حول أجهزة VPN ومعلمات IPsec/IKE لاتصالات "بوابة VPN" لـ "موقع إلى موقع"

يلزم جهاز VPN لتكوين اتصال VPN لـ "موقع إلى موقع" (S2S) في أماكن متعددة باستخدام بوابة VPN. يمكن استخدام اتصالات "موقع إلى موقع" لإنشاء حل مختلط أو كلما أردت اتصالات آمنة بين شبكاتك المحلية وشبكاتك الظاهرية. توفر هذه المقالة قائمة بأجهزة VPN التي تم التحقق من صحتها وقائمة بمعلمات IPsec/IKE لبوابات VPN.

هام

إذا كنت تواجه مشكلات في الاتصال بين أجهزة VPN المحلية وبوابات VPN، فراجع مشكلات توافق الأجهزة المعروفة.

أمور يجب ملاحظتها عند عرض الجداول:

  • كان هناك تغيير في المصطلحات لبوابات Azure VPN. تغيرت الأسماء فقط. لا يوجد تغيير في الوظائف.
    • التوجيه الثابت = مُستند إلى النهج
    • التوجيه الديناميكي = مُستند إلى المسار
  • مواصفات بوابة VPN عالية الأداء وبوابة VPN مُستندة إلى المسار هي نفسها، ما لم يذكر خلاف ذلك. على سبيل المثال، أجهزة VPN التي تم التحقق من صحتها والمتوافقة مع بوابات VPN المستندة إلى المسار متوافقة أيضًا مع بوابة VPN عالية الأداء.

أجهزة VPN التي تم التحقق من صحتها وإرشادات تكوين الجهاز

بالشراكة مع موردي الأجهزة، تحققنا من صحة مجموعة من أجهزة VPN القياسية. يجب أن تعمل جميع الأجهزة الموجودة في عائلات الأجهزة في القائمة التالية مع بوابات VPN. هذه هي الخوارزميات الموصى بها لتكوين جهازك.

الخوارزميات الموصى بها التشفيرات تكامل البيانات مجموعة DH
ايك AES256 SHA256 DH2
Ipsec AES256GCM AES256GCM بلا

للمساعدة في تكوين جهاز VPN، راجع الارتباطات التي تتوافق مع عائلة الأجهزة المناسبة. يتم توفير الارتباطات إلى إرشادات التكوين على أساس أفضل جهد ولا تحتاج الإعدادات الافتراضية المدرجة في دليل التكوين إلى احتواء أفضل خوارزميات التشفير. للحصول على دعم جهاز VPN، اتصل بالشركة المُصنعة لجهازك.

