다음을 통해 공유

点到站点 IPsec 策略

本文介绍了支持的 Azure 虚拟 WAN 点到站点 VPN 连接 IPsec 策略组合。

默认的 IPsec 策略

下表列出了默认的点到站点 VPN 连接 IPsec 参数。 这些参数在创建点到站点配置文件时由虚拟 WAN 点到站点 VPN 网关自动选择。

设置 参数
阶段 1 IKE 加密 AES256
阶段 1 IKE 完整性 SHA256
DH 组 DHGroup24
阶段 2 IPsec 加密 GCMAES256
阶段 2 IPsec 完整性 GCMAES256
PFS 组 PFS24

自定义 IPsec 策略

使用自定义 IPsec 策略时,请记住以下要求:

  • IKE - 对于“阶段 1 IKE”,可以从“IKE 加密”中选择任何参数,再从“IKE 完整性”中选择任何参数,再从“DH 组”中选择任何参数。
  • IPsec - 对于“阶段 2 IPsec”,可以从“IPsec 加密”中选择任何参数,再从“IPsec 完整性”中选择任何参数,再加上 PFS。 如果“IPsec 加密”或“IPsec 完整性”的任何参数为 GCM,则“IPsec 加密”和“IPsec 完整性”都必须使用相同的算法。 例如,如果为“IPsec 加密”选择了“GCMAES128”,那么也必须为“IPsec 完整性”选择“GCMAES128”。

下表列出了可用的点到站点 VPN 连接 IPsec 参数。

设置 参数
阶段 1 IKE 加密 AES128、AES256、GCMAES128、GCMAES256
阶段 1 IKE 完整性 SHA256、SHA384
DH 组 DHGroup14、DHGroup24、ECP256、ECP384
阶段 2 IPsec 加密 GCMAES128、GCMAES256、SHA256
阶段 2 IPsec 完整性 GCMAES128、GCMAES256
PFS 组 PFS14、PFS24、ECP256、ECP384

后续步骤

请参阅如何创建点到站点连接

有关虚拟 WAN 的详细信息,请参阅虚拟 WAN 常见问题解答