Políticas IPsec site a site

  • Artigo

Este artigo mostra as combinações de políticas IPsec com suporte.

Políticas IPsec padrão

Observação

Ao trabalhar com políticas padrão, o Azure pode atuar como iniciador e respondente durante uma configuração de túnel IPsec. Embora a VPN da WAN virtual do Azure dê suporte a muitas combinações de algoritmos, nossa recomendação é usar o GCMAES256 para a Integridade e a Criptografia IPSEC para um desempenho ideal. O AES256 e o SHA256 são considerados com desempenho inferior e, portanto, uma degradação do desempenho, como latência e quedas de pacotes, pode ser esperada para tipos de algoritmo semelhantes. Para obter mais informações sobre a WAN Virtual, confira as Perguntas frequentes sobre a WAN Virtual do Azure.

Initiator (iniciador)

As seções a seguir listam as combinações de política com suporte quando o Azure é o iniciador do túnel.

Fase 1

  • AES_256, SHA1, DH_GROUP_2
  • AES_256, SHA_256, DH_GROUP_2
  • AES_128, SHA1, DH_GROUP_2
  • AES_128, SHA_256, DH_GROUP_2

Fase 2

  • GCM_AES_256, GCM_AES_256, PFS_NONE
  • AES_256, SHA_1, PFS_NONE
  • AES_256, SHA_256, PFS_NONE
  • AES_128, SHA_1, PFS_NONE

Respondente

As seções a seguir listam as combinações de políticas com suporte quando o Azure é o respondente do túnel.

Fase 1

  • AES_256, SHA1, DH_GROUP_2
  • AES_256, SHA_256, DH_GROUP_2
  • AES_128, SHA1, DH_GROUP_2
  • AES_128, SHA_256, DH_GROUP_2

Fase 2

  • GCM_AES_256, GCM_AES_256, PFS_NONE
  • AES_256, SHA_1, PFS_NONE
  • AES_256, SHA_256, PFS_NONE
  • AES_128, SHA_1, PFS_NONE
  • AES_256, SHA_1, PFS_1
  • AES_256, SHA_1, PFS_2
  • AES_256, SHA_1, PFS_14
  • AES_128, SHA_1, PFS_1
  • AES_128, SHA_1, PFS_2
  • AES_128, SHA_1, PFS_14
  • AES_256, SHA_256, PFS_1
  • AES_256, SHA_256, PFS_2
  • AES_256, SHA_256, PFS_14
  • AES_256, SHA_1, PFS_24
  • AES_256, SHA_256, PFS_24
  • AES_128, SHA_256, PFS_NONE
  • AES_128, SHA_256, PFS_1
  • AES_128, SHA_256, PFS_2
  • AES_128, SHA_256, PFS_14

Valores de tempo de vida do SA

Esses valores de tempo de vida se aplicam tanto ao iniciador quanto ao respondente

  • Tempo de vida do SA em segundos: 3.600 segundos
  • Tempo de vida do SA em bytes: 102.400.000 KB

Políticas IPsec personalizadas

Ao trabalhar com políticas IPsec personalizadas, tenha em mente os seguintes requisitos:

  • IKE - para IKE, é possível selecionar qualquer parâmetro da criptografia IKE, além de qualquer parâmetro da integridade IKE, e qualquer parâmetro do grupo DH.
  • IPSec – Para IPsec, é possível selecionar qualquer parâmetro da criptografia IPSec, além de qualquer parâmetro da integridade do IPSec e também o PFS. Se qualquer um dos parâmetros para criptografia IPsec ou integridade IPsec for GCM, então os parâmetros para ambas as configurações deverão ser GCM.

A política personalizada padrão inclui SHA1, DHGroup2 e 3DES para compatibilidade com versões anteriores. Esses são algoritmos mais fracos que não têm suporte ao criar uma política personalizada. É recomendável usar apenas os seguintes algoritmos:

Configurações e parâmetros disponíveis

Configuração Parâmetros
Criptografia do IKE GCMAES256, GCMAES128, AES256, AES128
Integridade do IKE SHA384, SHA256
Grupo DH ECP384, ECP256, DHGroup24, DHGroup14
Criptografia IPsec GCMAES256, GCMAES128, AES256, AES128, Nenhum
Integridade do IPsec GCMAES256, GCMAES128, SHA256
Grupo PFS ECP384, ECP256, PFS24, PFS14, Nenhum
Tempo de vida da SA inteiro; mínimo de 300/padrão de 3600 segundos

Próximas etapas

Para obter as etapas para configurar uma política IPsec personalizada, consulte Configurar uma política IPSec personalizada para WAN Virtual.

Para obter mais informações sobre WAN Virtual, consulte Sobre a WAN Virtual do Azure e Perguntas frequentes sobre a WAN Virtual do Azure.