Informacje na temat urządzeń sieci VPN i parametrów protokołu IPsec/IKE dla połączeń VPN Gateway typu lokacja-lokacja
Urządzenie sieci VPN jest niezbędne do skonfigurowania połączenia sieci VPN typu lokacja-lokacja obejmującego wiele lokalizacji (S2S) przy użyciu bramy sieci VPN. Połączeń typu lokacja-lokacja można używać do tworzenia rozwiązań hybrydowych oraz bezpiecznych połączeń między sieciami lokalnymi i wirtualnymi. Ten artykuł zawiera listę zweryfikowanych urządzeń sieci VPN oraz listę parametrów protokołu IPsec/IKE dla bram sieci VPN.
Ważne
Jeśli występują problemy z połączeniem między lokalnymi urządzeniami sieci VPN i bramami sieci VPN, zapoznaj się z sekcją Znane problemy dotyczące zgodności urządzeń.
Kwestie, które należy wziąć pod uwagę podczas przeglądania tabeli:
- Nastąpiła zmiana terminologii w zakresie bram Azure VPN Gateway. Zmianie uległy tylko nazwy. Nie ma żadnych zmian funkcji.
- Routing statyczny = PolicyBased
- Routing dynamiczny = RouteBased
- Specyfikacje dotyczące bramy VPN typu HighPerformance i bramy VPN typu RouteBased są takie same, o ile nie określono inaczej. Na przykład zweryfikowane urządzenia sieci VPN, które są zgodne z bramami sieci VPN typu RouteBased, są również zgodne z bramą sieci VPN typu HighPerformance.
Zweryfikowane urządzenia sieci VPN i przewodniki konfiguracji urządzenia
We współpracy z dostawcami urządzeń zweryfikowaliśmy szereg standardowych urządzeń sieci VPN. Wszystkie urządzenia z rodzin znajdujących się na poniższej liście powinny współpracować z bramami sieci VPN. Są to zalecane algorytmy konfiguracji urządzenia.
| Zalecane algorytmy | Szyfrowania | Integralność | Grupa DH |
|---|---|---|---|
| IKE | AES256 | SHA256 | DH2 |
| IPsec | AES256GCM | AES256GCM | Brak |
Aby ułatwić skonfigurowanie urządzenia sieci VPN, zapoznaj się z linkami odpowiadającymi odpowiedniej rodzinie urządzeń. Linki do instrukcji konfiguracji są udostępniane na podstawie najlepszych wysiłków, a wartości domyślne wymienione w przewodniku konfiguracji nie muszą zawierać najlepszych algorytmów kryptograficznych. W celu uzyskania pomocy technicznej w zakresie urządzenia sieci VPN należy skontaktować się z jego producentem.
| Dostawca | Rodzina urządzeń | Minimalna wersja systemu operacyjnego | Instrukcje dotyczące konfiguracji typu PolicyBased | Instrukcje dotyczące konfiguracji typu RouteBased |
|---|---|---|---|---|
| A10 Networks, Inc. | Thunder CFW | ACOS 4.1.1 | Niezgodne | Przewodnik po konfiguracji |
| Ahnlab | TrusGuard | TG 2.7.6 TG 3.5.x |
Nie przetestowano | Przewodnik po konfiguracji |
| Allied Telesis | Routery sieci VPN z serii AR | SERIA AR 5.4.7+ | Przewodnik po konfiguracji | Przewodnik po konfiguracji |
| Arista | CloudEOS Router | vEOS 4.24.0FX | Nie przetestowano | Przewodnik po konfiguracji |
| Barracuda Networks, Inc. | Barracuda CloudGen Firewall | PolicyBased: 5.4.3 RouteBased: 6.2.0 |
Przewodnik po konfiguracji | Przewodnik po konfiguracji |
| Check Point | Security Gateway | R80.10 | Przewodnik po konfiguracji | Przewodnik po konfiguracji |
| Cisco | ASA | 8.3 8.4+ (IKEv2*) |
Obsługiwane | Przewodnik po konfiguracji* |
| Cisco | ASR | PolicyBased: IOS 15.1 RouteBased: IOS 15.2 |
Obsługiwane | Obsługiwane |
| Cisco | CSR | RouteBased: IOS-XE 16.10 | Nie przetestowano | Skrypt konfiguracji |
