サイト間 IPsec ポリシー

この記事では、サポートされている IPsec ポリシーの組み合わせを示します。

既定の IPsec ポリシー

開始元

次のセクションでは、Azure がトンネルのイニシエーターである場合にサポートされるポリシーの組み合わせを示します。

フェーズ 1

• AES_256、SHA1、DH_GROUP_2
• AES_256、SHA_256、DH_GROUP_2
• AES_128、SHA1、DH_GROUP_2
• AES_128、SHA_256、DH_GROUP_2

フェーズ 2

• GCM_AES_256、GCM_AES_256、PFS_NONE
• AES_256、SHA_1、PFS_NONE
• AES_256、SHA_256、PFS_NONE
• AES_128、SHA_1、PFS_NONE

レスポンダー

次のセクションでは、Azure がトンネルのレスポンダーである場合にサポートされるポリシーの組み合わせを示します。

フェーズ 1

• AES_256、SHA1、DH_GROUP_2
• AES_256、SHA_256、DH_GROUP_2
• AES_128、SHA1、DH_GROUP_2
• AES_128、SHA_256、DH_GROUP_2

フェーズ 2

• GCM_AES_256、GCM_AES_256、PFS_NONE
• AES_256、SHA_1、PFS_NONE
• AES_256、SHA_256、PFS_NONE
• AES_128、SHA_1、PFS_NONE
• AES_256、SHA_1、PFS_1
• AES_256、SHA_1、PFS_2
• AES_256、SHA_1、PFS_14
• AES_128、SHA_1、PFS_1
• AES_128、SHA_1、PFS_2
• AES_128、SHA_1、PFS_14
• AES_256、SHA_256、PFS_1
• AES_256、SHA_256、PFS_2
• AES_256、SHA_256、PFS_14
• AES_256、SHA_1、PFS_24
• AES_256、SHA_256、PFS_24
• AES_128、SHA_256、PFS_NONE
• AES_128、SHA_256、PFS_1
• AES_128、SHA_256、PFS_2
• AES_128、SHA_256、PFS_14

SA 有効期間の値

これらの有効期間の値は、イニシエーターとレスポンダーの両方に適用されます

• SA の有効期間 (秒): 3600 秒
• SA の有効期間 (バイト単位): 102,400,000 KB

カスタム IPsec ポリシー

カスタム IPsec ポリシーを使用する場合は、次の要件に注意してください。

• IKE - IKE の場合は、IKE 暗号化から任意のパラメーターと IKE 整合性の任意のパラメーターに加えて、DH グループの任意のパラメーターを選択できます。
• IPsec - IPsec の場合は、IPsec 暗号化から任意のパラメーターに加えて、IPsec 整合性のパラメーターと PFS を選択できます。 IPsec 暗号化または IPsec 整合性のいずれかのパラメーターが GCM の場合、両方の設定のパラメーターは GCM である必要があります。

既定のカスタム ポリシーには、下位互換性のために SHA1、DHGroup2、3DES が含まれています。 これらは、カスタム ポリシーを作成するときにサポートされない弱いアルゴリズムです。 次のアルゴリズムのみを使用することをお勧めします。

使用可能な設定とパラメーター

次のステップ

カスタム IPsec ポリシーを構成する手順については、「 Virtual WAN 用のカスタム IPsec ポリシーを構成する」を参照してください。

Virtual WAN の詳細については、「 Azure Virtual WAN について 」と 「Azure Virtual WAN に関する FAQ」を参照してください。