你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

站点到站点 IPsec 策略

  • 项目

本文介绍支持的 IPsec 策略组合。

默认的 IPsec 策略

注意

在使用默认策略时,Azure 可在 IPsec 隧道设置期间充当发起方和响应方。 尽管虚拟 WAN VPN 支持多种算法组合,但我们建议你使用 GCMAES256 来兼顾 IPSEC 加密和完整性,以获得最佳性能。 AES256 和 SHA256 被认为效率较低,因此类似的算法类型预期会出现延迟、丢包之类的性能降低的情况。 有关虚拟 WAN 的详细信息,请参阅 Azure 虚拟 WAN 常见问题解答

Initiator

以下部分列出了 Azure 作为隧道发起程序时支持的策略组合。

阶段 1

  • AES_256, SHA1, DH_GROUP_2
  • AES_256, SHA_256, DH_GROUP_2
  • AES_128, SHA1, DH_GROUP_2
  • AES_128, SHA_256, DH_GROUP_2

阶段 2

  • GCM_AES_256, GCM_AES_256, PFS_NONE
  • AES_256, SHA_1, PFS_NONE
  • AES_256, SHA_256, PFS_NONE
  • AES_128, SHA_1, PFS_NONE

响应方

以下部分列出了 Azure 作为隧道响应方时支持的策略组合。

阶段 1

  • AES_256, SHA1, DH_GROUP_2
  • AES_256, SHA_256, DH_GROUP_2
  • AES_128, SHA1, DH_GROUP_2
  • AES_128, SHA_256, DH_GROUP_2

阶段 2

  • GCM_AES_256, GCM_AES_256, PFS_NONE
  • AES_256, SHA_1, PFS_NONE
  • AES_256, SHA_256, PFS_NONE
  • AES_128, SHA_1, PFS_NONE
  • AES_256, SHA_1, PFS_1
  • AES_256, SHA_1, PFS_2
  • AES_256, SHA_1, PFS_14
  • AES_128, SHA_1, PFS_1
  • AES_128, SHA_1, PFS_2
  • AES_128, SHA_1, PFS_14
  • AES_256, SHA_256, PFS_1
  • AES_256, SHA_256, PFS_2
  • AES_256, SHA_256, PFS_14
  • AES_256, SHA_1, PFS_24
  • AES_256, SHA_256, PFS_24
  • AES_128, SHA_256, PFS_NONE
  • AES_128, SHA_256, PFS_1
  • AES_128, SHA_256, PFS_2
  • AES_128, SHA_256, PFS_14

SA 生存期值

这些生存期值同时适用于发起方和响应方

  • SA 生存期(以秒为单位):3600 秒
  • SA 生存期(以字节为单位):102,400,000 KB

自定义 IPsec 策略

使用自定义 IPsec 策略时,请记住以下要求:

  • IKE - 对于 IKE,你可以从“IKE 加密”中选择任何参数、从“IKE 完整性”中选择任何参数,以及从“DH 组”中选择任何参数。
  • IPsec - 对于 IPsec,你可以从“IPsec 加密”中选择任何参数,还可以再从“IPsec 完整性”中选择任何参数,还可以再选择“PFS”。 如果“IPsec 加密”或“IPsec 完整性”的任一参数是 GCM,则这两个设置的参数必须都是 GCM。

默认自定义策略包括 SHA1、DHGroup2 和 3DES,用于实现后向兼容性。 这些是较弱的算法,在创建自定义策略时不受支持。 建议仅使用以下算法:

可用的设置和参数

设置 parameters
IKE 加密 GCMAES256、GCMAES128、AES256、AES128
IKE 完整性 SHA384、SHA256
DH 组 ECP384、ECP256、DHGroup24、DHGroup14
IPsec 加密 GCMAES256、GCMAES128、AES256、AES128、None
IPsec 完整性 GCMAES256、GCMAES128、SHA256
PFS 组 ECP384、ECP256、PFS24、PFS14、None
SA 生存期 整数;至少为 300 秒/默认为 3600 秒

后续步骤

有关配置自定义 IPsec 策略的步骤,请参阅为虚拟 WAN 配置自定义 IPsec 策略

有关虚拟 WAN 的详细信息,请参阅关于 Azure 虚拟 WANAzure 虚拟 WAN 常见问题解答