Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este artículo se muestran las combinaciones de directivas IPsec admitidas.
Directivas IPsec predeterminadas
Nota:
Al trabajar con directivas predeterminadas, Azure puede actuar como iniciador y respondedor durante una configuración del túnel IPsec. Aunque la VPN de Virtual WAN admite muchas combinaciones de algoritmos, nuestra recomendación es GCMAES256 tanto para el cifrado IPSEC como para la integridad para obtener un rendimiento óptimo. AES256 y SHA256 se consideran menos avanzados y, por tanto, se puede esperar una degradación del rendimiento como la latencia y la caída de paquetes para tipos de algoritmo similares. Para más información sobre Virtual WAN, consulte preguntas más frecuentes sobre Azure Virtual WAN.
Initiator
En las secciones siguientes se enumeran las combinaciones de directivas admitidas cuando Azure es el iniciador del túnel.
Fase 1
- AES_256, SHA1, DH_GROUP_2
- AES_256, SHA_256, DH_GROUP_2
- AES_128, SHA1, DH_GROUP_2
- AES_128, SHA_256, DH_GROUP_2
Fase 2
- GCM_AES_256, GCM_AES_256, PFS_NONE
- AES_256, SHA_1, PFS_NONE
- AES_256, SHA_256, PFS_NONE
- AES_128, SHA_1, PFS_NONE
Responder
En las secciones siguientes se enumeran las combinaciones de directivas admitidas cuando Azure es el respondedor del túnel.
Fase 1
- AES_256, SHA1, DH_GROUP_2
- AES_256, SHA_256, DH_GROUP_2
- AES_128, SHA1, DH_GROUP_2
- AES_128, SHA_256, DH_GROUP_2
Fase 2
- GCM_AES_256, GCM_AES_256, PFS_NONE
- AES_256, SHA_1, PFS_NONE
- AES_256, SHA_256, PFS_NONE
- AES_128, SHA_1, PFS_NONE
- AES_256, SHA_1, PFS_1
- AES_256, SHA_1, PFS_2
- AES_256, SHA_1, PFS_14
- AES_128, SHA_1, PFS_1
- AES_128, SHA_1, PFS_2
- AES_128, SHA_1, PFS_14
- AES_256, SHA_256, PFS_1
- AES_256, SHA_256, PFS_2
- AES_256, SHA_256, PFS_14
- AES_256, SHA_1, PFS_24
- AES_256, SHA_256, PFS_24
- AES_128, SHA_256, PFS_NONE
- AES_128, SHA_256, PFS_1
- AES_128, SHA_256, PFS_2
- AES_128, SHA_256, PFS_14
Valores de duración de SA
Estos valores de tiempo de vida se aplican tanto para el iniciador como para el respondedor
- Duración de SA en segundos: 3600 segundos
- Duración de SA en bytes: 102 400 000 KB
Directivas IPsec personalizadas
Al trabajar con directivas IPsec personalizadas, tenga en cuenta los siguientes requisitos:
- IKE : para IKE, puede seleccionar cualquier parámetro del cifrado IKE, además de cualquier parámetro de integridad de IKE, además de cualquier parámetro del grupo DH.
- IPsec : para IPsec, puede seleccionar cualquier parámetro del cifrado IPsec, además de cualquier parámetro de integridad de IPsec, además de PFS. Si alguno de los parámetros para el cifrado IPsec o la integridad de IPsec es GCM, los parámetros de ambas opciones deben ser GCM.
La directiva personalizada predeterminada incluye SHA1, DHGroup2 y 3DES para la compatibilidad con versiones anteriores. Estos son algoritmos más débiles que no se admiten al crear una directiva personalizada. Se recomienda usar solo los algoritmos siguientes:
Configuración y parámetros disponibles
| Configuración | Parámetros |
|---|---|
| Cifrado de IKE | GCMAES256, GCMAES128, AES256, AES128 |
| Integridad de IKE | SHA384, SHA256 |
| Grupo DH | ECP384, ECP256, DHGroup24, DHGroup14 |
| Cifrado de IPsec | GCMAES256, GCMAES128, AES256, AES128, None |
| Integridad de IPsec | GCMAES256, GCMAES128, SHA256 |
| Grupo PFS | ECP384, ECP256, PFS24, PFS14, None |
| Duración de SA | entero; min. 300/ valor predeterminado 3600 segundos |
Pasos siguientes
Para conocer los pasos para configurar una directiva IPsec personalizada, consulte Configuración de una directiva IPsec personalizada para Virtual WAN.
Para más información sobre Virtual WAN, consulte Acerca de Azure Virtual WAN y las preguntas más frecuentes sobre Azure Virtual WAN.