Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Do skonfigurowania połączenia VPN między lokalizacjami (S2S) za pomocą bramy VPN potrzebne jest urządzenie VPN. Połączenia Site-to-Site mogą być używane do tworzenia rozwiązania hybrydowego lub za każdym razem, gdy chcesz zapewnić bezpieczne połączenia między sieciami lokalnymi a sieciami wirtualnymi. Ten artykuł zawiera listę zweryfikowanych urządzeń sieci VPN oraz listę parametrów protokołu IPsec/IKE dla bram sieci VPN.
Rzeczy do uwzględnienia podczas przeglądania tabel:
- Wprowadzono zmiany terminologii dla bram sieci VPN platformy Azure. Tylko nazwy uległy zmianie. Nie ma zmiany w funkcjonalności.
- Statyczne trasowanie = PolicyBased
- Routing dynamiczny = RouteBased
- Specyfikacje dotyczące bramy sieci VPN o wysokiej wydajności i bramy sieci VPN RouteBased są takie same, chyba że określono inaczej. Na przykład zweryfikowane urządzenia sieci VPN zgodne z bramami sieci VPN RouteBased są również zgodne z bramą sieci VPN HighPerformance.
Zweryfikowane urządzenia VPN i przewodniki konfiguracji urządzeń
We współpracy z dostawcami urządzeń zweryfikowaliśmy zestaw standardowych urządzeń VPN. Wszystkie urządzenia z rodzin urządzeń na poniższej liście powinny współdziałać z bramami sieci VPN. Oto zalecane algorytmy dla konfiguracji twojego urządzenia.
| Zalecane algorytmy | Szyfrowania | Integralność | GRUPA DH |
|---|---|---|---|
| IKE | AES256 | SHA256 powiedział: | DH2 |
| Protokół IPsec | AES256GCM | AES256GCM | Żaden |
Aby ułatwić skonfigurowanie urządzenia sieci VPN, zapoznaj się z linkami odpowiadającymi odpowiedniej rodzinie urządzeń. Linki do instrukcji konfiguracji są udostępniane w miarę możliwości, a wartości domyślne określone w przewodniku konfiguracji nie muszą zawierać najlepszych algorytmów kryptograficznych. Aby uzyskać wsparcie dla urządzenia VPN, skontaktuj się z producentem urządzenia.
| Dostawca | Rodzina urządzeń | Minimalna wersja systemu operacyjnego | Instrukcje konfiguracji oparte na zasadach | Instrukcje dotyczące konfiguracji RouteBased |
|---|---|---|---|---|
| A10 Networks, Inc. | Thunder CFW | ACOS 4.1.1 | Niekompatybilny | Przewodnik konfiguracji |
| AhnLab | TrusGuard | TG 2.7.6 TG 3.5.x |
Nie przetestowano | Przewodnik konfiguracji |
| Allied Telesis | Routery sieci VPN serii AR | AR-Series 5.4.7+ | Przewodnik konfiguracji | Przewodnik konfiguracji |
| Arista | CloudEOS Router | vEOS 4.24.0FX | Nie przetestowano | Przewodnik konfiguracji |
| Barracuda Networks, Inc. | Zapora Barracuda CloudGen | PolicyBased: 5.4.3 RouteBased: 6.2.0 |
Przewodnik konfiguracji | Przewodnik konfiguracji |
| Punkt Kontrolny | Brama Bezpieczeństwa | R80.10 | Przewodnik konfiguracji | Przewodnik konfiguracji |
| Cisco | ASA | 8.3 8.4+ (IKEv2*) |
Wsparte | Przewodnik konfiguracji* |
| Cisco | ASR | PolicyBased: IOS 15.1 RouteBased: IOS 15.2 |
Wsparte | Wsparte |
| Cisco | Społeczna Odpowiedzialność Biznesu (CSR) | RouteBased: IOS-XE 16.10 | Nie przetestowano | Skrypt konfiguracji |
| Cisco | ISR | PolicyBased: IOS 15.0 RouteBased*: IOS 15.1 |
Wsparte | Wsparte |
| Cisco | Meraki (MX) | MX v15.12 | Niekompatybilny | Przewodnik konfiguracji |
| Cisco | vEdge (Viptela OS) | 18.4.0 (tryb aktywny/pasywny) | Niekompatybilny | Konfiguracja ręczna (aktywna/pasywna) |
