Políticas IPsec site a site

Este artigo mostra as combinações de políticas IPsec com suporte.

Políticas IPsec padrão

Observação

Ao trabalhar com políticas padrão, o Azure pode atuar como iniciador e respondente durante uma configuração de túnel IPsec. Embora a VPN da WAN virtual do Azure dê suporte a muitas combinações de algoritmos, nossa recomendação é usar o GCMAES256 para a Integridade e a Criptografia IPSEC para um desempenho ideal. O AES256 e o SHA256 são considerados com desempenho inferior e, portanto, uma degradação do desempenho, como latência e quedas de pacotes, pode ser esperada para tipos de algoritmo semelhantes. Para obter mais informações sobre a WAN Virtual, confira as Perguntas frequentes sobre a WAN Virtual do Azure.

Initiator (iniciador)

As seções a seguir listam as combinações de política com suporte quando o Azure é o iniciador do túnel.

Fase 1

  • AES_256, SHA1, DH_GROUP_2
  • AES_256, SHA_256, DH_GROUP_2
  • AES_128, SHA1, DH_GROUP_2
  • AES_128, SHA_256, DH_GROUP_2

Fase 2

  • GCM_AES_256, GCM_AES_256, PFS_NONE
  • AES_256, SHA_1, PFS_NONE
  • AES_256, SHA_256, PFS_NONE
  • AES_128, SHA_1, PFS_NONE

Respondente

As seções a seguir listam as combinações de políticas com suporte quando o Azure é o respondente do túnel.

Fase 1

  • AES_256, SHA1, DH_GROUP_2
  • AES_256, SHA_256, DH_GROUP_2
  • AES_128, SHA1, DH_GROUP_2
  • AES_128, SHA_256, DH_GROUP_2

Fase 2

  • GCM_AES_256, GCM_AES_256, PFS_NONE
  • AES_256, SHA_1, PFS_NONE
  • AES_256, SHA_256, PFS_NONE
  • AES_128, SHA_1, PFS_NONE
  • AES_256, SHA_1, PFS_1
  • AES_256, SHA_1, PFS_2
  • AES_256, SHA_1, PFS_14
  • AES_128, SHA_1, PFS_1
  • AES_128, SHA_1, PFS_2
  • AES_128, SHA_1, PFS_14
  • AES_256, SHA_256, PFS_1
  • AES_256, SHA_256, PFS_2
  • AES_256, SHA_256, PFS_14
  • AES_256, SHA_1, PFS_24
  • AES_256, SHA_256, PFS_24
  • AES_128, SHA_256, PFS_NONE
  • AES_128, SHA_256, PFS_1
  • AES_128, SHA_256, PFS_2
  • AES_128, SHA_256, PFS_14

Políticas IPsec personalizadas

Ao trabalhar com políticas IPsec personalizadas, tenha em mente os seguintes requisitos:

  • IKE - para IKE, é possível selecionar qualquer parâmetro da criptografia IKE, além de qualquer parâmetro da integridade IKE, e qualquer parâmetro do grupo DH.
  • IPSec – Para IPsec, é possível selecionar qualquer parâmetro da criptografia IPSec, além de qualquer parâmetro da integridade do IPSec e também o PFS. Se qualquer um dos parâmetros para criptografia IPsec ou integridade IPsec for GCM, então os parâmetros para ambas as configurações deverão ser GCM.

Observação

Com políticas IPsec personalizadas, não há nenhum conceito de respondente e iniciador (ao contrário das políticas IPsec padrão). Ambos os lados (local e gateway de VPN do Azure) usarão as mesmas configurações para a fase 1 de IKE e a fase 2 da IKE. Há suporte para os protocolos IKEv1 e IKEv2.

Configurações e parâmetros disponíveis

Configuração Parâmetros
Criptografia do IKE GCMAES256, GCMAES128, AES256, AES128
Integridade do IKE SHA384, SHA256
Grupo DH ECP384, ECP256, DHGroup24, DHGroup14
Criptografia IPsec GCMAES256, GCMAES128, AES256, AES128, Nenhum
Integridade do IPsec GCMAES256, GCMAES128, SHA256
Grupo PFS ECP384, ECP256, PFS24, PFS14, Nenhum
Tempo de vida da SA inteiro; mínimo de 300/padrão de 3600 segundos

Próximas etapas

Para obter as etapas para configurar uma política IPsec personalizada, consulte Configurar uma política IPSec personalizada para WAN Virtual.

Para obter mais informações sobre WAN Virtual, consulte Sobre a WAN Virtual do Azure e Perguntas frequentes sobre a WAN Virtual do Azure.