共用方式為


關於 VPN 裝置和站對站 VPN 閘道連線的 IPsec/IKE 參數

使用 VPN 閘道設定站對站 (S2S) 跨單位 VPN 連接需要有 VPN 裝置。 站對站連線可以用來建立混合式解決方案,或者用於您想要在內部部署網路與虛擬網路之間建立安全連線之時。 本文提供已驗證的 VPN 裝置清單和 VPN 閘道的 IPsec/IKE 參數清單。

重要

如果您的內部部署 VPN 裝置與 VPN 閘道之間發生連線問題,請參考已知的裝置相容性問題

檢視表格時應注意的項目:

  • Azure VPN 閘道的名稱已經變更。 只有名稱會變更。 功能未變更。
    • 靜態路由 = 原則式
    • 動態路由 = 路由式
  • 除非另有說明,否則高效能 VPN 閘道和路由式 VPN 閘道的規格相同。 例如,已經驗證與路由式 VPN 閘道相容的 VPN 裝置,也能與高效能 VPN 閘道相容。

已驗證的 VPN 裝置及裝置設定指南

我們已與裝置廠商合作驗證一組標準 VPN 裝置。 在以下清單的裝置系列中,所有裝置應該都能與 VPN 閘道搭配運作。 這些是適用於裝置設定的建議演算法。

建議演算法 加密 完整性 DH 群組
IKE AES256 SHA256 DH2
IPsec AES256GCM AES256GCM

為了協助設定您的 VPN 裝置,請參閱對應到適當裝置系列的連結。 我們會以最佳做法為基礎來提供設定指示的連結,而設定指南列出的預設值則不需要包含最佳密碼編譯演算法。 如需 VPN 裝置的支援,請連絡裝置製造商。

廠商 裝置系列 作業系統最低版本 原則式設定指示 路由式設定指示
A10 Networks, Inc. Thunder CFW ACOS 4.1.1 不相容 設定指南
AhnLab TrusGuard TG 2.7.6
TG 3.5.x
未測試 設定指南
Allied Telesis AR 系列 VPN 路由器 AR 系列 5.4.7+ 設定指南 設定指南
Arista CloudEOS 路由器 vEOS 4.24.0FX 未測試 設定指南
Barracuda Networks, Inc. Barracuda CloudGen Firewall 原則式︰5.4.3
路由式︰6.2.0
設定指南 設定指南
Check Point Security Gateway R80.10 設定指南 設定指南
Cisco ASA 8.3
8.4+ (IKEv2\*)
支援 設定指南\*
Cisco ASR 原則式:IOS 15.1
路由式:IOS 15.2
支援 支援
Cisco CSR RouteBased:IOS-XE 16.10 未測試 組態指令碼
Cisco ISR 原則式:IOS 15.0
路由式\*:IOS 15.1
支援 支援
Cisco Meraki (MX) MX v15.12 不相容 設定指南
Cisco vEdge (Viptela OS) 18.4.0 (主動/被動模式) 不相容 手動設定 (主動/被動)
Citrix NetScaler MPX、SDX、VPX 10.1 及更新版本 設定指南 不相容
F5 BIG-IP 系列 12.0 設定指南 設定指南
Fortinet FortiGate FortiOS 5.6 未測試 設定指南
Fsas Technologies Si-R G 系列 V04:V04.12
V20:V20.14
設定指南 設定指南
Hillstone Networks 下一代防火牆 (NGFW) 5.5R7 未測試 設定指南
HPE Aruba EdgeConnect SDWAN 閘道 ECOS 版本 v9.2
協調器 OS v9.2
設定指南 設定指南
Internet Initiative Japan (IIJ) SEIL 系列 SEIL/X 4.60
SEIL/B1 4.60
SEIL/x86 3.20
設定指南 不相容
Juniper SRX 原則式:JunOS 10.2
路由式:JunOS 11.4
支援 組態指令碼
Juniper J 系列 原則式:JunOS 10.4r9
路由式:JunOS 11.4
支援 組態指令碼
Juniper ISG ScreenOS 6.3 支援 組態指令碼
Juniper SSG ScreenOS 6.2 支援 組態指令碼
Juniper MX JunOS 12.x 支援 組態指令碼
Microsoft 路由及遠端存取服務 Windows Server 2012 不相容 支援
開啟系統 AG 任務控制安全性閘道 N/A 支援 不相容
Palo Alto Networks 所有執行 PAN-OS 的裝置 PAN-OS
原則式:6.1.5 或更新版本
路由式:7.1.4
支援 設定指南
Sentrium (開發人員) VyOS VyOS 1.2.2 未測試 設定指南
ShareTech 新一代 UTM (NU 系列) 9.0.1.3 不相容 設定指南
SonicWall TZ 系列、NSA 系列
SuperMassive 系列
E-Class NSA 系列
SonicOS 5.8.x
SonicOS 5.9.x
SonicOS 6.x
不相容 設定指南
Sophos XG 新一代防火牆 XG v17 未測試 設定指南

