本文介绍支持的 IPsec 策略组合。
默认 IPsec 策略
注释
使用默认策略时,Azure可以在 IPsec 隧道设置过程中充当发起方和响应方。 虽然 Virtual WAN VPN 支持许多算法组合,但我们的建议GCMAES256 IPSEC 加密和完整性,以实现最佳性能。 AES256 和 SHA256 被认为效率较低,因此类似的算法类型预期会出现延迟、丢包之类的性能降低的情况。 有关Virtual WAN的详细信息,请参阅 Azure Virtual WAN 常见问题解答。
Initiator
以下部分列出了当Azure是隧道的发起程序时支持的策略组合。
阶段 1
- AES_256、SHA1、DH_GROUP_2
- AES_256、SHA_256、DH_GROUP_2
- AES_128、SHA1、DH_GROUP_2
- AES_128、SHA_256、DH_GROUP_2
阶段 2
- GCM_AES_256、GCM_AES_256、PFS_NONE
- AES_256、SHA_1、PFS_NONE
- AES_256、SHA_256、PFS_NONE
- AES_128、SHA_1、PFS_NONE
响应者
当Azure是隧道的响应方时,以下部分列出了受支持的策略组合。
阶段 1
- AES_256、SHA1、DH_GROUP_2
- AES_256、SHA_256、DH_GROUP_2
- AES_128、SHA1、DH_GROUP_2
- AES_128、SHA_256、DH_GROUP_2
阶段 2
- GCM_AES_256、GCM_AES_256、PFS_NONE
- AES_256、SHA_1、PFS_NONE
- AES_256、SHA_256、PFS_NONE
- AES_128、SHA_1、PFS_NONE
- AES_256、SHA_1、PFS_1
- AES_256、SHA_1、PFS_2
- AES_256、SHA_1、PFS_14
- AES_128、SHA_1、PFS_1
- AES_128、SHA_1、PFS_2
- AES_128、SHA_1、PFS_14
- AES_256、SHA_256、PFS_1
- AES_256、SHA_256、PFS_2
- AES_256、SHA_256、PFS_14
- AES_256、SHA_1、PFS_24
- AES_256、SHA_256、PFS_24
- AES_128、SHA_256、PFS_NONE
- AES_128、SHA_256、PFS_1
- AES_128、SHA_256、PFS_2
- AES_128、SHA_256、PFS_14
SA 生命周期价值
这些生命周期值适用于发起方和响应方
- SA 生存期(秒):3600 秒
- SA 生存期(字节):102,400,000 KB
自定义 IPsec 策略
使用自定义 IPsec 策略时,请记住以下要求:
- IKE - 对于 IKE,可以从 IKE 加密中选择任何参数,以及来自 IKE 完整性的任何参数,以及 DH 组中的任何参数。
- IPsec - 对于 IPsec ,可以从 IPsec 加密中选择任何参数,以及 IPsec 完整性中的任何参数,以及 PFS。 如果 IPsec 加密或 IPsec 完整性的任何参数为 GCM,则这两个设置的参数必须是 GCM。
默认自定义策略包括 SHA1、DHGroup2 和 3DES,以实现向后兼容性。 这些算法较弱,在创建自定义策略时不受支持。 建议仅使用以下算法:
可用的设置和参数
| 设置 | 参数 |
|---|---|
| IKE 加密 | GCMAES256、GCMAES128、AES256、AES128 |
| IKE 完整性 | SHA384、SHA256 |
| DH 组 | ECP384、ECP256、DHGroup24、DHGroup14 |
| IPsec 加密 | GCMAES256、GCMAES128、AES256、AES128、None |
| IPsec 完整性 | GCMAES256、GCMAES128、SHA256 |
| PFS 组 | ECP384、ECP256、PFS24、PFS14、None |
| SA 生存期 | 整数,最小值:300秒/默认值:3600秒 |
后续步骤
有关配置自定义 IPsec 策略的步骤,请参阅
有关Virtual WAN的详细信息,请参阅 About Azure Virtual WAN 和 Azure Virtual WAN FAQ。