| Citrix | NetScaler MPX, SDX, VPX | 10.1 i później | Przewodnik konfiguracji | Niekompatybilny |
| F5 | seria BIG-IP | 12.0 | Przewodnik konfiguracji | Przewodnik konfiguracji |
| Fortinet | FortiGate | FortiOS 5.6 | Nie przetestowano | Przewodnik konfiguracji |
| Technologie fsas | seria Si-R G | V04: V04.12 Wersja 20: V20.14 |
Przewodnik konfiguracji | Przewodnik konfiguracji |
| Hillstone Networks | Zapory następnej generacji (NGFW) | 5.5R7 | Nie przetestowano | Przewodnik konfiguracji |
| HPE Aruba | EdgeConnect SDWAN Gateway | Wydanie ECOS v9.2 Orchestrator OS v9.2 |
Przewodnik konfiguracji | Przewodnik konfiguracji |
| Internet Initiative Japan (IIJ) | SEIL Seria | SEIL/X 4.60 SEIL/B1 4.60 SEIL/x86 3.20 |
Przewodnik konfiguracji | Niekompatybilny |
| Jałowiec | SRX | PolicyBased - JunOS 10.2 Routebased: JunOS 11.4 |
Wsparte | Skrypt konfiguracji |
| Jałowiec | Seria J | PolicyBased: JunOS 10.4r9 RouteBased: JunOS 11.4 |
Wsparte | Skrypt konfiguracji |
| Jałowiec | IsG | ScreenOS 6.3 | Wsparte | Skrypt konfiguracji |
| Jałowiec | SSG | ScreenOS 6.2 | Wsparte | Skrypt konfiguracji |
| Jałowiec | MX | JunOS 12.x | Wsparte | Skrypt konfiguracji |
| Microsoft | Usługa routingu i zdalnego dostępu | Windows Server 2012 | Niekompatybilny | Wsparte |
| Grupa dostępności otwartych systemów | Brama Bezpieczeństwa Misji Kontrolnej | N/A | Wsparte | Niekompatybilny |
| Palo Alto Networks | Wszystkie urządzenia uruchamiające PAN-OS | PAN-OS PolicyBased: 6.1.5 lub nowszy RouteBased: 7.1.4 |
Wsparte | Przewodnik konfiguracji |
| Sentrium (twórca) | System VyOS | VyOS 1.2.2 | Nie przetestowano | Przewodnik konfiguracji |
| ShareTech | UtM nowej generacji (seria NU) | 9.0.1.3 | Niekompatybilny | Przewodnik konfiguracji |
| SonicWall | Seria TZ, Seria NSA Seria SuperMassive E-Klasa Seria NSA |
SonicOS 5.8.x SonicOS 5.9.x SonicOS 6.x |
Niekompatybilny | Przewodnik konfiguracji |
| Sophos | Zapora następnej generacji XG | XG v17 | Nie przetestowano |
Przewodnik konfiguracji Przewodnik konfiguracji — wiele wystąpień zabezpieczeń |
| S zesłania | MR2200ac RT2600ac RT1900ac |
SRM1.1.5/VpnPlusServer-1.2.0 | Nie przetestowano | Przewodnik konfiguracji |
| Wszechobecność | EdgeRouter | EdgeOS v1.10 | Nie przetestowano |
Protokół BGP za pośrednictwem protokołu IKEv2/IPsec VTI przez protokół IKEv2/IPsec |
| Ultra | 3E-636L3 | 5.2.0.T3 Build-13 | Nie przetestowano | Przewodnik konfiguracji |
| WatchGuard | Wszystko | Fireware XTM PolicyBased: wersja 11.11.x RouteBased: wersja 11.12.x |
Przewodnik konfiguracji | Przewodnik konfiguracji |
| Zyxel | Seria ZyWALL USG Seria ZyWALL ATP Seria sieci VPN ZyWALL |
ZLD v4.32+ | Nie przetestowano |
VTI przez protokół IKEv2/IPsec Protokół BGP za pośrednictwem protokołu IKEv2/IPsec |
Uwaga
(*) Wersje Cisco ASA od 8.4 wzwyż dodają wsparcie dla IKEv2 i mogą łączyć się z bramą VPN Azure, korzystając z niestandardowej polityki IPsec/IKE z opcją "UsePolicyBasedTrafficSelectors". Odwołaj się do tego poradnika.
(**) Routery serii ISR 7200 wspierają tylko VPN-y oparte na politykach.
Pobierz skrypty konfiguracji urządzenia VPN z Azure
W przypadku niektórych urządzeń można pobrać skrypty konfiguracji bezpośrednio z platformy Azure. Aby uzyskać więcej informacji i instrukcje dotyczące pobierania, zobacz Download VPN device configuration scripts.