المورد عائلة الجهاز إصدار نظام التشغيل الأدنى تعليمات التكوين المُستندة إلى النهج تعليمات التكوين المُستندة إلى المسار
A10 Networks, Inc. Thunder CFW ACOS 4.1.1 غير متوافق إرشاد التكوين
AhnLab TrusGuard TG 2.7.6
TG 3.5.x
لم يُختبر إرشاد التكوين
Allied Telesis AR Series VPN Routers AR-Series 5.4.7+ إرشاد التكوين إرشاد التكوين
Arista CloudEOS Router vEOS 4.24.0FX لم يُختبر إرشاد التكوين
Barracuda Networks, Inc. جدار حماية Barracuda CloudGen PolicyBased: 5.4.3
RouteBased: 6.2.0
إرشاد التكوين إرشاد التكوين
نقطة التحقق بوابة الأمان R80.10 إرشاد التكوين إرشاد التكوين
Cisco ASA 8.3
8.4+ (IKEv2*)
مدعوم إرشاد التكوين*
Cisco ASR PolicyBased: IOS 15.1
RouteBased: IOS 15.2
مدعوم مدعوم
Cisco CSR RouteBased: IOS-XE 16.10 لم يُختبر البرنامج النصي للتكوين
Cisco ISR PolicyBased: IOS 15.0
RouteBased*: IOS 15.1
مدعوم مدعوم
Cisco Meraki (MX) MX v15.12 غير متوافق إرشاد التكوين
Cisco vEdge (Viptela OS) 18.4.0 (الوضع النشط/السلبي) غير متوافق التكوين اليدوي (نشط/سلبي)
Citrix NetScaler MPX, SDX, VPX 10.1 والإحدث إرشاد التكوين غير متوافق
F5 سلسلة BIG-IP 12.0 إرشاد التكوين إرشاد التكوين
Fortinet FortiGate FortiOS 5.6 لم يُختبر إرشاد التكوين
تقنيات Fsas سلسلة Si-R G V04: V04.12
V20: V20.14
إرشاد التكوين إرشاد التكوين
Hillstone Networks جدران الحماية من الجيل التالي (NGFW) 5.5R7 لم يُختبر إرشاد التكوين
HPE Aruba بوابة EdgeConnect SDWAN إصدار ECOS الإصدار 9.2
نظام التشغيل المنسق v9.2
إرشاد التكوين إرشاد التكوين
Internet Initiative Japan (IIJ) SEIL Series SEIL/X 4.60
SEIL/B1 4.60
SEIL/x86 3.20
إرشاد التكوين غير متوافق
Juniper SRX PolicyBased: JunOS 10.2
Routebased: JunOS 11.4
مدعوم البرنامج النصي للتكوين
Juniper J-Series PolicyBased: JunOS 10.4r9
RouteBased: JunOS 11.4
مدعوم البرنامج النصي للتكوين
Juniper ISG ScreenOS 6.3 مدعوم البرنامج النصي للتكوين
Juniper SSG ScreenOS 6.2 مدعوم البرنامج النصي للتكوين
Juniper MX JunOS 12.x مدعوم البرنامج النصي للتكوين
Microsoft خدمة التوجيه والوصول البعيد Windows Server 2012 غير متوافق مدعوم
Open Systems AG بوابة أمان التحكم في المهام ‏‫غير متوفر‬ مدعوم غير متوافق
شبكات Palo Alto جميع الأجهزة التي تعمل بنظام التشغيل PAN-OS PAN-OS
PolicyBased: 6.1.5 أو أحدث
RouteBased: 7.1.4
مدعوم إرشاد التكوين
Sentrium (المطور) VyOS VyOS 1.2.2 لم يُختبر إرشاد التكوين
ShareTech الجيل التالي من UTM (سلسلة NU) 9.0.1.3 غير متوافق إرشاد التكوين
SonicWall TZ Series, NSA Series
SuperMassive Series
E-Class NSA Series
SonicOS 5.8.x
SonicOS 5.9.x
SonicOS 6.x
غير متوافق إرشاد التكوين
Sophos الجيل التالي لجدار الحماية XG XG v17 لم يُختبر إرشاد التكوين

إرشاد التكوين - وحدات SA متعددة
Synology MR2200ac
RT2600ac
RT1900ac
SRM1.1.5/VpnPlusServer-1.2.0 لم يُختبر إرشاد التكوين
Ubiquiti EdgeRouter EdgeOS v1.10 لم يُختبر BGP عبر IKEv2/IPsec

VTI عبر IKEv2/IPsec
فائق 3E-636L3 5.2.0.T3 Build-13 لم يُختبر إرشاد التكوين
WatchGuard الكل Fireware XTM
PolicyBased: v11.11.x
RouteBased: v11.12.x
إرشاد التكوين إرشاد التكوين
Zyxel سلسلة ZyWALL USG
سلسلة ZyWALL ATP
سلسلة ZyWALL VPN
ZLD v4.32+ لم يُختبر VTI عبر IKEv2/IPsec

BGP عبر IKEv2/IPsec

إشعار

(*) تضيف إصدارات Cisco ASA 8.4 وما فوق دعم IKEv2، ويمكنها الاتصال ببوابة Azure VPN باستخدام نهج IPsec / IKE المخصص مع خيار "UsePolicyBasedTrafficSelectors". ارجع إلى هذه المقالة الإرشادية.

(**) لا تدعم أجهزة التوجيه ISR 7200 Series إلا شبكات VPN المُستندة إلى النهج.

⁩تنزيل البرامج النصية لتكوين جهاز VPN⁧ من Azure

بالنسبة لبعض الأجهزة، يمكنك تنزيل البرامج النصية للتكوين مباشرة من Azure. لمزيد من المعلومات ولتنيل الإرشادات، راجع تنزيل البرامج النصية لتكوين جهاز VPN.

أجهزة VPN غير المصادق عليها

إذا لم يظهر جهازك مدرجا في جدول أجهزة VPN التي تم التحقق من صحتها، فقد لا يزال جهازك يعمل مع اتصال من موقع إلى موقع. اتصل بالشركة المصنعة للجهاز للحصول على إرشادات الدعم والتكوين.

