關於 VPN 裝置和站對站 VPN 閘道連線的 IPsec/IKE 參數
使用 VPN 閘道設定站對站 (S2S) 跨單位 VPN 連接需要有 VPN 裝置。 站對站連線可以用來建立混合式解決方案,或者用於您想要在內部部署網路與虛擬網路之間建立安全連線之時。 本文提供已驗證的 VPN 裝置清單和 VPN 閘道的 IPsec/IKE 參數清單。
重要
如果您的內部部署 VPN 裝置與 VPN 閘道之間發生連線問題,請參考已知的裝置相容性問題。
檢視表格時應注意的項目:
- Azure VPN 閘道的名稱已經變更。 只有名稱會變更。 功能未變更。
- 靜態路由 = 原則式
- 動態路由 = 路由式
- 除非另有說明,否則高效能 VPN 閘道和路由式 VPN 閘道的規格相同。 例如,已經驗證與路由式 VPN 閘道相容的 VPN 裝置,也能與高效能 VPN 閘道相容。
已驗證的 VPN 裝置及裝置設定指南
我們已與裝置廠商合作驗證一組標準 VPN 裝置。 在以下清單的裝置系列中,所有裝置應該都能與 VPN 閘道搭配運作。 這些是適用於裝置設定的建議演算法。
| 建議演算法 | 加密 | 完整性 | DH 群組 |
|---|---|---|---|
| IKE | AES256 | SHA256 | DH2 |
| IPsec | AES256GCM | AES256GCM | 無 |
為了協助設定您的 VPN 裝置,請參閱對應到適當裝置系列的連結。 我們會以最佳做法為基礎來提供設定指示的連結,而設定指南列出的預設值則不需要包含最佳密碼編譯演算法。 如需 VPN 裝置的支援,請連絡裝置製造商。
| 廠商 | 裝置系列 | 作業系統最低版本 | 原則式設定指示 | 路由式設定指示 |
|---|---|---|---|---|
| A10 Networks, Inc. | Thunder CFW | ACOS 4.1.1 | 不相容 | 設定指南 |
| AhnLab | TrusGuard | TG 2.7.6 TG 3.5.x |
未測試 | 設定指南 |
| Allied Telesis | AR 系列 VPN 路由器 | AR 系列 5.4.7+ | 設定指南 | 設定指南 |
| Arista | CloudEOS 路由器 | vEOS 4.24.0FX | 未測試 | 設定指南 |
| Barracuda Networks, Inc. | Barracuda CloudGen Firewall | 原則式︰5.4.3 路由式︰6.2.0 |
設定指南 | 設定指南 |
| Check Point | Security Gateway | R80.10 | 設定指南 | 設定指南 |
| Cisco | ASA | 8.3 8.4+ (IKEv2\*) |
支援 | 設定指南\* |
| Cisco | ASR | 原則式:IOS 15.1 路由式:IOS 15.2 |
支援 | 支援 |
| Cisco | CSR | RouteBased:IOS-XE 16.10 | 未測試 | 組態指令碼 |
| Cisco | ISR | 原則式:IOS 15.0 路由式\*:IOS 15.1 |
支援 | 支援 |
| Cisco | Meraki (MX) | MX v15.12 | 不相容 | 設定指南 |
| Cisco | vEdge (Viptela OS) | 18.4.0 (主動/被動模式) | 不相容 | 手動設定 (主動/被動) |
| Citrix | NetScaler MPX、SDX、VPX | 10.1 及更新版本 | 設定指南 | 不相容 |
| F5 | BIG-IP 系列 | 12.0 | 設定指南 | 設定指南 |
| Fortinet | FortiGate | FortiOS 5.6 | 未測試 | 設定指南 |
| Fsas Technologies | Si-R G 系列 | V04:V04.12 V20:V20.14 |
設定指南 | 設定指南 |
| Hillstone Networks | 下一代防火牆 (NGFW) | 5.5R7 | 未測試 | 設定指南 |
| HPE Aruba | EdgeConnect SDWAN 閘道 | ECOS 版本 v9.2 協調器 OS v9.2 |
