你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
关于 Azure ExpressRoute 的加密
ExpressRoute 支持加密技术,以确保你的网络与Microsoft 网络之间的数据保密性和完整性。 默认情况下,ExpressRoute 连接上的流量不会加密。
通过 MACsec 进行的点对点加密常见问题解答
MACsec 是 IEEE 标准,用于加密媒体访问控制 (MAC) 级别(网络第 2 层)的数据。 当通过 ExpressRoute Direct 进行连接时,你可以使用 MACsec 加密你的网络设备和 Microsoft 网络设备之间的物理链接。 默认情况下,ExpressRoute Direct 端口上的 MACsec 已禁用。 你必须使用 MACsec 密钥进行加密,并将其存储在 Azure 密钥保管库中。 你决定何时轮换该密钥。
存储 MACsec 密钥时,能否启用 Azure Key Vault 防火墙策略?
能,ExpressRoute 是受信任的 Microsoft 服务。 你可以配置 Azure 密钥保管库的防火墙策略,允许受信任的服务绕过防火墙。 有关详细信息,请参阅配置 Azure Key Vault 防火墙和虚拟网络。
能否在 ExpressRoute 提供商预配的 ExpressRoute 线路上启用 MACsec?
否。 MACsec 使用某一实体(例如客户)拥有的密钥加密物理链路上的所有流量。 因此仅在 ExpressRoute Direct 上可用。
是否可以加密 ExpressRoute Direct 端口上的部分 ExpressRoute 线路,而不加密其他线路?
否。 启用 MACsec 后,所有网络控制流量(例如,BGP 数据流量)和客户数据流量都会被加密。
启用/禁用 MACsec 或更新 MACsec 密钥后,本地网络是否会失去通过 ExpressRoute 与 Microsoft的连接?
是的。 我们仅支持 MACsec 配置的预共享密钥模式,这意味着你需要同时更新设备和 Microsoft 的密钥(通过 API)。 此更改不是原子性的,因此当密钥不匹配时会丢失连接。 我们强烈建议为配置更改计划维护时段。 若要最大程度地减少停机时间,请在将网络流量切换到另一个链接后,一次只更新 ExpressRoute Direct 上的一个链接配置。
如果设备与 Microsoft 之间的 MACsec 密钥不匹配,流量是否会继续流动?
否。 如果在配置 MACsec 之后发生了密钥不匹配问题,则会失去与 Microsoft 的连接。 流量不会回退到未加密的连接,以确保数据一直受到保护。
在 ExpressRoute Direct 上启用 MACsec 是否会降低网络性能?
MACsec 加密和解密发生在我们使用的路由器上的硬件中,因此我们这边没有性能下降。 但是,请咨询网络供应商,以了解 MACsec 是否对设备有任何性能影响。
加密支持哪些密码套件?
我们支持以下标准密码:
- GCM-AES-128
- GCM-AES-256
- GCM-AES-XPN-128
- GCM-AES-XPN-256
ExpressRoute Direct MACsec 是否支持安全通道标识符 (SCI)?
是的,你可以在 ExpressRoute Direct 端口上设置安全通道标识符 (SCI)。 有关详细信息,请参阅配置 MACsec。
通过 IPsec 进行的端到端加密常见问题解答
IPsec 是 IETF 标准 ,用于加密 Internet 协议 (IP) 级别(网络第 3 层)的数据。 可以使用 IPsec 加密本地网络与 Azure 上虚拟网络之间的端到端连接。
除了在 ExpressRoute Direct 端口上启用 MACsec 外,是否还可以启用 IPsec?
是的。 MACsec 保护你和 Microsoft 之间的物理连接,而 IPsec 保护你与 Azure 虚拟网络之间的端到端连接。 你可以单独启用它们。
能否使用 Azure VPN 网关通过 Azure 专用对等互连设置 IPsec 隧道?
是的。 如果使用 Azure 虚拟 WAN,请按照《虚拟 WAN 的 ExpressRoute VPN》中的步骤加密端到端连接。 如果你有常规的 Azure 虚拟网络,则可以按照《通过专用对等互连建立站点到站点 VPN 连接》中的步骤,在 Azure VPN 网关和本地 VPN 网关之间建立 IPsec 隧道。
在 ExpressRoute 连接上启用 IPsec 后的吞吐量是多少?
如果使用 Azure VPN 网关,请查看这些性能数据以了解是否与预期的吞吐量匹配。 如果使用第三方 VPN 网关,请与供应商核实性能数据。