Udostępnij za pośrednictwem


Informacje na temat urządzeń sieci VPN i parametrów protokołu IPsec/IKE dla połączeń VPN Gateway typu lokacja-lokacja

Urządzenie sieci VPN jest niezbędne do skonfigurowania połączenia sieci VPN typu lokacja-lokacja obejmującego wiele lokalizacji (S2S) przy użyciu bramy sieci VPN. Połączeń typu lokacja-lokacja można używać do tworzenia rozwiązań hybrydowych oraz bezpiecznych połączeń między sieciami lokalnymi i wirtualnymi. Ten artykuł zawiera listę zweryfikowanych urządzeń sieci VPN oraz listę parametrów protokołu IPsec/IKE dla bram sieci VPN.

Ważne

Jeśli występują problemy z połączeniem między lokalnymi urządzeniami sieci VPN i bramami sieci VPN, zapoznaj się z sekcją Znane problemy dotyczące zgodności urządzeń.

Kwestie, które należy wziąć pod uwagę podczas przeglądania tabeli:

  • Nastąpiła zmiana terminologii w zakresie bram Azure VPN Gateway. Zmianie uległy tylko nazwy. Nie ma żadnych zmian funkcji.
    • Routing statyczny = PolicyBased
    • Routing dynamiczny = RouteBased
  • Specyfikacje dotyczące bramy VPN typu HighPerformance i bramy VPN typu RouteBased są takie same, o ile nie określono inaczej. Na przykład zweryfikowane urządzenia sieci VPN, które są zgodne z bramami sieci VPN typu RouteBased, są również zgodne z bramą sieci VPN typu HighPerformance.

Zweryfikowane urządzenia sieci VPN i przewodniki konfiguracji urządzenia

We współpracy z dostawcami urządzeń zweryfikowaliśmy szereg standardowych urządzeń sieci VPN. Wszystkie urządzenia z rodzin znajdujących się na poniższej liście powinny współpracować z bramami sieci VPN. Są to zalecane algorytmy konfiguracji urządzenia.

Zalecane algorytmy Szyfrowania Integralność Grupa DH
IKE AES256 SHA256 DH2
IPsec AES256GCM AES256GCM Brak

Aby ułatwić skonfigurowanie urządzenia sieci VPN, zapoznaj się z linkami odpowiadającymi odpowiedniej rodzinie urządzeń. Linki do instrukcji konfiguracji są udostępniane na podstawie najlepszych wysiłków, a wartości domyślne wymienione w przewodniku konfiguracji nie muszą zawierać najlepszych algorytmów kryptograficznych. W celu uzyskania pomocy technicznej w zakresie urządzenia sieci VPN należy skontaktować się z jego producentem.

