點對站 IPsec 原則
本文說明 Azure 虛擬 WAN中點對站 VPN 連線支援的 IPsec 原則組合。
預設 IPsec 原則
下表顯示點對站 VPN 連線的預設 IPsec 參數。 建立點對站設定檔時,虛擬 WAN 點對站 VPN 閘道會自動選擇這些參數。
| 設定 | 參數 |
|---|---|
| 階段 1 IKE 加密 | AES256 |
| 階段 1 IKE 完整性 | SHA256 |
| DH 群組 | DHGroup24 |
| 階段 2 IPsec 加密 | GCMAES256 |
| 階段 2 IPsec 完整性 | GCMAES25 |
| PFS 群組 | PFS24 |
自訂 IPsec 原則
使用自訂 IPsec 原則時,請記住下列需求:
- IKE - 針對階段 1 IKE,您可以從 IKE 加密中選取任何參數,以及 IKE 完整性中的任何參數,還有 DH 群組中的任何參數。
- IPsec - 針對階段 2 IPsec,您可以從 IPsec 加密中選取任何參數,以及 IPsec 完整性中的任何參數,還有 PFS。 如果 IPsec 加密或 IPsec 完整性的任何參數是 GCM,則 IPsec 加密和完整性都必須使用相同的演算法。 例如,如果為 IPsec 加密選擇 GCMAES128,則也必須為 IPsec 完整性選擇 GCMAES128。
下表顯示點對站 VPN 連線的可用 IPsec 參數。
| 設定 | 參數 |
|---|---|
| 階段 1 IKE 加密 | AES128、AES256、GCMAES128、GCMAES256 |
| 階段 1 IKE 完整性 | SHA256、SHA384 |
| DH 群組 | DHGroup14、DHGroup24、ECP256、ECP384 |
| 階段 2 IPsec 加密 | GCMAES128、GCMAES256、SHA256 |
| 階段 2 IPsec 完整性 | GCMAES128、GCMAES256 |
| PFS 群組 | PFS14、PFS24、ECP256、ECP384 |
下一步
請參閱如何建立點對站連線
如需有關虛擬 WAN 的詳細資訊,請參閱虛擬 WAN 常見問題集。