تحرير عينات تكوين الجهاز

بعد تنزيل عينة تكوين جهاز VPN المُقدمة، ستحتاج إلى استبدال بعض القيم لتعكس إعدادات بيئتك.

لتحرير عينة:

  1. افتح العينة باستخدام المفكرة.
  2. ابحث عن جميع السلاسل <text> واستبدلها بالقيم التي تتعلق ببيئتك. تأكد من تضمين < و >. عند تحديد اسم، يجب أن يكون الاسم الذي تحدده فريدًا. إذا لم ينجح الأمر، فراجع وثائق الشركة المصنعة لجهازك.
نص العينة يتغير إلى
<RP_OnPremisesNetwork> الاسم الذي اخترته لهذا الكائن. مثال: myOnPremisesNetwork
<RP_AzureNetwork> الاسم الذي اخترته لهذا الكائن. مثال: myAzureNetwork
<RP_AccessList> الاسم الذي اخترته لهذا الكائن. مثال: myAzureAccessList
<RP_IPSecTransformSet> الاسم الذي اخترته لهذا الكائن. مثال: myIPSecTransformSet
<RP_IPSecCryptoMap> الاسم الذي اخترته لهذا الكائن. مثال: myIPSecCryptoMap
<SP_AzureNetworkIpRange> حدد النطاق. مثال: 192.168.0.0
<SP_AzureNetworkSubnetMask> حدد قناع الشبكة الفرعية. مثال: 255.255.0.0
<SP_OnPremisesNetworkIpRange> حدد النطاق المحلي. مثال: 10.2.1.0
<SP_OnPremisesNetworkSubnetMask> حدد قناع الشبكة الفرعية المحلي. مثال: 255.255.255.0
<SP_AzureGatewayIpAddress> هذه المعلومات خاصة بشبكتك الظاهرية وتقع في "مدخل الإدارة" مثل عنوان IP للبوابة.
<SP_PresharedKey> هذه المعلومات خاصة بشبكتك الظاهرية وتقع في "مدخل الإدارة" مثل مفتاح الإدارة.

معلمات IPsec/IKE الافتراضية

تحتوي الجداول التالية على مجموعات من الخوارزميات والمعلمات التي تستخدمها بوابات Azure VPN في التكوين الافتراضي (النهج الافتراضية). بالنسبة إلى بوابات VPN المستندة إلى المسار التي تم إنشاؤها باستخدام نموذج توزيع Azure Resource Management، يمكنك تحديد نهج مُخصص على كل اتصال على حدى. راجع تكوين نهج IPsec/IKE للحصول على إرشادات مُفصلة.

في الجداول التالية:

  • SA = مجموعة أمان
  • تسمى المرحلة 1 من IKE أيضًا "الوضع الرئيسي"
  • تسمى المرحلة 2 من IKE أيضًا "الوضع السريع"

معلمات المرحلة 1 من IKE (الوضع الرئيسي)

الخاصية PolicyBased RouteBased
إصدار IKE IKEv1 IKEv1 و IKEv2
مجموعة Diffie-Hellman المجموعة 2 (1024 بت) المجموعة 2 (1024 بت)
أسلوب المصادقة مفتاح مشترك مسبقًا مفتاح مشترك مسبقًا
خوارزميات التشفير والتجزئة 1. AES256, SHA256
2. AES256, SHA1
3. AES128, SHA1
4. 3DES, SHA1
1. AES256, SHA1
2. AES256, SHA256
3. AES128, SHA1
4. AES128, SHA256
5. 3DES, SHA1
6. 3DES, SHA256
مدة بقاء SA 28,800 ثانية 28,800 ثانية
عدد SA للوضع السريع 100 100

معلمات المرحلة 2 من IKE (الوضع السريع)

الخاصية PolicyBased RouteBased
إصدار IKE IKEv1 IKEv1 و IKEv2
خوارزميات التشفير والتجزئة 1. AES256, SHA256
2. AES256, SHA1
3. AES128, SHA1
4. 3DES, SHA1
عروض QM SA مُستندة إلى المسار
مدة بقاء SA (الوقت) 3,600 ثانية 27,000 ثانية
مدة بقاء SA (بايت) 102,400,000 كيلوبايت 102,400,000 كيلوبايت
السرية التامة لإعادة التوجيه (PFS) لا عروض QM SA مُستندة إلى المسار
الكشف عن النظير الخامد (DPD) غير مدعوم مدعوم

Azure VPN Gateway TCP MSS Clamping

يتم قص MSS ثنائي الاتجاه على بوابة Azure VPN. يسرد الجدول التالي حجم الحزمة ضمن سيناريوهات مختلفة.