設定指南 | 設定指南 |
| Internet Initiative Japan (IIJ) | SEIL 系列 | SEIL/X 4.60 SEIL/B1 4.60 SEIL/x86 3.20 |
設定指南 | 不相容 |
| Juniper | SRX | 原則式:JunOS 10.2 路由式:JunOS 11.4 |
支援 | 組態指令碼 |
| Juniper | J 系列 | 原則式:JunOS 10.4r9 路由式:JunOS 11.4 |
支援 | 組態指令碼 |
| Juniper | ISG | ScreenOS 6.3 | 支援 | 組態指令碼 |
| Juniper | SSG | ScreenOS 6.2 | 支援 | 組態指令碼 |
| Juniper | MX | JunOS 12.x | 支援 | 組態指令碼 |
| Microsoft | 路由及遠端存取服務 | Windows Server 2012 | 不相容 | 支援 |
| 開啟系統 AG | 任務控制安全性閘道 | N/A | 支援 | 不相容 |
| Palo Alto Networks | 所有執行 PAN-OS 的裝置 | PAN-OS 原則式:6.1.5 或更新版本 路由式:7.1.4 |
支援 | 設定指南 |
| Sentrium (開發人員) | VyOS | VyOS 1.2.2 | 未測試 | 設定指南 |
| ShareTech | 新一代 UTM (NU 系列) | 9.0.1.3 | 不相容 | 設定指南 |
| SonicWall | TZ 系列、NSA 系列 SuperMassive 系列 E-Class NSA 系列 |
SonicOS 5.8.x SonicOS 5.9.x SonicOS 6.x |
不相容 | 設定指南 |
| Sophos | XG 新一代防火牆 | XG v17 | 未測試 | 設定指南 設定指南 - 多個 SA |
| Synology | MR2200ac RT2600ac RT1900ac |
SRM1.1.5/VpnPlusServer-1.2.0 | 未測試 | 設定指南 |
| Ubiquiti | EdgeRouter | EdgeOS v1.10 | 未測試 | 透過 IKEv2/IPsec 的 BGP \(英文\) 透過 IKEv2/IPsec 的 VTI \(英文\) |
| Ultra | 3E-636L3 | 5.2.0.T3 Build-13 | 未測試 | 設定指南 |
| WatchGuard | 全部 | Fireware XTM 原則式:v11.11.x 路由式:v11.12.x |
設定指南 | 設定指南 |
| Zyxel | ZyWALL USG 系列 ZyWALL ATP 系列 ZyWALL VPN 系列 |
ZLD v4.32+ | 未測試 | 透過 IKEv2/IPsec 的 VTI \(英文\) 透過 IKEv2/IPsec 的 BGP \(英文\) |
注意
(\*) Cisco ASA 8.4 版以上新增了 IKEv2 支援,可使用自訂 IPsec/IKE 原則並搭配 "UsePolicyBasedTrafficSelectors" 選項來連線到 Azure VPN 閘道。 請參閱這篇操作說明文章。
(\*\*) ISR 7200 系列路由器僅支援原則式 VPN。
從 Azure 下載 VPN 裝置設定指令碼
針對特定裝置,您可以直接從 Azure 下載設定指令碼。 如需詳細資訊和下載指示,請參閱下載 VPN 裝置設定指令碼。
未驗證的 VPN 裝置
如果您沒有在「已驗證的 VPN 裝置」資料表中看到裝置,則裝置仍可能可以和站對站連線搭配使用。 如需支援和設定指示,請連絡裝置製造商。
編輯裝置組態範本
下載提供的 VPN 裝置組態範本之後,您將需要取代其中一些值,以反映您環境的設定。
編輯範本:
- 使用 [記事本] 開啟範本。
- 搜尋所有 <文字> 字串並使用適合您環境的值加以取代。 請務必包含 < 和 >。 當有指定名稱時,您選取的名稱應該是唯一名稱。 如果命令無法運作,請參閱裝置製造商文件。
| 範本中的文字 | 變更為 |
