点到站点 IPsec 策略

本文介绍了支持的 Azure 虚拟 WAN 点到站点 VPN 连接 IPsec 策略组合。

默认的 IPsec 策略

下表列出了默认的点到站点 VPN 连接 IPsec 参数。 这些参数在创建点到站点配置文件时由虚拟 WAN 点到站点 VPN 网关自动选择。

设置 parameters
阶段 1 IKE 加密 AES256
阶段 1 IKE 完整性 SHA256
DH 组 DHGroup24
阶段 2 IPsec 加密 GCMAES256
阶段 2 IPsec 完整性 GCMAES25
PFS 组 PFS24

自定义 IPsec 策略

使用自定义 IPsec 策略时,请记住以下要求:

  • IKE - 对于“阶段 1 IKE”,可以从“IKE 加密”中选择任何参数,再从“IKE 完整性”中选择任何参数,再从“DH 组”中选择任何参数。
  • IPsec - 对于“阶段 2 IPsec”,可以从“IPsec 加密”中选择任何参数,再从“IPsec 完整性”中选择任何参数,再加上 PFS。 如果“IPsec 加密”或“IPsec 完整性”的任何参数为 GCM,则“IPsec 加密”和“IPsec 完整性”都必须使用相同的算法。 例如,如果为“IPsec 加密”选择了“GCMAES128”,那么也必须为“IPsec 完整性”选择“GCMAES128”。

下表列出了可用的点到站点 VPN 连接 IPsec 参数。

设置 parameters
阶段 1 IKE 加密 AES128、AES256、GCMAES128、GCMAES256
阶段 1 IKE 完整性 SHA256、SHA384
DH 组 DHGroup14、DHGroup24、ECP256、ECP384
阶段 2 IPsec 加密 GCMAES128、GCMAES256、SHA256
阶段 2 IPsec 完整性 GCMAES128、GCMAES256
PFS 组 PFS14、PFS24、ECP256、ECP384

后续步骤

请参阅如何创建点到站点连接

有关虚拟 WAN 的详细信息,请参阅虚拟 WAN 常见问题解答