サイト間 IPsec ポリシー

  • [アーティクル]

この記事では、サポートされる IPsec ポリシーの組み合わせを示します。

既定の IPsec ポリシー

Note

既定のポリシーを使用する場合、Azure は IPsec トンネルの設定中に、イニシエーターとレスポンダーの両方として動作できます。 VPN Virtual WAN では多くのアルゴリズムの組み合わせをサポートしていますが、最適なパフォーマンスを実現するために、IPSEC 暗号化と整合性の両方に関する GCMAES256 をお勧めしています。 AES256 と SHA256 はパフォーマンスが低いと見なされるため、同様のアルゴリズムの種類では、待ち時間やパケット ドロップなどのパフォーマンスの低下が予想されます。 Virtual WAN の詳細については、Azure Virtual WAN FAQ を参照してください。

Initiator

次のセクションでは、Azure がトンネルのイニシエーターになっているときに、サポートされているポリシーの組み合わせを一覧表示します。

フェーズ 1

  • AES_256、SHA1、DH_GROUP_2
  • AES_256、SHA_256、DH_GROUP_2
  • AES_128、SHA1、DH_GROUP_2
  • AES_128、SHA_256、DH_GROUP_2

フェーズ 2

  • GCM_AES_256、GCM_AES_256、PFS_NONE
  • AES_256、SHA_1、PFS_NONE
  • AES_256、SHA_256、PFS_NONE
  • AES_128、SHA_1、PFS_NONE

応答側

次のセクションでは、Azure がトンネルの応答側になっているときに、サポートされているポリシーの組み合わせを一覧表示します。

フェーズ 1

  • AES_256、SHA1、DH_GROUP_2
  • AES_256、SHA_256、DH_GROUP_2
  • AES_128、SHA1、DH_GROUP_2
  • AES_128、SHA_256、DH_GROUP_2

フェーズ 2

  • GCM_AES_256、GCM_AES_256、PFS_NONE
  • AES_256、SHA_1、PFS_NONE
  • AES_256、SHA_256、PFS_NONE
  • AES_128、SHA_1、PFS_NONE
  • AES_256、SHA_1、PFS_1
  • AES_256、SHA_1、PFS_2
  • AES_256、SHA_1、PFS_14
  • AES_128、SHA_1、PFS_1
  • AES_128、SHA_1、PFS_2
  • AES_128、SHA_1、PFS_14
  • AES_256、SHA_256、PFS_1
  • AES_256、SHA_256、PFS_2
  • AES_256、SHA_256、PFS_14
  • AES_256、SHA_1、PFS_24
  • AES_256、SHA_256、PFS_24
  • AES_128、SHA_256、PFS_NONE
  • AES_128、SHA_256、PFS_1
  • AES_128、SHA_256、PFS_2
  • AES_128、SHA_256、PFS_14

SA の有効期間の値

これらの有効期間の値は、イニシエーターとレスポンダーの両方に適用されます

  • SA の有効期間 (秒): 3600 秒
  • SA の有効期間 (バイト): 102,400,000 KB

カスタムの IPsec ポリシー

カスタム IPsec ポリシーを操作する場合は、次の要件に注意してください。

  • IKE - IKE の場合、IKE 暗号化の任意のパラメーターと、IKE 整合性の任意のパラメーター、および DH グループの任意のパラメーターを選択できます。
  • IPsec - IPsec の場合、IPsec 暗号化の任意のパラメーター、IPsec 整合性の任意のパラメーター、および PFS を選択できます。 IPsec 暗号化または IPsec 整合性のパラメーターのいずれかが GCM の場合、両方の設定のパラメーターは GCM である必要があります。

既定のカスタム ポリシーには、下位互換性のために SHA1、DHGroup2、3DES が含まれています。 これらは、弱いアルゴリズムであり、カスタム ポリシーを作成するときにはサポートされません。 次のアルゴリズムのみを使用することをお勧めします。

使用可能な設定とパラメーター

設定 パラメーター
IKE 暗号化 GCMAES256、GCMAES128、AES256、AES128
IKE 整合性 SHA384、SHA256
DH グループ ECP384、ECP256、DHGroup24、DHGroup14
IPsec 暗号化 GCMAES256、GCMAES128、AES256、AES128、なし
IPsec 整合性 GCMAES256、GCMAES128、SHA256
PFS グループ ECP384、ECP256、PFS24、PFS14、なし
SA の有効期間 整数、最小値 300 秒/既定値 3600 秒

次のステップ

カスタム IPsec ポリシーを構成する手順については、Virtual WAN 用のカスタム IPsec ポリシーの構成に関するページを参照してください。

仮想 WAN の詳細については、「About Azure Virtual WAN」(Azure Virtual WAN について) および「Azure Virtual WAN FAQ」(Azure Virtual WAN のよくあるご質問) を参照してください。