Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Bir VPN ağ geçidi kullanılarak Siteden Siteye (S2S) şirketler arası VPN bağlantısı yapılandırmak için bir VPN cihazı gereklidir. Siteden siteye bağlantılar karma çözüm oluşturmak amacıyla ya da şirket içi ağlarınız ile sanal ağlarınız arasında güvenli bağlantılar istediğinizde kullanılabilir. Bu makalede, doğrulanmış VPN cihazlarının listesi ve VPN ağ geçitleri için IPsec/IKE parametrelerinin listesi verilmektedir.
Tabloları görüntülerken dikkate alınacaklar:
- Azure VPN ağ geçitleri için terminoloji değişiklikleri yapılmıştır. Yalnızca adlar değişti. İşlevsel değişiklik yoktur.
- Statik Yönlendirme = Politika Bazlı
- Dinamik Yönlendirme = Rota Bazlı
- Yüksek Performanslı VPN ağ geçidi ve RouteBased VPN ağ geçidi özellikleri, aksi belirtilmedikçe aynıdır. Örneğin, RouteBased VPN ağ geçitleri ile uyumlu doğrulanmış VPN cihazları, Yüksek Performanslı VPN ağ geçidi ile de uyumludur.
Doğrulanmış VPN cihazları ve cihaz yapılandırma kılavuzları
Cihaz satıcılarıyla işbirliği yaparak bir grup standart VPN cihazını doğruladık. Aşağıdaki listede bulunan cihaz ailelerinde yer alan tüm cihazlar, VPN ağ geçitleriyle birlikte kullanılabilir. Bunlar, cihaz yapılandırmanız için önerilen algoritmalardır.
| Önerilen Algoritmalar | Şifreleme | Bütünlük | DH Grubu |
|---|---|---|---|
| IKE | AES256 | SHA256 Serisi | DH2 |
| IPsec | AES256GCM | AES256GCM | Hiçbiri |
VPN cihazınızı yapılandırmaya yardımcı olmak için uygun cihaz ailesine karşılık gelen bağlantılara bakın. Yapılandırma yönergelerine yönelik bağlantılar en iyi çaba temelinde sağlanır ve yapılandırma kılavuzunda listelenen varsayılanlar en iyi şifreleme algoritmalarını içermemelidir. VPN cihazı desteği için lütfen cihaz üreticinize başvurun.
| Satıcı | Cihaz ailesi | En düşük işletim sistemi sürümü | PolicyBased yapılandırma yönergeleri | RouteBased yapılandırma yönergeleri |
|---|---|---|---|---|
| A10 Networks, Inc. | Thunder CFW | ACOS 4.1.1 | Uyumlu değil | Yapılandırma kılavuzu |
| AhnLab | TrusGuard | TG 2.7.6 TG 3.5.x |
Test edilmedi | Yapılandırma kılavuzu |
| Müttefik Telesis | AR Serisi VPN Yönlendiricileri | AR Serisi 5.4.7+ | Yapılandırma kılavuzu | Yapılandırma kılavuzu |
| Öz | CloudEOS Yönlendiricisi | vEOS 4.24.0FX | Test edilmedi | Yapılandırma kılavuzu |
| Barracuda Networks, Inc. | Barracuda CloudGen Güvenlik Duvarı | PolicyTabanlı: 5.4.3 RouteBased: 6.2.0 |
Yapılandırma kılavuzu | Yapılandırma kılavuzu |
| Denetim Noktası | Güvenlik Ağ Geçidi | R80.10 | Yapılandırma kılavuzu | Yapılandırma kılavuzu |
| Cisco | ASA | 8.3 8.4+ (IKEv2*) |
Desteklenir | Yapılandırma kılavuzu* |
| Cisco | Otomatik Konuşma Tanıma (ASR) | Politika Tabanlı: IOS 15.1 RouteBased: IOS 15.2 |
Desteklenir | Desteklenir |
| Cisco | Kurumsal Sosyal Sorumluluk | RouteBased: IOS-XE 16.10 | Test edilmedi | Yapılandırma betiği |
| Cisco | İstihbarat, Gözetim ve Keşif (ISR) | Politika Tabanlı: IOS 15.0 RouteBased*: iOS 15.1 |
Desteklenir | Desteklenir |
| Cisco | Meraki (MX) | MX v15.12 | Uyumlu değil | Yapılandırma kılavuzu |
| Cisco | vEdge (Viptela işletim sistemi) | 18.4.0 (Etkin/Pasif Mod) | Uyumlu değil | El ile yapılandırma (Etkin/Pasif) |
