使用门户为虚拟 WAN 配置自定义 IPsec 策略
可以在 Azure 门户中为虚拟 WAN VPN 连接配置自定义 IPsec 策略。 如果希望两端(本地和 Azure VPN 网关)对“IKE 阶段 1”和“IKE 阶段 2”使用相同的设置,则可使用自定义策略。
使用自定义策略
使用自定义 IPsec 策略时,请记住以下要求:
- IKE - 对于 IKE,你可以从“IKE 加密”中选择任何参数、从“IKE 完整性”中选择任何参数,以及从“DH 组”中选择任何参数。
- IPsec - 对于 IPsec,你可以从“IPsec 加密”中选择任何参数,还可以再从“IPsec 完整性”中选择任何参数,还可以再选择“PFS”。 如果“IPsec 加密”或“IPsec 完整性”的任一参数是 GCM,则这两个设置的参数必须都是 GCM。
默认自定义策略包括 SHA1、DHGroup2 和 3DES,用于实现后向兼容性。 这些是较弱的算法,在创建自定义策略时不受支持。 建议仅使用以下算法:
可用的设置和参数
| 设置 | parameters |
|---|---|
| IKE 加密 | GCMAES256、GCMAES128、AES256、AES128 |
| IKE 完整性 | SHA384、SHA256 |
| DH 组 | ECP384、ECP256、DHGroup24、DHGroup14 |
| IPsec 加密 | GCMAES256、GCMAES128、AES256、AES128、None |
| IPsec 完整性 | GCMAES256、GCMAES128、SHA256 |
| PFS 组 | ECP384、ECP256、PFS24、PFS14、None |
| SA 生存期 | 整数;至少为 300 秒/默认为 3600 秒 |
配置策略
找到虚拟中心。 在 Azure 门户中,转到虚拟 WAN 资源并找到 VPN 站点所连接到的虚拟中心。
选择 VPN 站点。 在“中心概述”页中,单击“VPN (站点到站点)”,然后选择要为其设置自定义 IPsec 策略的 VPN 站点。
编辑 VPN 连接。 在上下文菜单“...”中,选择“编辑 VPN 连接”。
配置设置。 在“编辑 VPN 连接”页上,将 IPsec 设置从默认设置更改为自定义设置,然后自定义 IPsec 策略。 选择“保存”以保存设置。
后续步骤
若要详细了解虚拟 WAN,请参阅虚拟 WAN 概述页。