|---|---|
| <RP_OnPremisesNetwork> | 您為此物件選擇的名稱。 例如:myOnPremisesNetwork |
| <RP_AzureNetwork> | 您為此物件選擇的名稱。 例如:myAzureNetwork |
| <RP_AccessList> | 您為此物件選擇的名稱。 例如:myAzureAccessList |
| <RP_IPSecTransformSet> | 您為此物件選擇的名稱。 例如:myIPSecTransformSet |
| <RP_IPSecCryptoMap> | 您為此物件選擇的名稱。 例如:myIPSecCryptoMap |
| <SP_AzureNetworkIpRange> | 指定範圍。 例如:192.168.0.0 |
| <SP_AzureNetworkSubnetMask> | 指定子網路遮罩。 例如:255.255.0.0 |
| <SP_OnPremisesNetworkIpRange> | 指定內部部署範圍。 例如:10.2.1.0 |
| <SP_OnPremisesNetworkSubnetMask> | 指定內部部署子網路遮罩。 例如:255.255.255.0 |
| <SP_AzureGatewayIpAddress> | 此為您虛擬網路的特定資訊,位於管理入口網站中的 [閘道器 IP 位址] 。 |
| <SP_PresharedKey> | 此資訊專屬於您的虛擬網路,是 [管理入口網站] 中的管理金鑰。 |
預設的 IPsec/IKE 參數
下列資料表包含 Azure VPN 閘道在預設設定中使用的演算法和參數組合 (預設原則)。 對於使用 Azure Resource Management 部署模型所建立的路由式 VPN 閘道,您可以對每個個別的連線指定自訂原則。 如需詳細指示,請參閱設定 IPsec/IKE 原則。
在下列資料表中:
- SA = 安全性關聯
- IKE 階段 1 也稱為「主要模式」
- IKE 階段 2 也稱為「快速模式」
IKE 階段 1 (主要模式) 參數
| 屬性 | 原則式 | 路由式 |
|---|---|---|
| IKE 版本 | IKEv1 | IKEv1 和 IKEv2 |
| Diffie-Hellman 群組 | 群組 2 (1024 位元) | 群組 2 (1024 位元) |
| 驗證方法 | 預先共用金鑰 | 預先共用金鑰 |
| 加密與雜湊演算法 | 1.AES256、SHA256 2.AES256、SHA1 3.AES128、SHA1 4. 3DES、SHA1 |
1.AES256、SHA1 2.AES256、SHA256 3.AES128、SHA1 4.AES128、SHA256 5. 3DES、SHA1 6. 3DES、SHA256 |
| SA 存留期 | 28,800 秒 | 28,800 秒 |
| 快速模式 SA 的數目 | 100 | 100 |
IKE 階段 2 (快速模式) 參數
| 屬性 | 原則式 | 路由式 |
|---|---|---|
| IKE 版本 | IKEv1 | IKEv1 和 IKEv2 |
| 加密與雜湊演算法 | 1.AES256、SHA256 2.AES256、SHA1 3.AES128、SHA1 4. 3DES、SHA1 |
RouteBased QM SA 供應項目 |
| SA 存留期 (時間) | 3,600 秒 | 27,000 秒 |
| SA 存留期 (位元組) | 102,400,000 KB | 102,400,000 KB |
| 完整轉寄密碼 (PFS) | No | RouteBased QM SA 供應項目 |
| 停用的對等偵測 (DPD) | 不支援 | 支援 |
Azure VPN 閘道 TCP MSS 固定
MSS 固定會在 Azure VPN 閘道上雙向完成。 下表表格列出不同案例下的封包大小。
| 封包流程 | IPv4 | IPv6 |
|---|---|---|
| 透過網際網路 | 1340 個位元組 | 1360 個位元組 |
| 透過 ExpressRoute 閘道 | 1250 個位元組 | 1250 個位元組 |
