站對站 IPsec 原則

本文說明支援的 IPsec 原則組合。

預設 IPsec 原則

注意

使用預設原則時,Azure 可以在 IPsec 通道設定期間同時作為啟動者和回應者。 雖然虛擬 WAN VPN 支援許多演算法組合,但針對 IPSEC 加密和完整性,我們建議使用 GCMAES256 來獲得最佳效能。 一般認為 AES256 和 SHA256 的效能較低,因此類似的演算法類型可能有延遲和封包捨棄等效能降低情形。 如需有關虛擬 WAN 的詳細資訊,請參閱 Azure 虛擬 WAN 常見問題集

Initiator

以下小節列出當 Azure 是通道的啟動器時,所支援的原則組合。

第 1 階段

  • AES_256、SHA1、DH_GROUP_2
  • AES_256、SHA_256、DH_GROUP_2
  • AES_128、SHA1、DH_GROUP_2
  • AES_128、SHA_256、DH_GROUP_2

第 2 階段

  • GCM_AES_256、GCM_AES_256、PFS_NONE
  • AES_256、SHA_1、PFS_NONE
  • AES_256、SHA_256、PFS_NONE
  • AES_128、SHA_1、PFS_NONE

回應者

以下小節列出當 Azure 是通道的回應者時,所支援的原則組合。

第 1 階段

  • AES_256、SHA1、DH_GROUP_2
  • AES_256、SHA_256、DH_GROUP_2
  • AES_128、SHA1、DH_GROUP_2
  • AES_128、SHA_256、DH_GROUP_2

第 2 階段

  • GCM_AES_256、GCM_AES_256、PFS_NONE
  • AES_256、SHA_1、PFS_NONE
  • AES_256、SHA_256、PFS_NONE
  • AES_128、SHA_1、PFS_NONE
  • AES_256、SHA_1、PFS_1
  • AES_256、SHA_1、PFS_2
  • AES_256、SHA_1、PFS_14
  • AES_128、SHA_1、PFS_1
  • AES_128、SHA_1、PFS_2
  • AES_128、SHA_1、PFS_14
  • AES_256、SHA_256、PFS_1
  • AES_256、SHA_256、PFS_2
  • AES_256、SHA_256、PFS_14
  • AES_256、SHA_1、PFS_24
  • AES_256、SHA_256、PFS_24
  • AES_128、SHA_256、PFS_NONE
  • AES_128、SHA_256、PFS_1
  • AES_128、SHA_256、PFS_2
  • AES_128、SHA_256、PFS_14

SA 存留期值

這些生命週期值同時適用于啟動器和回應者

  • SA 存留期,以秒為單位:3600 秒
  • 以位元組為單位的 SA 存留期:102,400,000 KB

自訂 IPsec 原則

使用自訂 IPsec 原則時,請記住下列需求:

  • IKE - 針對 IKE,您可以從 IKE 加密中選取任何參數,以及 IKE 完整性中的任何參數,還有 DH 群組中的任何參數。
  • IPsec - 針對 IPsec,您可以從 IPsec 加密中選取任何參數,以及 IPsec 完整性中的任何參數,還有 PFS。 如果 IPsec 加密或 IPsec 完整性的任何參數為 GCM,則這兩個設定的參數都必須是 GCM。

預設自訂原則包含 SHA1、DHGroup2 和 3DES,以取得回溯相容性。 這些是建立自訂原則時不支援的較弱演算法。 建議您只使用下列演算法:

可用設定和參數

設定 參數
IKE 加密 GCMAES256、GCMAES128、AES256、AES128
IKE 完整性 SHA384、SHA256
DH 群組 ECP384、ECP256、DHGroup24、DHGroup14
IPsec 加密 GCMAES256、GCMAES128、AES256、AES128、無
IPsec 完整性 GCMAES256、GCMAES128、SHA256
PFS 群組 ECP384、ECP256、PFS24、PFS14、無
SA 存留期 整數;最小值 300/預設值 3600 秒

下一步

如需設定自訂 IPsec 原則的步驟,請參閱設定虛擬 WAN 的自訂 IPsec 原則

如需虛擬 WAN 的詳細資訊,請參閱關於 Azure 虛擬 WANAzure 虛擬 WAN 常見問題集