| Citrix | NetScaler MPX, SDX, VPX | 10.1 ve üzeri | Yapılandırma kılavuzu | Uyumlu değil |
| F5 | BIG-IP serisi | 12.0 | Yapılandırma kılavuzu | Yapılandırma kılavuzu |
| Fortinet | FortiGate | FortiOS 5.6 | Test edilmedi | Yapılandırma kılavuzu |
| Fsas Technologies | Si-R G serisi | V04: V04.12 V20: V20.14 |
Yapılandırma kılavuzu | Yapılandırma kılavuzu |
| Hillstone Networks | Yeni Nesil Güvenlik Duvarları (NGFW) | 5.5R7 | Test edilmedi | Yapılandırma kılavuzu |
| HPE Aruba | EdgeConnect SDWAN Ağ Geçidi | ECOS Sürüm v9.2 Orchestrator OS v9.2 |
Yapılandırma kılavuzu | Yapılandırma kılavuzu |
| Internet Initiative Japan (IIJ) | SEIL Serisi | SEIL/X 4.60 SEIL/B1 4.60 SEIL/x86 3.20 |
Yapılandırma kılavuzu | Uyumlu değil |
| Ardıç | SRX | PolicyBased: JunOS 10.2 Yol Tabanlı: JunOS 11.4 |
Desteklenir | Yapılandırma betiği |
| Ardıç | J-Serisi | Politika Tabanlı: JunOS 10.4r9 RouteBased: JunOS 11.4 |
Desteklenir | Yapılandırma betiği |
| Ardıç | İş Sağlığı ve Güvenliği | ScreenOS 6.3 | Desteklenir | Yapılandırma betiği |
| Ardıç | SSG | ScreenOS 6.2 | Desteklenir | Yapılandırma betiği |
| Ardıç | Meksika | JunOS 12.x | Desteklenir | Yapılandırma betiği |
| Microsoft | Yönlendirme ve Uzaktan Erişim Hizmeti | Windows Server 2012 | Uyumlu değil | Desteklenir |
| Open Systems AG | Görev Kontrol Güvenlik Ağ Geçidi | Yok | Desteklenir | Uyumlu değil |
| Palo Alto Ağları | PAN-OS çalıştıran tüm cihazlar | PAN-OS PolicyBased: 6.1.5 veya üzeri RouteBased: 7.1.4 |
Desteklenir | Yapılandırma kılavuzu |
| Sentrium (Geliştirici) | VyOS | VyOS 1.2.2 | Test edilmedi | Yapılandırma kılavuzu |
| ShareTech | Yeni Nesil UTM (NU serisi) | 9.0.1.3 | Uyumlu değil | Yapılandırma kılavuzu |
| SonicWall | TZ Serisi, NSA Serisi SuperMassive Serisi E-Sınıfı NSA Serisi |
SonicOS 5.8.x SonicOS 5.9.x SonicOS 6.x |
Uyumlu değil | Yapılandırma kılavuzu |
| Sophos | XG Yeni Nesil Güvenlik Duvarı | XG v17 | Test edilmedi |
Yapılandırma kılavuzu Yapılandırma kılavuzu - Birden çok SA |
| Synology | MR2200ac RT2600ac RT1900ac |
SRM1.1.5/VpnPlusServer-1.2.0 | Test edilmedi | Yapılandırma kılavuzu |
| Ubiquiti | EdgeRouter | EdgeOS v1.10 | Test edilmedi |
IKEv2/IPsec üzerinden BGP VTI, IKEv2/IPsec üzerinden |
| Ultra | 3E-636L3 | 5.2.0.T3 Derleme-13 | Test edilmedi | Yapılandırma kılavuzu |
| WatchGuard | Tümü | Fireware XTM "Politikaya Dayalı: v11.11.x" RouteBased: v11.12.x |
Yapılandırma kılavuzu | Yapılandırma kılavuzu |
| Zyxel | ZyWALL USG serisi ZyWALL ATP serisi ZyWALL VPN serisi |
ZLD v4.32+ | Test edilmedi |
VTI, IKEv2/IPsec üzerinden IKEv2/IPsec üzerinden BGP |
Not
(*) Cisco ASA 8.4 ve üzeri sürümleri IKEv2 desteği ekler, "UsePolicyBasedTrafficSelectors" seçeneğiyle özel IPsec/IKE ilkesini kullanarak Azure VPN ağ geçidine bağlanabilir. Bu nasıl yapılır makalesine başvurun.
(**) ISR 7200 Serisi yönlendiriciler yalnızca PolicyBased VPN’leri destekler.
Azure'dan VPN cihazı yapılandırma betiklerini indirme
Bazı cihazlar için yapılandırma betiklerini doğrudan Azure'dan indirebilirsiniz. Daha fazla bilgi ve indirme yönergeleri için VPN cihazı yapılandırma betiklerini indirmeyi bölümüne bakın.
