使用 VPN 閘道設定站對站 (S2S) 跨單位 VPN 連接需要有 VPN 裝置。 站對站連線可以用來建立混合式解決方案,或者用於您想要在內部部署網路與虛擬網路之間建立安全連線之時。 本文提供已驗證的 VPN 裝置清單和 VPN 閘道的 IPsec/IKE 參數清單。
檢視表格時應注意的項目:
- Azure VPN 閘道已有術語變更。 只有名稱已變更。 功能未變更。
- 靜態路由 = 政策導向
- 動態路由 = 路由式
- 除非另有說明,否則高效能 VPN 閘道和路由式 VPN 閘道的規格相同。 例如,已經驗證與路由式 VPN 閘道相容的 VPN 裝置,也能與高效能 VPN 閘道相容。
已驗證的 VPN 裝置及裝置設定指南
我們已與裝置廠商合作驗證一組標準 VPN 裝置。 在以下清單的裝置系列中,所有裝置應該都能與 VPN 閘道搭配運作。 這些是適用於裝置設定的建議演算法。
| 建議演算法 | 加密 | 完整性 | DH 群組 |
|---|---|---|---|
| 艾克 | AES256 | SHA256 | DH2 |
| IPsec | AES256GCM | AES256GCM | 無 |
為了協助設定您的 VPN 裝置,請參閱對應到適當裝置系列的連結。 我們會以最佳做法為基礎來提供設定指示的連結,而設定指南列出的預設值則不需要包含最佳密碼編譯演算法。 如需 VPN 裝置的支援,請連絡裝置製造商。
| 廠商 | 裝置系列 | 作業系統最低版本 | 基於原則的配置說明 | 路由式設定指示 |
|---|---|---|---|---|
| A10 Networks, Inc. | Thunder CFW | ACOS 4.1.1 | 不相容 | 設定指南 |
| AhnLab | TrusGuard | TG 2.7.6 TG 3.5.x 版本 |
未測試 | 設定指南 |
| 盟軍特萊西斯 | AR 系列 VPN 路由器 | AR 系列 5.4.7+ | 設定指南 | 設定指南 |
| Arista | CloudEOS 路由器 | vEOS 4.24.0FX | 未測試 | 設定指南 |
| Barracuda Networks, Inc. | Barracuda CloudGen 防火牆 | 原則式︰5.4.3 RouteBased:6.2.0 |
設定指南 | 設定指南 |
| Check Point | 安全網關 | R80.10 | 設定指南 | 設定指南 |
| 思科 | ASA | 8.3 8.4+ (IKEv2\*) |
支援 | 設定指南\* |
| 思科 | 自動語音識別 (ASR) | 原則式:IOS 15.1 路由式:IOS 15.2 |
支援 | 支援 |
| 思科 | 企業社會責任 | RouteBased:IOS-XE 16.10 | 未測試 | 組態指令碼 |
| 思科 | 情報、監視與偵查 (ISR) | 原則式:IOS 15.0 路由式\*:IOS 15.1 |
支援 | 支援 |
| 思科 | 梅拉基(MX) | MX 版本 15.12 | 不相容 | 設定指南 |
| 思科 | vEdge(Viptela作業系統) | 18.4.0 (主動/被動模式) | 不相容 | 手動設定 (主動/被動) |
| Citrix | NetScaler MPX、SDX、VPX | 10.1 及更新版本 | 設定指南 | 不相容 |
| F5 | BIG-IP 系列 | 12.0 | 設定指南 | 設定指南 |
| Fortinet | FortiGate | FortiOS 5.6 | 未測試 | 設定指南 |
| FSAS技術 | Si-R G 系列 | V04:V04.12 V20:V20.14 |
設定指南 | 設定指南 |
| 希爾斯通網路 | 下一代防火牆 (NGFW) | 5.5R7 | 未測試 | 設定指南 |
| HPE 阿路巴 | EdgeConnect SDWAN 閘道 | ECOS 發佈 v9.2 協調器 OS v9.2 |
設定指南 | 設定指南 |
| 日本互聯網倡議(IIJ) | SEIL 系列 | SEIL/X 4.60 SEIL/B1 4.60 SEIL/x86 3.20 |
設定指南 | 不相容 |
| Juniper | SRX | 原則式:JunOS 10.2 路由式:JunOS 11.4 |
支援 | 組態指令碼 |
| Juniper | J 系列 | 原則式:JunOS 10.4r9 路由式:JunOS 11.4 |
支援 | 組態指令碼 |
| Juniper | ISG | 螢幕作業系統 6.3 | 支援 | 組態指令碼 |
| Juniper | SSG | 螢幕作業系統 6.2 | 支援 | 組態指令碼 |
| Juniper | 墨西哥 | JunOS 12.x | 支援 | 組態指令碼 |
| 微軟 | 路由及遠端存取服務 | Windows 伺服器 2012 | 不相容 | 支援 |
| 開啟系統 AG | 任務控制安全性閘道 | N/A | 支援 | 不相容 |
| Palo Alto Networks | 所有執行 PAN-OS 的裝置 | PAN-OS 原則式:6.1.5 或更新版本 路由式:7.1.4 |
