ExpressRoute 加密

  • 项目

ExpressRoute 支持多种加密技术,可确保在你的网络和 Azure 网络之间传输的数据的机密性和完整性。 默认情况下,通过 ExpressRoute 连接的流量不会加密。

通过 MACsec 进行的点对点加密常见问题解答

MACsec 是 IEEE 标准。 它在媒体访问控制 (MAC) 级别或网络层 2 上加密数据。 当通过 ExpressRoute Direct 连接到 Aure 时,可使用 MACsec 为你的网络设备和 Azure 的网络设备之间的物理链接进行加密。 默认情况下,ExpressRoute Direct 端口上的 MACsec 已禁用。 可以使用自带 MACsec 密钥进行加密,并将其存储在 Azure Key Vault 中。 你决定何时轮换该密钥。

存储 MACsec 密钥时,能否启用 Azure Key Vault 防火墙策略?

是的,ExpressRoute 是受信任的 Azure 服务。 可以配置 Azure Key Vault 防火墙策略,允许受信任的服务绕过防火墙。 有关详细信息,请参阅配置 Azure Key Vault 防火墙和虚拟网络

能否在 ExpressRoute 提供商预配的 ExpressRoute 线路上启用 MACsec?

否。 MACsec 使用一个实体(例如客户)拥有的密钥加密物理链路上的所有流量。 因此,它仅在 ExpressRoute Direct 上可用。

能否加密 ExpressRoute Direct 端口上的一些 ExpressRoute 线路,而不加密相同端口上的其他线路?

否。 启用 MACsec 后,所有网络控制流量(例如,BGP 数据流量和客户数据流量)都会被加密。

当我启用/禁用 MACsec 或更新 MACsec 密钥时,我的本地网络是否会失去通过 ExpressRoute 与 Microsoft 进行的连接?

是的。 对于 MACsec 配置,我们仅支持预共享密钥模式。 这意味着你需要在你的设备上和 Microsoft 的设备上(通过我们的 API)更新密钥。 此更改不是原子更改,因此,如果两端之间存在密钥不匹配的情况,则会失去连接。 我们强烈建议你安排一个维护时段进行配置更改。 为了最大限度地减少停机时间,我们建议你在将网络流量切换到另一个链路后,更新 ExpressRoute Direct 的一个链路的配置。

如果我的设备与 Microsoft 设备之间的 MACsec 密钥不匹配,是否仍会有流量?

否。 如果在配置 MACsec 之后发生了密钥不匹配问题,则会失去与 Microsoft 的连接。 换句话说,流量不会回退到未加密的连接,此类连接会公开你的数据。

在 ExpressRoute Direct 上启用 MACsec 是否会降低网络性能?

MACsec 加密和解密发生在我们使用的路由器的硬件中。 我们这边未发生性能降低。 但是,你应该向网络供应商咨询所使用的设备,并查看 MACsec 是否有性能影响。

加密支持哪些密码套件?

我们支持以下标准密码

  • GCM-AES-128
  • GCM-AES-256
  • GCM-AES-XPN-128
  • GCM-AES-XPN-256

ExpressRoute Direct MACsec 是否支持安全通道标识符 (SCI)?

是,可在 ExpressRoute Direct 端口上设置安全通道标识符 (SCI)。 请参阅配置 MACsec

通过 IPsec 进行的端到端加密常见问题解答

IPsec 是 IETF 标准。 它在 Internet 协议 (IP) 级别或网络层 3 上加密数据。 可以使用 IPsec 加密本地网络与 Azure 上虚拟网络之间的端到端连接。

除了在 ExpressRoute Direct 端口上启用 MACsec 外,是否还可以启用 IPsec?

是的。 MACsec 会保护你与 Microsoft 之间的物理连接。 IPsec 会保护你与 Azure 上虚拟网络之间的端到端连接。 你可以单独启用它们。

能否使用 Azure VPN 网关通过 Azure 专用对等互连设置 IPsec 隧道?

是的。 如果采用 Azure 虚拟广域网,可以按照在虚拟 WAN 上通过 ExpressRoute 建立 VPN 连接中的步骤加密端到端连接。 如果你有常规的 Azure 虚拟网络,可以按照通过专用对等互连建立站点到站点 VPN 连接中的步骤,在 Azure VPN 网关和本地 VPN 网关之间建立 IPsec 隧道。

在 ExpressRoute 连接上启用 IPsec 后,我将获得多少吞吐量?

如果使用 Azure VPN 网关,请查看这些性能数字,确定它们是否与预期的吞吐量匹配。 如果使用第三方 VPN 网关,请向供应商查询性能数字。

后续步骤

  • 有关 MACsec 配置的详细信息,请参阅配置 MACsec