Niezatwierdzone urządzenia VPN
Jeśli nie widzisz swojego urządzenia na liście w tabeli "Zweryfikowane urządzenia VPN", twoje urządzenie może nadal działać z połączeniem typu Site-to-Site. Skontaktuj się z producentem urządzenia, aby uzyskać instrukcje dotyczące pomocy technicznej i konfiguracji.
Edytowanie przykładów konfiguracji urządzenia
Po pobraniu dostarczonego przykładowego pliku konfiguracyjnego urządzenia VPN musisz zastąpić niektóre wartości, aby odzwierciedlały ustawienia dla Twojego środowiska.
Aby edytować próbkę:
- Otwórz przykładowy plik za pomocą Notatnika.
- Wyszukaj i zamień wszystkie ciągi <text> na wartości, które dotyczą twojego środowiska. Upewnij się, że zawierasz < i >. Gdy nazwa jest określona, wybrana nazwa powinna być unikalna. Jeśli polecenie nie działa, sprawdź dokumentację producenta urządzenia.
| Przykładowy tekst | Zmień na |
|---|---|
| <RP_OnPremisesNetwork> | Wybrana przez ciebie nazwa dla tego obiektu. Przykład: myOnPremisesNetwork |
| <RP_AzureNetwork> | Wybrana przez ciebie nazwa dla tego obiektu. Przykład: myAzureNetwork |
| <RP_AccessList> | Wybrana przez ciebie nazwa dla tego obiektu. Przykład: myAzureAccessList |
| <RP_IPSecTransformSet> | Wybrana przez ciebie nazwa dla tego obiektu. Przykład: myIPSecTransformSet |
| <RP_IPSecCryptoMap> | Wybrana przez ciebie nazwa dla tego obiektu. Przykład: myIPSecCryptoMap |
| <SP_AzureNetworkIpRange> | Określ zakres. Przykład: 192.168.0.0 |
| <SP_AzureNetworkSubnetMask> | Określ maskę podsieci. Przykład: 255.255.0.0 |
| <SP_OnPremisesNetworkIpRange> | Określ zakres lokalny. Przykład: 10.2.1.0 |
| <SP_OnPremisesNetworkSubnetMask> | Określ lokalną maskę podsieci. Przykład: 255.255.255.0 |
| <SP_AzureGatewayIpAddress> | Informacje te są specyficzne dla Twojej sieci wirtualnej i znajdują się w portalu zarządzania jako adres IP bramy. |
| <SP_PresharedKey> | Te informacje są specyficzne dla Twojej wirtualnej sieci i znajdują się w Portalu Zarządzania jako Klucz Zarządzania. |
Domyślne parametry IPsec/IKE
Poniższe tabele zawierają kombinacje algorytmów i parametrów używanych przez bramy sieci VPN platformy Azure w konfiguracji domyślnej (zasady domyślne). W przypadku bram VPN opartych na trasach, utworzonych przy użyciu modelu wdrażania Azure Resource Management, możesz określić niestandardową politykę dla każdego indywidualnego połączenia. Aby uzyskać szczegółowe instrukcje, zobacz Konfigurowanie zasad protokołu IPsec/IKE .
W poniższych tabelach:
- SA = Skojarzenie zabezpieczeń
- Faza 1 IKE nazywana jest również "Main Mode"
- Faza 2 IKE jest również nazywana trybem szybkim
Parametry fazy 1 (tryb główny) IKE
| Własność | PolicyBased | RouteBased |
|---|---|---|
| Wersja protokołu IKE | IKEv1 | IKEv1 i IKEv2 |
| grupa Diffie-Hellman | Grupa 2 (wersja 1024-bitowa) | Grupa 2 (wersja 1024-bitowa) |
| Metoda uwierzytelniania | Klucz Wstępnie Udostępniony | Klucz Wstępnie Udostępniony |
| Szyfrowanie i Algorytmy Haszowania | 1. AES256, SHA256 2. AES256, SHA1 3. AES128, SHA1 4. 3DES, SHA1 |
1. AES256, SHA1 2. AES256, SHA256 3. AES128, SHA1 4. AES128, SHA256 5. 3DES, SHA1 6. 3DES, SHA256 |
| Czas trwania asocjacji zabezpieczeń | 28 800 sekund | 28 800 sekund |
| Liczba trybów szybkiego SA | 100 | 100 |
Parametry IKE Faza 2 (Szybki Tryb)
| Własność | PolicyBased | RouteBased |
|---|---|---|
| Wersja protokołu IKE | IKEv1 | IKEv1 i IKEv2 |
| Szyfrowanie i Algorytmy Haszowania | 1. AES256, SHA256 2. AES256, SHA1 3. AES128, SHA1 4. 3DES, SHA1 |
Oferty programu QM SA oparte na trasach |
| SA Okres Życia (Czas) | 3,600 sekund | 27,000 sekund |
| Okres życia SA (bajty) | 102 400 000 KB | 102 400 000 KB |
| Doskonała tajemnica przesyłu (PFS) | Nie | Oferty programu QM SA oparte na trasach |
| Dead Peer Detection (DPD) (Wykrywanie Martwego Partnera) | Nie obsługiwane | Wsparte |
Tłumienie MSS TCP w bramie VPN Azure
Zaciskanie MSS (Maximum Segment Size) odbywa się dwukierunkowo na Bramie VPN Azure. Poniższa tabela przedstawia rozmiar pakietu w różnych scenariuszach.