| Cisco | ISR | PolicyBased: IOS 15.0 RouteBased*: IOS 15.1 |
Obsługiwane | Obsługiwane |
| Cisco | Meraki (MX) | MX v15.12 | Niezgodne | Przewodnik po konfiguracji |
| Cisco | vEdge (Viptela OS) | 18.4.0 (tryb aktywny/pasywny) | Niezgodne | Konfiguracja ręczna (aktywna/pasywna) |
| Citrix | NetScaler MPX, SDX, VPX | 10.1 i nowsze | Przewodnik po konfiguracji | Niezgodne |
| F5 | Seria BIG-IP | 12.0 | Przewodnik po konfiguracji | Przewodnik po konfiguracji |
| Fortinet | FortiGate | FortiOS 5.6 | Nie przetestowano | Przewodnik po konfiguracji |
| Fujitsu | Seria Si-R G | V04: V04.12 Wersja 20: V20.14 |
Przewodnik po konfiguracji | Przewodnik po konfiguracji |
| Hillstone Networks | Zapory następnej generacji (NGFW) | 5.5R7 | Nie przetestowano | Przewodnik po konfiguracji |
| HPE – Woja | Edge Połączenie brama SDWAN | WERSJA ECOS v9.2 Orchestrator OS v9.2 |
Przewodnik po konfiguracji | Przewodnik po konfiguracji |
| Internet Initiative Japan (IIJ) | Seria SEIL | SEIL/X 4.60 SEIL/B1 4.60 SEIL/x86 3.20 |
Przewodnik po konfiguracji | Niezgodne |
| Juniper | SRX | PolicyBased: JunOS 10.2 Routebased: JunOS 11.4 |
Obsługiwane | Skrypt konfiguracji |
| Juniper | Seria J | PolicyBased: JunOS 10.4r9 RouteBased: JunOS 11.4 |
Obsługiwane | Skrypt konfiguracji |
| Juniper | ISG | ScreenOS 6.3 | Obsługiwane | Skrypt konfiguracji |
| Juniper | SSG | ScreenOS 6.2 | Obsługiwane | Skrypt konfiguracji |
| Juniper | MX | JunOS 12.x | Obsługiwane | Skrypt konfiguracji |
| Microsoft | Routing and Remote Access Service | Windows Server 2012 | Niezgodne | Obsługiwane |
| Open Systems AG | Mission Control Security Gateway | Nie dotyczy | Obsługiwane | Niezgodne |
| Palo Alto Networks | Wszystkie urządzenia z systemem PAN-OS | PAN-OS PolicyBased: wersja 6.1.5 lub nowsza RouteBased: 7.1.4 |
Obsługiwane | Przewodnik po konfiguracji |
| Sentrium (deweloper) | System VyOS | VyOS 1.2.2 | Nie przetestowano | Przewodnik po konfiguracji |
| ShareTech | UTM następnej generacji (seria NU) | 9.0.1.3 | Niezgodne | Przewodnik po konfiguracji |
| SonicWall | Seria TZ, seria NSA Seria SuperMassive Seria E-Class NSA |
SonicOS 5.8.x SonicOS 5.9.x SonicOS 6.x |
Niezgodne | Przewodnik po konfiguracji |
| Sophos | XG Next Gen Firewall | XG v17 | Nie przetestowano | Przewodnik po konfiguracji Przewodnik konfiguracji — wiele wystąpień zabezpieczeń |
| Synology | MR2200ac RT2600ac RT1900ac |
SRM1.1.5/VpnPlusServer-1.2.0 | Nie przetestowano | Przewodnik po konfiguracji |
| Ubiquiti | EdgeRouter | EdgeOS v1.10 | Nie przetestowano | Protokół BGP za pośrednictwem protokołu IKEv2/IPsec VTI przez protokół IKEv2/IPsec |
| Ultra | 3E-636L3 | 5.2.0.T3 Build-13 | Nie przetestowano | Przewodnik po konfiguracji |
| WatchGuard | wszystkie | Fireware XTM PolicyBased: v11.11.x RouteBased: v11.12.x |
Przewodnik po konfiguracji | Przewodnik po konfiguracji |
| Zyxel | Seria ZyWALL USG Seria ZyWALL ATP Seria sieci VPN ZyWALL |
ZLD v4.32+ | Nie przetestowano | VTI przez protokół IKEv2/IPsec Protokół BGP za pośrednictwem protokołu IKEv2/IPsec |
Uwaga
(*) Produkt Cisco ASA w wersji 8.4 i nowszych ma obsługę protokołu IKEv2 i może łączyć się z bramą Azure VPN Gateway za pomocą zasad IPsec/IKE z opcją „UsePolicyBasedTrafficSelectors”. Zapoznaj się z tym artykułem z instrukcjami.
