サイト間 IPsec ポリシー

この記事では、サポートされる IPsec ポリシーの組み合わせを示します。

既定の IPsec ポリシー

Note

既定のポリシーを使用する場合、Azure は IPsec トンネルの設定中に、イニシエーターとレスポンダーの両方として動作できます。 VPN Virtual WAN では多くのアルゴリズムの組み合わせをサポートしていますが、最適なパフォーマンスを実現するために、IPSEC 暗号化と整合性の両方に関する GCMAES256 をお勧めしています。 AES256 と SHA256 はパフォーマンスが低いと見なされるため、同様のアルゴリズムの種類では、待ち時間やパケット ドロップなどのパフォーマンスの低下が予想されます。 Virtual WAN の詳細については、Azure Virtual WAN FAQ を参照してください。

Initiator

次のセクションでは、Azure がトンネルのイニシエーターになっているときに、サポートされているポリシーの組み合わせを一覧表示します。

フェーズ 1

  • AES_256、SHA1、DH_GROUP_2
  • AES_256、SHA_256、DH_GROUP_2
  • AES_128、SHA1、DH_GROUP_2
  • AES_128、SHA_256、DH_GROUP_2

フェーズ 2

  • GCM_AES_256、GCM_AES_256、PFS_NONE
  • AES_256、SHA_1、PFS_NONE
  • AES_256、SHA_256、PFS_NONE
  • AES_128、SHA_1、PFS_NONE

応答側

次のセクションでは、Azure がトンネルの応答側になっているときに、サポートされているポリシーの組み合わせを一覧表示します。

フェーズ 1

  • AES_256、SHA1、DH_GROUP_2
  • AES_256、SHA_256、DH_GROUP_2
  • AES_128、SHA1、DH_GROUP_2
  • AES_128、SHA_256、DH_GROUP_2

フェーズ 2

  • GCM_AES_256、GCM_AES_256、PFS_NONE
  • AES_256、SHA_1、PFS_NONE
  • AES_256、SHA_256、PFS_NONE
  • AES_128、SHA_1、PFS_NONE
  • AES_256、SHA_1、PFS_1
  • AES_256、SHA_1、PFS_2
  • AES_256、SHA_1、PFS_14
  • AES_128、SHA_1、PFS_1
  • AES_128、SHA_1、PFS_2
  • AES_128、SHA_1、PFS_14
  • AES_256、SHA_256、PFS_1
  • AES_256、SHA_256、PFS_2
  • AES_256、SHA_256、PFS_14
  • AES_256、SHA_1、PFS_24
  • AES_256、SHA_256、PFS_24
  • AES_128、SHA_256、PFS_NONE
  • AES_128、SHA_256、PFS_1
  • AES_128、SHA_256、PFS_2
  • AES_128、SHA_256、PFS_14

カスタムの IPsec ポリシー

カスタム IPsec ポリシーを操作する場合は、次の要件に注意してください。

  • IKE - IKE の場合、IKE 暗号化の任意のパラメーターと、IKE 整合性の任意のパラメーター、および DH グループの任意のパラメーターを選択できます。
  • IPsec - IPsec の場合、IPsec 暗号化の任意のパラメーター、IPsec 整合性の任意のパラメーター、および PFS を選択できます。 IPsec 暗号化または IPsec 整合性のパラメーターのいずれかが GCM の場合、両方の設定のパラメーターは GCM である必要があります。

Note

カスタム IPsec ポリシーでは、(既定の IPsec ポリシーとは異なり) レスポンダーとイニシエーターの概念はありません。 両側 (オンプレミスと Azure VPN ゲートウェイ) で、IKE フェーズ 1 および IKE フェーズ 2 に同じ設定が使用されます。 IKEv1 と IKEv2 の両方のプロトコルがサポートされています。

使用可能な設定とパラメーター

設定 パラメーター
IKE 暗号化 GCMAES256、GCMAES128、AES256、AES128
IKE 整合性 SHA384、SHA256
DH グループ ECP384、ECP256、DHGroup24、DHGroup14
IPsec 暗号化 GCMAES256、GCMAES128、AES256、AES128、なし
IPsec 整合性 GCMAES256、GCMAES128、SHA256
PFS グループ ECP384、ECP256、PFS24、PFS14、なし
SA の有効期間 整数、最小値 300 秒/既定値 3600 秒

次のステップ

カスタム IPsec ポリシーを構成する手順については、Virtual WAN 用のカスタム IPsec ポリシーの構成に関するページを参照してください。

仮想 WAN の詳細については、「About Azure Virtual WAN」(Azure Virtual WAN について) および「Azure Virtual WAN FAQ」(Azure Virtual WAN のよくあるご質問) を参照してください。