Zasady protokołu IPsec typu lokacja-lokacja

  • Artykuł

W tym artykule przedstawiono obsługiwane kombinacje zasad protokołu IPsec.

Domyślne zasady protokołu IPsec

Uwaga

Podczas pracy z zasadami domyślnymi platforma Azure może działać zarówno jako inicjator, jak i osoba odpowiadająca podczas instalacji tunelu protokołu IPsec. Chociaż Virtual WAN sieci VPN obsługuje wiele kombinacji algorytmów, nasze zalecenie jest GCMAES256 zarówno dla szyfrowania IPSEC, jak i integralności w celu uzyskania optymalnej wydajności. AlgorytmY AES256 i SHA256 są uważane za mniej wydajne, dlatego obniżenie wydajności, takie jak opóźnienie i spadki pakietów, można oczekiwać dla podobnych typów algorytmów. Aby uzyskać więcej informacji na temat Virtual WAN, zobacz Często zadawane pytania dotyczące usługi Azure Virtual WAN.

Inicjator

W poniższych sekcjach wymieniono obsługiwane kombinacje zasad, gdy platforma Azure jest inicjatorem tunelu.

Faza 1

  • AES_256, SHA1, DH_GROUP_2
  • AES_256, SHA_256, DH_GROUP_2
  • AES_128, SHA1, DH_GROUP_2
  • AES_128, SHA_256, DH_GROUP_2

Faza 2

  • GCM_AES_256, GCM_AES_256, PFS_NONE
  • AES_256, SHA_1, PFS_NONE
  • AES_256, SHA_256, PFS_NONE
  • AES_128, SHA_1, PFS_NONE

Obiektu odpowiadającego

W poniższych sekcjach wymieniono obsługiwane kombinacje zasad, gdy platforma Azure jest modułem odpowiadającym dla tunelu.

Faza 1

  • AES_256, SHA1, DH_GROUP_2
  • AES_256, SHA_256, DH_GROUP_2
  • AES_128, SHA1, DH_GROUP_2
  • AES_128, SHA_256, DH_GROUP_2

Faza 2

  • GCM_AES_256, GCM_AES_256, PFS_NONE
  • AES_256, SHA_1, PFS_NONE
  • AES_256, SHA_256, PFS_NONE
  • AES_128, SHA_1, PFS_NONE
  • AES_256, SHA_1, PFS_1
  • AES_256, SHA_1, PFS_2
  • AES_256, SHA_1, PFS_14
  • AES_128, SHA_1, PFS_1
  • AES_128, SHA_1, PFS_2
  • AES_128, SHA_1, PFS_14
  • AES_256, SHA_256, PFS_1
  • AES_256, SHA_256, PFS_2
  • AES_256, SHA_256, PFS_14
  • AES_256, SHA_1, PFS_24
  • AES_256, SHA_256, PFS_24
  • AES_128, SHA_256, PFS_NONE
  • AES_128, SHA_256, PFS_1
  • AES_128, SHA_256, PFS_2
  • AES_128, SHA_256, PFS_14

Wartości okresu istnienia sa

Te wartości czasu życia mają zastosowanie zarówno dla inicjatora, jak i obiektu odpowiadającego

  • Okres istnienia sa w sekundach: 3600 sekund
  • Okres istnienia sa w bajtach: 102 400 000 KB

Niestandardowe zasady protokołu IPsec

Podczas pracy z niestandardowymi zasadami protokołu IPsec należy pamiętać o następujących wymaganiach:

  • IKE — w przypadku protokołu IKE można wybrać dowolny parametr z szyfrowania IKE oraz dowolny parametr z poziomu integralności IKE oraz dowolny parametr z grupy DH.
  • IPsec — w przypadku protokołu IPsec można wybrać dowolny parametr z szyfrowania IPsec oraz dowolny parametr z poziomu integralności protokołu IPsec oraz PFS. Jeśli którykolwiek z parametrów szyfrowania IPsec lub integralności IPsec to GCM, parametry obu ustawień muszą być GCM.

Domyślne zasady niestandardowe obejmują algorytm SHA1, DHGroup2 i 3DES w celu zapewnienia zgodności z poprzednimi wersjami. Są to słabsze algorytmy, które nie są obsługiwane podczas tworzenia zasad niestandardowych. Zalecamy używanie tylko następujących algorytmów:

Dostępne ustawienia i parametry

Ustawienie Parametry
Szyfrowanie IKE GCMAES256, GCMAES128, AES256, AES128
Integralność IKE SHA384, SHA256
Grupa DH ECP384, ECP256, DHGroup24, DHGroup14
Szyfrowanie IPsec GCMAES256, GCMAES128, AES256, AES128, None
Integralność IPsec GCMAES256, GCMAES128, SHA256
Grupa PFS ECP384, ECP256, PFS24, PFS14, None
Okres istnienia skojarzeń zabezpieczeń Liczba całkowita; min. 300/ domyślna 3600 sekund

Następne kroki

Aby uzyskać instrukcje konfigurowania niestandardowych zasad protokołu IPsec, zobacz Konfigurowanie niestandardowych zasad protokołu IPsec dla Virtual WAN.

Aby uzyskać więcej informacji na temat Virtual WAN, zobacz About Azure Virtual WAN and the Azure Virtual WAN FAQ (Informacje o usłudze Azure Virtual WAN) i Azure Virtual WAN FAQ (Często zadawane pytania dotyczące platformy Azure).