站点到站点 IPsec 策略

本文介绍支持的 IPsec 策略组合。

默认的 IPsec 策略

注意

在使用默认策略时，Azure 可在 IPsec 隧道设置期间充当发起方和响应方。尽管虚拟 WAN VPN 支持多种算法组合，但我们建议你使用 GCMAES256 来兼顾 IPSEC 加密和完整性，以获得最佳性能。 AES256 和 SHA256 被认为效率较低，因此类似的算法类型预期会出现延迟、丢包之类的性能降低的情况。有关虚拟 WAN 的详细信息，请参阅 Azure 虚拟 WAN 常见问题解答。

Initiator

以下部分列出了 Azure 作为隧道发起程序时支持的策略组合。

阶段 1

AES_256, SHA1, DH_GROUP_2
AES_256, SHA_256, DH_GROUP_2
AES_128, SHA1, DH_GROUP_2
AES_128, SHA_256, DH_GROUP_2

阶段 2

GCM_AES_256, GCM_AES_256, PFS_NONE
AES_256, SHA_1, PFS_NONE
AES_256, SHA_256, PFS_NONE
AES_128, SHA_1, PFS_NONE

响应方

以下部分列出了 Azure 作为隧道响应方时支持的策略组合。

阶段 1

AES_256, SHA1, DH_GROUP_2
AES_256, SHA_256, DH_GROUP_2
AES_128, SHA1, DH_GROUP_2
AES_128, SHA_256, DH_GROUP_2

阶段 2

GCM_AES_256, GCM_AES_256, PFS_NONE
AES_256, SHA_1, PFS_NONE
AES_256, SHA_256, PFS_NONE
AES_128, SHA_1, PFS_NONE
AES_256, SHA_1, PFS_1
AES_256, SHA_1, PFS_2
AES_256, SHA_1, PFS_14
AES_128, SHA_1, PFS_1
AES_128, SHA_1, PFS_2
AES_128, SHA_1, PFS_14
AES_256, SHA_256, PFS_1
AES_256, SHA_256, PFS_2
AES_256, SHA_256, PFS_14
AES_256, SHA_1, PFS_24
AES_256, SHA_256, PFS_24
AES_128, SHA_256, PFS_NONE
AES_128, SHA_256, PFS_1
AES_128, SHA_256, PFS_2
AES_128, SHA_256, PFS_14

SA 生存期值

这些生存期值同时适用于发起方和响应方

SA 生存期（以秒为单位）：3600 秒
SA 生存期（以字节为单位）：102,400,000 KB

自定义 IPsec 策略

使用自定义 IPsec 策略时，请记住以下要求：

IKE - 对于 IKE，你可以从“IKE 加密”中选择任何参数、从“IKE 完整性”中选择任何参数，以及从“DH 组”中选择任何参数。
IPsec - 对于 IPsec，你可以从“IPsec 加密”中选择任何参数，还可以再从“IPsec 完整性”中选择任何参数，还可以再选择“PFS”。如果“IPsec 加密”或“IPsec 完整性”的任一参数是 GCM，则这两个设置的参数必须都是 GCM。

默认自定义策略包括 SHA1、DHGroup2 和 3DES，用于实现后向兼容性。这些是较弱的算法，在创建自定义策略时不受支持。建议仅使用以下算法：

可用的设置和参数

设置	parameters
IKE 加密	GCMAES256、GCMAES128、AES256、AES128
IKE 完整性	SHA384、SHA256
DH 组	ECP384、ECP256、DHGroup24、DHGroup14
IPsec 加密	GCMAES256、GCMAES128、AES256、AES128、None
IPsec 完整性	GCMAES256、GCMAES128、SHA256
PFS 组	ECP384、ECP256、PFS24、PFS14、None
SA 生存期	整数；至少为 300 秒/默认为 3600 秒

后续步骤

有关配置自定义 IPsec 策略的步骤，请参阅为虚拟 WAN 配置自定义 IPsec 策略。

有关虚拟 WAN 的详细信息，请参阅关于 Azure 虚拟 WAN 和 Azure 虚拟 WAN 常见问题解答。

Last updated on 2025-04-07

Partager via