(**) Routery z serii ISR 7200 obsługują tylko sieci VPN oparte na zasadach.
Pobieranie skryptów konfiguracji urządzenia sieci VPN z platformy Azure
W przypadku niektórych urządzeń można pobrać skrypty konfiguracji bezpośrednio z platformy Azure. Aby uzyskać więcej informacji i pobrać instrukcje, zobacz Pobieranie skryptów konfiguracji urządzenia sieci VPN.
Niewalidowane urządzenia sieci VPN
Jeśli urządzenie nie jest widoczne w tabeli Zweryfikowane urządzenia sieci VPN, urządzenie nadal może współdziałać z połączeniem lokacja-lokacja. Skontaktuj się z producentem urządzenia, aby uzyskać instrukcje dotyczące pomocy technicznej i konfiguracji.
Edytowanie przykładów konfiguracji urządzenia
Po pobraniu dostarczonej przykładowej konfiguracji urządzenia sieci VPN należy zastąpić niektóre z wartości w celu odzwierciedlenia ustawień własnego środowiska.
Aby edytować przykładową konfigurację:
- Otwórz przykładową konfigurację za pomocą Notatnika.
- Wyszukaj i zastąp wszystkie <ciągi tekstowe> wartościami odnoszącymi się do twojego środowiska. Pamiętaj, aby uwzględnić elementy < i >. Podczas określenia nazwy należy zwrócić uwagę na to, aby była ona unikatowa. Jeśli polecenie nie działa, zapoznaj się z dokumentacją producenta urządzenia.
| Przykładowy tekst | Zmień na |
|---|---|
| <RP_OnPremisesNetwork> | Nazwę tego obiektu definiuje użytkownik. Przykład: myOnPremisesNetwork |
| <RP_AzureNetwork> | Nazwę tego obiektu definiuje użytkownik. Przykład: myAzureNetwork |
| <RP_AccessList> | Nazwę tego obiektu definiuje użytkownik. Przykład: myAzureAccessList |
| <RP_IPSecTransformSet> | Nazwę tego obiektu definiuje użytkownik. Przykład: myIPSecTransformSet |
| <RP_IPSecCryptoMap> | Nazwę tego obiektu definiuje użytkownik. Przykład: myIPSecCryptoMap |
| <SP_AzureNetworkIpRange> | Określ zakres. Przykład: 192.168.0.0 |
| <SP_AzureNetworkSubnetMask> | Określ maskę podsieci. Przykład: 255.255.0.0 |
| <SP_OnPremisesNetworkIpRange> | Określ zakres lokalny. Przykład: 10.2.1.0 |
| <SP_OnPremisesNetworkSubnetMask> | Określ lokalną maskę podsieci. Przykład: 255.255.255.0 |
| <SP_AzureGatewayIpAddress> | Te informacje dotyczące konkretnej sieci wirtualnej znajdują się w portalu zarządzania usługą, w obszarze Adres IP bramy. |
| <SP_PresharedKey> | Te informacje dotyczące konkretnej sieci wirtualnej znajdują się w portalu zarządzania usługą, w obszarze Zarządzaj kluczem. |
Domyślne parametry protokołu IPsec/IKE
Poniższe tabele zawierają kombinacje algorytmów i parametrów używanych przez bramy sieci VPN platformy Azure w konfiguracji domyślnej (zasady domyślne). W przypadku bram VPN Gateway opartych na trasach, utworzonych za pomocą modelu wdrażania z użyciem zarządzania zasobami platformy Azure, można określić niestandardowe zasady dla każdego pojedynczego połączenia. Aby uzyskać szczegółowe instrukcje, zobacz Konfigurowanie zasad protokołu IPsec/IKE.
