Sdílet prostřednictvím


Informace o zařízeních VPN a parametrech protokolu IPsec/IKE pro připojení typu Site-to-Site ke službě VPN Gateway

Pro konfiguraci připojení VPN typu Site-to-Site (S2S) mezi různými místy pomocí brány VPN Gateway je potřeba zařízení VPN. Připojení typu Site-to-Site lze použít k vytvoření hybridního řešení, nebo kdykoli chcete zabezpečit připojení mezi místními a virtuálními sítěmi. Tento článek obsahuje seznam ověřených zařízení VPN a seznam parametrů protokolu IPsec/IKE pro brány VPN.

Při procházení tabulek si všimněte:

  • Pro brány Azure VPN gateway došlo ke změnám terminologie. Změnily se jenom názvy. Nedojde ke změně funkčnosti.
    • Statické směrování = Směrování podle politiky
    • Dynamické směrování = RouteBased
  • Specifikace pro vysokovýkonné brány VPN a brány VPN typu RouteBased jsou stejné, není-li uvedeno jinak. Například ověřená zařízení VPN, která jsou kompatibilní s bránami VPN typu RouteBased, budou kompatibilní také s vysokovýkonnou bránou VPN.

Ověřená zařízení VPN a průvodci konfigurací zařízení

Ve spolupráci s dodavateli zařízení jsme ověřili sadu standardních zařízení VPN. Všechna zařízení v řadách zařízení v následujícím seznamu by měla fungovat s bránami VPN. Toto jsou doporučené algoritmy pro konfiguraci zařízení.

Doporučené algoritmy Šifrování Integrita Skupina DH
IKE AES256 SHA256 DH2
IPsec AES256GCM AES256GCM Žádné

Pokud chcete pomoct s konfigurací zařízení VPN, projděte si odkazy, které odpovídají příslušné rodině zařízení. Odkazy na pokyny ke konfiguraci jsou poskytovány na základě maximálního úsilí a výchozí hodnoty uvedené v průvodci konfigurací nemusí obsahovat nejlepší kryptografické algoritmy. Pro podporu zařízení VPN kontaktujte výrobce zařízení.

Dodavatel Řada zařízení Minimální verze operačního systému Pokyny ke konfiguraci PolicyBased Pokyny ke konfiguraci RouteBased
A10 Networks, Inc. Thunder Custom Firmware ACOS 4.1.1 Není kompatibilní Průvodce konfigurací
AhnLab TrusGuard TG 2.7.6
TG 3.5.x
Neotestováno Průvodce konfigurací
Allied Telesis Směrovače VPN řady AR AR-Series 5.4.7+ Průvodce konfigurací Průvodce konfigurací
Osina Směrovač CloudEOS vEOS 4.24.0FX Neotestováno Průvodce konfigurací
Barracuda Networks, Inc. Barracuda CloudGen Firewall Na základě zásad: 5.4.3
RouteBased: 6.2.0
Průvodce konfigurací Průvodce konfigurací
Kontrolní bod Bezpečnostní brána R80.10 Průvodce konfigurací Průvodce konfigurací
Síh ASA 8.3
8.4+ (IKEv2*)
Podporováno Průvodce konfigurací*
Síh Automatické rozpoznávání řeči PolicyBased: iOS 15.1
RouteBased: iOS 15.2
Podporováno Podporováno
Síh Společenská odpovědnost firem RouteBased: IOS-XE 16.10 Neotestováno Konfigurační skript
Síh ISR PolicyBased: iOS 15.0
RouteBased*: iOS 15.1
Podporováno Podporováno
Síh Meraki (MX) MX v15.12 Není kompatibilní Průvodce konfigurací
Síh vEdge (viptela OS) 18.4.0 (aktivní/pasivní režim) Není kompatibilní Ruční konfigurace (aktivní/pasivní)
Citrix NetScaler MPX, SDX, VPX 10.1 a novější Průvodce konfigurací Není kompatibilní
Clona F5 série BIG-IP 12.0 Průvodce konfigurací Průvodce konfigurací
Fortinet FortiGate FortiOS 5.6 Neotestováno Průvodce konfigurací
Fsas Technologies Řada Si-R G V04: V04.12
V20: V20.14
Průvodce konfigurací Průvodce konfigurací
Hillstone Networks Firewall nové generace (NGFW) 5.5R7 Neotestováno Průvodce konfigurací
HPE Aruba Brána EdgeConnect SDWAN ECOS Release v9.2
Orchestrator OS v9.2
Průvodce konfigurací Průvodce konfigurací
Internet Initiative Japan (IIJ) Řada SEIL SEIL/X 4.60
SEIL/B1 4.60
SEIL/x86 3.20
Průvodce konfigurací Není kompatibilní
Jalovec SRX PolicyBased: JunOS 10.2
Routebased: JunOS 11.4
Podporováno Konfigurační skript
Jalovec Řada J PolicyBased: JunOS 10.4r9
RouteBased: JunOS 11.4
Podporováno Konfigurační skript
Jalovec ISG ScreenOS 6.3 Podporováno Konfigurační skript
Jalovec SSG ScreenOS 6.2 Podporováno Konfigurační skript
Jalovec MX JunOS 12.x Podporováno Konfigurační skript
Microsoft Služba Směrování a vzdálený přístup Windows Server 2012 Není kompatibilní Podporováno
Open Systems AG Řídicí Středisko Bezpečnostní Brána Není k dispozici Podporováno Není kompatibilní
Palo Alto Networks Všechna zařízení se systémem PAN-OS PAN-OS
PolicyBased: 6.1.5 nebo novější
RouteBased: 7.1.4
Podporováno Průvodce konfigurací
Sentrium (vývojář) VyOS VyOS 1.2.2 Neotestováno Průvodce konfigurací
ShareTech UTM příští generace (řada NU) 9.0.1.3 Není kompatibilní Průvodce konfigurací
SonicWall Řada TZ, řada NSA
Řada SuperMassive
Řada E-Class NSA
SonicOS 5.8.x
SonicOS 5.9.x
SonicOS 6.x
Není kompatibilní Průvodce konfigurací
Sophos XG Next Gen Firewall XG v17 Neotestováno Průvodce konfigurací

