Site-naar-site-IPsec-beleid

  • Artikel

In dit artikel worden de ondersteunde IPsec-beleidscombinaties beschreven.

Standaard-IPsec-beleid

Notitie

Wanneer u met standaardbeleid werkt, kan Azure fungeren als initiator en responder tijdens het instellen van een IPsec-tunnel. Hoewel Virtual WAN VPN veel combinaties van algoritmen ondersteunt, is onze aanbeveling GCMAES256 voor zowel IPSEC-versleuteling als integriteit voor optimale prestaties. AES256 en SHA256 worden als minder presterend beschouwd en daarom kan prestatievermindering zoals latentie en pakketdalingen worden verwacht voor vergelijkbare algoritmetypen. Zie veelgestelde vragen over Azure Virtual WAN voor meer informatie over Virtual WAN.

Initiator

In de volgende secties worden de ondersteunde beleidscombinaties weergegeven wanneer Azure de initiator voor de tunnel is.

Fase-1

  • AES_256, SHA1, DH_GROUP_2
  • AES_256, SHA_256 DH_GROUP_2
  • AES_128, SHA1, DH_GROUP_2
  • AES_128, SHA_256 DH_GROUP_2

Fase-2

  • GCM_AES_256, GCM_AES_256, PFS_NONE
  • AES_256, SHA_1, PFS_NONE
  • AES_256, SHA_256 PFS_NONE
  • AES_128, SHA_1 PFS_NONE

Responder

In de volgende secties worden de ondersteunde beleidscombinaties weergegeven wanneer Azure de responder voor de tunnel is.

Fase-1

  • AES_256, SHA1, DH_GROUP_2
  • AES_256, SHA_256 DH_GROUP_2
  • AES_128, SHA1, DH_GROUP_2
  • AES_128, SHA_256 DH_GROUP_2

Fase-2

  • GCM_AES_256, GCM_AES_256, PFS_NONE
  • AES_256, SHA_1, PFS_NONE
  • AES_256, SHA_256 PFS_NONE
  • AES_128, SHA_1 PFS_NONE
  • AES_256, SHA_1 PFS_1
  • AES_256, SHA_1, PFS_2
  • AES_256, SHA_1 PFS_14
  • AES_128, SHA_1 PFS_1
  • AES_128, SHA_1 PFS_2
  • AES_128, SHA_1 PFS_14
  • AES_256, SHA_256 PFS_1
  • AES_256, SHA_256 PFS_2
  • AES_256, SHA_256 PFS_14
  • AES_256, SHA_1, PFS_24
  • AES_256, SHA_256 PFS_24
  • AES_128, SHA_256 PFS_NONE
  • AES_128, SHA_256 PFS_1
  • AES_128, SHA_256 PFS_2
  • AES_128, SHA_256 PFS_14

Sa-levensduurwaarden

Deze levensduurwaarden zijn van toepassing op zowel initiator als responder

  • SA-levensduur in seconden: 3600 seconden
  • SA-levensduur in bytes: 102.400.000 kB

Aangepast IPsec-beleid

Houd bij het werken met aangepast IPsec-beleid rekening met de volgende vereisten:

  • IKE : voor IKE kunt u elke parameter selecteren in IKE-versleuteling, plus elke parameter uit IKE-integriteit, plus elke parameter uit de DH-groep.
  • IPsec : voor IPsec kunt u elke parameter selecteren uit IPsec-versleuteling, plus elke parameter uit IPsec-integriteit, plus PFS. Als een van de parameters voor IPsec-versleuteling of IPsec-integriteit GCM is, moeten de parameters voor beide instellingen GCM zijn.

Het standaard aangepaste beleid omvat SHA1, DHGroup2 en 3DES voor compatibiliteit met eerdere versies. Dit zijn zwakkere algoritmen die niet worden ondersteund bij het maken van een aangepast beleid. U wordt aangeraden alleen de volgende algoritmen te gebruiken:

Beschikbare instellingen en parameters

Instelling Parameters
IKE-versleuteling GCMAES256, GCMAES128, AES256, AES128
IKE-integriteit SHA384, SHA256
DH-groep ECP384, ECP256, DHGroup24, DHGroup14
IPsec-versleuteling GCMAES256, GCMAES128, AES256, AES128, Geen
IPsec-integriteit GCMAES256, GCMAES128, SHA256
PFS-groep ECP384, ECP256, PFS24, PFS14, Geen
SA-levensduur Geheel getal; min. 300/ standaard 3600 seconden

Volgende stappen

Zie Een aangepast IPsec-beleid configureren voor Virtual WAN voor stappen voor het configureren van een aangepast IPsec-beleid.

Zie Over Azure Virtual WAN en de Veelgestelde vragen over Azure Virtual WAN voor meer informatie over Virtual WAN.