Ponadto należy zacisać protokół TCP MSS na 1350. Jeśli urządzenia sieci VPN nie obsługują zaciskania msS, możesz też ustawić jednostki MTU w interfejsie tunelu na 1400 bajtów.
W poniższych tabelach:
- SA — skojarzenia zabezpieczeń
- Protokół IKE — faza 1 jest również określany jako „Tryb główny”
- Protokół IKE — faza 2 jest również określany jako „Tryb szybki”
Parametry protokołu IKE — faza 1 (tryb główny)
| Właściwości | PolicyBased | RouteBased |
|---|---|---|
| Wersja IKE | IKEv1 | IKEv1 i IKEv2 |
| Grupa Diffie’ego-Hellmana | Grupa 2 (1024 bity) | Grupa 2 (1024 bity) |
| Metoda uwierzytelniania | Klucz wstępny | Klucz wstępny |
| Szyfrowanie i algorytmy wyznaczania wartości skrótu | 1. AES256, SHA256 2. AES256, SHA1 3. AES128, SHA1 4. 3DES, SHA1 |
1. AES256, SHA1 2. AES256, SHA256 3. AES128, SHA1 4. AES128, SHA256 5. 3DES, SHA1 6. 3DES, SHA256 |
| Okres istnienia skojarzeń zabezpieczeń | 28 800 sekund | 28 800 sekund |
| Liczba skojarzenia zabezpieczeń trybu szybkiego | 100 | 100 |
Parametry protokołu IKE — faza 2 (tryb szybki)
| Właściwości | PolicyBased | RouteBased |
|---|---|---|
| Wersja IKE | IKEv1 | IKEv1 i IKEv2 |
| Szyfrowanie i algorytmy wyznaczania wartości skrótu | 1. AES256, SHA256 2. AES256, SHA1 3. AES128, SHA1 4. 3DES, SHA1 |
Oferty skojarzeń zabezpieczeń trybu szybkiego RouteBased |
| Okres istnienia skojarzeń zabezpieczeń (czas) | 3600 sekund | 27 000 sekund |
| Okres istnienia skojarzeń zabezpieczeń (bajty) | 102 400 000 KB | 102 400 000 KB |
| Doskonałe utajnienie przekazywania (PFS) | Nie. | Oferty skojarzeń zabezpieczeń trybu szybkiego RouteBased |
| Wykrywanie nieaktywnych elementów równorzędnych (DPD, Dead Peer Detection) | Nieobsługiwane | Obsługiwane |
Oferty skojarzeń zabezpieczeń protokołu IPsec połączenia VPN typu RouteBased (skojarzenia zabezpieczeń trybu szybkiego protokołu IKE)
W poniższej tabeli znajduje się lista ofert skojarzeń zabezpieczeń protokołu IPsec (tryb szybki protokołu IKE). Oferty są wymienione w kolejności preferencji, w jakiej oferta jest przedstawiona lub zaakceptowana.