設定指南 - 多個 SA
Synology MR2200ac
RT2600ac
RT1900ac
SRM1.1.5/VpnPlusServer-1.2.0 未測試 設定指南
Ubiquiti EdgeRouter EdgeOS v1.10 未測試 透過 IKEv2/IPsec 的 BGP \(英文\)

透過 IKEv2/IPsec 的 VTI \(英文\)
Ultra 3E-636L3 5.2.0.T3 Build-13 未測試 設定指南
WatchGuard 全部 Fireware XTM
原則式:v11.11.x
路由式:v11.12.x
設定指南 設定指南
Zyxel ZyWALL USG 系列
ZyWALL ATP 系列
ZyWALL VPN 系列
ZLD v4.32+ 未測試 透過 IKEv2/IPsec 的 VTI \(英文\)

透過 IKEv2/IPsec 的 BGP \(英文\)

注意

(\*) Cisco ASA 8.4 版以上新增了 IKEv2 支援,可使用自訂 IPsec/IKE 原則並搭配 "UsePolicyBasedTrafficSelectors" 選項來連線到 Azure VPN 閘道。 請參閱這篇操作說明文章

(\*\*) ISR 7200 系列路由器僅支援原則式 VPN。

從 Azure 下載 VPN 裝置設定指令碼

針對特定裝置,您可以直接從 Azure 下載設定指令碼。 如需詳細資訊和下載指示,請參閱下載 VPN 裝置設定指令碼

未驗證的 VPN 裝置

如果您沒有在「已驗證的 VPN 裝置」資料表中看到裝置,則裝置仍可能可以和站對站連線搭配使用。 如需支援和設定指示,請連絡裝置製造商。

編輯裝置組態範本

下載提供的 VPN 裝置組態範本之後,您將需要取代其中一些值,以反映您環境的設定。

編輯範本:

  1. 使用 [記事本] 開啟範本。
  2. 搜尋所有 <文字> 字串並使用適合您環境的值加以取代。 請務必包含 < 和 >。 當有指定名稱時,您選取的名稱應該是唯一名稱。 如果命令無法運作,請參閱裝置製造商文件。
範本中的文字 變更為
<RP_OnPremisesNetwork> 您為此物件選擇的名稱。 例如:myOnPremisesNetwork
<RP_AzureNetwork> 您為此物件選擇的名稱。 例如:myAzureNetwork
<RP_AccessList> 您為此物件選擇的名稱。 例如:myAzureAccessList
<RP_IPSecTransformSet> 您為此物件選擇的名稱。 例如:myIPSecTransformSet
<RP_IPSecCryptoMap> 您為此物件選擇的名稱。 例如:myIPSecCryptoMap
<SP_AzureNetworkIpRange> 指定範圍。 例如:192.168.0.0
<SP_AzureNetworkSubnetMask> 指定子網路遮罩。 例如:255.255.0.0
<SP_OnPremisesNetworkIpRange> 指定內部部署範圍。 例如:10.2.1.0
<SP_OnPremisesNetworkSubnetMask> 指定內部部署子網路遮罩。 例如:255.255.255.0
<SP_AzureGatewayIpAddress> 此為您虛擬網路的特定資訊,位於管理入口網站中的 [閘道器 IP 位址]
<SP_PresharedKey> 此資訊專屬於您的虛擬網路,是 [管理入口網站] 中的管理金鑰。

預設的 IPsec/IKE 參數

下列資料表包含 Azure VPN 閘道在預設設定中使用的演算法和參數組合 (預設原則)。 對於使用 Azure Resource Management 部署模型所建立的路由式 VPN 閘道,您可以對每個個別的連線指定自訂原則。 如需詳細指示,請參閱設定 IPsec/IKE 原則

在下列資料表中:

