طرق IPsec من موقع إلى موقع
تبين هذه المقالة مجموعات نهج IPsec المدعومة.
نهج IPsec الافتراضية
ملاحظة
عند التعامل مع النهج الافتراضية، يمكن أن يعمل Azure كبادئ ومستجيب أثناء إعداد نفق IPsec. في الوقت الذي يدعم فيه Virtual WAN VPN العديد من مجموعات الخوارزميات، فإن توصيتنا هي GCMAES256 لكل من تشفير IPSEC والتكامل للحصول على الأداء الأمثل. تعتبر كلًا من AES256 و SHA256 أقل أداء، وبالتالي يمكن توقع انخفاض الأداء مثل زمن الانتقال وإفلات الحزمة لأنواع الخوارزميات المماثلة. لمزيدٍ من المعلومات حول Virtual WAN، انظرنظرة عامة على Virtual WAN.
البادئ
تسرد الأقسام التالية مجموعات النهج المدعومة عندما يكون Azure هو منشئ النفق.
مرحلة-1
- AES_256، SHA1، DH_GROUP_2
- AES_256، SHA_256، DH_GROUP_2
- AES_128، SHA1، DH_GROUP_2
- AES_128، SHA_256، DH_GROUP_2
مرحلة-2
- GCM_AES_256, GCM_AES_256, PFS_NONE
- AES_256، SHA_1، PFS_NONE
- AES_256، SHA_256، PFS_NONE
- AES_128، SHA_1، PFS_NONE
المستجيب
تسرد الأقسام التالية مجموعات النهج المدعومة عندما يكون Azure هو المستجيب للنفق.
مرحلة-1
- AES_256، SHA1، DH_GROUP_2
- AES_256، SHA_256، DH_GROUP_2
- AES_128، SHA1، DH_GROUP_2
- AES_128، SHA_256، DH_GROUP_2
مرحلة-2
- GCM_AES_256, GCM_AES_256, PFS_NONE
- AES_256، SHA_1، PFS_NONE
- AES_256، SHA_256، PFS_NONE
- AES_128، SHA_1، PFS_NONE
- AES_256، SHA_1، PFS_1
- AES_256، SHA_1، PFS_2
- AES_256، SHA_1، PFS_14
- AES_128، SHA_1، PFS_1
- AES_128، SHA_1، PFS_2
- AES_128، SHA_1، PFS_14
- AES_256، SHA_256، PFS_1
- AES_256، SHA_256، PFS_2
- AES_256، SHA_256، PFS_14
- AES_256، SHA_1، PFS_24
- AES_256، SHA_256، PFS_24
- AES_128، SHA_256، PFS_NONE
- AES_128، SHA_256، PFS_1
- AES_128، SHA_256، PFS_2
- AES_128، SHA_256، PFS_14
قيم مدة بقاء SA
تنطبق قيم وقت الحياة هذه على كل من المنشئ والمستجيب
- مدة بقاء SA بالثوان: 3600 ثانية
- مدة بقاء SA بالبايت: 102,400,000 كيلوبايت
نهج IPsec المخصصة
عند العمل مع نهج IPsec المخصصة، يُرجى الأخذ في الاعتبار المتطلبات التالية:
- IKE - بالنسبة لـ IKE، يمكنك تحديد أي معلمة من تشفير IKE، بالإضافة إلى أي معلمة من تكامل IKE، بالإضافة إلى أي معلمة من DH Group.
- IPsec - بالنسبة إلى IPsec، يمكنك تحديد أي معلمة من تشفير IPsec، بالإضافة إلى أي معلمة من تكامل IPsec، بالإضافة إلى PFS. في حال كانت أي من معلمات تشفير IPsec أو تكامل IPsec هي GCM، فيجب أن تكون المعلمات لكلا الإعدادين GCM.
يتضمن النهج المخصص الافتراضي SHA1 وDHGroup2 و3DES للتوافق مع الإصدارات السابقة. هذه خوارزميات أضعف غير مدعومة عند إنشاء نهج مخصص. نوصي باستخدام الخوارزميات التالية فقط:
الإعدادات والمعلمات المتوفرة
الإعداد | المعلمات |
---|---|
تشفير IKE | GCMAES256، GCMAES128، AES256، AES128 |
تكامل بيانات IKE | SHA384، SHA256 |
مجموعة DH | ECP384، ECP256، DHGroup24، DHGroup14 |
تشفير IPsec | GCMAES256، GCMAES128، AES256، AES128، None |
تكامل بيانات IPsec | GCMAES256، GCMAES128، SHA256 |
مجموعة PFS | ECP384، ECP256، PFS24، PFS14، None |
مدة بقاء SA | عدد صحيح؛ دقيقة. 300/الافتراضي 3600 ثانية |
الخطوات التالية
لخطوات لتكوين نهج IPsec مخصص، انظرتكوين نهج IPsec مخصص لـ Virtual WAN.
للمزيد من المعلومات حول Virtual WAN، انظرحولAzure Virtual WANوالأسئلة المتداولة حولAzure Virtual WAN.