Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Este artigo mostra as combinações de política IPsec com suporte.
Políticas IPsec padrão
Observação
Ao trabalhar com políticas padrão, o Azure pode atuar como iniciador e respondente durante uma instalação de túnel IPsec. Embora a VPN wan virtual dê suporte a muitas combinações de algoritmos, nossa recomendação é GCMAES256 para Criptografia E Integridade IPSEC para um desempenho ideal. O AES256 e o SHA256 são considerados com desempenho inferior e, portanto, uma degradação do desempenho, como latência e quedas de pacotes, pode ser esperada para tipos de algoritmo semelhantes. Para obter mais informações sobre a WAN Virtual, consulte as perguntas frequentes sobre a WAN Virtual do Azure.
Initiator (iniciador)
As seções a seguir listam as combinações de política com suporte quando o Azure é o iniciador do túnel.
Fase 1
- AES_256, SHA1, DH_GROUP_2
- AES_256, SHA_256, DH_GROUP_2
- AES_128, SHA1, DH_GROUP_2
- AES_128, SHA_256, DH_GROUP_2
Fase 2
- GCM_AES_256, GCM_AES_256, PFS_NONE
- AES_256, SHA_1, PFS_NONE
- AES_256, SHA_256, PFS_NONE
- AES_128, SHA_1, PFS_NONE
Respondente
As seções a seguir listam as combinações de política com suporte quando o Azure é o respondente do túnel.
Fase 1
- AES_256, SHA1, DH_GROUP_2
- AES_256, SHA_256, DH_GROUP_2
- AES_128, SHA1, DH_GROUP_2
- AES_128, SHA_256, DH_GROUP_2
Fase 2
- GCM_AES_256, GCM_AES_256, PFS_NONE
- AES_256, SHA_1, PFS_NONE
- AES_256, SHA_256, PFS_NONE
- AES_128, SHA_1, PFS_NONE
- AES_256, SHA_1, PFS_1
- AES_256, SHA_1, PFS_2
- AES_256, SHA_1, PFS_14
- AES_128, SHA_1, PFS_1
- AES_128, SHA_1, PFS_2
- AES_128, SHA_1, PFS_14
- AES_256, SHA_256, PFS_1
- AES_256, SHA_256, PFS_2
- AES_256, SHA_256, PFS_14
- AES_256, SHA_1, PFS_24
- AES_256, SHA_256, PFS_24
- AES_128, SHA_256, PFS_NONE
- AES_128, SHA_256, PFS_1
- AES_128, SHA_256, PFS_2
- AES_128, SHA_256, PFS_14
Valores de tempo de vida da SA
Esses valores de tempo de vida se aplicam ao iniciador e ao respondente
- Tempo de vida da SA em segundos: 3600 segundos
- Tempo de vida da SA em bytes: 102.400.000 KB
Políticas IPsec personalizadas
Ao trabalhar com políticas IPsec personalizadas, tenha em mente os seguintes requisitos:
- IKE – Para IKE, você pode selecionar qualquer parâmetro da Criptografia IKE, além de qualquer parâmetro da Integridade do IKE, além de qualquer parâmetro do Grupo DH.
- IPsec – Para IPsec, você pode selecionar qualquer parâmetro da Criptografia IPsec, além de qualquer parâmetro da Integridade IPsec, além do PFS. Se qualquer um dos parâmetros para Criptografia IPsec ou Integridade IPsec for GCM, os parâmetros para ambas as configurações deverão ser GCM.
A política personalizada padrão inclui SHA1, DHGroup2 e 3DES para compatibilidade com versões anteriores. Esses são algoritmos mais fracos que não têm suporte ao criar uma política personalizada. Recomendamos usar apenas os seguintes algoritmos:
Configurações e parâmetros disponíveis
| Configurações | Parâmetros |
|---|---|
| Criptografia IKE | GCMAES256, GCMAES128, AES256, AES128 |
| Integridade do IKE | SHA384, SHA256 |
| Grupo DH | ECP384, ECP256, DHGroup24, DHGroup14 |
| Criptografia IPsec | GCMAES256, GCMAES128, AES256, AES128, None |
| Integridade do IPsec | GCMAES256, GCMAES128, SHA256 |
| Grupo PFS | ECP384, ECP256, PFS24, PFS14, None |
| Tempo de vida da SA | Inteiro; min. 300/ padrão 3600 segundos |
Próximas Etapas
Para obter etapas para configurar uma política IPsec personalizada, consulte Configurar uma política IPsec personalizada para WAN Virtual.
Para obter mais informações sobre a WAN Virtual, consulte sobre a WAN Virtual do Azure e as perguntas frequentes sobre a WAN Virtual do Azure.