Zasady protokołu IPsec typu punkt-lokacja
W tym artykule przedstawiono obsługiwane kombinacje zasad protokołu IPsec dla łączności sieci VPN typu punkt-lokacja w usłudze Azure Virtual WAN.
Domyślne zasady protokołu IPsec
W poniższej tabeli przedstawiono domyślne parametry protokołu IPsec dla połączeń sieci VPN typu punkt-lokacja. Te parametry są automatycznie wybierane przez bramę sieci VPN typu punkt-lokacja Virtual WAN podczas tworzenia profilu punkt-lokacja.
| Ustawienie | Parametry |
|---|---|
| Szyfrowanie IKE — faza 1 | AES256 |
| Faza 1 integralność IKE | SHA256 |
| Grupa DH | DHGroup24 |
| Szyfrowanie IPsec fazy 2 | GCMAES256 |
| Faza 2 integralność protokołu IPsec | GCMAES25 |
| Grupa PFS | PFS24 |
Niestandardowe zasady protokołu IPsec
Podczas pracy z niestandardowymi zasadami IPsec należy pamiętać o następujących wymaganiach:
- IKE — dla fazy 1 IKE można wybrać dowolny parametr z szyfrowania IKE, a także dowolny parametr z poziomu integralności IKE, a także dowolny parametr z grupy DH.
- IPsec — w przypadku protokołu IPsec fazy 2 można wybrać dowolny parametr z szyfrowania IPsec oraz dowolny parametr z poziomu integralności protokołu IPsec oraz PFS. Jeśli którykolwiek z parametrów szyfrowania IPsec lub integralności IPsec jest GCM, zarówno szyfrowanie IPsec, jak i integralność muszą używać tego samego algorytmu. Jeśli na przykład GCMAES128 została wybrana do szyfrowania IPsec, należy również wybrać opcję GCMAES128 dla integralności IPsec.
W poniższej tabeli przedstawiono dostępne parametry protokołu IPsec dla połączeń sieci VPN typu punkt-lokacja.
| Ustawienie | Parametry |
|---|---|
| Szyfrowanie IKE — faza 1 | AES128, AES256, GCMAES128, GCMAES256 |
| Faza 1 integralność IKE | SHA256, SHA384 |
| Grupa DH | DHGroup14, DHGroup24, ECP256, ECP384 |
| Szyfrowanie IPsec fazy 2 | GCMAES128, GCMAES256, SHA256 |
| Faza 2 integralność protokołu IPsec | GCMAES128, GCMAES256 |
| Grupa PFS | PFS14, PFS24, ECP256, ECP384 |
Następne kroki
Zobacz How to create a point-to-site connection (Jak utworzyć połączenie typu punkt-lokacja)
Aby uzyskać więcej informacji na temat Virtual WAN, zobacz często zadawane pytania dotyczące Virtual WAN.