تدفق الحزمة IPv4 IPv6
عبر الإنترنت 1340 بايت 1360 بايت
عبر Express Route Gateway 1250 بايت 1250 بايت

عروض مجموعة أمان VPN IPsec المُستندة إلى المسار (SA للوضع السريع IKE)

يسرد الجدول التالي عروض IPsec SA (الوضع السريع IKE). تُسرد العروض حسب ترتيب أفضلية تقديم العرض أو قبوله.

بوابة Azure كمُنشئ

- التشفير المصادقة مجموعة PFS
1 GCM AES256 GCM (AES256) بلا
2 AES256 SHA1 بلا
3 3DES SHA1 بلا
4 AES256 SHA256 بلا
5 AES128 SHA1 بلا
6 3DES SHA256 بلا

بوابة Azure كمُستجيب

- التشفير المصادقة مجموعة PFS
1 GCM AES256 GCM (AES256) بلا
2 AES256 SHA1 بلا
3 3DES SHA1 بلا
4 AES256 SHA256 بلا
5 AES128 SHA1 بلا
6 3DES SHA256 بلا
7 DES SHA1 بلا
8 AES256 SHA1 1
9 AES256 SHA1 2
10 AES256 SHA1 14
11 AES128 SHA1 1
12 AES128 SHA1 2
13 AES128 SHA1 14
14 3DES SHA1 1
15 3DES SHA1 2
16 3DES SHA256 2
17 AES256 SHA256 1
18 AES256 SHA256 2
19 AES256 SHA256 14
20 AES256 SHA1 24
21 AES256 SHA256 24
22 AES128 SHA256 بلا
23 AES128 SHA256 1
24 AES128 SHA256 2
25 AES128 SHA256 14
26 3DES SHA1 14
  • يمكنك تحديد تشفير IPsec ESP NULL باستخدام بوابات VPN مُستندة إلى المسار وبوابات VPN عالية الأداء. لا يوفر التشفير المستند إلى القيمة الخالية حماية للبيانات أثناء النقل، ويجب استخدامه فقط عند الحاجة إلى الحد الأقصى لمعدل النقل والحد الأدنى منه. قد يختار العملاء استخدام هذا في سيناريوهات اتصال VNet-to-VNet، أو عند تطبيق التشفير في مكان آخر في الحل.
  • للاتصال عبر أماكن العمل عبر الإنترنت، استخدم إعدادات بوابة Azure VPN الافتراضية مع خوارزميات التشفير والتجزئة المدرجة في الجداول السابقة لضمان أمان اتصالك الهام.

مشكلات توافق الأجهزة المعروفة

هام

هذه هي مشكلات التوافق المعروفة بين أجهزة VPN التابعة لجهات خارجية وبوابات Azure VPN. يعمل فريق Azure بنشاط مع الموردين لمعالجة المشكلات المُدرجة هنا. بمجرد حل المشكلات، ستُحدّث هذه الصفحة بأحدث المعلومات. يرجى التحقق مرة أخرى بشكل دوري.

16 فبراير 2017

أجهزة شبكات Palo Alto ذات الإصدار السابق لـ 7.1.4 لـ Azure VPN المستندة إلى مسار: إذا كنت تستخدم أجهزة VPN من شبكات Palo Alto مع إصدار PAN-OS السابق لإصدار 7.1.4 وتواجه مشكلات في الاتصال ببوابات VPN المستندة إلى مسار Azure، فقم بتنفيذ الخطوات التالية:

  1. تحقق من إصدار البرنامج الثابت لجهاز شبكات Palo Alto. إذا كان إصدار PAN-OS أقدم من الإصدار 7.1.4، فقم بالترقية إلى الإصدار 7.1.4.
  2. على جهاز شبكات Palo Alto، غيّر مدة بقاء المرحلة 2 من SA (أو الوضع السريع من SA) إلى 28800 ثانية (8 ساعات) عند الاتصال ببوابة Azure VPN.
  3. إذا كنت لا تزال تواجه مشكلات في الاتصال، فافتح طلب دعم من مدخل Microsoft Azure.