Zásady připojení site-to-site IPsec

  • Článek

Tento článek ukazuje podporované kombinace zásad IPsec.

Výchozí zásady protokolu IPsec

Poznámka

Při práci s výchozími zásadami může Azure během nastavování tunelu IPsec fungovat jako iniciátor i respondér. I když Virtual WAN VPN podporuje mnoho kombinací algoritmů, pro zajištění optimálního výkonu doporučujeme GCMAES256 šifrování IPSEC i integrity. AES256 a SHA256 se považují za méně výkonné, a proto je možné u podobných typů algoritmů očekávat snížení výkonu, jako je latence a zahození paketů. Další informace o Virtual WAN najdete v nejčastějších dotazech k Azure Virtual WAN.

Initiator

Následující části obsahují seznam podporovaných kombinací zásad, když je iniciátorem tunelu Azure.

Fáze 1

  • AES_256, SHA1, DH_GROUP_2
  • AES_256, SHA_256, DH_GROUP_2
  • AES_128, SHA1, DH_GROUP_2
  • AES_128, SHA_256, DH_GROUP_2

Fáze 2

  • GCM_AES_256, GCM_AES_256, PFS_NONE
  • AES_256, SHA_1, PFS_NONE
  • AES_256, SHA_256, PFS_NONE
  • AES_128, SHA_1, PFS_NONE

Respondéru

Následující části obsahují seznam podporovaných kombinací zásad, pokud je Azure respondérem tunelu.

Fáze 1

  • AES_256, SHA1, DH_GROUP_2
  • AES_256, SHA_256, DH_GROUP_2
  • AES_128, SHA1, DH_GROUP_2
  • AES_128, SHA_256, DH_GROUP_2

Fáze 2

  • GCM_AES_256, GCM_AES_256, PFS_NONE
  • AES_256, SHA_1, PFS_NONE
  • AES_256, SHA_256, PFS_NONE
  • AES_128, SHA_1, PFS_NONE
  • AES_256, SHA_1, PFS_1
  • AES_256, SHA_1, PFS_2
  • AES_256, SHA_1, PFS_14
  • AES_128, SHA_1, PFS_1
  • AES_128, SHA_1, PFS_2
  • AES_128, SHA_1, PFS_14
  • AES_256, SHA_256, PFS_1
  • AES_256, SHA_256 PFS_2
  • AES_256, SHA_256 PFS_14
  • AES_256, SHA_1 PFS_24
  • AES_256, SHA_256, PFS_24
  • AES_128, SHA_256, PFS_NONE
  • AES_128, SHA_256, PFS_1
  • AES_128, SHA_256, PFS_2
  • AES_128, SHA_256, PFS_14

Hodnoty životnosti SA

Tyto hodnoty životnosti platí pro iniciátora i respondéru.

  • Životnost SA v sekundách: 3600 sekund
  • Životnost SA v bajtech: 102 400 000 kB

Vlastní zásady IPsec

Při práci s vlastními zásadami IPsec mějte na paměti následující požadavky:

  • IKE – Pro protokol IKE můžete vybrat libovolný parametr z šifrování IKE, plus libovolný parametr z integrity protokolu IKE a navíc libovolný parametr ze skupiny DH.
  • IPsec – pro protokol IPsec můžete vybrat libovolný parametr z šifrování IPsec a navíc libovolný parametr z integrity protokolu IPsec a PFS. Pokud je kterýkoli z parametrů šifrování IPsec nebo integrity protokolu IPsec GCM, musí být parametry pro obě nastavení GCM.

Výchozí vlastní zásady pro zpětnou kompatibilitu zahrnují SHA1, DHGroup2 a 3DES. Jedná se o slabší algoritmy, které se při vytváření vlastních zásad nepodporují. Doporučujeme používat pouze následující algoritmy:

Dostupná nastavení a parametry

Nastavení Parametry
Šifrování IKE GCMAES256, GCMAES128, AES256, AES128
Integrita protokolu IKE SHA384, SHA256
Skupina DH ECP384, ECP256, DHGroup24, DHGroup14
Šifrování protokolem IPsec GCMAES256, GCMAES128, AES256, AES128, Žádný
Integrita protokolu IPsec GCMAES256, GCMAES128, SHA256
Skupina PFS ECP384, ECP256, PFS24, PFS14, Žádný
Životnost SA Celé číslo; min. 300 / výchozí 3600 sekund

Další kroky

Postup konfigurace vlastních zásad IPsec najdete v tématu Konfigurace vlastních zásad IPsec pro Virtual WAN.

Další informace o Virtual WAN najdete v tématech Informace o službě Azure Virtual WAN a Nejčastější dotazy k Azure Virtual WAN.