Kebijakan IPsec siitus ke situs
Artikel ini memperlihatkan kombinasi kebijakan IPsec yang didukung.
Kebijakan IPsec default
Catatan
Saat bekerja dengan kebijakan Default, Azure dapat bertindak sebagai inisiator dan penanggap selama penyiapan terowongan IPsec. Meskipun Virtual WAN VPN mendukung banyak kombinasi algoritma, rekomendasi kami adalah GCMAES256 untuk Enkripsi dan Integritas IPSEC untuk performa yang optimal. AES256 dan SHA256 dianggap kurang berperforma dan oleh karena itu degradasi performa seperti latensi dan packet drop dapat diharapkan untuk jenis algoritma serupa. Untuk informasi lebih lanjut tentang WAN Virtual, lihat Azure Virtual WAN FAQ.
Inisiator
Bagian berikut mencantumkan kombinasi kebijakan yang didukung saat Azure adalah inisiator untuk terowongan.
Fase-1
- AES_256, SHA1, DH_GROUP_2
- AES_256, SHA_256, DH_GROUP_2
- AES_128, SHA1, DH_GROUP_2
- AES_128, SHA_256, DH_GROUP_2
Fase-2
- GCM_AES_256, GCM_AES_256, PFS_NONE
- AES_256, SHA_1, PFS_NONE
- AES_256, SHA_256, PFS_NONE
- AES_128, SHA_1, PFS_NONE
Penanggap
Bagian berikut mencantumkan kombinasi kebijakan yang didukung saat Azure adalah penanggap untuk terowongan.
Fase-1
- AES_256, SHA1, DH_GROUP_2
- AES_256, SHA_256, DH_GROUP_2
- AES_128, SHA1, DH_GROUP_2
- AES_128, SHA_256, DH_GROUP_2
Fase-2
- GCM_AES_256, GCM_AES_256, PFS_NONE
- AES_256, SHA_1, PFS_NONE
- AES_256, SHA_256, PFS_NONE
- AES_128, SHA_1, PFS_NONE
- AES_256, SHA_1, PFS_1
- AES_256, SHA_1, PFS_2
- AES_256, SHA_1, PFS_14
- AES_128, SHA_1, PFS_1
- AES_128, SHA_1, PFS_2
- AES_128, SHA_1, PFS_14
- AES_256, SHA_256, PFS_1
- AES_256, SHA_256, PFS_2
- AES_256, SHA_256, PFS_14
- AES_256, SHA_1, PFS_24
- AES_256, SHA_256, PFS_24
- AES_128, SHA_256, PFS_NONE
- AES_128, SHA_256, PFS_1
- AES_128, SHA_256, PFS_2
- AES_128, SHA_256, PFS_14
Nilai Masa Pakai SA
Nilai-nilai waktu hidup ini berlaku untuk inisiator dan responden
- Masa Pakai SA dalam detik: 3600 detik
- Masa Pakai SA dalam Byte: 102.400.000 KB
Kebijakan IPsec khusus
Saat bekerja dengan kebijakan IPsec khusus, perhatikan persyaratan berikut:
- IKE - Untuk IKE Fase 1, Anda dapat memilih parameter apa pun dari Enkripsi IKE, ditambah parameter apa pun dari Integritas IKE, ditambah parameter apa pun dari DH Group.
- IPsec - Untuk IPsec Fase 2, Anda dapat memilih parameter apa pun dari Enkripsi IPsec, ditambah parameter dari Integritas IPsec, ditambah PFS. Jika salah satu parameter untuk Enkripsi IPsec atau Integritas IPsec adalah GCM, maka parameter untuk kedua pengaturan harus GCM.
Kebijakan kustom default mencakup SHA1, DHGroup2, dan 3DES untuk kompatibilitas mundur. Ini adalah algoritma yang lebih lemah yang tidak didukung saat membuat kebijakan kustom. Sebaiknya hanya gunakan algoritma berikut:
Pengaturan dan parameter yang tersedia
| Pengaturan | Parameter |
|---|---|
| Enkripsi IKE | GCMAES256, GCMAES128, AES256, AES128 |
| Integritas IKE | SHA384, SHA256 |
| Grup DH | ECP384, ECP256, DHGroup24, DHGroup14 |
| Enkripsi IPsec | GCMAES256, GCMAES128, AES256, AES128, None |
| Integritas IPsec | GCMAES256, GCMAES128, SHA256 |
| Grup PFS | ECP384, ECP256, PFS24, PFS14, None |
| Masa pakai SA | bilangan bulat; min. 300/ default 3600 detik |
Langkah berikutnya
Untuk langkah-langkah untuk mengonfigurasi kebijakan IPsec kustom, lihat Mengonfigurasi kebijakan IPsec kustom untuk Virtual WAN.
Untuk informasi selengkapnya tentang Virtual WAN, lihat Tentang Azure Virtual WAN dan Tanya Jawab Umum Azure Virtual WAN.
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk