حول أجهزة VPN ومعلمات IPsec/IKE لاتصالات "بوابة VPN" لـ "موقع إلى موقع"
يلزم جهاز VPN لتكوين اتصال VPN لـ "موقع إلى موقع" (S2S) في أماكن متعددة باستخدام بوابة VPN. يمكن استخدام اتصالات "موقع إلى موقع" لإنشاء حل مختلط أو كلما أردت اتصالات آمنة بين شبكاتك المحلية وشبكاتك الظاهرية. توفر هذه المقالة قائمة بأجهزة VPN التي تم التحقق من صحتها وقائمة بمعلمات IPsec/IKE لبوابات VPN.
هام
إذا كنت تواجه مشكلات في الاتصال بين أجهزة VPN المحلية وبوابات VPN، فراجع مشكلات توافق الأجهزة المعروفة.
أمور يجب ملاحظتها عند عرض الجداول:
- كان هناك تغيير في المصطلحات لبوابات Azure VPN. تغيرت الأسماء فقط. لا يوجد تغيير في الوظائف.
- التوجيه الثابت = مُستند إلى النهج
- التوجيه الديناميكي = مُستند إلى المسار
- مواصفات بوابة VPN عالية الأداء وبوابة VPN مُستندة إلى المسار هي نفسها، ما لم يذكر خلاف ذلك. على سبيل المثال، أجهزة VPN التي تم التحقق من صحتها والمتوافقة مع بوابات VPN المستندة إلى المسار متوافقة أيضًا مع بوابة VPN عالية الأداء.
أجهزة VPN التي تم التحقق من صحتها وإرشادات تكوين الجهاز
بالشراكة مع موردي الأجهزة، تحققنا من صحة مجموعة من أجهزة VPN القياسية. يجب أن تعمل جميع الأجهزة الموجودة في عائلات الأجهزة في القائمة التالية مع بوابات VPN. هذه هي الخوارزميات الموصى بها لتكوين جهازك.
| الخوارزميات الموصى بها | التشفيرات | تكامل البيانات | مجموعة DH |
|---|---|---|---|
| ايك | AES256 | SHA256 | DH2 |
| Ipsec | AES256GCM | AES256GCM | بلا |
للمساعدة في تكوين جهاز VPN، راجع الارتباطات التي تتوافق مع عائلة الأجهزة المناسبة. يتم توفير الارتباطات إلى إرشادات التكوين على أساس أفضل جهد ولا تحتاج الإعدادات الافتراضية المدرجة في دليل التكوين إلى احتواء أفضل خوارزميات التشفير. للحصول على دعم جهاز VPN، اتصل بالشركة المُصنعة لجهازك.
| المورد | عائلة الجهاز | إصدار نظام التشغيل الأدنى | تعليمات التكوين المُستندة إلى النهج | تعليمات التكوين المُستندة إلى المسار |
|---|---|---|---|---|
| A10 Networks, Inc. | Thunder CFW | ACOS 4.1.1 | غير متوافق | إرشاد التكوين |
| AhnLab | TrusGuard | TG 2.7.6 TG 3.5.x |
لم يُختبر | إرشاد التكوين |
| Allied Telesis | AR Series VPN Routers | AR-Series 5.4.7+ | إرشاد التكوين | إرشاد التكوين |
| Arista | CloudEOS Router | vEOS 4.24.0FX | لم يُختبر | إرشاد التكوين |
| Barracuda Networks, Inc. | جدار حماية Barracuda CloudGen | PolicyBased: 5.4.3 RouteBased: 6.2.0 |
إرشاد التكوين | إرشاد التكوين |
| نقطة التحقق | بوابة الأمان | R80.10 | إرشاد التكوين | إرشاد التكوين |
| Cisco | ASA | 8.3 8.4+ (IKEv2*) |
مدعوم | إرشاد التكوين* |
| Cisco | ASR | PolicyBased: IOS 15.1 RouteBased: IOS 15.2 |
مدعوم | مدعوم |
| Cisco | CSR | RouteBased: IOS-XE 16.10 | لم يُختبر | البرنامج النصي للتكوين |
| Cisco | ISR | PolicyBased: IOS 15.0 RouteBased*: IOS 15.1 |
مدعوم | مدعوم |
| Cisco | Meraki (MX) | MX v15.12 | غير متوافق | إرشاد التكوين |
| Cisco | vEdge (Viptela OS) | 18.4.0 (الوضع النشط/السلبي) | غير متوافق | التكوين اليدوي (نشط/سلبي) |
| Citrix | NetScaler MPX, SDX, VPX | 10.1 والإحدث | إرشاد التكوين | غير متوافق |
| F5 | سلسلة BIG-IP | 12.0 | إرشاد التكوين | إرشاد التكوين |
| Fortinet | FortiGate | FortiOS 5.6 | لم يُختبر | إرشاد التكوين |
| Fujitsu | سلسلة Si-R G | V04: V04.12 V20: V20.14 |
إرشاد التكوين | إرشاد التكوين |
| Hillstone Networks | جدران الحماية من الجيل التالي (NGFW) | 5.5R7 | لم يُختبر | إرشاد التكوين |
| HPE Aruba | Edge الاتصال بوابة SDWAN | إصدار ECOS الإصدار 9.2 نظام التشغيل المنسق v9.2 |
إرشاد التكوين | إرشاد التكوين |
| Internet Initiative Japan (IIJ) | SEIL Series | SEIL/X 4.60 SEIL/B1 4.60 SEIL/x86 3.20 |
إرشاد التكوين | غير متوافق |
| Juniper | SRX | PolicyBased: JunOS 10.2 Routebased: JunOS 11.4 |
مدعوم | البرنامج النصي للتكوين |
| Juniper | J-Series | PolicyBased: JunOS 10.4r9 RouteBased: JunOS 11.4 |
مدعوم | البرنامج النصي للتكوين |
| Juniper | ISG | ScreenOS 6.3 | مدعوم | البرنامج النصي للتكوين |
| Juniper | SSG | ScreenOS 6.2 | مدعوم | البرنامج النصي للتكوين |
| Juniper | MX | JunOS 12.x | مدعوم | البرنامج النصي للتكوين |
| Microsoft | خدمة التوجيه والوصول البعيد | Windows Server 2012 | غير متوافق | مدعوم |
| Open Systems AG | بوابة أمان التحكم في المهام | غير متوفر | مدعوم | غير متوافق |
| شبكات Palo Alto | جميع الأجهزة التي تعمل بنظام التشغيل PAN-OS | PAN-OS PolicyBased: 6.1.5 أو أحدث RouteBased: 7.1.4 |
مدعوم | إرشاد التكوين |
| Sentrium (المطور) | VyOS | VyOS 1.2.2 | لم يُختبر | إرشاد التكوين |
| ShareTech | الجيل التالي من UTM (سلسلة NU) | 9.0.1.3 | غير متوافق | إرشاد التكوين |
| SonicWall | TZ Series, NSA Series SuperMassive Series E-Class NSA Series |
SonicOS 5.8.x SonicOS 5.9.x SonicOS 6.x |
غير متوافق | إرشاد التكوين |
| Sophos | الجيل التالي لجدار الحماية XG | XG v17 | لم يُختبر | إرشاد التكوين إرشاد التكوين - وحدات SA متعددة |
| Synology | MR2200ac RT2600ac RT1900ac |
SRM1.1.5/VpnPlusServer-1.2.0 | لم يُختبر | إرشاد التكوين |
| Ubiquiti | EdgeRouter | EdgeOS v1.10 | لم يُختبر | BGP عبر IKEv2/IPsec VTI عبر IKEv2/IPsec |
| فائق | 3E-636L3 | 5.2.0.T3 Build-13 | لم يُختبر | إرشاد التكوين |
| WatchGuard | الكل | Fireware XTM PolicyBased: v11.11.x RouteBased: v11.12.x |
إرشاد التكوين | إرشاد التكوين |
| Zyxel | سلسلة ZyWALL USG سلسلة ZyWALL ATP سلسلة ZyWALL VPN |
ZLD v4.32+ | لم يُختبر | VTI عبر IKEv2/IPsec BGP عبر IKEv2/IPsec |
إشعار
(*) تضيف إصدارات Cisco ASA 8.4 وما فوق دعم IKEv2، ويمكنها الاتصال ببوابة Azure VPN باستخدام نهج IPsec / IKE المخصص مع خيار "UsePolicyBasedTrafficSelectors". ارجع إلى هذه المقالة الإرشادية.
(**) لا تدعم أجهزة التوجيه ISR 7200 Series إلا شبكات VPN المُستندة إلى النهج.
تنزيل البرامج النصية لتكوين جهاز VPN من Azure
بالنسبة لبعض الأجهزة، يمكنك تنزيل البرامج النصية للتكوين مباشرة من Azure. لمزيد من المعلومات ولتنيل الإرشادات، راجع تنزيل البرامج النصية لتكوين جهاز VPN.
أجهزة VPN غير المصادق عليها
إذا لم يظهر جهازك مدرجا في جدول أجهزة VPN التي تم التحقق من صحتها، فقد لا يزال جهازك يعمل مع اتصال من موقع إلى موقع. اتصل بالشركة المصنعة للجهاز للحصول على إرشادات الدعم والتكوين.
تحرير عينات تكوين الجهاز
بعد تنزيل عينة تكوين جهاز VPN المُقدمة، ستحتاج إلى استبدال بعض القيم لتعكس إعدادات بيئتك.
لتحرير عينة:
- افتح العينة باستخدام المفكرة.
- ابحث عن جميع السلاسل <text> واستبدلها بالقيم التي تتعلق ببيئتك. تأكد من تضمين < و >. عند تحديد اسم، يجب أن يكون الاسم الذي تحدده فريدًا. إذا لم ينجح الأمر، فراجع وثائق الشركة المصنعة لجهازك.
| نص العينة | يتغير إلى |
|---|---|
| <RP_OnPremisesNetwork> | الاسم الذي اخترته لهذا الكائن. مثال: myOnPremisesNetwork |
| <RP_AzureNetwork> | الاسم الذي اخترته لهذا الكائن. مثال: myAzureNetwork |
| <RP_AccessList> | الاسم الذي اخترته لهذا الكائن. مثال: myAzureAccessList |
| <RP_IPSecTransformSet> | الاسم الذي اخترته لهذا الكائن. مثال: myIPSecTransformSet |
| <RP_IPSecCryptoMap> | الاسم الذي اخترته لهذا الكائن. مثال: myIPSecCryptoMap |
| <SP_AzureNetworkIpRange> | حدد النطاق. مثال: 192.168.0.0 |
| <SP_AzureNetworkSubnetMask> | حدد قناع الشبكة الفرعية. مثال: 255.255.0.0 |
| <SP_OnPremisesNetworkIpRange> | حدد النطاق المحلي. مثال: 10.2.1.0 |
| <SP_OnPremisesNetworkSubnetMask> | حدد قناع الشبكة الفرعية المحلي. مثال: 255.255.255.0 |
| <SP_AzureGatewayIpAddress> | هذه المعلومات خاصة بشبكتك الظاهرية وتقع في "مدخل الإدارة" مثل عنوان IP للبوابة. |
| <SP_PresharedKey> | هذه المعلومات خاصة بشبكتك الظاهرية وتقع في "مدخل الإدارة" مثل مفتاح الإدارة. |
معلمات IPsec/IKE الافتراضية
تحتوي الجداول التالية على مجموعات من الخوارزميات والمعلمات التي تستخدمها بوابات Azure VPN في التكوين الافتراضي (النهج الافتراضية). بالنسبة إلى بوابات VPN المستندة إلى المسار التي تم إنشاؤها باستخدام نموذج توزيع Azure Resource Management، يمكنك تحديد نهج مُخصص على كل اتصال على حدى. راجع تكوين نهج IPsec/IKE للحصول على إرشادات مُفصلة.
بالإضافة إلى ذلك، يجب تثبيت TCP MSS على 1350. أو إذا كانت أجهزة VPN لا تدعم تثبيت MSS، فيمكنك بدلًا من ذلك تعيين MTU على واجهة النفق إلى 1400 بايت بدلًا من ذلك.
في الجداول التالية:
- SA = مجموعة أمان
- تسمى المرحلة 1 من IKE أيضًا "الوضع الرئيسي"
- تسمى المرحلة 2 من IKE أيضًا "الوضع السريع"
معلمات المرحلة 1 من IKE (الوضع الرئيسي)
| الخاصية | PolicyBased | RouteBased |
|---|---|---|
| إصدار IKE | IKEv1 | IKEv1 و IKEv2 |
| مجموعة Diffie-Hellman | المجموعة 2 (1024 بت) | المجموعة 2 (1024 بت) |
| أسلوب المصادقة | مفتاح مشترك مسبقًا | مفتاح مشترك مسبقًا |
| خوارزميات التشفير والتجزئة | 1. AES256, SHA256 2. AES256, SHA1 3. AES128, SHA1 4. 3DES, SHA1 |
1. AES256, SHA1 2. AES256, SHA256 3. AES128, SHA1 4. AES128, SHA256 5. 3DES, SHA1 6. 3DES, SHA256 |
| مدة بقاء SA | 28,800 ثانية | 28,800 ثانية |
| عدد SA للوضع السريع | 100 | 100 |
معلمات المرحلة 2 من IKE (الوضع السريع)
| الخاصية | PolicyBased | RouteBased |
|---|---|---|
| إصدار IKE | IKEv1 | IKEv1 و IKEv2 |
| خوارزميات التشفير والتجزئة | 1. AES256, SHA256 2. AES256, SHA1 3. AES128, SHA1 4. 3DES, SHA1 |
عروض QM SA مُستندة إلى المسار |
| مدة بقاء SA (الوقت) | 3,600 ثانية | 27,000 ثانية |
| مدة بقاء SA (بايت) | 102,400,000 كيلوبايت | 102,400,000 كيلوبايت |
| السرية التامة لإعادة التوجيه (PFS) | لا | عروض QM SA مُستندة إلى المسار |
| الكشف عن النظير الخامد (DPD) | غير مدعوم | مدعوم |
عروض مجموعة أمان VPN IPsec المُستندة إلى المسار (SA للوضع السريع IKE)
يسرد الجدول التالي عروض IPsec SA (الوضع السريع IKE). تُسرد العروض حسب ترتيب أفضلية تقديم العرض أو قبوله.
بوابة Azure كمُنشئ
| - | التشفير | المصادقة | مجموعة PFS |
|---|---|---|---|
| 1 | GCM AES256 | GCM (AES256) | بلا |
| 2 | AES256 | SHA1 | بلا |
| 3 | 3DES | SHA1 | بلا |
| 4 | AES256 | SHA256 | بلا |
| 5 | AES128 | SHA1 | بلا |
| 6 | 3DES | SHA256 | بلا |
بوابة Azure كمُستجيب
| - | التشفير | المصادقة | مجموعة PFS |
|---|---|---|---|
| 1 | GCM AES256 | GCM (AES256) | بلا |
| 2 | AES256 | SHA1 | بلا |
| 3 | 3DES | SHA1 | بلا |
| 4 | AES256 | SHA256 | بلا |
| 5 | AES128 | SHA1 | بلا |
| 6 | 3DES | SHA256 | بلا |
| 7 | DES | SHA1 | بلا |
| 8 | AES256 | SHA1 | 1 |
| 9 | AES256 | SHA1 | 2 |
| 10 | AES256 | SHA1 | 14 |
| 11 | AES128 | SHA1 | 1 |
| 12 | AES128 | SHA1 | 2 |
| 13 | AES128 | SHA1 | 14 |
| 14 | 3DES | SHA1 | 1 |
| 15 | 3DES | SHA1 | 2 |
| 16 | 3DES | SHA256 | 2 |
| 17 | AES256 | SHA256 | 1 |
| 18 | AES256 | SHA256 | 2 |
| 19 | AES256 | SHA256 | 14 |
| 20 | AES256 | SHA1 | 24 |
| 21 | AES256 | SHA256 | 24 |
| 22 | AES128 | SHA256 | بلا |
| 23 | AES128 | SHA256 | 1 |
| 24 | AES128 | SHA256 | 2 |
| 25 | AES128 | SHA256 | 14 |
| 26 | 3DES | SHA1 | 14 |
- يمكنك تحديد تشفير IPsec ESP NULL باستخدام بوابات VPN مُستندة إلى المسار وبوابات VPN عالية الأداء. لا يوفر التشفير المستند إلى القيمة الخالية حماية للبيانات أثناء النقل، ويجب استخدامه فقط عند الحاجة إلى الحد الأقصى لمعدل النقل والحد الأدنى منه. قد يختار العملاء استخدام هذا في سيناريوهات اتصال VNet-to-VNet، أو عند تطبيق التشفير في مكان آخر في الحل.
- للاتصال عبر أماكن العمل عبر الإنترنت، استخدم إعدادات بوابة Azure VPN الافتراضية مع خوارزميات التشفير والتجزئة المدرجة في الجداول السابقة لضمان أمان اتصالك الهام.
مشكلات توافق الأجهزة المعروفة
هام
هذه هي مشكلات التوافق المعروفة بين أجهزة VPN التابعة لجهات خارجية وبوابات Azure VPN. يعمل فريق Azure بنشاط مع الموردين لمعالجة المشكلات المُدرجة هنا. بمجرد حل المشكلات، ستُحدّث هذه الصفحة بأحدث المعلومات. يرجى التحقق مرة أخرى بشكل دوري.
16 فبراير 2017
أجهزة شبكات Palo Alto ذات الإصدار السابق لـ 7.1.4 لـ Azure VPN المستندة إلى مسار: إذا كنت تستخدم أجهزة VPN من شبكات Palo Alto مع إصدار PAN-OS السابق لإصدار 7.1.4 وتواجه مشكلات في الاتصال ببوابات VPN المستندة إلى مسار Azure، فقم بتنفيذ الخطوات التالية:
- تحقق من إصدار البرنامج الثابت لجهاز شبكات Palo Alto. إذا كان إصدار PAN-OS أقدم من الإصدار 7.1.4، فقم بالترقية إلى الإصدار 7.1.4.
- على جهاز شبكات Palo Alto، غيّر مدة بقاء المرحلة 2 من SA (أو الوضع السريع من SA) إلى 28800 ثانية (8 ساعات) عند الاتصال ببوابة Azure VPN.
- إذا كنت لا تزال تواجه مشكلات في الاتصال، فافتح طلب دعم من مدخل Microsoft Azure.