Поделиться через


Политики IPsec для подключений типа "сеть — сеть"

В этой статье описываются поддерживаемые сочетания политик IPsec.

Политики IPsec по умолчанию

Примечание

При работе с политиками, заданными по умолчанию, Azure может функционировать как инициатор и ответчик во время настройки туннеля IPsec. Хотя VPN Виртуальной глобальной сети поддерживает множество сочетаний алгоритмов, чтобы обеспечить оптимальную производительность, мы рекомендуем GCMAES256 для шифрования IPSEC и обеспечения целостности. AES256 и SHA256 считаются менее производительными, поэтому с аналогичными алгоритмами может отмечаться ухудшение производительности, например увеличение задержки и пропуски пакетов. Дополнительные сведения о Виртуальной глобальной сети см. в статье Часто задаваемые вопросы по виртуальным глобальным сетям Azure.

Инициатор

В следующих разделах перечислены сочетания поддерживаемой политики, когда Azure является инициатором для туннеля.

Этап 1

  • AES_256, SHA1, DH_GROUP_2
  • AES_256, SHA_256, DH_GROUP_2
  • AES_128, SHA1, DH_GROUP_2
  • AES_128, SHA_256, DH_GROUP_2

Этап 2

  • GCM_AES_256, GCM_AES_256, PFS_NONE
  • AES_256, SHA_1, PFS_NONE
  • AES_256, SHA_256, PFS_NONE
  • AES_128, SHA_1, PFS_NONE

Отвечающее устройство

В следующих разделах перечислены сочетания поддерживаемой политики, когда Azure является отвечающим устройством для туннеля.

Этап 1

  • AES_256, SHA1, DH_GROUP_2
  • AES_256, SHA_256, DH_GROUP_2
  • AES_128, SHA1, DH_GROUP_2
  • AES_128, SHA_256, DH_GROUP_2

Этап 2

  • GCM_AES_256, GCM_AES_256, PFS_NONE
  • AES_256, SHA_1, PFS_NONE
  • AES_256, SHA_256, PFS_NONE
  • AES_128, SHA_1, PFS_NONE
  • AES_256, SHA_1, PFS_1
  • AES_256, SHA_1, PFS_2
  • AES_256, SHA_1, PFS_14
  • AES_128, SHA_1, PFS_1
  • AES_128, SHA_1, PFS_2
  • AES_128, SHA_1, PFS_14
  • AES_256, SHA_256, PFS_1
  • AES_256, SHA_256, PFS_2
  • AES_256, SHA_256, PFS_14
  • AES_256, SHA_1, PFS_24
  • AES_256, SHA_256, PFS_24
  • AES_128, SHA_256, PFS_NONE
  • AES_128, SHA_256, PFS_1
  • AES_128, SHA_256, PFS_2
  • AES_128, SHA_256, PFS_14

Значения времени существования SA

Эти значения времени жизни применяются как для инициатора, так и для отвечающего

  • Время существования SA в секундах: 3600 секунд
  • Время существования SA в байтах: 102 400 000 КБ

Пользовательские политики IPsec

При работе с пользовательскими политиками IPsec учитывайте следующие требования.

  • IKE — для IKE можно выбрать любой параметр из шифрования IKE, любой параметр из целостности IKE и любой параметр из DH Group.
  • IPsec — для IPsec можно выбрать любой параметр из шифрования IPsec, любой параметр из целостности IPsec и PFS. Если один из параметров для шифрования IPsec или целостности IPsec имеет значение GCM, то оба параметра должны иметь значение GCM.

Настраиваемая политика по умолчанию включает SHA1, DHGroup2 и 3DES для обеспечения обратной совместимости. Это более слабые алгоритмы, которые не поддерживаются при создании пользовательской политики. Рекомендуется использовать только следующие алгоритмы:

Доступные настройки и параметры

Параметр Параметры
Шифрование IKE GCMAES256, GCMAES128, AES256, AES128
Целостность IKE SHA384, SHA256
Группа DH ECP384, ECP256, DHGroup24, DHGroup14
Шифрование IPsec GCMAES256, GCMAES128, AES256, AES128, нет
Целостность IPsec GCMAES256, GCMAES128, SHA256
Группа PFS ECP384, ECP256, PFS24, PFS14, None
Срок действия SA целое число, минимум 300, по умолчанию — 3600 с

Дальнейшие действия

Действия по настройке пользовательской политики IPsec см. в разделе Настройка пользовательской политики IPsec для Виртуальной глобальной сети.

Дополнительные сведения о Виртуальной глобальной сети см. в разделе Сведения о Виртуальной глобальной сети Azure и Часто задаваемые вопросы о Виртуальной глобальной сети Azure (WAN).