IPsec-beleid voor site-naar-site

  • Artikel
  • 2 minuten om te lezen

In dit artikel worden de ondersteunde combinaties van IPsec-beleid beschreven.

Standaard-IPsec-beleid

Notitie

Wanneer u met standaardbeleid werkt, kan Azure fungeren als initiator en responder tijdens het instellen van een IPsec-tunnel.

Initiator

In de volgende secties worden de ondersteunde beleidscombinaties vermeld wanneer Azure de initiator voor de tunnel is.

Fase 1

  • AES_256, SHA1, DH_GROUP_2
  • AES_256, SHA_256, DH_GROUP_2
  • AES_128, SHA1, DH_GROUP_2
  • AES_128, SHA_256, DH_GROUP_2

Fase 2

  • GCM_AES_256, GCM_AES_256, PFS_NONE
  • AES_256, SHA_1, PFS_NONE
  • AES_256, SHA_256, PFS_NONE
  • AES_128, SHA_1, PFS_NONE

Responder

In de volgende secties worden de ondersteunde beleidscombinaties vermeld wanneer Azure de responder voor de tunnel is.

Fase 1

  • AES_256, SHA1, DH_GROUP_2
  • AES_256, SHA_256, DH_GROUP_2
  • AES_128, SHA1, DH_GROUP_2
  • AES_128, SHA_256, DH_GROUP_2

Fase 2

  • GCM_AES_256, GCM_AES_256, PFS_NONE
  • AES_256, SHA_1, PFS_NONE
  • AES_256, SHA_256, PFS_NONE
  • AES_128, SHA_1, PFS_NONE
  • AES_256, SHA_1, PFS_1
  • AES_256, SHA_1, PFS_2
  • AES_256, SHA_1, PFS_14
  • AES_128, SHA_1, PFS_1
  • AES_128, SHA_1, PFS_2
  • AES_128, SHA_1, PFS_14
  • AES_256, SHA_256, PFS_1
  • AES_256, SHA_256, PFS_2
  • AES_256, SHA_256, PFS_14
  • AES_256, SHA_1, PFS_24
  • AES_256, SHA_256, PFS_24
  • AES_128, SHA_256, PFS_NONE
  • AES_128, SHA_256, PFS_1
  • AES_128, SHA_256, PFS_2
  • AES_128, SHA_256, PFS_14

Aangepast IPsec-beleid

Houd bij het werken met aangepast IPsec-beleid rekening met de volgende vereisten:

  • IKE: voor IKE kunt u een parameter selecteren in IKE-versleuteling, plus elke parameter uit IKE-integriteit, plus een parameter uit DH-groep.
  • IPsec: voor IPsec kunt u een parameter selecteren uit IPsec-versleuteling, plus elke parameter uit IPsec-integriteit, plus PFS. Als een van de parameters voor IPsec-versleuteling of IPsec-integriteit GCM is, moeten de parameters voor beide instellingen GCM zijn.

Notitie

Met aangepast IPsec-beleid is er geen concept van responder en initiator (in tegenstelling tot standaard-IPsec-beleid). Beide zijden (on-premises en Azure VPN-gateway) gebruiken dezelfde instellingen voor IKE Phase 1 en IKE Phase 2. Zowel IKEv1- als IKEv2-protocollen worden ondersteund.

Beschikbare instellingen en parameters

Instelling Parameters
IKE-versleuteling GCMAES256, GCMAES128, AES256, AES128
IKE-integriteit SHA384, SHA256
DH-groep ECP384, ECP256, DHGroup24, DHGroup14
IPsec-versleuteling GCMAES256, GCMAES128, AES256, AES128, Geen
IPsec-integriteit GCMAES256, GCMAES128, SHA256
PFS-groep ECP384, ECP256, PFS24, PFS14, geen
SA-levensduur geheel getal; min. 300/ standaard 3600 seconden

Volgende stappen

Zie Een aangepast IPsec-beleidconfigureren voor Virtual WAN .

Zie About Virtual WAN and the Azure Virtual WAN FAQ (Informatie over Azure Virtual WAN en veelgestelde vragen over Azure Virtual WAN) voor meer informatie over deze informatie.