Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье показаны поддерживаемые сочетания политик IPsec.
Политики IPsec по умолчанию
Примечание.
При работе с политиками по умолчанию Azure может выступать как инициатором, так и ответчиком во время настройки туннеля IPsec. Хотя VPN виртуальной глобальной сети поддерживает множество сочетаний алгоритмов, мы рекомендуем использовать GCMAES256 как для шифрования IPSEC, так и для обеспечения целостности, для оптимальной производительности. AES256 и SHA256 считаются менее производительными, поэтому с аналогичными алгоритмами может отмечаться ухудшение производительности, например увеличение задержки и пропуски пакетов. Дополнительные сведения о виртуальной глобальной сети см. в статье "Вопросы и ответы о виртуальной глобальной сети Azure".
Инициатор
В следующих разделах перечислены поддерживаемые сочетания политик, когда Azure является инициатором туннеля.
Этап-1
- AES_256, SHA1, DH_GROUP_2
- AES_256, SHA_256, DH_GROUP_2
- AES_128, SHA1, DH_GROUP_2
- AES_128, SHA_256, DH_GROUP_2
Этап-2
- GCM_AES_256, GCM_AES_256, PFS_NONE
- AES_256, SHA_1, PFS_NONE
- AES_256, SHA_256, PFS_NONE
- AES_128, SHA_1, PFS_NONE
Ответчик
В следующих разделах перечислены поддерживаемые сочетания политик, когда Azure является отвечающей стороной в туннеле.
Этап-1
- AES_256, SHA1, DH_GROUP_2
- AES_256, SHA_256, DH_GROUP_2
- AES_128, SHA1, DH_GROUP_2
- AES_128, SHA_256, DH_GROUP_2
Этап-2
- GCM_AES_256, GCM_AES_256, PFS_NONE
- AES_256, SHA_1, PFS_NONE
- AES_256, SHA_256, PFS_NONE
- AES_128, SHA_1, PFS_NONE
- AES_256, SHA_1, PFS_1
- AES_256, SHA_1, PFS_2
- AES_256, SHA_1, PFS_14
- AES_128, SHA_1, PFS_1
- AES_128, SHA_1, PFS_2
- AES_128, SHA_1, PFS_14
- AES_256, SHA_256, PFS_1
- AES_256, SHA_256, PFS_2
- AES_256, SHA_256, PFS_14
- AES_256, SHA_1, PFS_24
- AES_256, SHA_256, PFS_24
- AES_128, SHA_256, PFS_NONE
- AES_128, SHA_256, PFS_1
- AES_128, SHA_256, PFS_2
- AES_128, SHA_256, PFS_14
Пожизненные ценности SA
Эти значения времени жизни применяются как для инициатора, так и для ответа
- Время существования SA в секундах: 3600 секунд
- Время существования SA в байтах: 102 400 000 КБ
Настраиваемые пользователем политики IPsec
При работе с пользовательскими политиками IPsec учитывайте следующие требования.
- IKE — для IKE можно выбрать любой параметр из шифрования IKE, любой параметр из целостности IKE и любой параметр из DH Group.
- IPsec — для IPsec можно выбрать любой параметр из шифрования IPsec, любой параметр из целостности IPsec и PFS. Если один из параметров для шифрования IPsec или целостности IPsec имеет значение GCM, то оба параметра должны иметь значение GCM.
Настраиваемая политика по умолчанию включает SHA1, DHGroup2 и 3DES для обратной совместимости. Это более слабые алгоритмы, которые не поддерживаются при создании пользовательской политики. Рекомендуется использовать только следующие алгоритмы:
Доступные настройки и параметры
| Настройки | Параметры |
|---|---|
| Шифрование IKE | GCMAES256, GCMAES128, AES256, AES128 |
| Целостность IKE | SHA384, SHA256 |
| Группа DH | ECP384, ECP256, DHGroup24, DHGroup14 |
| Шифрование IPsec | GCMAES256, GCMAES128, AES256, AES128, Нет |
| Целостность IPsec | GCMAES256, GCMAES128, SHA256 |
| Группа PFS | ECP384, ECP256, PFS24, PFS14, Нет |
| Срок действия SA | целое число, минимум 300, по умолчанию — 3600 с |
Дальнейшие действия
Инструкции по настройке настраиваемой политики IPsec см. в разделе "Настройка настраиваемой политики IPsec для виртуальной глобальной сети".
Дополнительные сведения о виртуальной глобальной сети см. в статье "Сведения о виртуальной глобальной сети Azure" и часто задаваемые вопросы о виртуальной глобальной сети Azure.