共用方式為

ExpressRoute 加密

  • 發行項

ExpressRoute 支援數種加密技術,可確保資料在您網路與 Microsoft 網路之間周遊時的機密性和完整性。 根據預設,透過 ExpressRoute 連線傳送的流量不會加密。

MACsec 點對點加密的常見問題

MACsec 是 IEEE 標準。 其會在媒體存取控制 (MAC) 層級或網路層 2 為資料加密。 在透過 ExpressRoute Direct 連線至 Microsoft 時,您可以使用 MACsec 加密在其網路裝置與 Microsoft 網路裝置之間的實體連結。 依預設會在 ExpressRoute Direct 連接埠上停用 MACsec。 您自備加密所需的 MACsec 金鑰,並將其儲存在 Azure Key Vault 中。 您可決定何時要輪替金鑰。

是否可以在儲存 MACsec 金鑰時啟用 Azure Key Vault 防火牆原則?

可以,ExpressRoute 是受信任的 Microsoft 服務。 您可以設定 Azure Key Vault 防火牆原則,並允許信任的服務繞過防火牆。 如需詳細資訊,請參閱設定 Azure Key Vault 防火牆和虛擬網路

我可以在 ExpressRoute 提供者佈建的 ExpressRoute 線路上啟用 MACsec 嗎?

否。 MACsec 會使用一個實體 (例如客戶) 所擁有的金鑰來加密實體連結上的所有流量。 因此,只適用於 ExpressRoute Direct。

我是否可以加密 ExpressRoute Direct 連接埠上的一些 ExpressRoute 線路,並讓相同連接埠上的其他線路保留為未加密?

否。 啟用 MACsec 之後,所有網路控制流量 (例如 BGP 資料流量和客戶資料流量) 都會加密。

當我啟用/停用 MACsec 或更新 MACsec 金鑰時,我的內部部署網路是否會失去透過 ExpressRoute 與 Microsoft 建立的連線?

是。 在 MACsec 組態中,我們只支援預先共用金鑰模式。 這表示您必須在您的裝置和 Microsoft 的裝置上更新金鑰 (透過我們的 API)。 這項變更並非「不可部分完成」,因此當兩端之間的金鑰不相符時,您將會失去連線。 強烈建議您安排維護視窗來變更組態。 若要將停機時間降到最低,我們建議您在將網路流量切換到另一個連結之後,一次更新一個 ExpressRoute Direct 連結的設定。

如果我的裝置與 Microsoft 裝置之間的 MACsec 金鑰不相符,流量是否會繼續傳送?

否。 如果設定了 MACsec,且發生金鑰不符的情況,您就會失去與 Microsoft 之間的連線。 換句話說,流量不會回復到未加密的連線,而會公開您的數據。

啟用 ExpressRoute Direct 上的 MACsec 會降低網路效能嗎?

MACsec 加密和解密會發生在所用路由器上的硬體中。 對我們而言,不會造成效能降低。 不過,您應該向網路廠商確認您所使用的裝置,了解 MACsec 是否有任何效能暗示。

加密支援哪些加密套件?

我們支援下列標準加密

  • GCM-AES-128
  • GCM-AES-256
  • GCM-AES-XPN-128
  • GCM-AES-XPN-256

ExpressRoute Direct MACsec 是否支援安全通道識別碼 (SCI)?

是,您可以在 ExpressRoute Direct 連接埠上設定安全通道識別碼 (SCI)。 如需詳細資訊,請參閱設定 MACsec

IPsec 端對端加密的常見問題

IPsec 是 IETF 標準。 其可在網際網路通訊協定 (IP) 層級或網路層 3 上加密資料。 您可以使用 IPsec 來加密內部部署網路與 Azure 上虛擬網路之間的端對端連線。

在 ExpressRoute Direct 連接埠上啟用 MACsec 之後,還可以啟用 IPsec 嗎?

是。 MACsec 可保護您與 Microsoft 之間的實體連線。 IPsec 可保護您與 Azure 上虛擬網路之間的端對端連線。 您可以獨立將其啟用。

我可以使用 Azure VPN 閘道來透過 Azure 私人對等互連設定 IPsec 通道嗎?

是。 如果您採用 Azure 虛擬 WAN,可以依照針對虛擬 WAN 透過 ExpressRoute 設定 VPN 中的步驟來加密端對端連線。 如果您有一般 Azure 虛擬網路,可以按照透過私人對等互連設定站對站 VPN 連線中的敘述,建立 Azure VPN 閘道與內部部署 VPN 閘道之間的 IPsec 通道。

在 ExpressRoute 連線上啟用 IPsec 之後,我將會得到多少輸送量?

如果您使用 Azure VPN 閘道,請檢閱這些效能數據,確認是否符合預期的輸送量。 如果使用第三方 VPN 閘道,請洽詢廠商以取得效能數值。

下一步