Dostawca Rodzina urządzeń Minimalna wersja systemu operacyjnego Instrukcje dotyczące konfiguracji typu PolicyBased Instrukcje dotyczące konfiguracji typu RouteBased
A10 Networks, Inc. Thunder CFW ACOS 4.1.1 Niezgodne Przewodnik po konfiguracji
AhnLab TrusGuard TG 2.7.6
TG 3.5.x
Nie przetestowano Przewodnik po konfiguracji
Allied Telesis Routery sieci VPN z serii AR SERIA AR 5.4.7+ Przewodnik po konfiguracji Przewodnik po konfiguracji
Arista CloudEOS Router vEOS 4.24.0FX Nie przetestowano Przewodnik po konfiguracji
Barracuda Networks, Inc. Barracuda CloudGen Firewall PolicyBased: 5.4.3
RouteBased: 6.2.0
Przewodnik po konfiguracji Przewodnik po konfiguracji
Check Point Security Gateway R80.10 Przewodnik po konfiguracji Przewodnik po konfiguracji
Cisco ASA 8.3
8.4+ (IKEv2*)
Obsługiwane Przewodnik po konfiguracji*
Cisco ASR PolicyBased: IOS 15.1
RouteBased: IOS 15.2
Obsługiwane Obsługiwane
Cisco CSR RouteBased: IOS-XE 16.10 Nie przetestowano Skrypt konfiguracji
Cisco ISR PolicyBased: IOS 15.0
RouteBased*: IOS 15.1
Obsługiwane Obsługiwane
Cisco Meraki (MX) MX v15.12 Niezgodne Przewodnik po konfiguracji
Cisco vEdge (Viptela OS) 18.4.0 (tryb aktywny/pasywny) Niezgodne Konfiguracja ręczna (aktywna/pasywna)
Citrix NetScaler MPX, SDX, VPX 10.1 i nowsze Przewodnik po konfiguracji Niezgodne
F5 Seria BIG-IP 12.0 Przewodnik po konfiguracji Przewodnik po konfiguracji
Fortinet FortiGate FortiOS 5.6 Nie przetestowano Przewodnik po konfiguracji
Technologie fsas Seria Si-R G V04: V04.12
Wersja 20: V20.14
Przewodnik po konfiguracji Przewodnik po konfiguracji
Hillstone Networks Zapory następnej generacji (NGFW) 5.5R7 Nie przetestowano Przewodnik po konfiguracji
HPE – Woja EdgeConnect SDWAN Gateway WERSJA ECOS v9.2
Orchestrator OS v9.2
Przewodnik po konfiguracji Przewodnik po konfiguracji
Internet Initiative Japan (IIJ) Seria SEIL SEIL/X 4.60
SEIL/B1 4.60
SEIL/x86 3.20
Przewodnik po konfiguracji Niezgodne
Juniper SRX PolicyBased: JunOS 10.2
Routebased: JunOS 11.4
Obsługiwane Skrypt konfiguracji
Juniper Seria J PolicyBased: JunOS 10.4r9
RouteBased: JunOS 11.4
Obsługiwane Skrypt konfiguracji
Juniper ISG ScreenOS 6.3 Obsługiwane Skrypt konfiguracji
Juniper SSG ScreenOS 6.2 Obsługiwane Skrypt konfiguracji
Juniper MX JunOS 12.x Obsługiwane Skrypt konfiguracji
Microsoft Routing and Remote Access Service Windows Server 2012 Niezgodne Obsługiwane
Open Systems AG Mission Control Security Gateway Nie dotyczy Obsługiwane Niezgodne
Palo Alto Networks Wszystkie urządzenia z systemem PAN-OS PAN-OS
PolicyBased: wersja 6.1.5 lub nowsza
RouteBased: 7.1.4
Obsługiwane Przewodnik po konfiguracji
Sentrium (deweloper) System VyOS VyOS 1.2.2 Nie przetestowano Przewodnik po konfiguracji
ShareTech UTM następnej generacji (seria NU) 9.0.1.3 Niezgodne Przewodnik po konfiguracji
SonicWall Seria TZ, seria NSA
Seria SuperMassive
Seria E-Class NSA
SonicOS 5.8.x
SonicOS 5.9.x
SonicOS 6.x
Niezgodne Przewodnik po konfiguracji
Sophos XG Next Gen Firewall XG v17 Nie przetestowano Przewodnik po konfiguracji

Przewodnik konfiguracji — wiele wystąpień zabezpieczeń
S zesłania MR2200ac
RT2600ac
RT1900ac
SRM1.1.5/VpnPlusServer-1.2.0 Nie przetestowano Przewodnik po konfiguracji
Ubiquiti EdgeRouter EdgeOS v1.10 Nie przetestowano Protokół BGP za pośrednictwem protokołu IKEv2/IPsec

VTI przez protokół IKEv2/IPsec
Ultra 3E-636L3 5.2.0.T3 Build-13 Nie przetestowano Przewodnik po konfiguracji
WatchGuard wszystkie Fireware XTM
PolicyBased: v11.11.x
RouteBased: v11.12.x
Przewodnik po konfiguracji Przewodnik po konfiguracji
Zyxel Seria ZyWALL USG
Seria ZyWALL ATP
Seria sieci VPN ZyWALL
ZLD v4.32+ Nie przetestowano VTI przez protokół IKEv2/IPsec

Protokół BGP za pośrednictwem protokołu IKEv2/IPsec

Uwaga

(*) Produkt Cisco ASA w wersji 8.4 i nowszych ma obsługę protokołu IKEv2 i może łączyć się z bramą Azure VPN Gateway za pomocą zasad IPsec/IKE z opcją „UsePolicyBasedTrafficSelectors”. Zapoznaj się z tym artykułem z instrukcjami.

(**) Routery z serii ISR 7200 obsługują tylko sieci VPN oparte na zasadach.

Pobieranie skryptów konfiguracji urządzenia sieci VPN z platformy Azure

W przypadku niektórych urządzeń można pobrać skrypty konfiguracji bezpośrednio z platformy Azure. Aby uzyskać więcej informacji i pobrać instrukcje, zobacz Pobieranie skryptów konfiguracji urządzenia sieci VPN.

Niewalidowane urządzenia sieci VPN

Jeśli urządzenie nie jest widoczne w tabeli Zweryfikowane urządzenia sieci VPN, urządzenie nadal może współdziałać z połączeniem lokacja-lokacja. Skontaktuj się z producentem urządzenia, aby uzyskać instrukcje dotyczące pomocy technicznej i konfiguracji.