| Przepływ pakietów | Protokół IPv4 | Protokół IPv6 |
|---|---|---|
| Przez Internet | 1360 bajtów | 1340 bajtów |
| Za pośrednictwem bramy Express Route | 1250 bajtów | 1250 bajtów |
RouteBased VPN (wirtualna sieć prywatna oparta na trasach) Stowarzyszenie Bezpieczeństwa IPsec (IKE Tryb Szybki SA) Oferty
W poniższej tabeli wymieniono oferty protokołu IPsec SA (tryb szybki IKE). Oferty są wyświetlane według preferencji kolejności, w jakiej są prezentowane lub akceptowane.
Usługa Azure Gateway jako inicjator
| - | Szyfrowanie | Uwierzytelnianie | Grupa PFS |
|---|---|---|---|
| 1 | GCM AES256 | GCM (AES256) | Żaden |
| 2 | AES256 | SHA1 | Żaden |
| 3 | 3DES | SHA1 | Żaden |
| 4 | AES256 | SHA256 powiedział: | Żaden |
| 5 | AES128 | SHA1 | Żaden |
| 6 | 3DES | SHA256 powiedział: | Żaden |
Usługa Azure Gateway jako osoba odpowiadająca
| - | Szyfrowanie | Uwierzytelnianie | Grupa PFS |
|---|---|---|---|
| 1 | GCM AES256 | GCM (AES256) | Żaden |
| 2 | AES256 | SHA1 | Żaden |
| 3 | 3DES | SHA1 | Żaden |
| 4 | AES256 | SHA256 powiedział: | Żaden |
| 5 | AES128 | SHA1 | Żaden |
| 6 | 3DES | SHA256 powiedział: | Żaden |
| 7 | Standard Szyfrowania Danych | SHA1 | Żaden |
| 8 | AES256 | SHA1 | 1 |
| 9 | AES256 | SHA1 | 2 |
| 10 | AES256 | SHA1 | 14 |
| 11 | AES128 | SHA1 | 1 |
| 12 | AES128 | SHA1 | 2 |
| 13 | AES128 | SHA1 | 14 |
| 14 | 3DES | SHA1 | 1 |
| 15 | 3DES | SHA1 | 2 |
| 16 | 3DES | SHA256 powiedział: | 2 |
| 17 | AES256 | SHA256 powiedział: | 1 |
| 18 | AES256 | SHA256 powiedział: | 2 |
| 19 | AES256 | SHA256 powiedział: | 14 |
| 20 | AES256 | SHA1 | 24 |
| dwadzieścia jeden | AES256 | SHA256 powiedział: | 24 |
| 22 | AES128 | SHA256 powiedział: | Żaden |
| 23 | AES128 | SHA256 powiedział: | 1 |
| 24 | AES128 | SHA256 powiedział: | 2 |
| 25 | AES128 | SHA256 powiedział: | 14 |
| 26 | 3DES | SHA1 | 14 |
- Szyfrowanie NULL protokołu IPsec ESP można określić za pomocą bram sieci VPN RouteBased i HighPerformance. Szyfrowanie oparte na wartości zerowej nie zapewnia ochrony danych w trakcie przesyłania i powinno być używane tylko wtedy, gdy wymagane jest maksymalne przepustowość i minimalne opóźnienie. Klienci mogą zdecydować się na użycie tej opcji w scenariuszach bezpośredniej komunikacji między sieciami wirtualnymi lub gdy szyfrowanie zostało zastosowane w innych częściach rozwiązania.
- W przypadku łączności obejmującej wiele lokalizacji za pośrednictwem Internetu użyj domyślnych ustawień bramy sieci VPN platformy Azure z algorytmami szyfrowania i tworzenia skrótów wymienionymi w poprzednich tabelach, aby zapewnić bezpieczeństwo komunikacji krytycznej.