Doğrulanmamış VPN cihazları
Cihazınızı Doğrulanmış VPN cihazları tablosunda görmüyorsanız, cihazınız siteden siteye bağlantıyla çalışmaya devam edebilir. Destek ve yapılandırma yönergeleri için cihaz üreticinize başvurun.
Cihaz yapılandırma örneklerini düzenleme
Sağlanan VPN cihazı yapılandırma örneğini indirdikten sonra, ortamınıza ilişkin ayarları yansıtacak şekilde bazı değerleri değiştirmeniz gerekir.
Bir örneği düzenlemek için:
- Not Defteri'ni kullanarak örneği açın.
- Tüm <metin> dizelerini arayın ve ortamınızla ilgili değerlerle değiştirin. < ve > eklemeyi unutmayın. Bir ad belirtildiğinde, seçtiğiniz adın benzersiz olması gerekir. Bir komut işe yaramazsa cihaz üreticinizin belgelerine bakın.
| Örnek metin | Şununla değiştirin: |
|---|---|
| <RP_OnPremisesNetwork> | Bu nesne için seçtiğiniz ad. Örnek: myOnPremisesNetwork |
| <RP_AzureNetwork> | Bu nesne için seçtiğiniz ad. Örnek: myAzureNetwork |
| <RP_ErişimListesi> | Bu nesne için seçtiğiniz ad. Örnek: myAzureAccessList |
| <RP_IPSecTransformSet> | Bu nesne için seçtiğiniz ad. Örnek: myIPSecTransformSet |
| <RP_IPSecCryptoMap> | Bu nesne için seçtiğiniz ad. Örnek: myIPSecCryptoMap |
| <SP_AzureNetworkIpRange> | Aralığı belirtin. Örnek: 192.168.0.0 |
| <SP_AzureNetworkSubnetMask> | Alt ağ maskesi belirtin. Örnek: 255.255.0.0 |
| <SP_OnPremisesNetworkIpRange> | Şirket içi aralığı belirtin. Örnek: 10.2.1.0 |
| <SP_Lokalde Ağ Alt Ağ Maskesi> | Şirket içi alt ağ maskesini belirtin. Örnek: 255.255.255.0 |
| <SP_AzureGatewayIpAddress> | Bu bilgiler sanal ağınıza özeldir ve Ağ geçidi IP adresi olarak Yönetim Portalı’nda yer almaktadır. |
| <SP_Ön Paylaşılan Anahtar> | Bu bilgiler sanal ağınıza özeldir ve Yönetme Anahtarı olarak Yönetim Portalı’nda yer almaktadır. |
Varsayılan IPsec/IKE parametreleri
Aşağıdaki tablolar, Azure VPN ağ geçitlerinin varsayılan yapılandırmada (Varsayılan ilkeler) kullandığı algoritma ve parametre birleşimlerini içerir. Azure Kaynak Yönetimi dağıtım modeli kullanılarak oluşturulan rota tabanlı VPN ağ geçitleri için, her ayrı bağlantı üzerinde özel bir ilke belirleyebilirsiniz. Ayrıntılı yönergeler için IPsec/IKE ilkesini yapılandırma bölümüne bakın.
Aşağıdaki tablolarda:
- SA = Güvenlik Birliği
- IKE Aşama 1 "Ana Mod" olarak da adlandırılır
- IKE Aşama 2 "Hızlı Mod" olarak da adlandırılır
IKE Aşama 1 (Ana Mod) parametreleri
| Özellik | PolicyBased | RouteBased |
|---|---|---|
| IKE Sürümü | IKEv1 | IKEv1 ve IKEv2 |
| Diffie-Hellman Grubu | Grup 2 (1024 bit) | Grup 2 (1024 bit) |
| Kimlik Doğrulama Yöntemi | Önceden Paylaşılan Anahtar | Önceden Paylaşılan Anahtar |
| Şifreleme ve Karma Algoritmaları | 1. AES256, SHA256 2. AES256, SHA1 3. AES128, SHA1 4. 3DES, SHA1 |
1. AES256, SHA1 2. AES256, SHA256 3. AES128, SHA1 4. AES128, SHA256 5. 3DES, SHA1 6. 3DES, SHA256 |
| SA Yaşam Süresi | 28.800 saniye | 28.800 saniye |
| Hızlı Mod SA sayısı | 100 | 100 |
IKE Aşama 2 (Hızlı Mod) parametreleri
| Özellik | PolicyBased | RouteBased |
|---|---|---|
| IKE Sürümü | IKEv1 | IKEv1 ve IKEv2 |
| Şifreleme ve Karma Algoritmaları | 1. AES256, SHA256 2. AES256, SHA1 3. AES128, SHA1 4. 3DES, SHA1 |
RouteBased QM SA Teklifleri |
| SA Yaşam Süresi (Zaman) | 3.600 saniye | 27.000 saniye |
| SA Yaşam Süresi (Bayt) | 102.400.000 KB | 102.400.000 KB |
| Kusursuz İleri Gizliliği (PFS) | Hayır | RouteBased QM SA Teklifleri |
| Ölü Eş Algılama (DPD) | Desteklenmez | Desteklenir |
Azure VPN Gateway TCP MSS Sınırlama
MSS sınırlaması, Azure VPN Gateway üzerinde çift yönlü olarak yapılır. Aşağıdaki tabloda paket boyutu farklı senaryolar altında listelemektedir.