  • SA = 安全性關聯
  • IKE 階段 1 也稱為「主要模式」
  • IKE 階段 2 也稱為「快速模式」

IKE 階段 1 (主要模式) 參數

屬性 原則式 路由式
IKE 版本 IKEv1 IKEv1 和 IKEv2
Diffie-Hellman 群組 群組 2 (1024 位元) 群組 2 (1024 位元)
驗證方法 預先共用金鑰 預先共用金鑰
加密與雜湊演算法 1.AES256、SHA256
2.AES256、SHA1
3.AES128、SHA1
4. 3DES、SHA1
1.AES256、SHA1
2.AES256、SHA256
3.AES128、SHA1
4.AES128、SHA256
5. 3DES、SHA1
6. 3DES、SHA256
SA 存留期 28,800 秒 28,800 秒
快速模式 SA 的數目 100 100

IKE 階段 2 (快速模式) 參數

屬性 原則式 路由式
IKE 版本 IKEv1 IKEv1 和 IKEv2
加密與雜湊演算法 1.AES256、SHA256
2.AES256、SHA1
3.AES128、SHA1
4. 3DES、SHA1
RouteBased QM SA 供應項目
SA 存留期 (時間) 3,600 秒 27,000 秒
SA 存留期 (位元組) 102,400,000 KB 102,400,000 KB
完整轉寄密碼 (PFS) No RouteBased QM SA 供應項目
停用的對等偵測 (DPD) 不支援 支援

Azure VPN 閘道 TCP MSS 固定

MSS 固定會在 Azure VPN 閘道上雙向完成。 下表表格列出不同案例下的封包大小。

封包流程 IPv4 IPv6
透過網際網路 1340 個位元組 1360 個位元組
透過 ExpressRoute 閘道 1250 個位元組 1250 個位元組

RouteBased VPN IPsec 安全性關聯 (IKE 快速模式 SA) 供應項目

下表列出 IPsec SA (IKE 快速模式) 供應項目。 供應項目是依其呈現或被接受的喜好設定順序而列出。

Azure 閘道器為啟動者

- 加密 驗證 PFS 群組
1 GCM AES256 GCM (AES256)
2 AES256 SHA1
3 3DES SHA1
4 AES256 SHA256
5 AES128 SHA1
6 3DES SHA256

Azure 閘道器為回應者

- 加密 驗證 PFS 群組
1 GCM AES256 GCM (AES256)
2 AES256 SHA1
3 3DES SHA1
4 AES256 SHA256
5 AES128 SHA1
6 3DES SHA256
7 DES SHA1
8 AES256 SHA1 1
9 AES256 SHA1 2
10 AES256 SHA1 14
11 AES128 SHA1 1
12 AES128 SHA1 2
13 AES128 SHA1 14
14 3DES SHA1 1
15 3DES SHA1 2
16 3DES SHA256 2
17 AES256 SHA256 1
18 AES256 SHA256 2
19 AES256 SHA256 14
20 AES256 SHA1 24
21 AES256 SHA256 24
22 AES128 SHA256
23 AES128 SHA256 1
24 AES128 SHA256 2
25 AES128 SHA256 14
26 3DES SHA1 14
  • 您可以使用路由式和高效能 VPN 閘道指定 IPsec ESP NULL 加密。 以 Null 為基礎的加密不提供傳輸中資料的保護,應該只用於需要最大輸送量和最小延遲時。 在 VNet 對 VNet 通訊案例中,或將加密套用至解決方案中的其他項目時,用戶端可能會選擇使用此功能。
  • 針對透過網際網路的跨單位連線,請使用含有加密和雜湊演算法的預設 Azure VPN 閘道設定 (如先前資料表所列),以確保重要通訊的安全性。

已知的裝置相容性問題

重要

協力廠商 VPN 裝置與 Azure VPN 閘道之間有已知的相容性問題。 Azure 小組正積極與廠商合作來解決這裡所列出的問題。 解決這些問題之後,就會更新此頁面來提供最新資訊。 請定期回來查看。

2017 年 2 月 16 日

適用於 Azure 路由式 VPN 但版本比 7.1.4 舊的 Palo Alto Networks 裝置:如果您使用來自 Palo Alto Networks、PAN-OS 版本比 7.1.4 舊的 VPN 裝置,而在連線到 Azure 路由式 VPN 閘道時發生問題,請執行下列步驟:

  1. 檢查您 Palo Alto Networks 裝置的韌體版本。 如果您的 PAN-OS 版本比 7.1.4 舊,請升級至 7.1.4。
  2. 在 Palo Alto Networks 裝置上,於連線到 Azure VPN 閘道時,將 [Phase 2 SA (第 2 階段 SA)] \(或 [Quick Mode SA (快速模式 SA)]) 存留期變更為 28,800 秒 (8 小時)。
  3. 如果您仍然遇到連線問題,請從 Azure 入口網站開啟支援要求。