Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
W tym artykule przedstawiono obsługiwane kombinacje zasad protokołu IPsec.
Domyślne zasady protokołu IPsec
Uwaga
Podczas pracy z zasadami domyślnymi platforma Azure może działać zarówno jako inicjator, jak i osoba odpowiadająca podczas konfigurowania tunelu IPsec. Chociaż sieć VPN w usłudze Virtual WAN obsługuje wiele kombinacji algorytmów, zalecamy użycie GCMAES256 zarówno do szyfrowania, jak i integralności w IPSEC, aby uzyskać optymalną wydajność. Algorytmy AES256 i SHA256 są uznawane za mniej wydajne, dlatego obniżenie wydajności, takie jak opóźnienia i spadki pakietów, mogą być oczekiwane dla podobnych typów algorytmów. Aby uzyskać więcej informacji na temat usługi Virtual WAN, zobacz Często zadawane pytania dotyczące usługi Azure Virtual WAN.
Inicjator
W poniższych sekcjach wymieniono obsługiwane kombinacje zasad, gdy platforma Azure jest inicjatorem tunelu.
Faza 1
- AES_256, SHA1, DH_GROUP_2
- AES_256, SHA_256, DH_GROUP_2
- AES_128, SHA1, DH_GROUP_2
- AES_128, SHA_256, DH_GROUP_2
Faza 2
- GCM_AES_256, GCM_AES_256, PFS_NONE
- AES_256, SHA_1, PFS_NONE
- AES_256, SHA_256, PFS_NONE
- AES_128, SHA_1, PFS_NONE
Odpowiadacz
The following sections list the supported policy combinations when Azure is the responder for the tunnel.
Faza 1
- AES_256, SHA1, DH_GROUP_2
- AES_256, SHA_256, DH_GROUP_2
- AES_128, SHA1, DH_GROUP_2
- AES_128, SHA_256, DH_GROUP_2
Faza 2
- GCM_AES_256, GCM_AES_256, PFS_NONE
- AES_256, SHA_1, PFS_NONE
- AES_256, SHA_256, PFS_NONE
- AES_128, SHA_1, PFS_NONE
- AES_256, SHA_1, PFS_1
- AES_256, SHA_1, PFS_2
- AES_256, SHA_1, PFS_14
- AES_128, SHA_1, PFS_1
- AES_128, SHA_1, PFS_2
- AES_128, SHA_1, PFS_14
- AES_256, SHA_256, PFS_1
- AES_256, SHA_256, PFS_2
- AES_256, SHA_256, PFS_14
- AES_256, SHA_1, PFS_24
- AES_256, SHA_256, PFS_24
- AES_128, SHA_256, PFS_NONE
- AES_128, SHA_256, PFS_1
- AES_128, SHA_256, PFS_2
- AES_128, SHA_256, PFS_14
SA Lifetime Values
Te wartości czasu życia mają zastosowanie zarówno dla inicjatora, jak i odpowiadającego
- SA Lifetime in seconds: 3600 seconds
- SA Lifetime in Bytes: 102,400,000 KB
Niestandardowe zasady protokołu IPsec
Podczas pracy z niestandardowymi zasadami IPsec należy pamiętać o następujących wymaganiach:
- IKE — w przypadku protokołu IKE można wybrać dowolny parametr z szyfrowania IKE oraz dowolny parametr z poziomu integralności IKE oraz dowolny parametr z grupy DH.
- IPsec — w przypadku protokołu IPsec można wybrać dowolny parametr z szyfrowania IPsec oraz dowolny parametr z poziomu integralności protokołu IPsec oraz PFS. Jeśli którykolwiek z parametrów szyfrowania IPsec lub integralności IPsec jest GCM, parametry obu ustawień muszą być GCM.
The default custom policy includes SHA1, DHGroup2, and 3DES for backward compatibility. Są to słabsze algorytmy, które nie są obsługiwane podczas tworzenia zasad niestandardowych. Zalecamy używanie tylko następujących algorytmów:
Dostępne ustawienia i parametry
| Ustawienie | Parametry |
|---|---|
| Szyfrowanie IKE | GCMAES256, GCMAES128, AES256, AES128 |
| IKE Integrity | SHA384, SHA256 |
| GRUPA DH | ECP384, ECP256, DHGroup24, DHGroup14 |
| Szyfrowanie IPsec | GCMAES256, GCMAES128, AES256, AES128, None |
| Integralność IPsec | GCMAES256, GCMAES128, SHA256 |
| Grupa PFS | ECP384, ECP256, PFS24, PFS14, None |
| SA Lifetime | liczba całkowita; minimalnie 300/ domyślnie 3600 sekund |
Następne kroki
Aby uzyskać instrukcje konfigurowania niestandardowych zasad protokołu IPsec, zobacz Konfigurowanie niestandardowych zasad protokołu IPsec dla usługi Virtual WAN.
Aby uzyskać więcej informacji na temat usługi Virtual WAN, zobacz About Azure Virtual WAN and the Azure Virtual WAN FAQ (Informacje o usłudze Azure Virtual WAN i Azure Virtual WAN — często zadawane pytania).