站對站 IPsec 原則
本文說明支援的 IPsec 原則組合。
預設 IPsec 原則
注意
使用預設原則時,Azure 可以在 IPsec 通道設定期間同時作為啟動者和回應者。 雖然虛擬 WAN VPN 支援許多演算法組合,但針對 IPSEC 加密和完整性,我們建議使用 GCMAES256 來獲得最佳效能。 一般認為 AES256 和 SHA256 的效能較低,因此類似的演算法類型可能有延遲和封包捨棄等效能降低情形。 如需有關虛擬 WAN 的詳細資訊,請參閱 Azure 虛擬 WAN 常見問題集。
Initiator
以下小節列出當 Azure 是通道的啟動器時,所支援的原則組合。
第 1 階段
- AES_256、SHA1、DH_GROUP_2
- AES_256、SHA_256、DH_GROUP_2
- AES_128、SHA1、DH_GROUP_2
- AES_128、SHA_256、DH_GROUP_2
第 2 階段
- GCM_AES_256、GCM_AES_256、PFS_NONE
- AES_256、SHA_1、PFS_NONE
- AES_256、SHA_256、PFS_NONE
- AES_128、SHA_1、PFS_NONE
回應者
以下小節列出當 Azure 是通道的回應者時,所支援的原則組合。
第 1 階段
- AES_256、SHA1、DH_GROUP_2
- AES_256、SHA_256、DH_GROUP_2
- AES_128、SHA1、DH_GROUP_2
- AES_128、SHA_256、DH_GROUP_2
第 2 階段
- GCM_AES_256、GCM_AES_256、PFS_NONE
- AES_256、SHA_1、PFS_NONE
- AES_256、SHA_256、PFS_NONE
- AES_128、SHA_1、PFS_NONE
- AES_256、SHA_1、PFS_1
- AES_256、SHA_1、PFS_2
- AES_256、SHA_1、PFS_14
- AES_128、SHA_1、PFS_1
- AES_128、SHA_1、PFS_2
- AES_128、SHA_1、PFS_14
- AES_256、SHA_256、PFS_1
- AES_256、SHA_256、PFS_2
- AES_256、SHA_256、PFS_14
- AES_256、SHA_1、PFS_24
- AES_256、SHA_256、PFS_24
- AES_128、SHA_256、PFS_NONE
- AES_128、SHA_256、PFS_1
- AES_128、SHA_256、PFS_2
- AES_128、SHA_256、PFS_14
SA 存留期的值
這些存留期的值同時適用於啟動器和回應程式
- SA 存留期 (以秒為單位):3600 秒
- 位元組中的 SA 存留期:102,400,000 KB
自訂 IPsec 原則
使用自訂 IPsec 原則時,請記住下列需求:
- IKE - 針對 IKE,您可以從 IKE 加密中選取任何參數,以及 IKE 完整性中的任何參數,還有 DH 群組中的任何參數。
- IPsec - 針對 IPsec,您可以從 IPsec 加密中選取任何參數,以及 IPsec 完整性中的任何參數,還有 PFS。 如果 IPsec 加密或 IPsec 完整性的任何參數為 GCM,則這兩個設定的參數都必須是 GCM。
預設自訂原則包含 SHA1、DHGroup2 和 3DES,以取得回溯相容性。 這些是建立自訂原則時所不支援的較弱演算法。 建議您只使用下列演算法:
可用設定和參數
| 設定 | 參數 |
|---|---|
| IKE 加密 | GCMAES256、GCMAES128、AES256、AES128 |
| IKE 完整性 | SHA384、SHA256 |
| DH 群組 | ECP384、ECP256、DHGroup24、DHGroup14 |
| IPsec 加密 | GCMAES256、GCMAES128、AES256、AES128、無 |
| IPsec 完整性 | GCMAES256、GCMAES128、SHA256 |
| PFS 群組 | ECP384、ECP256、PFS24、PFS14、無 |
| SA 存留期 | 整數;最小值 300/預設值 3600 秒 |
下一步
如需設定自訂 IPsec 原則的步驟,請參閱設定虛擬 WAN 的自訂 IPsec 原則。
如需虛擬 WAN 的詳細資訊,請參閱關於 Azure 虛擬 WAN 和 Azure 虛擬 WAN 常見問題集。