Aracılığıyla paylaş

Siteler arası IPsec ilkeleri

  • Makale

Bu makalede desteklenen IPsec ilke bileşimleri gösterilmektedir.

Varsayılan IPsec ilkeleri

Not

Varsayılan ilkelerle çalışırken, Azure bir IPsec tüneli kurulumu sırasında hem başlatıcı hem de yanıtlayıcı olarak çalışabilir. Sanal WAN VPN birçok algoritma bileşimini desteklese de, en iyi performans için hem IPSEC Şifrelemesi hem de Bütünlük için GCMAES256 önerilir. AES256 ve SHA256 daha az performanslı olarak kabul edilir ve bu nedenle benzer algoritma türleri için gecikme süresi ve paket bırakma gibi performans düşüşü beklenebilir. Sanal WAN hakkında daha fazla bilgi için bkz. Azure Sanal WAN SSS.

Başlatıcı

Aşağıdaki bölümlerde, Tünelin başlatıcısı Azure olduğunda desteklenen ilke bileşimleri listelenmektedir.

1. Aşama

  • AES_256, SHA1, DH_GROUP_2
  • AES_256, SHA_256 DH_GROUP_2
  • AES_128, SHA1, DH_GROUP_2
  • AES_128, SHA_256 DH_GROUP_2

2. Aşama

  • GCM_AES_256, GCM_AES_256, PFS_NONE
  • AES_256, SHA_1 PFS_NONE
  • AES_256, SHA_256, PFS_NONE
  • AES_128, SHA_1 PFS_NONE

Yanıtlayıcı

Aşağıdaki bölümlerde, Tünelin yanıtlayıcısı Azure olduğunda desteklenen ilke birleşimleri listelenmektedir.

1. Aşama

  • AES_256, SHA1, DH_GROUP_2
  • AES_256, SHA_256 DH_GROUP_2
  • AES_128, SHA1, DH_GROUP_2
  • AES_128, SHA_256 DH_GROUP_2

2. Aşama

  • GCM_AES_256, GCM_AES_256, PFS_NONE
  • AES_256, SHA_1 PFS_NONE
  • AES_256, SHA_256, PFS_NONE
  • AES_128, SHA_1 PFS_NONE
  • AES_256, SHA_1, PFS_1
  • AES_256, SHA_1, PFS_2
  • AES_256, SHA_1 PFS_14
  • AES_128, SHA_1, PFS_1
  • AES_128, SHA_1, PFS_2
  • AES_128, SHA_1, PFS_14
  • AES_256, SHA_256, PFS_1
  • AES_256, SHA_256 PFS_2
  • AES_256, SHA_256 PFS_14
  • AES_256, SHA_1, PFS_24
  • AES_256, SHA_256 PFS_24
  • AES_128, SHA_256, PFS_NONE
  • AES_128, SHA_256, PFS_1
  • AES_128, SHA_256 PFS_2
  • AES_128, SHA_256, PFS_14

SA Yaşam Süresi Değerleri

Bu yaşam süresi değerleri hem başlatıcı hem de yanıtlayıcı için geçerlidir

  • Saniye olarak SA Ömrü: 3600 saniye
  • Bayt Cinsinden SA Ömrü: 102.400.000 KB

Özel IPsec ilkeleri

Özel IPsec ilkeleriyle çalışırken aşağıdaki gereksinimleri göz önünde bulundurun:

  • IKE - IKE için, IKE Şifrelemesi'nden herhangi bir parametreyi ve IKE Bütünlüğü'nden herhangi bir parametreyi ve DH Grubu'ndan herhangi bir parametreyi seçebilirsiniz.
  • IPsec - IPsec için, IPsec Şifrelemesi'nden herhangi bir parametreyi, ayrıca IPsec Bütünlüğü'nden herhangi bir parametreyi ve PFS'yi seçebilirsiniz. IPsec Şifrelemesi veya IPsec Bütünlüğü parametrelerinden herhangi biri GCM ise, her iki ayarın parametreleri GCM olmalıdır.

Varsayılan özel ilke geriye dönük uyumluluk için SHA1, DHGroup2 ve 3DES'i içerir. Bunlar, özel ilke oluştururken desteklenmeyen daha zayıf algoritmalardır. Yalnızca aşağıdaki algoritmaları kullanmanızı öneririz:

Kullanılabilir ayarlar ve parametreler

Ayar Parametreler
IKE Şifrelemesi GCMAES256, GCMAES128, AES256, AES128
IKE Bütünlüğü SHA384, SHA256
DH Grubu ECP384, ECP256, DHGroup24, DHGroup14
IPsec Şifrelemesi GCMAES256, GCMAES128, AES256, AES128, Yok
IPsec Bütünlüğü GCMAES256, GCMAES128, SHA256
PFS Grubu ECP384, ECP256, PFS24, PFS14, Hiçbiri
SA Yaşam Süresi Tamsayı; dk. 300/ varsayılan 3600 saniye

Sonraki adımlar

Özel bir IPsec ilkesi yapılandırma adımları için bkz. Sanal WAN için özel bir IPsec ilkesi yapılandırma.

Sanal WAN hakkında daha fazla bilgi için bkz. Azure Sanal WAN hakkında ve Azure Sanal WAN SSS.