Políticas IPsec site a site

  • Artigo

Este artigo mostra as combinações de políticas IPsec suportadas.

Políticas IPsec predefinidas

Nota

Ao trabalhar com as Políticas predefinidas, o Azure pode atuar como iniciador e responder durante uma configuração do túnel IPsec. Embora WAN Virtual VPN suporte muitas combinações de algoritmos, a nossa recomendação é GCMAES256 para Encriptação IPSEC e Integridade para um desempenho ideal. AES256 e SHA256 são consideradas menos eficazes e, por conseguinte, a degradação do desempenho, como latência e remoção de pacotes, pode ser esperada para tipos de algoritmos semelhantes. Para obter mais informações sobre WAN Virtual, veja FAQ do Azure WAN Virtual.

Iniciador

As secções seguintes listam as combinações de políticas suportadas quando o Azure é o iniciador do túnel.

Fase 1

  • AES_256, SHA1, DH_GROUP_2
  • AES_256, SHA_256, DH_GROUP_2
  • AES_128, SHA1, DH_GROUP_2
  • AES_128, SHA_256, DH_GROUP_2

Fase 2

  • GCM_AES_256, GCM_AES_256, PFS_NONE
  • AES_256, SHA_1, PFS_NONE
  • AES_256, SHA_256 PFS_NONE
  • AES_128, SHA_1 PFS_NONE

Responder

As secções seguintes listam as combinações de políticas suportadas quando o Azure é o dispositivo de resposta do túnel.

Fase 1

  • AES_256, SHA1, DH_GROUP_2
  • AES_256, SHA_256, DH_GROUP_2
  • AES_128, SHA1, DH_GROUP_2
  • AES_128, SHA_256, DH_GROUP_2

Fase 2

  • GCM_AES_256, GCM_AES_256, PFS_NONE
  • AES_256, SHA_1, PFS_NONE
  • AES_256, SHA_256 PFS_NONE
  • AES_128, SHA_1 PFS_NONE
  • AES_256, SHA_1, PFS_1
  • AES_256, SHA_1, PFS_2
  • AES_256, SHA_1, PFS_14
  • AES_128, SHA_1, PFS_1
  • AES_128, SHA_1 PFS_2
  • AES_128, SHA_1, PFS_14
  • AES_256, SHA_256, PFS_1
  • AES_256, SHA_256, PFS_2
  • AES_256, SHA_256, PFS_14
  • AES_256, SHA_1, PFS_24
  • AES_256, SHA_256, PFS_24
  • AES_128, SHA_256, PFS_NONE
  • AES_128, SHA_256, PFS_1
  • AES_128, SHA_256, PFS_2
  • AES_128, SHA_256, PFS_14

Valores de Duração de SA

Estes valores de tempo de vida aplicam-se tanto ao iniciador como ao dispositivo de resposta

  • Duração da SA em segundos: 3600 segundos
  • Duração da SA em Bytes: 102,400 000 KB

Políticas IPsec personalizadas

Ao trabalhar com políticas IPsec personalizadas, tenha em atenção os seguintes requisitos:

  • IKE – para IKE, pode selecionar qualquer parâmetro da Encriptação IKE, bem como qualquer parâmetro da Integridade do IKE, bem como qualquer parâmetro do Grupo DH.
  • IPsec - Para IPsec, pode selecionar qualquer parâmetro a partir da Encriptação IPsec, bem como qualquer parâmetro da Integridade IPsec, além de PFS. Se algum dos parâmetros para Encriptação IPsec ou Integridade IPsec for GCM, os parâmetros para ambas as definições têm de ser GCM.

A política personalizada predefinida inclui SHA1, DHGroup2 e 3DES para retrocompatibilidade. Estes são algoritmos mais fracos que não são suportados ao criar uma política personalizada. Recomendamos que utilize apenas os seguintes algoritmos:

Definições e parâmetros disponíveis

Definições Parâmetros
Encriptação IKE GCMAES256, GCMAES128, AES256, AES128
Integridade do IKE SHA384, SHA256
Grupo DH ECP384, ECP256, DHGroup24, DHGroup14
Encriptação do IPsec GCMAES256, GCMAES128, AES256, AES128, None
Integridade do IPsec GCMAES256, GCMAES128, SHA256
Grupo PFS ECP384, ECP256, PFS24, PFS14, Nenhum
Duração de SA número inteiro; min. 300/ predefinição 3600 segundos

Passos seguintes

Para obter os passos para configurar uma política IPsec personalizada, veja Configurar uma política IPsec personalizada para WAN Virtual.

Para obter mais informações sobre WAN Virtual, veja About Azure WAN Virtual and the Azure WAN Virtual FAQ (Sobre o Azure WAN Virtual e as FAQ do Azure WAN Virtual).