IPsec-Richtlinien für Site-to-site-Verbindungen
Dieser Artikel zeigt die unterstützten Kombinationen aus IPsec-Richtlinien.
IPsec-Standardrichtlinien
Hinweis
Wenn Sie mit Standardrichtlinien arbeiten, kann Azure beim Setup eines IPsec-Tunnels sowohl als Initiator als auch als Antwortdienst fungieren. Während Virtual WAN-VPN viele Algorithmuskombinationen unterstützt, empfehlen wir GCMAES256 für IPSEC-Verschlüsselung und -Integrität, um eine optimale Leistung zu erzielen. AES256 und SHA256 gelten als weniger leistungsstark, und daher kann bei ähnlichen Algorithmustypen eine Leistungsbeeinträchtigung wie Wartezeit und Paketverluste erwartet werden. Weitere Informationen zu Virtual WAN finden Sie unter Azure Virtual WAN – Häufig gestellte Fragen.
Initiator
Die folgenden Abschnitte listen die unterstützten Richtlinienkombinationen auf, wenn Azure der Initiator für den Tunnel ist.
Phase-1
- AES_256, SHA1, DH_GROUP_2
- AES_256, SHA_256, DH_GROUP_2
- AES_128, SHA1, DH_GROUP_2
- AES_128, SHA_256, DH_GROUP_2
Phase-2
- GCM_AES_256, GCM_AES_256, PFS_NONE
- AES_256, SHA_1, PFS_NONE
- AES_256, SHA_256, PFS_NONE
- AES_128, SHA_1, PFS_NONE
Antwortdienst
Die folgenden Abschnitte listen die unterstützten Richtlinienkombinationen auf, wenn Azure der Antwortdienst für den Tunnel ist.
Phase-1
- AES_256, SHA1, DH_GROUP_2
- AES_256, SHA_256, DH_GROUP_2
- AES_128, SHA1, DH_GROUP_2
- AES_128, SHA_256, DH_GROUP_2
Phase-2
- GCM_AES_256, GCM_AES_256, PFS_NONE
- AES_256, SHA_1, PFS_NONE
- AES_256, SHA_256, PFS_NONE
- AES_128, SHA_1, PFS_NONE
- AES_256, SHA_1, PFS_1
- AES_256, SHA_1, PFS_2
- AES_256, SHA_1, PFS_14
- AES_128, SHA_1, PFS_1
- AES_128, SHA_1, PFS_2
- AES_128, SHA_1, PFS_14
- AES_256, SHA_256, PFS_1
- AES_256, SHA_256, PFS_2
- AES_256, SHA_256, PFS_14
- AES_256, SHA_1, PFS_24
- AES_256, SHA_256, PFS_24
- AES_128, SHA_256, PFS_NONE
- AES_128, SHA_256, PFS_1
- AES_128, SHA_256, PFS_2
- AES_128, SHA_256, PFS_14
Werte zur SA-Lebensdauer
Diese Werte zur Lebensdauer gelten sowohl für den Initiator als auch für den Antwortdienst.
- SA-Lebensdauer in Sekunden: 3.600 Sekunden
- SA-Lebensdauer in Bytes: 102.400.000 KB
Benutzerdefinierte IPsec-Richtlinien
Beachten Sie bei der Arbeit mit benutzerdefinierten IPsec-Richtlinien die folgenden Anforderungen:
- IKE: Für IKE können Sie einen beliebigen Parameter aus der IKE-Verschlüsselung, einen beliebigen Parameter aus der IKE-Integrität sowie einen beliebigen Parameter aus der DH-Gruppe auswählen.
- IPsec: Für IPsec können Sie einen beliebigen Parameter aus der IPsec-Verschlüsselung, einen beliebigen Parameter aus der IPsec-Integrität sowie PFS auswählen. Falls einer der Parameter für die IPsec-Verschlüsselung oder die IPsec-Integrität GCM ist, müssen die Parameter für beide Einstellungen GCM sein.
Die benutzerdefinierte Standardrichtlinie umfasst SHA-1, DHGroup2 und 3DES aus Gründen der Abwärtskompatibilität. Dies sind schwächere Algorithmen, die beim Erstellen einer benutzerdefinierten Richtlinie nicht unterstützt werden. Es wird empfohlen, nur die folgenden Algorithmen zu verwenden:
Verfügbare Einstellungen und Parameter
Einstellung | Parameter |
---|---|
IKE-Verschlüsselung | GCMAES256, GCMAES128, AES256, AES128 |
IKE-Integrität | SHA384, SHA256 |
DH-Gruppe | ECP384, ECP256, DHGroup24, DHGroup14 |
IPsec-Verschlüsselung | GCMAES256, GCMAES128, AES256, AES128, Keine |
IPsec-Integrität | GCMAES256, GCMAES128, SHA256 |
PFS-Gruppe | ECP384, ECP256, PFS24, PFS14, Keine |
SA-Gültigkeitsdauer | Integer, min. 300/Standard: 3600 Sekunden |
Nächste Schritte
Schritte zum Konfigurieren einer benutzerdefinierten IPsec-Richtlinie finden Sie unter Konfigurieren einer benutzerdefinierten IPsec-Richtlinie für ein Virtual WAN.
Weitere Informationen zu Virtual WAN, finden Sie unter Über Virtual WAN und FAQS zu Azure Virtual WAN.