Политики IPsec для подключений типа "сеть — сеть"
В этой статье описываются поддерживаемые сочетания политик IPsec.
Политики IPsec по умолчанию
Примечание
При работе с политиками, заданными по умолчанию, Azure может функционировать как инициатор и ответчик во время настройки туннеля IPsec. Хотя VPN Виртуальной глобальной сети поддерживает множество сочетаний алгоритмов, чтобы обеспечить оптимальную производительность, мы рекомендуем GCMAES256 для шифрования IPSEC и обеспечения целостности. AES256 и SHA256 считаются менее производительными, поэтому с аналогичными алгоритмами может отмечаться ухудшение производительности, например увеличение задержки и пропуски пакетов. Дополнительные сведения о Виртуальной глобальной сети см. в статье Часто задаваемые вопросы по виртуальным глобальным сетям Azure.
Инициатор
В следующих разделах перечислены сочетания поддерживаемой политики, когда Azure является инициатором для туннеля.
Этап 1
- AES_256, SHA1, DH_GROUP_2
- AES_256, SHA_256, DH_GROUP_2
- AES_128, SHA1, DH_GROUP_2
- AES_128, SHA_256, DH_GROUP_2
Этап 2
- GCM_AES_256, GCM_AES_256, PFS_NONE
- AES_256, SHA_1, PFS_NONE
- AES_256, SHA_256, PFS_NONE
- AES_128, SHA_1, PFS_NONE
Отвечающее устройство
В следующих разделах перечислены сочетания поддерживаемой политики, когда Azure является отвечающим устройством для туннеля.
Этап 1
- AES_256, SHA1, DH_GROUP_2
- AES_256, SHA_256, DH_GROUP_2
- AES_128, SHA1, DH_GROUP_2
- AES_128, SHA_256, DH_GROUP_2
Этап 2
- GCM_AES_256, GCM_AES_256, PFS_NONE
- AES_256, SHA_1, PFS_NONE
- AES_256, SHA_256, PFS_NONE
- AES_128, SHA_1, PFS_NONE
- AES_256, SHA_1, PFS_1
- AES_256, SHA_1, PFS_2
- AES_256, SHA_1, PFS_14
- AES_128, SHA_1, PFS_1
- AES_128, SHA_1, PFS_2
- AES_128, SHA_1, PFS_14
- AES_256, SHA_256, PFS_1
- AES_256, SHA_256, PFS_2
- AES_256, SHA_256, PFS_14
- AES_256, SHA_1, PFS_24
- AES_256, SHA_256, PFS_24
- AES_128, SHA_256, PFS_NONE
- AES_128, SHA_256, PFS_1
- AES_128, SHA_256, PFS_2
- AES_128, SHA_256, PFS_14
Значения времени существования SA
Эти значения времени жизни применяются как для инициатора, так и для отвечающего
- Время существования SA в секундах: 3600 секунд
- Время существования SA в байтах: 102 400 000 КБ
Пользовательские политики IPsec
При работе с пользовательскими политиками IPsec учитывайте следующие требования.
- IKE — для IKE можно выбрать любой параметр из шифрования IKE, любой параметр из целостности IKE и любой параметр из DH Group.
- IPsec — для IPsec можно выбрать любой параметр из шифрования IPsec, любой параметр из целостности IPsec и PFS. Если один из параметров для шифрования IPsec или целостности IPsec имеет значение GCM, то оба параметра должны иметь значение GCM.
Настраиваемая политика по умолчанию включает SHA1, DHGroup2 и 3DES для обеспечения обратной совместимости. Это более слабые алгоритмы, которые не поддерживаются при создании пользовательской политики. Рекомендуется использовать только следующие алгоритмы:
Доступные настройки и параметры
| Параметр | Параметры |
|---|---|
| Шифрование IKE | GCMAES256, GCMAES128, AES256, AES128 |
| Целостность IKE | SHA384, SHA256 |
| Группа DH | ECP384, ECP256, DHGroup24, DHGroup14 |
| Шифрование IPsec | GCMAES256, GCMAES128, AES256, AES128, нет |
| Целостность IPsec | GCMAES256, GCMAES128, SHA256 |
| Группа PFS | ECP384, ECP256, PFS24, PFS14, None |
| Срок действия SA | целое число, минимум 300, по умолчанию — 3600 с |
Дальнейшие действия
Действия по настройке пользовательской политики IPsec см. в разделе Настройка пользовательской политики IPsec для Виртуальной глобальной сети.
Дополнительные сведения о Виртуальной глобальной сети см. в разделе Сведения о Виртуальной глобальной сети Azure и Часто задаваемые вопросы о Виртуальной глобальной сети Azure (WAN).