RouteBased VPN IPsec 安全性關聯 (IKE 快速模式 SA) 供應項目
下表列出 IPsec SA (IKE 快速模式) 供應項目。 供應項目是依其呈現或被接受的喜好設定順序而列出。
Azure 閘道器為啟動者
| - | 加密 | 驗證 | PFS 群組 |
|---|---|---|---|
| 1 | GCM AES256 | GCM (AES256) | 無 |
| 2 | AES256 | SHA1 | 無 |
| 3 | 3DES | SHA1 | 無 |
| 4 | AES256 | SHA256 | 無 |
| 5 | AES128 | SHA1 | 無 |
| 6 | 3DES | SHA256 | 無 |
Azure 閘道器為回應者
| - | 加密 | 驗證 | PFS 群組 |
|---|---|---|---|
| 1 | GCM AES256 | GCM (AES256) | 無 |
| 2 | AES256 | SHA1 | 無 |
| 3 | 3DES | SHA1 | 無 |
| 4 | AES256 | SHA256 | 無 |
| 5 | AES128 | SHA1 | 無 |
| 6 | 3DES | SHA256 | 無 |
| 7 | DES | SHA1 | 無 |
| 8 | AES256 | SHA1 | 1 |
| 9 | AES256 | SHA1 | 2 |
| 10 | AES256 | SHA1 | 14 |
| 11 | AES128 | SHA1 | 1 |
| 12 | AES128 | SHA1 | 2 |
| 13 | AES128 | SHA1 | 14 |
| 14 | 3DES | SHA1 | 1 |
| 15 | 3DES | SHA1 | 2 |
| 16 | 3DES | SHA256 | 2 |
| 17 | AES256 | SHA256 | 1 |
| 18 | AES256 | SHA256 | 2 |
| 19 | AES256 | SHA256 | 14 |
| 20 | AES256 | SHA1 | 24 |
| 21 | AES256 | SHA256 | 24 |
| 22 | AES128 | SHA256 | 無 |
| 23 | AES128 | SHA256 | 1 |
| 24 | AES128 | SHA256 | 2 |
| 25 | AES128 | SHA256 | 14 |
| 26 | 3DES | SHA1 | 14 |
- 您可以使用路由式和高效能 VPN 閘道指定 IPsec ESP NULL 加密。 以 Null 為基礎的加密不提供傳輸中資料的保護,應該只用於需要最大輸送量和最小延遲時。 在 VNet 對 VNet 通訊案例中,或將加密套用至解決方案中的其他項目時,用戶端可能會選擇使用此功能。
- 針對透過網際網路的跨單位連線,請使用含有加密和雜湊演算法的預設 Azure VPN 閘道設定 (如先前資料表所列),以確保重要通訊的安全性。
已知的裝置相容性問題
重要
協力廠商 VPN 裝置與 Azure VPN 閘道之間有已知的相容性問題。 Azure 小組正積極與廠商合作來解決這裡所列出的問題。 解決這些問題之後,就會更新此頁面來提供最新資訊。 請定期回來查看。
2017 年 2 月 16 日
適用於 Azure 路由式 VPN 但版本比 7.1.4 舊的 Palo Alto Networks 裝置:如果您使用來自 Palo Alto Networks、PAN-OS 版本比 7.1.4 舊的 VPN 裝置,而在連線到 Azure 路由式 VPN 閘道時發生問題,請執行下列步驟:
- 檢查您 Palo Alto Networks 裝置的韌體版本。 如果您的 PAN-OS 版本比 7.1.4 舊,請升級至 7.1.4。
- 在 Palo Alto Networks 裝置上,於連線到 Azure VPN 閘道時,將 [Phase 2 SA (第 2 階段 SA)] \(或 [Quick Mode SA (快速模式 SA)]) 存留期變更為 28,800 秒 (8 小時)。
- 如果您仍然遇到連線問題,請從 Azure 入口網站開啟支援要求。