Настроить настраиваемую политику IPsec для Virtual WAN с помощью портала
Вы можете настроить настраиваемую политику IPsec для VPN-подключения Virtual WAN на портале Azure. Настраиваемые политики полезны, если вы хотите, чтобы обе стороны (локальная сеть и шлюз VPN Azure) использовали одни и те же параметры для фазы 1 IKE и фазы 2 IKE.
Работа с настраиваемыми политиками
При работе с пользовательскими политиками IPsec учитывайте следующие требования.
- IKE — для IKE можно выбрать любой параметр из шифрования IKE, любой параметр из целостности IKE и любой параметр из DH Group.
- IPsec — для IPsec можно выбрать любой параметр из шифрования IPsec, любой параметр из целостности IPsec и PFS. Если один из параметров для шифрования IPsec или целостности IPsec имеет значение GCM, то оба параметра должны иметь значение GCM.
Настраиваемая политика по умолчанию включает SHA1, DHGroup2 и 3DES для обеспечения обратной совместимости. Это более слабые алгоритмы, которые не поддерживаются при создании пользовательской политики. Рекомендуется использовать только следующие алгоритмы:
Доступные настройки и параметры
| Параметр | Параметры |
|---|---|
| Шифрование IKE | GCMAES256, GCMAES128, AES256, AES128 |
| Целостность IKE | SHA384, SHA256 |
| Группа DH | ECP384, ECP256, DHGroup24, DHGroup14 |
| Шифрование IPsec | GCMAES256, GCMAES128, AES256, AES128, нет |
| Целостность IPsec | GCMAES256, GCMAES128, SHA256 |
| Группа PFS | ECP384, ECP256, PFS24, PFS14, None |
| Срок действия SA | целое число, минимум 300, по умолчанию — 3600 с |
Настройка политики
Найдите виртуальный концентратор. В портал Azure перейдите к ресурсу Виртуальная глобальная сеть и найдите виртуальный концентратор, к которому подключен сайт VPN.
Выберите сайт VPN. На странице обзора концентратора щелкните VPN (сайт-сайт) и выберите сайт VPN, для которого вы хотите настроить настраиваемую политику IPsec.
Отредактируйте VPN-соединение. В контекстном меню..., выберите Изменить VPN-соединение.
Настройте параметры. На странице Изменить VPN-подключение измените параметр IPsec со значения по умолчанию на настраиваемый и настройте политику IPsec. Нажмите кнопку Save (Сохранить), чтобы сохранить настройки.
Дальнейшие действия
Дополнительные сведения о Виртуальной глобальной сети см. в этой статье.