Poznámka
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Pro konfiguraci připojení VPN typu Site-to-Site (S2S) mezi různými místy pomocí brány VPN Gateway je potřeba zařízení VPN. Připojení typu Site-to-Site lze použít k vytvoření hybridního řešení, nebo kdykoli chcete zabezpečit připojení mezi místními a virtuálními sítěmi. Tento článek obsahuje seznam ověřených zařízení VPN a seznam parametrů protokolu IPsec/IKE pro brány VPN.
Při procházení tabulek si všimněte:
- Pro brány Azure VPN gateway došlo ke změnám terminologie. Změnily se jenom názvy. Nedojde ke změně funkčnosti.
- Statické směrování = Směrování podle politiky
- Dynamické směrování = RouteBased
- Specifikace pro vysokovýkonné brány VPN a brány VPN typu RouteBased jsou stejné, není-li uvedeno jinak. Například ověřená zařízení VPN, která jsou kompatibilní s bránami VPN typu RouteBased, budou kompatibilní také s vysokovýkonnou bránou VPN.
Ověřená zařízení VPN a průvodci konfigurací zařízení
Ve spolupráci s dodavateli zařízení jsme ověřili sadu standardních zařízení VPN. Všechna zařízení v řadách zařízení v následujícím seznamu by měla fungovat s bránami VPN. Toto jsou doporučené algoritmy pro konfiguraci zařízení.
| Doporučené algoritmy | Šifrování | Integrita | Skupina DH |
|---|---|---|---|
| IKE | AES256 | SHA256 | DH2 |
| IPsec | AES256GCM | AES256GCM | Žádné |
Pokud chcete pomoct s konfigurací zařízení VPN, projděte si odkazy, které odpovídají příslušné rodině zařízení. Odkazy na pokyny ke konfiguraci jsou poskytovány na základě maximálního úsilí a výchozí hodnoty uvedené v průvodci konfigurací nemusí obsahovat nejlepší kryptografické algoritmy. Pro podporu zařízení VPN kontaktujte výrobce zařízení.
| Dodavatel | Řada zařízení | Minimální verze operačního systému | Pokyny ke konfiguraci PolicyBased | Pokyny ke konfiguraci RouteBased |
|---|---|---|---|---|
| A10 Networks, Inc. | Thunder Custom Firmware | ACOS 4.1.1 | Není kompatibilní | Průvodce konfigurací |
| AhnLab | TrusGuard | TG 2.7.6 TG 3.5.x |
Neotestováno | Průvodce konfigurací |
| Allied Telesis | Směrovače VPN řady AR | AR-Series 5.4.7+ | Průvodce konfigurací | Průvodce konfigurací |
| Osina | Směrovač CloudEOS | vEOS 4.24.0FX | Neotestováno | Průvodce konfigurací |
| Barracuda Networks, Inc. | Barracuda CloudGen Firewall | Na základě zásad: 5.4.3 RouteBased: 6.2.0 |
Průvodce konfigurací | Průvodce konfigurací |
| Kontrolní bod | Bezpečnostní brána | R80.10 | Průvodce konfigurací | Průvodce konfigurací |
| Síh | ASA | 8.3 8.4+ (IKEv2*) |
Podporováno | Průvodce konfigurací* |
| Síh | Automatické rozpoznávání řeči | PolicyBased: iOS 15.1 RouteBased: iOS 15.2 |
Podporováno | Podporováno |
| Síh | Společenská odpovědnost firem | RouteBased: IOS-XE 16.10 | Neotestováno | Konfigurační skript |
| Síh | ISR | PolicyBased: iOS 15.0 RouteBased*: iOS 15.1 |
Podporováno | Podporováno |
| Síh | Meraki (MX) | MX v15.12 | Není kompatibilní | Průvodce konfigurací |
| Síh | vEdge (viptela OS) | 18.4.0 (aktivní/pasivní režim) | Není kompatibilní | Ruční konfigurace (aktivní/pasivní) |
