES_256, SHA_256, PFS_2
  • AES_256, SHA_256, PFS_14
  • AES_256, SHA_1, PFS_24
  • AES_256, SHA_256, PFS_24
  • AES_128, SHA_256, PFS_NONE
  • AES_128, SHA_256, PFS_1
  • AES_128, SHA_256, PFS_2
  • AES_128, SHA_256, PFS_14

Nilai Masa Pakai SA

Nilai-nilai waktu hidup ini berlaku untuk inisiator dan responden

  • Masa Pakai SA dalam detik: 3600 detik
  • Masa Pakai SA dalam Byte: 102.400.000 KB

Kebijakan IPsec khusus

Saat bekerja dengan kebijakan IPsec khusus, perhatikan persyaratan berikut:

  • IKE - Untuk IKE Fase 1, Anda dapat memilih parameter apa pun dari Enkripsi IKE, ditambah parameter apa pun dari Integritas IKE, ditambah parameter apa pun dari DH Group.
  • IPsec - Untuk IPsec Fase 2, Anda dapat memilih parameter apa pun dari Enkripsi IPsec, ditambah parameter dari Integritas IPsec, ditambah PFS. Jika salah satu parameter untuk Enkripsi IPsec atau Integritas IPsec adalah GCM, maka parameter untuk kedua pengaturan harus GCM.

Kebijakan kustom default mencakup SHA1, DHGroup2, dan 3DES untuk kompatibilitas mundur. Ini adalah algoritma yang lebih lemah yang tidak didukung saat membuat kebijakan kustom. Sebaiknya hanya gunakan algoritma berikut:

Pengaturan dan parameter yang tersedia

Pengaturan Parameter
Enkripsi IKE GCMAES256, GCMAES128, AES256, AES128
Integritas IKE SHA384, SHA256
Grup DH ECP384, ECP256, DHGroup24, DHGroup14
Enkripsi IPsec GCMAES256, GCMAES128, AES256, AES128, None
Integritas IPsec GCMAES256, GCMAES128, SHA256
Grup PFS ECP384, ECP256, PFS24, PFS14, None
Masa pakai SA bilangan bulat; min. 300/ default 3600 detik

Langkah berikutnya

Untuk langkah-langkah untuk mengonfigurasi kebijakan IPsec kustom, lihat Mengonfigurasi kebijakan IPsec kustom untuk Virtual WAN.

Untuk informasi selengkapnya tentang Virtual WAN, lihat Tentang Azure Virtual WAN dan Tanya Jawab Umum Azure Virtual WAN.