Průvodce konfigurací – několik SA
Synology MR2200ac
RT2600ac
RT1900ac
SRM1.1.5/VpnPlusServer-1.2.0 Neotestováno Průvodce konfigurací
Ubiquiti EdgeRouter EdgeOS v1.10 Neotestováno Protokol BGP přes protokol IKEv2/IPsec

VTI přes protokol IKEv2/IPsec
Ultra 3E-636L3 5.2.0.T3 build-13 Neotestováno Průvodce konfigurací
WatchGuard Vše Fireware XTM
PolicyBased: v11.11.x
RouteBased: v11.12.x
Průvodce konfigurací Průvodce konfigurací
Zyxel Řada ZyWALL USG
Řada ZyWALL ATP
Řada ZyWALL VPN
ZLD v4.32 nebo novější Neotestováno VTI přes protokol IKEv2/IPsec

Protokol BGP přes protokol IKEv2/IPsec

Poznámka:

(*) Cisco ASA verze 8.4+ přidávají podporu IKEv2 a umožňují připojení ke službě Azure VPN Gateway pomocí vlastních zásad IPsec/IKE s možností UsePolicyBasedTrafficSelectors. Další informace najdete v tomto článku s postupem.

(**) Směrovače řady ISR 7200 podporují jenom sítě VPN typu PolicyBased.

Stažení konfiguračních skriptů zařízení VPN z Azure

U některých zařízení si můžete konfigurační skripty stáhnout přímo z Azure. Další informace a pokyny ke stažení najdete v tématu Stažení konfiguračních skriptů zařízení VPN.

Nevalidovaná zařízení VPN

Pokud se vaše zařízení nezobrazuje v tabulce Ověřená zařízení VPN, může vaše zařízení dál fungovat s připojením typu Site-to-Site. Pokud potřebujete pokyny pro podporu a konfiguraci, obraťte se na výrobce zařízení.

Úprava vzorů konfigurace zařízení

Po stažení ukázky konfigurace zařízení VPN budete muset nahradit některé hodnoty tak, aby odpovídaly nastavení vašeho prostředí.

Postup úpravy ukázky:

  1. Otevřete ukázku pomocí Poznámkového bloku.
  2. Vyhledejte a nahraďte všechny <textové> řetězce hodnotami, které se týkají vašeho prostředí. Nezapomeňte zahrnout < a >. Když je název zadán, ten, který vyberete, by měl být jedinečný. Pokud příkaz nefunguje, projděte si dokumentaci výrobce zařízení.
Ukázkový text Změňte na
<RP_OnPremisesNetwork> Zvolený název pro tento objekt. Příklad: myOnPremisesNetwork
<RP_AzureNetwork> Zvolený název pro tento objekt. Příklad: myAzureNetwork
<Seznam_přístupů_RP> Zvolený název pro tento objekt. Příklad: myAzureAccessList
<RP_IPSecTransformSet> Zvolený název pro tento objekt. Příklad: myIPSecTransformSet
<RP_IPSecCryptoMap> Zvolený název pro tento objekt. Příklad: myIPSecCryptoMap
<SP_AzureNetworkIpRange> Zadejte rozsah. Příklad: 192.168.0.0
<SP_AzureNetworkSubnetMask> Zadejte masku podsítě. Příklad: 255.255.0.0
<SP_OnPremisesNetworkIpRange> Zadejte rozsah na místě. Příklad: 10.2.1.0
<SP_OnPremisesNetworkSubnetMask> Zadejte masku lokální podsítě. Příklad: 255.255.255.0
<SP_AzureGatewayIpAddress> Tato informace je specifická pro vaši virtuální síť a najdete ji v Portálu pro správu jako IP adresa brány.
<SP_PredemnastavenýKód> Tato informace je specifická pro vaši virtuální síť a najdete ji v Portálu pro správu jako Správa klíče.

