使用入口網站為 Virtual WAN 來設定自訂 IPsec 原則
您可以在 Azure 入口網站中設定 Virtual WAN VPN 連線以自訂 IPsec 原則。 當您想要讓兩端 (內部部署和 Azure VPN 網路閘道) 使用 IKE 階段 1 和 IKE 階段 2 的相同設定時,自訂原則會有所幫助。
使用自訂原則
使用自訂 IPsec 原則時,請記住下列需求:
- IKE - 針對 IKE,您可以從 IKE 加密中選取任何參數,以及 IKE 完整性中的任何參數,還有 DH 群組中的任何參數。
- IPsec - 針對 IPsec,您可以從 IPsec 加密中選取任何參數,以及 IPsec 完整性中的任何參數,還有 PFS。 如果 IPsec 加密或 IPsec 完整性的任何參數為 GCM,則這兩個設定的參數都必須是 GCM。
預設自訂原則包含 SHA1、DHGroup2 和 3DES,以取得回溯相容性。 這些是建立自訂原則時所不支援的較弱演算法。 建議您只使用下列演算法:
可用設定和參數
| 設定 | 參數 |
|---|---|
| IKE 加密 | GCMAES256、GCMAES128、AES256、AES128 |
| IKE 完整性 | SHA384、SHA256 |
| DH 群組 | ECP384、ECP256、DHGroup24、DHGroup14 |
| IPsec 加密 | GCMAES256、GCMAES128、AES256、AES128、無 |
| IPsec 完整性 | GCMAES256、GCMAES128、SHA256 |
| PFS 群組 | ECP384、ECP256、PFS24、PFS14、無 |
| SA 存留期 | 整數;最小值 300/預設值 3600 秒 |
設定原則
請找出虛擬中樞。 在 Azure 入口網站中移至您的虛擬 WAN 資源,並找出與 VPN 網站連線的虛擬中樞。
選取 VPN 網站。 從中樞概觀頁面中,按一下 [VPN (站對站) ],然後選取您要設定自訂 IPsec 原則的 VPN 網站。
編輯 VPN 連線。 從 [操作] 功能表 ...,選取 [編輯 VPN 連線]。
配置設定。 在 [編輯 VPN 連線] 頁面上,將 IPsec 設定從預設變更為自訂,並自訂 IPsec 原則。 選取 [儲存] 以儲存您的設定。
下一步
若要深入了解虛擬 WAN,請參閱虛擬 WAN 概觀頁面。