| Citrix | NetScaler MPX, SDX, VPX | 10.1 a novější | Průvodce konfigurací | Není kompatibilní |
| Clona F5 | série BIG-IP | 12.0 | Průvodce konfigurací | Průvodce konfigurací |
| Fortinet | FortiGate | FortiOS 5.6 | Neotestováno | Průvodce konfigurací |
| Fsas Technologies | Řada Si-R G | V04: V04.12 V20: V20.14 |
Průvodce konfigurací | Průvodce konfigurací |
| Hillstone Networks | Firewall nové generace (NGFW) | 5.5R7 | Neotestováno | Průvodce konfigurací |
| HPE Aruba | Brána EdgeConnect SDWAN | ECOS Release v9.2 Orchestrator OS v9.2 |
Průvodce konfigurací | Průvodce konfigurací |
| Internet Initiative Japan (IIJ) | Řada SEIL | SEIL/X 4.60 SEIL/B1 4.60 SEIL/x86 3.20 |
Průvodce konfigurací | Není kompatibilní |
| Jalovec | SRX | PolicyBased: JunOS 10.2 Routebased: JunOS 11.4 |
Podporováno | Konfigurační skript |
| Jalovec | Řada J | PolicyBased: JunOS 10.4r9 RouteBased: JunOS 11.4 |
Podporováno | Konfigurační skript |
| Jalovec | ISG | ScreenOS 6.3 | Podporováno | Konfigurační skript |
| Jalovec | SSG | ScreenOS 6.2 | Podporováno | Konfigurační skript |
| Jalovec | MX | JunOS 12.x | Podporováno | Konfigurační skript |
| Microsoft | Služba Směrování a vzdálený přístup | Windows Server 2012 | Není kompatibilní | Podporováno |
| Open Systems AG | Řídicí Středisko Bezpečnostní Brána | Není k dispozici | Podporováno | Není kompatibilní |
| Palo Alto Networks | Všechna zařízení se systémem PAN-OS | PAN-OS PolicyBased: 6.1.5 nebo novější RouteBased: 7.1.4 |
Podporováno | Průvodce konfigurací |
| Sentrium (vývojář) | VyOS | VyOS 1.2.2 | Neotestováno | Průvodce konfigurací |
| ShareTech | UTM příští generace (řada NU) | 9.0.1.3 | Není kompatibilní | Průvodce konfigurací |
| SonicWall | Řada TZ, řada NSA Řada SuperMassive Řada E-Class NSA |
SonicOS 5.8.x SonicOS 5.9.x SonicOS 6.x |
Není kompatibilní | Průvodce konfigurací |
| Sophos | XG Next Gen Firewall | XG v17 | Neotestováno |
Průvodce konfigurací Průvodce konfigurací – několik SA |
| Synology | MR2200ac RT2600ac RT1900ac |
SRM1.1.5/VpnPlusServer-1.2.0 | Neotestováno | Průvodce konfigurací |
| Ubiquiti | EdgeRouter | EdgeOS v1.10 | Neotestováno |
Protokol BGP přes protokol IKEv2/IPsec VTI přes protokol IKEv2/IPsec |
| Ultra | 3E-636L3 | 5.2.0.T3 build-13 | Neotestováno | Průvodce konfigurací |
| WatchGuard | Vše | Fireware XTM PolicyBased: v11.11.x RouteBased: v11.12.x |
Průvodce konfigurací | Průvodce konfigurací |
| Zyxel | Řada ZyWALL USG Řada ZyWALL ATP Řada ZyWALL VPN |
ZLD v4.32 nebo novější | Neotestováno |
VTI přes protokol IKEv2/IPsec Protokol BGP přes protokol IKEv2/IPsec |
Poznámka:
(*) Cisco ASA verze 8.4+ přidávají podporu IKEv2 a umožňují připojení ke službě Azure VPN Gateway pomocí vlastních zásad IPsec/IKE s možností UsePolicyBasedTrafficSelectors. Další informace najdete v tomto článku s postupem.
(**) Směrovače řady ISR 7200 podporují jenom sítě VPN typu PolicyBased.
Stažení konfiguračních skriptů zařízení VPN z Azure
U některých zařízení si můžete konfigurační skripty stáhnout přímo z Azure. Další informace a pokyny ke stažení najdete v tématu Stažení konfiguračních skriptů zařízení VPN.