Výchozí parametry protokolu IPsec/IKE

Následující tabulky obsahují kombinace algoritmů a parametrů, které brány Azure VPN gateway používají ve výchozí konfiguraci (výchozí zásady). Pro brány sítě VPN založené na trasách a vytvořené pomocí modelu nasazení správy prostředků Azure můžete zadat vlastní zásadu pro každé jednotlivé připojení. Podrobné pokyny najdete v tématu Konfigurace zásad IPsec/IKE.

V následujících tabulkách:

  • SA = Asociace zabezpečení.
  • IKE fáze 1 se také nazývá „hlavní režim“.
  • IKE fáze 2 se také nazývá „rychlý režim“.

Parametry protokolu IKE fáze 1 (hlavní režim)

Vlastnost PolicyBased RouteBased
IKE verze IKEv1 IKEv1 a IKEv2
Skupina Diffie-Hellman Skupina 2 (1 024 bitů) Skupina 2 (1 024 bitů)
Metoda ověřování Předsdílený klíč Předsdílený klíč
Algoritmy šifrování a hash 1. AES256, SHA256
2. AES256, SHA1
3. AES128, SHA1
4. 3DES, SHA1
1. AES256, SHA1
2. AES256, SHA256
3. AES128, SHA1
4. AES128, SHA256
5. 3DES, SHA1
6. 3DES, SHA256
Životnost servisní smlouvy (SA) 28 800 sekund 28 800 sekund
Počet rychlých SA režimů 100 100

Parametry protokolu IKE fáze 2 (rychlý režim)

Vlastnost PolicyBased RouteBased
IKE verze IKEv1 IKEv1 a IKEv2
Algoritmy šifrování a hash 1. AES256, SHA256
2. AES256, SHA1
3. AES128, SHA1
4. 3DES, SHA1
Nabídky RouteBased QM SA
SA Doba života (Čas) 3 600 sekund 27 000 sekund
Doba života SA (bajty) 102 400 000 kB 102 400 000 kB
Metoda Perfect Forward Secrecy (PFS) Ne Nabídky RouteBased QM SA
Detekce mrtvých uzlů (DPD) Nepodporováno Podporováno

Azure VPN Gateway TCP omezení MSS

Omezování MSS se provádí obousměrně ve službě Azure VPN Gateway. Následující tabulka uvádí velikost paketů v různých scénářích.

Tok paketů IPv4 IPv6
Přes internet 1360 bajtů 1340 bajtů
Přes bránu ExpressRoute 1250 bajtů 1250 bajtů

Nabídky VPN typu RouteBased s IPsec pro zabezpečení (IKE Quick Mode SA)

Následující tabulka uvádí nabídky IPsec SA (rychlý režim IKE). Nabídky jsou uvedeny v pořadí podle preference jejich předávání nebo přijímání.

Služba Azure Gateway jako iniciátor

- Šifrování Ověřování Skupina PFS
1 GCM AES256 GCM (AES256) Žádné
2 AES256 SHA1 Žádné
3 3DES SHA1 Žádné
4 AES256 SHA256 Žádné
5 AES128 SHA1 Žádné
6 3DES SHA256 Žádné

Služba Azure Gateway jako respondér

- Šifrování Ověřování Skupina PFS
1 GCM AES256 GCM (AES256) Žádné
2 AES256 SHA1 Žádné
3 3DES SHA1 Žádné
4 AES256 SHA256 Žádné
5 AES128 SHA1 Žádné
6 3DES SHA256 Žádné
7 standard šifrování dat (DES) SHA1 Žádné
8 AES256 SHA1 1
9 AES256 SHA1 2
10 AES256 SHA1 14
11 AES128 SHA1 1
12 AES128 SHA1 2
13 AES128 SHA1 14
14 3DES SHA1 1
15 3DES SHA1 2
16 3DES SHA256 2
17 AES256 SHA256 1
18 AES256 SHA256 2
19 AES256 SHA256 14
20 AES256 SHA1 dvacet čtyři
21 AES256 SHA256 dvacet čtyři
22 AES128 SHA256 Žádné
dvacet tři AES128 SHA256 1
dvacet čtyři AES128 SHA256 2
25 AES128 SHA256 14
26 3DES SHA1 14
  • Můžete zadat šifrování NULL pomocí IPsec ESP u vysokovýkonných bran VPN a bran VPN typu RouteBased. Šifrování založené na hodnotě Null neposkytuje ochranu přenášených dat a mělo by se používat jenom v případě, že je vyžadována maximální propustnost a minimální latence. Klienti se můžou rozhodnout tuto možnost použít ve scénářích komunikace typu VNet-to-VNet nebo při použití šifrování jinde v řešení.
  • Pro připojení mezi místy přes internet použijte výchozí nastavení brány Azure VPN s algoritmy šifrování a hash, které jsou uvedené v předchozích tabulkách, abyste zajistili zabezpečení kritické komunikace.