Siteler arası IPsec ilkeleri
Bu makalede desteklenen IPsec ilke bileşimleri gösterilmektedir.
Varsayılan IPsec ilkeleri
Not
Varsayılan ilkelerle çalışırken, Azure bir IPsec tüneli kurulumu sırasında hem başlatıcı hem de yanıtlayıcı olarak çalışabilir. Sanal WAN VPN birçok algoritma bileşimini desteklese de, en iyi performans için hem IPSEC Şifrelemesi hem de Bütünlük için GCMAES256 önerilir. AES256 ve SHA256 daha az performanslı olarak kabul edilir ve bu nedenle benzer algoritma türleri için gecikme süresi ve paket bırakma gibi performans düşüşü beklenebilir. Sanal WAN hakkında daha fazla bilgi için bkz. Azure Sanal WAN SSS.
Başlatıcı
Aşağıdaki bölümlerde, Tünelin başlatıcısı Azure olduğunda desteklenen ilke bileşimleri listelenmektedir.
1. Aşama
- AES_256, SHA1, DH_GROUP_2
- AES_256, SHA_256 DH_GROUP_2
- AES_128, SHA1, DH_GROUP_2
- AES_128, SHA_256 DH_GROUP_2
2. Aşama
- GCM_AES_256, GCM_AES_256, PFS_NONE
- AES_256, SHA_1 PFS_NONE
- AES_256, SHA_256, PFS_NONE
- AES_128, SHA_1 PFS_NONE
Yanıtlayıcı
Aşağıdaki bölümlerde, Tünelin yanıtlayıcısı Azure olduğunda desteklenen ilke birleşimleri listelenmektedir.
1. Aşama
- AES_256, SHA1, DH_GROUP_2
- AES_256, SHA_256 DH_GROUP_2
- AES_128, SHA1, DH_GROUP_2
- AES_128, SHA_256 DH_GROUP_2
2. Aşama
- GCM_AES_256, GCM_AES_256, PFS_NONE
- AES_256, SHA_1 PFS_NONE
- AES_256, SHA_256, PFS_NONE
- AES_128, SHA_1 PFS_NONE
- AES_256, SHA_1, PFS_1
- AES_256, SHA_1, PFS_2
- AES_256, SHA_1 PFS_14
- AES_128, SHA_1, PFS_1
- AES_128, SHA_1, PFS_2
- AES_128, SHA_1, PFS_14
- AES_256, SHA_256, PFS_1
- AES_256, SHA_256 PFS_2
- AES_256, SHA_256 PFS_14
- AES_256, SHA_1, PFS_24
- AES_256, SHA_256 PFS_24
- AES_128, SHA_256, PFS_NONE
- AES_128, SHA_256, PFS_1
- AES_128, SHA_256 PFS_2
- AES_128, SHA_256, PFS_14
SA Yaşam Süresi Değerleri
Bu yaşam süresi değerleri hem başlatıcı hem de yanıtlayıcı için geçerlidir
- Saniye olarak SA Ömrü: 3600 saniye
- Bayt Cinsinden SA Ömrü: 102.400.000 KB
Özel IPsec ilkeleri
Özel IPsec ilkeleriyle çalışırken aşağıdaki gereksinimleri göz önünde bulundurun:
- IKE - IKE için, IKE Şifrelemesi'nden herhangi bir parametreyi ve IKE Bütünlüğü'nden herhangi bir parametreyi ve DH Grubu'ndan herhangi bir parametreyi seçebilirsiniz.
- IPsec - IPsec için, IPsec Şifrelemesi'nden herhangi bir parametreyi, ayrıca IPsec Bütünlüğü'nden herhangi bir parametreyi ve PFS'yi seçebilirsiniz. IPsec Şifrelemesi veya IPsec Bütünlüğü parametrelerinden herhangi biri GCM ise, her iki ayarın parametreleri GCM olmalıdır.
Varsayılan özel ilke geriye dönük uyumluluk için SHA1, DHGroup2 ve 3DES'i içerir. Bunlar, özel ilke oluştururken desteklenmeyen daha zayıf algoritmalardır. Yalnızca aşağıdaki algoritmaları kullanmanızı öneririz:
Kullanılabilir ayarlar ve parametreler
Ayar | Parametreler |
---|---|
IKE Şifrelemesi | GCMAES256, GCMAES128, AES256, AES128 |
IKE Bütünlüğü | SHA384, SHA256 |
DH Grubu | ECP384, ECP256, DHGroup24, DHGroup14 |
IPsec Şifrelemesi | GCMAES256, GCMAES128, AES256, AES128, Yok |
IPsec Bütünlüğü | GCMAES256, GCMAES128, SHA256 |
PFS Grubu | ECP384, ECP256, PFS24, PFS14, Hiçbiri |
SA Yaşam Süresi | Tamsayı; dk. 300/ varsayılan 3600 saniye |
Sonraki adımlar
Özel bir IPsec ilkesi yapılandırma adımları için bkz. Sanal WAN için özel bir IPsec ilkesi yapılandırma.
Sanal WAN hakkında daha fazla bilgi için bkz. Azure Sanal WAN hakkında ve Azure Sanal WAN SSS.