站点到站点 IPsec 策略

本文介绍支持的 IPsec 策略组合。

默认的 IPsec 策略

Initiator

以下部分列出了 Azure 作为隧道发起程序时支持的策略组合。

阶段 1

• AES_256, SHA1, DH_GROUP_2
• AES_256, SHA_256, DH_GROUP_2
• AES_128, SHA1, DH_GROUP_2
• AES_128, SHA_256, DH_GROUP_2

阶段 2

• GCM_AES_256, GCM_AES_256, PFS_NONE
• AES_256, SHA_1, PFS_NONE
• AES_256, SHA_256, PFS_NONE
• AES_128, SHA_1, PFS_NONE

响应方

以下部分列出了 Azure 作为隧道响应方时支持的策略组合。

阶段 1

• AES_256, SHA1, DH_GROUP_2
• AES_256, SHA_256, DH_GROUP_2
• AES_128, SHA1, DH_GROUP_2
• AES_128, SHA_256, DH_GROUP_2

阶段 2

• GCM_AES_256, GCM_AES_256, PFS_NONE
• AES_256, SHA_1, PFS_NONE
• AES_256, SHA_256, PFS_NONE
• AES_128, SHA_1, PFS_NONE
• AES_256, SHA_1, PFS_1
• AES_256, SHA_1, PFS_2
• AES_256, SHA_1, PFS_14
• AES_128, SHA_1, PFS_1
• AES_128, SHA_1, PFS_2
• AES_128, SHA_1, PFS_14
• AES_256, SHA_256, PFS_1
• AES_256, SHA_256, PFS_2
• AES_256, SHA_256, PFS_14
• AES_256, SHA_1, PFS_24
• AES_256, SHA_256, PFS_24
• AES_128, SHA_256, PFS_NONE
• AES_128, SHA_256, PFS_1
• AES_128, SHA_256, PFS_2
• AES_128, SHA_256, PFS_14

SA 生存期值

这些生存期值同时适用于发起方和响应方

• SA 生存期（以秒为单位）：3600 秒
• SA 生存期（以字节为单位）：102,400,000 KB

自定义 IPsec 策略

使用自定义 IPsec 策略时，请记住以下要求：

• IKE - 对于 IKE，你可以从“IKE 加密”中选择任何参数、从“IKE 完整性”中选择任何参数，以及从“DH 组”中选择任何参数。
• IPsec - 对于 IPsec，你可以从“IPsec 加密”中选择任何参数，还可以再从“IPsec 完整性”中选择任何参数，还可以再选择“PFS”。 如果“IPsec 加密”或“IPsec 完整性”的任一参数是 GCM，则这两个设置的参数必须都是 GCM。

默认自定义策略包括 SHA1、DHGroup2 和 3DES，用于实现后向兼容性。 这些是较弱的算法，在创建自定义策略时不受支持。 建议仅使用以下算法：

可用的设置和参数

后续步骤

有关配置自定义 IPsec 策略的步骤，请参阅为虚拟 WAN 配置自定义 IPsec 策略。

有关虚拟 WAN 的详细信息，请参阅关于 Azure 虚拟 WAN 和 Azure 虚拟 WAN 常见问题解答。