Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questo articolo illustra le combinazioni di criteri IPsec supportate.
Criteri IPsec predefiniti
Annotazioni
Quando si lavora con i criteri predefiniti, Azure può fungere sia da iniziatore che da risponditore durante l'installazione di un tunnel IPsec. Mentre la VPN della rete WAN virtuale supporta molte combinazioni di algoritmi, è consigliabile GCMAES256 sia per la crittografia IPSEC che per l'integrità per ottenere prestazioni ottimali. AES256 e SHA256 sono considerati meno efficienti e pertanto è possibile prevedere una riduzione delle prestazioni, ad esempio la latenza e le riduzioni dei pacchetti per tipi di algoritmo simili. Per altre informazioni sulla rete WAN virtuale, vedere Domande frequenti sulla rete WAN virtuale di Azure.
Iniziatore
Le sezioni seguenti elencano le combinazioni di criteri supportate quando Azure è l'iniziatore per il tunnel.
Fase 1
- AES_256, SHA1, DH_GROUP_2
- AES_256, SHA_256, DH_GROUP_2
- AES_128, SHA1, DH_GROUP_2
- AES_128, SHA_256, DH_GROUP_2
Fase 2
- GCM_AES_256, GCM_AES_256, PFS_NONE
- AES_256, SHA_1, PFS_NONE
- AES_256, SHA_256, PFS_NONE
- AES_128, SHA_1, PFS_NONE
Partecipante
Le sezioni seguenti elencano le combinazioni di criteri supportate quando Azure è il risponditore per il tunnel.
Fase 1
- AES_256, SHA1, DH_GROUP_2
- AES_256, SHA_256, DH_GROUP_2
- AES_128, SHA1, DH_GROUP_2
- AES_128, SHA_256, DH_GROUP_2
Fase 2
- GCM_AES_256, GCM_AES_256, PFS_NONE
- AES_256, SHA_1, PFS_NONE
- AES_256, SHA_256, PFS_NONE
- AES_128, SHA_1, PFS_NONE
- AES_256, SHA_1, PFS_1
- AES_256, SHA_1, PFS_2
- AES_256, SHA_1, PFS_14
- AES_128, SHA_1, PFS_1
- AES_128, SHA_1, PFS_2
- AES_128, SHA_1, PFS_14
- AES_256, SHA_256, PFS_1
- AES_256, SHA_256, PFS_2
- AES_256, SHA_256, PFS_14
- AES_256, SHA_1, PFS_24
- AES_256, SHA_256, PFS_24
- AES_128, SHA_256, PFS_NONE
- AES_128, SHA_256, PFS_1
- AES_128, SHA_256, PFS_2
- AES_128, SHA_256, PFS_14
Valori di durata sa
Questi valori del tempo di vita si applicano sia all'iniziatore che al risponditore
- Durata sa in secondi: 3600 secondi
- Durata sa in byte: 102.400.000 KB
Criteri IPsec personalizzati
Quando si riguardano i criteri IPsec personalizzati, tenere presente i requisiti seguenti:
- IKE: per IKE , è possibile selezionare qualsiasi parametro da IKE Encryption, oltre a qualsiasi parametro di IKE Integrity, oltre a qualsiasi parametro del gruppo DH.
- IPsec : per IPsec, è possibile selezionare qualsiasi parametro da IPsec Encryption, oltre a qualsiasi parametro dall'integrità IPsec, oltre a PFS. Se uno dei parametri per IPsec Encryption o IPsec Integrity è GCM, i parametri per entrambe le impostazioni devono essere GCM.
I criteri personalizzati predefiniti includono SHA1, DHGroup2 e 3DES per la compatibilità con le versioni precedenti. Si tratta di algoritmi più deboli che non sono supportati durante la creazione di criteri personalizzati. È consigliabile usare solo gli algoritmi seguenti:
Impostazioni e parametri disponibili
| Impostazione | Parametri |
|---|---|
| Crittografia IKE | GCMAES256, GCMAES128, AES256, AES128 |
| Integrità IKE | SHA384, SHA256 |
| Gruppo DH | ECP384, ECP256, DHGroup24, DHGroup14 |
| Crittografia IPsec | GCMAES256, GCMAES128, AES256, AES128, None |
| Integrità IPsec | GCMAES256, GCMAES128, SHA256 |
| Gruppo PFS | ECP384, ECP256, PFS24, PFS14, None |
| Durata dell'associazione di sicurezza | Intero; min. 300/ predefinito 3600 secondi |
Passaggi successivi
Per la procedura per configurare un criterio IPsec personalizzato, vedere Configurare un criterio IPsec personalizzato per la rete WAN virtuale.
Per altre informazioni sulla rete WAN virtuale, vedere Informazioni sulla rete WAN virtuale di Azure e domande frequenti sulla rete WAN virtuale di Azure.