Brama platformy Azure jako inicjator
| - | Szyfrowanie | Authentication | Grupa PFS |
|---|---|---|---|
| 1 | GCM AES256 | GCM (AES256) | Brak |
| 2 | AES256 | SHA1 | Brak |
| 3 | 3DES | SHA1 | Brak |
| 100 | AES256 | SHA256 | Brak |
| 5 | AES128 | SHA1 | Brak |
| 6 | 3DES | SHA256 | Brak |
Brama platformy Azure jako obiekt odpowiadający
| - | Szyfrowanie | Authentication | Grupa PFS |
|---|---|---|---|
| 1 | GCM AES256 | GCM (AES256) | Brak |
| 2 | AES256 | SHA1 | Brak |
| 3 | 3DES | SHA1 | Brak |
| 100 | AES256 | SHA256 | Brak |
| 5 | AES128 | SHA1 | Brak |
| 6 | 3DES | SHA256 | Brak |
| 7 | DES | SHA1 | Brak |
| 8 | AES256 | SHA1 | 1 |
| 9 | AES256 | SHA1 | 2 |
| 10 | AES256 | SHA1 | 14 |
| 11 | AES128 | SHA1 | 1 |
| 12 | AES128 | SHA1 | 2 |
| 13 | AES128 | SHA1 | 14 |
| 14 | 3DES | SHA1 | 1 |
| 15 | 3DES | SHA1 | 2 |
| 16 | 3DES | SHA256 | 2 |
| 17 | AES256 | SHA256 | 1 |
| 18 | AES256 | SHA256 | 2 |
| 19 | AES256 | SHA256 | 14 |
| 20 | AES256 | SHA1 | 24 |
| 21 | AES256 | SHA256 | 24 |
| 22 | AES128 | SHA256 | Brak |
| 23 | AES128 | SHA256 | 1 |
| 24 | AES128 | SHA256 | 2 |
| 25 | AES128 | SHA256 | 14 |
| 26 | 3DES | SHA1 | 14 |
- Wartość NULL szyfrowania ESP protokołu IPsec możesz określić z bramami sieci VPN typu RouteBased i HighPerformance. Szyfrowanie oparte na wartości null nie zapewnia ochrony danych przesyłanych i powinno być używane tylko wtedy, gdy wymagana jest maksymalna przepływność i minimalne opóźnienie. Klienci mogą zdecydować się na użycie tej opcji w scenariuszach komunikacji między sieciami wirtualnymi lub w przypadku szyfrowania w innym miejscu rozwiązania.
- W przypadku łączności obejmującej wiele lokalizacji za pośrednictwem Internetu użyj domyślnych ustawień bramy sieci VPN platformy Azure z algorytmami szyfrowania i tworzenia skrótów wymienionymi w poprzednich tabelach, aby zapewnić bezpieczeństwo komunikacji krytycznej.
Znane problemy dotyczące zgodności urządzeń
Ważne
Opisano tu znane problemy ze zgodnością między urządzeniami sieci VPN innych firm i bramami sieci VPN platformy Azure. Zespołu platformy Azure aktywnie współpracuje z dostawcami w celu rozwiązania opisanych poniżej problemów. Po rozwiązaniu problemów ta strona zostanie zaktualizowana o najbardziej aktualne informacje. Sprawdzaj ją okresowo.
16 lutego 2017 r.
Urządzenia Palo Alto Networks w wersji wcześniejszej niż 7.1.4 dla sieci VPN opartej na trasach platformy Azure: Jeśli używasz urządzeń sieci VPN z aplikacji Palo Alto Networks z wersją PAN-OS przed wersją 7.1.4 i występują problemy z łącznością z bramami sieci VPN opartymi na trasach platformy Azure, wykonaj następujące kroki:
- Sprawdź wersję oprogramowania układowego urządzenia Palo Alto Networks. Jeśli system PAN-OS jest w wersji wcześniejszej niż 7.1.4, przeprowadź uaktualnienie do wersji 7.1.4.
- Na urządzeniu Palo Alto Networks zmień okres istnienia Phase 2 SA (lub Quick Mode SA) na 28 800 sekund (8 godzin) podczas nawiązywania połączenia z bramą VPN platformy Azure.
- Jeśli nadal występują problemy z łącznością, otwórz wniosek o pomoc techniczną w witrynie Azure Portal.