사이트 간 IPsec 정책

이 문서에서는 지원되는 IPsec 정책 조합을 소개합니다.

기본 IPsec 정책

참고

기본 정책으로 작업할 때 Azure는 IPsec 터널을 설정하는 동안 개시 장치와 응답기 역할을 모두 수행할 수 있습니다. Virtual WAN VPN은 많은 알고리즘 조합을 지원하지만 최적의 성능을 위해 IPSEC 암호화 및 무결성 모두에 대해 GCMAES256을 권장합니다. AES256 및 SHA256은 성능이 낮은 것으로 간주되므로 유사한 알고리즘 형식에 대해 대기 시간 및 패킷 삭제와 같은 성능 저하가 예상될 수 있습니다. 가상 WAN에 대한 자세한 내용은 Azure Virtual WAN FAQ를 참조하세요.

시작자

다음 섹션에는 Azure가 터널의 시작자인 경우, 지원되는 정책 조합이 나와 있습니다.

1단계

  • AES_256, SHA1, DH_GROUP_2
  • AES_256, SHA_256, DH_GROUP_2
  • AES_128, SHA1, DH_GROUP_2
  • AES_128, SHA_256, DH_GROUP_2

2단계

  • GCM_AES_256, GCM_AES_256, PFS_NONE
  • AES_256, SHA_1, PFS_NONE
  • AES_256, SHA_256, PFS_NONE
  • AES_128, SHA_1, PFS_NONE

응답자

다음 섹션에는 Azure가 터널의 응답자인 경우, 지원되는 정책 조합이 나와 있습니다.

1단계

  • AES_256, SHA1, DH_GROUP_2
  • AES_256, SHA_256, DH_GROUP_2
  • AES_128, SHA1, DH_GROUP_2
  • AES_128, SHA_256, DH_GROUP_2

2단계

  • GCM_AES_256, GCM_AES_256, PFS_NONE
  • AES_256, SHA_1, PFS_NONE
  • AES_256, SHA_256, PFS_NONE
  • AES_128, SHA_1, PFS_NONE
  • AES_256, SHA_1, PFS_1
  • AES_256, SHA_1, PFS_2
  • AES_256, SHA_1, PFS_14
  • AES_128, SHA_1, PFS_1
  • AES_128, SHA_1, PFS_2
  • AES_128, SHA_1, PFS_14
  • AES_256, SHA_256, PFS_1
  • AES_256, SHA_256, PFS_2
  • AES_256, SHA_256, PFS_14
  • AES_256, SHA_1, PFS_24
  • AES_256, SHA_256, PFS_24
  • AES_128, SHA_256, PFS_NONE
  • AES_128, SHA_256, PFS_1
  • AES_128, SHA_256, PFS_2
  • AES_128, SHA_256, PFS_14

사용자 지정 IPsec 정책

사용자 지정 IPsec 정책으로 작업하는 경우 다음 요구 사항을 염두에 두어야 합니다.

  • IKE - IKE의 경우 IKE 암호화의 매개 변수와 IKE 무결성의 매개 변수 및 DH 그룹의 매개 변수를 선택할 수 있습니다.
  • IPsec - IPsec의 경우 IPsec 암호화의 매개 변수와 IPsec 무결성의 매개 변수 및 PFS의 매개 변수를 선택할 수 있습니다. IPsec 암호화 또는 IPsec 무결성에 대한 매개 변수가 GCM인 경우 두 설정 모두에 대한 매개 변수는 GCM이어야 합니다.

참고

사용자 지정 IPsec 정책에는 기본 IPsec 정책과 달리 응답자와 개시자의 개념이 없습니다. 양쪽(온-프레미스 및 Azure VPN 게이트웨이) 모두는 IKE 단계 1 및 IKE 단계 2에 대해 동일한 설정을 사용합니다. IKEv1 및 IKEv2 프로토콜이 모두 지원됩니다.

사용 가능한 설정 및 매개 변수

설정 매개 변수
IKE 암호화 GCMAES256, GCMAES128, AES256, AES128
IKE 무결성 SHA384, SHA256
DH 그룹 ECP384, ECP256, DHGroup24, DHGroup14
IPsec 암호화 GCMAES256, GCMAES128, AES256, AES128, 없음
IPsec 무결성 GCMAES256, GCMAES128, SHA256
PFS 그룹 ECP384, ECP256, PFS24, PFS14, 없음
SA 수명 정수; 최소 300/기본값 3600초

다음 단계

사용자 지정 IPsec 정책을 구성하는 단계는 Virtual WAN에 대한 사용자 지정 IPsec 정책 구성을 참조하세요.

Virtual WAN에 대한 자세한 내용은 Azure Virtual WAN 정보Azure Virtual WAN FAQ를 참조하세요.