Nevalidovaná zařízení VPN
Pokud se vaše zařízení nezobrazuje v tabulce Ověřená zařízení VPN, může vaše zařízení dál fungovat s připojením typu Site-to-Site. Pokud potřebujete pokyny pro podporu a konfiguraci, obraťte se na výrobce zařízení.
Úprava vzorů konfigurace zařízení
Po stažení ukázky konfigurace zařízení VPN budete muset nahradit některé hodnoty tak, aby odpovídaly nastavení vašeho prostředí.
Postup úpravy ukázky:
- Otevřete ukázku pomocí Poznámkového bloku.
- Vyhledejte a nahraďte všechny <textové> řetězce hodnotami, které se týkají vašeho prostředí. Nezapomeňte zahrnout < a >. Když je název zadán, ten, který vyberete, by měl být jedinečný. Pokud příkaz nefunguje, projděte si dokumentaci výrobce zařízení.
| Ukázkový text | Změňte na |
|---|---|
| <RP_OnPremisesNetwork> | Zvolený název pro tento objekt. Příklad: myOnPremisesNetwork |
| <RP_AzureNetwork> | Zvolený název pro tento objekt. Příklad: myAzureNetwork |
| <Seznam_přístupů_RP> | Zvolený název pro tento objekt. Příklad: myAzureAccessList |
| <RP_IPSecTransformSet> | Zvolený název pro tento objekt. Příklad: myIPSecTransformSet |
| <RP_IPSecCryptoMap> | Zvolený název pro tento objekt. Příklad: myIPSecCryptoMap |
| <SP_AzureNetworkIpRange> | Zadejte rozsah. Příklad: 192.168.0.0 |
| <SP_AzureNetworkSubnetMask> | Zadejte masku podsítě. Příklad: 255.255.0.0 |
| <SP_OnPremisesNetworkIpRange> | Zadejte rozsah na místě. Příklad: 10.2.1.0 |
| <SP_OnPremisesNetworkSubnetMask> | Zadejte masku lokální podsítě. Příklad: 255.255.255.0 |
| <SP_AzureGatewayIpAddress> | Tato informace je specifická pro vaši virtuální síť a najdete ji v Portálu pro správu jako IP adresa brány. |
| <SP_PredemnastavenýKód> | Tato informace je specifická pro vaši virtuální síť a najdete ji v Portálu pro správu jako Správa klíče. |
Výchozí parametry protokolu IPsec/IKE
Následující tabulky obsahují kombinace algoritmů a parametrů, které brány Azure VPN gateway používají ve výchozí konfiguraci (výchozí zásady). Pro brány sítě VPN založené na trasách a vytvořené pomocí modelu nasazení správy prostředků Azure můžete zadat vlastní zásadu pro každé jednotlivé připojení. Podrobné pokyny najdete v tématu Konfigurace zásad IPsec/IKE.
V následujících tabulkách:
- SA = Asociace zabezpečení.
- IKE fáze 1 se také nazývá „hlavní režim“.
- IKE fáze 2 se také nazývá „rychlý režim“.
Parametry protokolu IKE fáze 1 (hlavní režim)
| Vlastnost | PolicyBased | RouteBased |
|---|---|---|
| IKE verze | IKEv1 | IKEv1 a IKEv2 |
| Skupina Diffie-Hellman | Skupina 2 (1 024 bitů) | Skupina 2 (1 024 bitů) |
| Metoda ověřování | Předsdílený klíč | Předsdílený klíč |
| Algoritmy šifrování a hash | 1. AES256, SHA256 2. AES256, SHA1 3. AES128, SHA1 4. 3DES, SHA1 |
1. AES256, SHA1 2. AES256, SHA256 3. AES128, SHA1 4. AES128, SHA256 5. 3DES, SHA1 6. 3DES, SHA256 |
| Životnost servisní smlouvy (SA) | 28 800 sekund | 28 800 sekund |
| Počet rychlých SA režimů | 100 | 100 |
Parametry protokolu IKE fáze 2 (rychlý režim)
| Vlastnost | PolicyBased | RouteBased |
|---|---|---|
| IKE verze | IKEv1 | IKEv1 a IKEv2 |
| Algoritmy šifrování a hash | 1. AES256, SHA256 2. AES256, SHA1 3. AES128, SHA1 4. 3DES, SHA1 |
Nabídky RouteBased QM SA |
| SA Doba života (Čas) | 3 600 sekund | 27 000 sekund |
| Doba života SA (bajty) | 102 400 000 kB | 102 400 000 kB |
| Metoda Perfect Forward Secrecy (PFS) | Ne | Nabídky RouteBased QM SA |
| Detekce mrtvých uzlů (DPD) | Nepodporováno | Podporováno |
Azure VPN Gateway TCP omezení MSS
Omezování MSS se provádí obousměrně ve službě Azure VPN Gateway. Následující tabulka uvádí velikost paketů v různých scénářích.