支援 | 設定指南 |
| Sentrium (開發人員) | VyOS | 維奧斯 1.2.2 | 未測試 | 設定指南 |
| ShareTech | 新一代 UTM (NU 系列) | 9.0.1.3 | 不相容 | 設定指南 |
| SonicWall | TZ 系列、NSA 系列 SuperMassive 系列 E-Class NSA 系列 |
SonicOS 5.8.x (英語) SonicOS 5.9.x 索尼克OS 6.x |
不相容 | 設定指南 |
| Sophos | XG 新一代防火牆 | XG v17 | 未測試 |
設定指南 設定指南 - 多個 SA |
| Synology | MR2200ac RT2600ac RT1900ac |
SRM1.1.5/VpnPlusServer-1.2.0 | 未測試 | 設定指南 |
| Ubiquiti | EdgeRouter | EdgeOS v1.10 版本 | 未測試 |
透過 IKEv2/IPsec 的 BGP \(英文\) 透過 IKEv2/IPsec 的 VTI \(英文\) |
| Ultra | 3E-636L3 | 5.2.0.T3 組建 13 | 未測試 | 設定指南 |
| WatchGuard | 全部 | Fireware XTM 原則式:v11.11.x 路由式:v11.12.x |
設定指南 | 設定指南 |
| Zyxel | ZyWALL USG 系列 ZyWALL ATP 系列 ZyWALL VPN 系列 |
ZLD v4.32+ | 未測試 |
透過 IKEv2/IPsec 的 VTI \(英文\) 透過 IKEv2/IPsec 的 BGP \(英文\) |
附註
(\*) Cisco ASA 8.4 版以上新增了 IKEv2 支援,可使用自訂 IPsec/IKE 原則並搭配 "UsePolicyBasedTrafficSelectors" 選項來連線到 Azure VPN 閘道。 請參閱這篇操作說明文章。
(\*\*) ISR 7200 系列路由器僅支援原則式 VPN。
從 Azure 下載 VPN 裝置設定指令碼
針對特定裝置,您可以直接從 Azure 下載設定指令碼。 如需詳細資訊和下載指示,請參閱下載 VPN 裝置設定指令碼。
未驗證的 VPN 裝置
如果您沒有在「已驗證的 VPN 裝置」資料表中看到裝置,則裝置仍可能可以和站對站連線搭配使用。 如需支援和設定指示,請連絡裝置製造商。
編輯裝置組態範本
下載提供的 VPN 裝置組態範本之後,您將需要取代其中一些值,以反映您環境的設定。
編輯範本:
- 使用 [記事本] 開啟範本。
- 搜尋所有 <文字> 字串並使用適合您環境的值加以取代。 請務必包含 < 和 >。 當有指定名稱時,您選取的名稱應該是唯一名稱。 如果命令無法運作,請參閱裝置製造商文件。
| 範本中的文字 | 變更為 |
|---|---|
| <RP_OnPremisesNetwork> | 您為此物件選擇的名稱。 例如:myOnPremisesNetwork |
| <RP_AzureNetwork> | 您為此物件選擇的名稱。 例如:myAzureNetwork |
| <RP_AccessList> | 您為此物件選擇的名稱。 例如:myAzureAccessList |
| <RP_IPSecTransformSet> | 您為此物件選擇的名稱。 例如:myIPSecTransformSet |
| <RP_IPSecCryptoMap> | 您為此物件選擇的名稱。 例如:myIPSecCryptoMap |
| <SP_AzureNetworkIpRange> | 指定範圍。 例如:192.168.0.0 |
| <SP_Azure 網路子網掩碼> | 指定子網路遮罩。 例如:255.255.0.0 |
| <SP_內部網路IP範圍> | 指定內部部署範圍。 例如:10.2.1.0 |
| <SP_本地網路子網掩碼> | 指定內部部署子網路遮罩。 例如:255.255.255.0 |
| <SP_AzureGatewayIpAddress> | 這些有關於您的虛擬網路的特定資訊位於管理入口網站中的 [閘道器 IP 位址] 。 |
| <SP_PresharedKey> | 此資訊專屬於您的虛擬網路,是 [管理入口網站] 中的管理金鑰。 |
預設的 IPsec/IKE 參數
下列資料表包含 Azure VPN 閘道在預設設定中使用的演算法和參數組合 (預設原則)。 對於使用 Azure Resource Management 部署模型所建立的路由式 VPN 閘道,您可以對每個個別的連線指定自訂原則。 如需詳細指示,請參閱設定 IPsec/IKE 原則。
在下列資料表中:
- SA = 安全聯盟
- IKE 階段 1 也稱為「主要模式」
- IKE 階段 2 也稱為「快速模式」
IKE 階段 1 (主要模式) 參數
| 屬性 | 原則式 | 路由式 |
|---|---|---|
| IKE 版本 | IKEv1(網際網路金鑰交換協定版本1) | IKEv1 和 IKEv2 |
