Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Este artigo mostra as combinações de políticas IPsec suportadas.
Políticas IPsec padrão
Observação
Ao trabalhar com políticas padrão, o Azure pode atuar como iniciador e respondente durante uma configuração de túnel IPsec. Embora a VPN WAN Virtual suporte muitas combinações de algoritmos, nossa recomendação é GCMAES256 para criptografia IPSEC e integridade para um desempenho ideal. AES256 e SHA256 são considerados de menor desempenho e, portanto, a degradação do desempenho, como latência e quedas de pacotes, pode ser esperada para tipos de algoritmos semelhantes. Para obter mais informações sobre a WAN Virtual, consulte as Perguntas frequentes sobre a WAN Virtual do Azure.
Iniciador
As seções a seguir listam as combinações de políticas com suporte quando o Azure é o iniciador do túnel.
Fase-1
- AES_256, SHA1, DH_GROUP_2
- AES_256, SHA_256 DH_GROUP_2
- AES_128, SHA1, DH_GROUP_2
- AES_128, SHA_256 DH_GROUP_2
Fase-2
- GCM_AES_256, GCM_AES_256, PFS_NONE
- AES_256, SHA_1 PFS_NONE
- AES_256, SHA_256, PFS_NONE
- AES_128, SHA_1 PFS_NONE
Respondente
As seções a seguir listam as combinações de políticas com suporte quando o Azure é o respondedor para o túnel.
Fase-1
- AES_256, SHA1, DH_GROUP_2
- AES_256, SHA_256 DH_GROUP_2
- AES_128, SHA1, DH_GROUP_2
- AES_128, SHA_256 DH_GROUP_2
Fase-2
- GCM_AES_256, GCM_AES_256, PFS_NONE
- AES_256, SHA_1 PFS_NONE
- AES_256, SHA_256, PFS_NONE
- AES_128, SHA_1 PFS_NONE
- AES_256, SHA_1 PFS_1
- AES_256, SHA_1 PFS_2
- AES_256, SHA_1 PFS_14
- AES_128, SHA_1 PFS_1
- AES_128, SHA_1 PFS_2
- AES_128, SHA_1 PFS_14
- AES_256, SHA_256 PFS_1
- AES_256, SHA_256 PFS_2
- AES_256, SHA_256 PFS_14
- AES_256, SHA_1 PFS_24
- AES_256, SHA_256 PFS_24
- AES_128, SHA_256 PFS_NONE
- AES_128, SHA_256 PFS_1
- AES_128, SHA_256 PFS_2
- AES_128, SHA_256 PFS_14
Valores vitalícios da SA
Estes valores de tempo de vida aplicam-se tanto ao iniciador como ao respondedor
- SA Tempo de vida em segundos: 3600 segundos
- Tempo de vida da SA em bytes: 102.400.000 KB
Políticas IPsec personalizadas
Ao trabalhar com políticas IPsec personalizadas, tenha em mente os seguintes requisitos:
- IKE - Para IKE, você pode selecionar qualquer parâmetro da Criptografia IKE, além de qualquer parâmetro da Integridade IKE, além de qualquer parâmetro do Grupo DH.
- IPsec - Para IPsec, você pode selecionar qualquer parâmetro da Criptografia IPsec, além de qualquer parâmetro da Integridade IPsec e PFS. Se qualquer um dos parâmetros para Criptografia IPsec ou Integridade IPsec for GCM, os parâmetros para ambas as configurações deverão ser GCM.
A política personalizada padrão inclui SHA1, DHGroup2 e 3DES para compatibilidade com versões anteriores. Esses são algoritmos mais fracos que não são suportados ao criar uma política personalizada. Recomendamos usar apenas os seguintes algoritmos:
Configurações e parâmetros disponíveis
| Configurações | Parâmetros |
|---|---|
| Encriptação IKE | GCMAES256, GCMAES128, AES256, AES128 |
| Integridade do IKE | SHA384, SHA256 |
| Grupo DH | ECP384, ECP256, DHGroup24, DHGroup14 |
| Criptografia IPsec | GCMAES256, GCMAES128, AES256, AES128, Nenhum |
| Integridade IPsec | GCMAES256, GCMAES128, SHA256 |
| Grupo PFS | ECP384, ECP256, PFS24, PFS14, Nenhum |
| Duração Vitalícia do Acordo de Serviço | inteiro; mínimo 300/ padrão 3600 segundos |
Próximos passos
Para conhecer as etapas para configurar uma política IPsec personalizada, consulte Configurar uma política IPsec personalizada para WAN Virtual.
Para obter mais informações sobre a WAN Virtual, consulte Sobre a WAN Virtual do Azure e as Perguntas frequentes sobre a WAN Virtual do Azure.