| Tok paketů | IPv4 | IPv6 |
|---|---|---|
| Přes internet | 1360 bajtů | 1340 bajtů |
| Přes bránu ExpressRoute | 1250 bajtů | 1250 bajtů |
Nabídky VPN typu RouteBased s IPsec pro zabezpečení (IKE Quick Mode SA)
Následující tabulka uvádí nabídky IPsec SA (rychlý režim IKE). Nabídky jsou uvedeny v pořadí podle preference jejich předávání nebo přijímání.
Služba Azure Gateway jako iniciátor
| - | Šifrování | Ověřování | Skupina PFS |
|---|---|---|---|
| 1 | GCM AES256 | GCM (AES256) | Žádné |
| 2 | AES256 | SHA1 | Žádné |
| 3 | 3DES | SHA1 | Žádné |
| 4 | AES256 | SHA256 | Žádné |
| 5 | AES128 | SHA1 | Žádné |
| 6 | 3DES | SHA256 | Žádné |
Služba Azure Gateway jako respondér
| - | Šifrování | Ověřování | Skupina PFS |
|---|---|---|---|
| 1 | GCM AES256 | GCM (AES256) | Žádné |
| 2 | AES256 | SHA1 | Žádné |
| 3 | 3DES | SHA1 | Žádné |
| 4 | AES256 | SHA256 | Žádné |
| 5 | AES128 | SHA1 | Žádné |
| 6 | 3DES | SHA256 | Žádné |
| 7 | standard šifrování dat (DES) | SHA1 | Žádné |
| 8 | AES256 | SHA1 | 1 |
| 9 | AES256 | SHA1 | 2 |
| 10 | AES256 | SHA1 | 14 |
| 11 | AES128 | SHA1 | 1 |
| 12 | AES128 | SHA1 | 2 |
| 13 | AES128 | SHA1 | 14 |
| 14 | 3DES | SHA1 | 1 |
| 15 | 3DES | SHA1 | 2 |
| 16 | 3DES | SHA256 | 2 |
| 17 | AES256 | SHA256 | 1 |
| 18 | AES256 | SHA256 | 2 |
| 19 | AES256 | SHA256 | 14 |
| 20 | AES256 | SHA1 | dvacet čtyři |
| 21 | AES256 | SHA256 | dvacet čtyři |
| 22 | AES128 | SHA256 | Žádné |
| dvacet tři | AES128 | SHA256 | 1 |
| dvacet čtyři | AES128 | SHA256 | 2 |
| 25 | AES128 | SHA256 | 14 |
| 26 | 3DES | SHA1 | 14 |
- Můžete zadat šifrování NULL pomocí IPsec ESP u vysokovýkonných bran VPN a bran VPN typu RouteBased. Šifrování založené na hodnotě Null neposkytuje ochranu přenášených dat a mělo by se používat jenom v případě, že je vyžadována maximální propustnost a minimální latence. Klienti se můžou rozhodnout tuto možnost použít ve scénářích komunikace typu VNet-to-VNet nebo při použití šifrování jinde v řešení.
- Pro připojení mezi místy přes internet použijte výchozí nastavení brány Azure VPN s algoritmy šifrování a hash, které jsou uvedené v předchozích tabulkách, abyste zajistili zabezpečení kritické komunikace.