Share via

Шифрование ExpressRoute

  • Статья

ExpressRoute поддерживает несколько технологий шифрования для обеспечения конфиденциальности и целостности данных, проходящих между вашей сетью и сетью Майкрософт. По умолчанию трафик через подключение ExpressRoute не шифруется.

Шифрование типа "точка — точка" с помощью часто задаваемых вопросов MACsec

MACsec является стандартом IEEE. Он шифрует данные на уровне управления доступом к среде передачи (MAC) или на втором сетевом уровне. MACsec можно использовать для шифрования физических связей между вашими сетевыми устройствами и сетевыми устройствами Майкрософт при подключении к Майкрософт через ExpressRoute Direct. По умолчанию MACsec отключен на портах ExpressRoute Direct. Вы перенесете собственный ключ MACsec для шифрования и храните его в Azure Key Vault. Вы решаете, когда следует сменить ключ.

Можно ли включить политики брандмауэра Azure Key Vault при хранении ключей MACsec?

Да, ExpressRoute — это надежная служба Майкрософт. Вы можете настроить политики брандмауэра Azure Key Vault и разрешить доверенным службам обходить брандмауэр. Дополнительные сведения см. в статье Настройка брандмауэров и виртуальных сетей Azure Key Vault.

Можно ли включить MACsec в канале ExpressRoute, подготовленном поставщиком ExpressRoute?

Нет. MACsec шифрует весь трафик на физической ссылке с ключом, принадлежащим одной сущности (например, клиенту). Поэтому он доступен только в ExpressRoute Direct.

Можно ли зашифровать некоторые каналы ExpressRoute на своих прямых портах ExpressRoute и оставить другие каналы на одних и тех же портах без шифрования?

Нет. Как только MACsec включает весь трафик управления сетью, например, трафик BGP и трафик данных клиента шифруются.

Когда я включаю/выключаю MACsec или обновляю ключ MACsec, потеряет ли моя локальная сеть возможность подключения к Майкрософт через ExpressRoute?

Да. Для конфигурации MACsec мы поддерживаем только стандартный режим ключей. Это означает, что необходимо обновить ключ как на устройствах, так и в корпорации Майкрософт (через наш API). Это изменение не является атомарным, поэтому вы теряете связь при наличии несоответствия ключа между двумя сторонами. Настоятельно рекомендуется запланировать настройку периода обслуживания для изменения конфигурации. Чтобы сократить время простоя, мы рекомендуем обновить конфигурацию на одном канале ExpressRoute Direct за один раз после переключения сетевого трафика на другой канал.

Продолжает ли трафик передаваться, если между моими устройствами и корпорацией Майкрософт возникает несоответствие в ключе MACsec?

Нет. Если MACsec настроен и обнаружено несовпадение ключей, подключение к Майкрософт теряется. В другом трафике не возвращается к незашифрованном подключению, предоставляя данные.

Снижает ли производительность сети MACsec в ExpressRoute Direct?

Шифрование и расшифровка MACsec происходят в оборудовании на используемых маршрутизаторах. На нашей стороне нет снижения производительности. Однако вам следует обратиться к поставщику сетевых устройств, которые вы используете, и узнать, влияет ли MACsec на производительность.

Какие наборы шифров поддерживаются для шифрования?

Мы поддерживаем следующие стандартные шифры:

  • GCM-AES-128
  • GCM-AES-256
  • GCM-AES-XPN-128
  • GCM-AES-XPN-256

Поддерживает ли ExpressRoute Direct MACsec идентификатор Secure Channel (SCI)?

Да, вы можете настроить идентификатор Secure Channel (SCI) на портах ExpressRoute Direct. Дополнительные сведения см. в разделе "Настройка MACsec".

Полное шифрование по протоколу IPsec. Вопросы и ответы

Протокол IPsec является стандартом IETF. Он шифрует данные на уровне протокола IP или сетевого уровня 3. С помощью IPsec можно зашифровать сквозное подключение между локальной сетью и виртуальной сетью в Azure.

Можно ли включить IPsec в дополнение к MACsec на моих портах ExpressRoute Direct?

Да. MACsec обеспечивает защиту физических подключений между вами и корпорацией Майкрософт. IPsec обеспечивает безопасность сквозного подключения между вами и вашими виртуальными сетями в Azure. Их можно включить независимо.

Можно ли использовать VPN-шлюз Azure для настройки туннеля IPsec через частный пиринг Azure?

Да. Если вы используете Azure Виртуальная глобальная сеть, вы можете выполнить действия по VPN через ExpressRoute, чтобы Виртуальная глобальная сеть зашифровать сквозное подключение. Если у вас есть обычная виртуальная сеть Azure, вы можете следовать VPN-подключению типа "сеть — сеть" через частный пиринг , чтобы установить туннель IPsec между VPN-шлюзом Azure и локальным VPN-шлюзом.

Какова пропускная способность, которую я получаю после включения IPsec в подключении ExpressRoute?

Если используется VPN-шлюз Azure, просмотрите эти номера производительности, чтобы узнать, соответствуют ли они ожидаемой пропускной способности. Если используется сторонний VPN-шлюз, проверка с поставщиком для их номеров производительности.

Следующие шаги

  • Дополнительные сведения о конфигурации IPsec см. в разделе "Настройка IPsec"

  • Дополнительные сведения о конфигурации MACsec см. в разделе "Настройка MACsec".