| Diffie-Hellman 群組 | 群組 2 (1024 位元) | 群組 2 (1024 位元) |
| 驗證方法 | 預先共用金鑰 | 預先共用金鑰 |
| 加密與雜湊演算法 | 1.AES256、SHA256 2.AES256、SHA1 3.AES128、SHA1 4. 3DES、SHA1 |
1.AES256、SHA1 2.AES256、SHA256 3.AES128、SHA1 4.AES128、SHA256 5. 3DES、SHA1 6. 3DES、SHA256 |
| SA 存留期 | 28,800 秒 | 28,800 秒 |
| 快速模式 SA 的數目 | 100 | 100 |
IKE 階段 2 (快速模式) 參數
| 屬性 | 原則式 | 路由式 |
|---|---|---|
| IKE 版本 | IKEv1(網際網路金鑰交換協定版本1) | IKEv1 和 IKEv2 |
| 加密與雜湊演算法 | 1.AES256、SHA256 2.AES256、SHA1 3.AES128、SHA1 4. 3DES、SHA1 |
RouteBased QM SA 提供的服務 |
| SA 存留期 (時間) | 3,600 秒 | 27,000 秒 |
| SA 存留期 (位元組) | 102,400,000 KB | 102,400,000 KB |
| 完美前向保密 (PFS) | 不 | RouteBased QM SA 提供的服務 |
| 停用的對等偵測 (DPD) | 不支援 | 支援 |
Azure VPN 閘道 TCP MSS 固定
MSS 固定會在 Azure VPN 閘道上雙向完成。 下表表格列出不同案例下的封包大小。
| 封包流程 | IPv4 | IPv6 |
|---|---|---|
| 透過網際網路 | 1360 個位元組 | 1340 個位元組 |
| 透過 ExpressRoute 閘道 | 1250 個位元組 | 1250 個位元組 |
RouteBased VPN IPsec 安全性關聯 (IKE 快速模式 SA) 供應項目
下表列出 IPsec SA (IKE 快速模式) 供應項目。 供應項目是依其呈現或被接受的喜好設定順序而列出。
Azure 閘道器為啟動者
| - | 加密 | 驗證 | PFS 群組 |
|---|---|---|---|
| 1 | GCM AES256 | GCM (AES256) | 無 |
| 2 | AES256 | SHA1 | 無 |
| 3 | 3DES(三重資料加密標準) | SHA1 | 無 |
| 4 | AES256 | SHA256 | 無 |
| 5 | AES128 | SHA1 | 無 |
| 6 | 3DES(三重資料加密標準) | SHA256 | 無 |
Azure 閘道器為回應者
| - | 加密 | 驗證 | PFS 群組 |
|---|---|---|---|
| 1 | GCM AES256 | GCM (AES256) | 無 |
| 2 | AES256 | SHA1 | 無 |
| 3 | 3DES(三重資料加密標準) | SHA1 | 無 |
| 4 | AES256 | SHA256 | 無 |
| 5 | AES128 | SHA1 | 無 |
| 6 | 3DES(三重資料加密標準) | SHA256 | 無 |
| 7 | DES(資料加密標準) | SHA1 | 無 |
| 8 | AES256 | SHA1 | 1 |
| 9 | AES256 | SHA1 | 2 |
| 10 | AES256 | SHA1 | 14 |
| 11 | AES128 | SHA1 | 1 |
| 12 | AES128 | SHA1 | 2 |
| 13 | AES128 | SHA1 | 14 |
| 14 | 3DES(三重資料加密標準) | SHA1 | 1 |
| 15 | 3DES(三重資料加密標準) | SHA1 | 2 |
| 16 | 3DES(三重資料加密標準) | SHA256 | 2 |
| 17 | AES256 | SHA256 | 1 |
| 18 | AES256 | SHA256 | 2 |
| 19 | AES256 | SHA256 | 14 |
| 20 | AES256 | SHA1 | 24 |
| 21 | AES256 | SHA256 | 24 |
| 22 | AES128 | SHA256 | 無 |
| 23 | AES128 | SHA256 | 1 |
| 24 | AES128 | SHA256 | 2 |
| 25 | AES128 | SHA256 | 14 |
| 26 | 3DES(三重資料加密標準) | SHA1 | 14 |
- 您可以使用路由式、 高效能 VPN 閘道指定 IPsec ESP NULL 加密。 以 Null 為基礎的加密不提供傳輸中資料的保護,應該只用於需要最大輸送量和最小延遲時。 在 VNet 對 VNet 通訊案例中,或將加密套用至解決方案中的其他項目時,用戶端可能會選擇使用此功能。
- 針對透過網際網路的跨單位連線,請使用含有加密和雜湊演算法的預設 Azure VPN 閘道設定 (如先前資料表所列),以確保重要通訊的安全性。