| Paket Akışı | IPv4 | IPv6 |
|---|---|---|
| İnternet üzerinden | 1360 bayt | 1340 bayt |
| Express Route Gateway üzerinden | 1250 bayt | 1250 bayt |
RouteBased VPN IPsec Güvenlik İlişkisi (IKE Hızlı Mod SA) Teklifleri
Aşağıdaki tabloda IPsec SA (IKE Hızlı Mod) Teklifleri listelenir. Teklifler, teklifin sunulduğu ya da kabul edildiği tercih sırasına göre listelenmiştir.
Azure Ağ Geçidi başlatıcı olarak
| - | Şifreleme | Kimlik Doğrulaması | PFS Grubu |
|---|---|---|---|
| 1 | GCM AES256 | GCM (AES256) | Hiçbiri |
| 2 | AES256 | SHA1 | Hiçbiri |
| 3 | Üçlü Veri Şifreleme Standardı (3DES) | SHA1 | Hiçbiri |
| 4 | AES256 | SHA256 Serisi | Hiçbiri |
| 5 | AES128 | SHA1 | Hiçbiri |
| 6 | Üçlü Veri Şifreleme Standardı (3DES) | SHA256 Serisi | Hiçbiri |
Azure Ağ Geçidi yanıtlayıcı olarak
| - | Şifreleme | Kimlik Doğrulaması | PFS Grubu |
|---|---|---|---|
| 1 | GCM AES256 | GCM (AES256) | Hiçbiri |
| 2 | AES256 | SHA1 | Hiçbiri |
| 3 | Üçlü Veri Şifreleme Standardı (3DES) | SHA1 | Hiçbiri |
| 4 | AES256 | SHA256 Serisi | Hiçbiri |
| 5 | AES128 | SHA1 | Hiçbiri |
| 6 | Üçlü Veri Şifreleme Standardı (3DES) | SHA256 Serisi | Hiçbiri |
| 7 | Veri Şifreleme Standardı (DES) | SHA1 | Hiçbiri |
| 8 | AES256 | SHA1 | 1 |
| 9 | AES256 | SHA1 | 2 |
| 10 | AES256 | SHA1 | 14 |
| 11 | AES128 | SHA1 | 1 |
| 12 | AES128 | SHA1 | 2 |
| 13 (on üç) | AES128 | SHA1 | 14 |
| 14 | Üçlü Veri Şifreleme Standardı (3DES) | SHA1 | 1 |
| 15 | Üçlü Veri Şifreleme Standardı (3DES) | SHA1 | 2 |
| 16 | Üçlü Veri Şifreleme Standardı (3DES) | SHA256 Serisi | 2 |
| 17 | AES256 | SHA256 Serisi | 1 |
| 18 | AES256 | SHA256 Serisi | 2 |
| 19 | AES256 | SHA256 Serisi | 14 |
| 20 | AES256 | SHA1 | yirmi dört |
| 21 | AES256 | SHA256 Serisi | yirmi dört |
| 22 | AES128 | SHA256 Serisi | Hiçbiri |
| 23 | AES128 | SHA256 Serisi | 1 |
| yirmi dört | AES128 | SHA256 Serisi | 2 |
| Yirmi beş | AES128 | SHA256 Serisi | 14 |
| 26 | Üçlü Veri Şifreleme Standardı (3DES) | SHA1 | 14 |
- RouteBased ve Yüksek Performanslı VPN ağ geçitleri ile IPsec ESP NULL şifrelemesini belirtebilirsiniz. Null tabanlı şifreleme, aktarımdaki verilere koruma sağlamaz ve yalnızca maksimum aktarım hızı ve en düşük gecikme süresi gerektiğinde kullanılmalıdır. İstemciler bunu sanal ağdan sanal ağa iletişim senaryolarında veya şifreleme çözümün başka bir yerine uygulanırken kullanmayı tercih edebilir.
- İnternet üzerinden şirket içi çapraz bağlantı için, kritik iletişiminizin güvenliğini sağlamak için önceki tablolarda listelenen şifreleme ve karma algoritmalarıyla varsayılan Azure VPN ağ geçidi ayarlarını kullanın.