Edytowanie przykładów konfiguracji urządzenia

Po pobraniu dostarczonej przykładowej konfiguracji urządzenia sieci VPN należy zastąpić niektóre z wartości w celu odzwierciedlenia ustawień własnego środowiska.

Aby edytować przykładową konfigurację:

  1. Otwórz przykładową konfigurację za pomocą Notatnika.
  2. Wyszukaj i zastąp wszystkie <ciągi tekstowe> wartościami odnoszącymi się do twojego środowiska. Pamiętaj, aby uwzględnić elementy < i >. Podczas określenia nazwy należy zwrócić uwagę na to, aby była ona unikatowa. Jeśli polecenie nie działa, zapoznaj się z dokumentacją producenta urządzenia.
Przykładowy tekst Zmień na
<RP_OnPremisesNetwork> Nazwę tego obiektu definiuje użytkownik. Przykład: myOnPremisesNetwork
<RP_AzureNetwork> Nazwę tego obiektu definiuje użytkownik. Przykład: myAzureNetwork
<RP_AccessList> Nazwę tego obiektu definiuje użytkownik. Przykład: myAzureAccessList
<RP_IPSecTransformSet> Nazwę tego obiektu definiuje użytkownik. Przykład: myIPSecTransformSet
<RP_IPSecCryptoMap> Nazwę tego obiektu definiuje użytkownik. Przykład: myIPSecCryptoMap
<SP_AzureNetworkIpRange> Określ zakres. Przykład: 192.168.0.0
<SP_AzureNetworkSubnetMask> Określ maskę podsieci. Przykład: 255.255.0.0
<SP_OnPremisesNetworkIpRange> Określ zakres lokalny. Przykład: 10.2.1.0
<SP_OnPremisesNetworkSubnetMask> Określ lokalną maskę podsieci. Przykład: 255.255.255.0
<SP_AzureGatewayIpAddress> Te informacje dotyczące konkretnej sieci wirtualnej znajdują się w portalu zarządzania usługą, w obszarze Adres IP bramy.
<SP_PresharedKey> Te informacje dotyczące konkretnej sieci wirtualnej znajdują się w portalu zarządzania usługą, w obszarze Zarządzaj kluczem.

Domyślne parametry protokołu IPsec/IKE

Poniższe tabele zawierają kombinacje algorytmów i parametrów używanych przez bramy sieci VPN platformy Azure w konfiguracji domyślnej (zasady domyślne). W przypadku bram VPN Gateway opartych na trasach, utworzonych za pomocą modelu wdrażania z użyciem zarządzania zasobami platformy Azure, można określić niestandardowe zasady dla każdego pojedynczego połączenia. Aby uzyskać szczegółowe instrukcje, zobacz Konfigurowanie zasad protokołu IPsec/IKE.

W poniższych tabelach:

  • SA — skojarzenia zabezpieczeń
  • Protokół IKE — faza 1 jest również określany jako „Tryb główny”
  • Protokół IKE — faza 2 jest również określany jako „Tryb szybki”

Parametry protokołu IKE — faza 1 (tryb główny)

Właściwości PolicyBased RouteBased
Wersja IKE IKEv1 IKEv1 i IKEv2
Grupa Diffie’ego-Hellmana Grupa 2 (1024 bity) Grupa 2 (1024 bity)
Metoda uwierzytelniania Klucz wstępny Klucz wstępny
Szyfrowanie i algorytmy wyznaczania wartości skrótu 1. AES256, SHA256
2. AES256, SHA1
3. AES128, SHA1
4. 3DES, SHA1
1. AES256, SHA1
2. AES256, SHA256
3. AES128, SHA1
4. AES128, SHA256
5. 3DES, SHA1
6. 3DES, SHA256
Okres istnienia skojarzeń zabezpieczeń 28 800 sekund 28 800 sekund
Liczba skojarzenia zabezpieczeń trybu szybkiego 100 100

Parametry protokołu IKE — faza 2 (tryb szybki)

Właściwości PolicyBased RouteBased
Wersja IKE IKEv1 IKEv1 i IKEv2
Szyfrowanie i algorytmy wyznaczania wartości skrótu 1. AES256, SHA256
2. AES256, SHA1
3. AES128, SHA1
4. 3DES, SHA1
Oferty skojarzeń zabezpieczeń trybu szybkiego RouteBased
Okres istnienia skojarzeń zabezpieczeń (czas) 3600 sekund 27 000 sekund
Okres istnienia skojarzeń zabezpieczeń (bajty) 102 400 000 KB 102 400 000 KB
Doskonałe utajnienie przekazywania (PFS) Nie. Oferty skojarzeń zabezpieczeń trybu szybkiego RouteBased
Wykrywanie nieaktywnych elementów równorzędnych (DPD, Dead Peer Detection) Nieobsługiwane Obsługiwane

Zaciskanie protokołu TCP usługi Azure VPN Gateway MSS

Zaciskanie usługi MSS odbywa się dwukierunkowo w usłudze Azure VPN Gateway. W poniższej tabeli wymieniono rozmiar pakietu w różnych scenariuszach.

