ExpressRoute 加密

ExpressRoute 支援數種加密技術，可確保資料在您網路與 Microsoft 網路之間周遊時的機密性和完整性。

MACsec 點對點加密的常見問題

MACsec 是 IEEE 標準。 其會在媒體存取控制 (MAC) 層級或網路層 2 為資料加密。 在透過 ExpressRoute Direct 連線至 Microsoft 時，您可以使用 MACsec 加密在其網路裝置與 Microsoft 網路裝置之間的實體連結。 依預設會在 ExpressRoute Direct 連接埠上停用 MACsec。 您自備加密所需的 MACsec 金鑰，並將其儲存在 Azure Key Vault 中。 您可決定何時要輪替金鑰。 請參閱下列其他常見問題。

我可以在 ExpressRoute 提供者佈建的 ExpressRoute 線路上啟用 MACsec 嗎？

否。 MACsec 會使用一個實體 (即客戶) 所擁有的金鑰來加密實體連結上的所有流量。 因此，只適用於 ExpressRoute Direct。

我是否可以加密 ExpressRoute Direct 連接埠上的一些 ExpressRoute 線路，並讓相同連接埠上的其他線路保留為未加密？

否。 啟用 MACsec 之後，所有網路控制流量 (例如 BGP 資料流量和客戶資料流量) 都會加密。

當我啟用/停用 MACsec 或更新 MACsec 金鑰時，我的內部部署網路是否會失去透過 ExpressRoute 與 Microsoft 建立的連線？

是。 在 MACsec 組態中，我們只支援預先共用金鑰模式。 這表示您必須在您的裝置和 Microsoft 的裝置上更新金鑰 (透過我們的 API)。 這項變更不是不可部分完成的，因此當兩端之間的金鑰不相符時，您將會失去連線。 強烈建議您安排維護視窗來變更組態。 若要將停機時間降到最低，我們建議您在將網路流量切換到另一個連結之後，一次更新一個 ExpressRoute Direct 連結的設定。

如果我的裝置與 Microsoft 裝置之間的 MACsec 金鑰不相符，流量是否會繼續傳送？

否。 如果設定了 MACsec，且發生金鑰不符的情況，您就會失去與 Microsoft 之間的連線。 換句話說，我們不會切換回未加密的連線，因而公開您的資料。

啟用 ExpressRoute Direct 上的 MACsec 會降低網路效能嗎？

MACsec 加密和解密會發生在所用路由器上的硬體中。 對我們而言，並不會有任何效能影響。 不過，您應該向網路廠商確認您所使用的裝置，了解 MACsec 是否有任何效能暗示。

加密支援哪些加密套件？

我們支援下列標準加密：

• GCM-AES-128
• GCM-AES-256
• GCM-AES-XPN-128
• GCM-AES-XPN-256

ExpressRoute Direct MACsec 是否支援安全通道識別碼 (SCI)？

是，您可以在 ExpressRoute Direct 連接埠上設定安全通道識別碼 (SCI)。 請參閱設定 MACsec。

IPsec 端對端加密的常見問題

IPsec 是 IETF 標準。 其會在網際網路通訊協定加密 (IP) 層級或網路層級 3 上加密資料。 您可以使用 IPsec 來加密內部部署網路與 Azure 上虛擬網路 (VNET) 之間的端對端連線。 請參閱下列其他常見問題。

在 ExpressRoute Direct 連接埠上啟用 MACsec 之後，還可以啟用 IPsec 嗎？

是。 MACsec 可保護您與 Microsoft 之間的實體連接。 IPsec 可保護您與 Azure 上虛擬網路之間的端對端連線。 您可以獨立啟用這些功能。

我可以使用 Azure VPN 閘道來透過 Azure 私人對等互連設定 IPsec 通道嗎？

是。 如果您採用 Azure 虛擬 WAN，您可以遵循這些步驟來加密端對端連線。 如果您有一般的 Azure VNET，您可以遵循這些步驟來建立 Azure VPN 閘道與內部部署 VPN 閘道之間的 IPsec 通道。

在 ExpressRoute 連線上啟用 IPsec 之後，我將會得到多少輸送量？

如果使用 Azure VPN 閘道，請在此檢查效能數據。 如果使用第三方 VPN 閘道，請洽詢廠商以取得效能數據。

下一步

如需 MACsec 組態的詳細資訊，請參閱設定 MACsec。

如需 IPsec 組態的詳細資訊，請參閱設定 IPsec。