Dela via

IPsec-principer för plats-till-plats

  • Artikel

Den här artikeln visar de IPsec-principkombinationer som stöds.

Standardprinciper för IPsec

Anteckning

När du arbetar med standardprinciper kan Azure fungera som både initierare och svarare under en IPsec-tunnelkonfiguration. Även om Virtual WAN VPN stöder många kombinationer av algoritmer rekommenderar vi GCMAES256 för både IPSEC-kryptering och integritet för optimala prestanda. AES256 och SHA256 anses vara mindre högpresterande och därför kan prestandaförsämring som svarstid och paketförluster förväntas för liknande algoritmtyper. Mer information om Virtual WAN finns i Vanliga frågor och svar om Azure Virtual WAN.

Initierare

I följande avsnitt visas de principkombinationer som stöds när Azure är initieraren för tunneln.

Fas 1

  • AES_256, SHA1, DH_GROUP_2
  • AES_256, SHA_256, DH_GROUP_2
  • AES_128, SHA1, DH_GROUP_2
  • AES_128, SHA_256, DH_GROUP_2

Fas 2

  • GCM_AES_256, GCM_AES_256, PFS_NONE
  • AES_256, SHA_1, PFS_NONE
  • AES_256, SHA_256, PFS_NONE
  • AES_128, SHA_1, PFS_NONE

Responder

I följande avsnitt visas de principkombinationer som stöds när Azure svarar på tunneln.

Fas 1

  • AES_256, SHA1, DH_GROUP_2
  • AES_256, SHA_256, DH_GROUP_2
  • AES_128, SHA1, DH_GROUP_2
  • AES_128, SHA_256, DH_GROUP_2

Fas 2

  • GCM_AES_256, GCM_AES_256, PFS_NONE
  • AES_256, SHA_1, PFS_NONE
  • AES_256, SHA_256, PFS_NONE
  • AES_128, SHA_1, PFS_NONE
  • AES_256, SHA_1, PFS_1
  • AES_256, SHA_1, PFS_2
  • AES_256, SHA_1, PFS_14
  • AES_128, SHA_1, PFS_1
  • AES_128, SHA_1, PFS_2
  • AES_128, SHA_1, PFS_14
  • AES_256, SHA_256, PFS_1
  • AES_256, SHA_256, PFS_2
  • AES_256, SHA_256, PFS_14
  • AES_256, SHA_1, PFS_24
  • AES_256, SHA_256, PFS_24
  • AES_128, SHA_256, PFS_NONE
  • AES_128, SHA_256, PFS_1
  • AES_128, SHA_256, PFS_2
  • AES_128, SHA_256, PFS_14

SA-livslängdsvärden

Dessa livstidsvärden gäller för både initierare och svarare

  • SA-livslängd i sekunder: 3 600 sekunder
  • SA-livslängd i byte: 102 400 000 KB

Anpassade IPsec-principer

Tänk på följande krav när du arbetar med anpassade IPsec-principer:

  • IKE – För IKE kan du välja valfri parameter från IKE-kryptering, plus valfri parameter från IKE-integritet, plus valfri parameter från DH-gruppen.
  • IPsec – För IPsec kan du välja valfri parameter från IPsec-kryptering, plus valfri parameter från IPsec-integritet plus PFS. Om någon av parametrarna för IPsec-kryptering eller IPsec-integritet är GCM måste parametrarna för båda inställningarna vara GCM.

Den anpassade standardprincipen inkluderar SHA1, DHGroup2 och 3DES för bakåtkompatibilitet. Det här är svagare algoritmer som inte stöds när du skapar en anpassad princip. Vi rekommenderar att du bara använder följande algoritmer:

Tillgängliga inställningar och parametrar

Inställningen Parametrar
IKE-kryptering GCMAES256, GCMAES128, AES256, AES128
IKE-integritet SHA384, SHA256
DH-grupp ECP384, ECP256, DHGroup24, DHGroup14
IPsec-kryptering GCMAES256, GCMAES128, AES256, AES128, None
IPsec Integrity GCMAES256, GCMAES128, SHA256
PFS-grupp ECP384, ECP256, PFS24, PFS14, None
SA-livstid Heltal; min. 300/ standard 3600 sekunder

Nästa steg

Anvisningar för hur du konfigurerar en anpassad IPsec-princip finns i Konfigurera en anpassad IPsec-princip för Virtual WAN.

Mer information om Virtual WAN finns i Om Azure Virtual WAN och Vanliga frågor och svar om Azure Virtual WAN.