Przepływ pakietów Protokół IPv4 Protokół IPv6
Przez Internet 1340 bajtów 1360 bajtów
Za pośrednictwem bramy usługi Express Route 1250 bajtów 1250 bajtów

Oferty skojarzeń zabezpieczeń protokołu IPsec połączenia VPN typu RouteBased (skojarzenia zabezpieczeń trybu szybkiego protokołu IKE)

W poniższej tabeli znajduje się lista ofert skojarzeń zabezpieczeń protokołu IPsec (tryb szybki protokołu IKE). Oferty są wymienione w kolejności preferencji, w jakiej oferta jest przedstawiona lub zaakceptowana.

Brama platformy Azure jako inicjator

- Szyfrowanie Authentication Grupa PFS
1 GCM AES256 GCM (AES256) Brak
2 AES256 SHA1 Brak
3 3DES SHA1 Brak
100 AES256 SHA256 Brak
5 AES128 SHA1 Brak
6 3DES SHA256 Brak

Brama platformy Azure jako obiekt odpowiadający

- Szyfrowanie Authentication Grupa PFS
1 GCM AES256 GCM (AES256) Brak
2 AES256 SHA1 Brak
3 3DES SHA1 Brak
100 AES256 SHA256 Brak
5 AES128 SHA1 Brak
6 3DES SHA256 Brak
7 DES SHA1 Brak
8 AES256 SHA1 1
9 AES256 SHA1 2
10 AES256 SHA1 14
11 AES128 SHA1 1
12 AES128 SHA1 2
13 AES128 SHA1 14
14 3DES SHA1 1
15 3DES SHA1 2
16 3DES SHA256 2
17 AES256 SHA256 1
18 AES256 SHA256 2
19 AES256 SHA256 14
20 AES256 SHA1 24
21 AES256 SHA256 24
22 AES128 SHA256 Brak
23 AES128 SHA256 1
24 AES128 SHA256 2
25 AES128 SHA256 14
26 3DES SHA1 14
  • Wartość NULL szyfrowania ESP protokołu IPsec możesz określić z bramami sieci VPN typu RouteBased i HighPerformance. Szyfrowanie oparte na wartości null nie zapewnia ochrony danych przesyłanych i powinno być używane tylko wtedy, gdy wymagana jest maksymalna przepływność i minimalne opóźnienie. Klienci mogą zdecydować się na użycie tej opcji w scenariuszach komunikacji między sieciami wirtualnymi lub w przypadku szyfrowania w innym miejscu rozwiązania.
  • W przypadku łączności obejmującej wiele lokalizacji za pośrednictwem Internetu użyj domyślnych ustawień bramy sieci VPN platformy Azure z algorytmami szyfrowania i tworzenia skrótów wymienionymi w poprzednich tabelach, aby zapewnić bezpieczeństwo komunikacji krytycznej.

Znane problemy dotyczące zgodności urządzeń

Ważne

Opisano tu znane problemy ze zgodnością między urządzeniami sieci VPN innych firm i bramami sieci VPN platformy Azure. Zespołu platformy Azure aktywnie współpracuje z dostawcami w celu rozwiązania opisanych poniżej problemów. Po rozwiązaniu problemów ta strona zostanie zaktualizowana o najbardziej aktualne informacje. Sprawdzaj ją okresowo.

16 lutego 2017 r.

Urządzenia Palo Alto Networks w wersji wcześniejszej niż 7.1.4 dla sieci VPN opartej na trasach platformy Azure: Jeśli używasz urządzeń sieci VPN z aplikacji Palo Alto Networks z wersją PAN-OS przed wersją 7.1.4 i występują problemy z łącznością z bramami sieci VPN opartymi na trasach platformy Azure, wykonaj następujące kroki:

  1. Sprawdź wersję oprogramowania układowego urządzenia Palo Alto Networks. Jeśli system PAN-OS jest w wersji wcześniejszej niż 7.1.4, przeprowadź uaktualnienie do wersji 7.1.4.
  2. Na urządzeniu Palo Alto Networks zmień okres istnienia Phase 2 SA (lub Quick Mode SA) na 28 800 sekund (8 godzin) podczas nawiązywania połączenia z bramą VPN platformy Azure.
  3. Jeśli nadal występują problemy z łącznością, otwórz wniosek o pomoc techniczną w witrynie Azure Portal.