关于用于站点到站点 VPN 网关连接的 VPN 设备和 IPsec/IKE 参数

通过 VPN 网关配置站点到站点 (S2S) 跨界 VPN 连接需要用到 VPN 设备。 在创建混合解决方案时,或者每想要在本地网络与虚拟网络之间建立安全连接时,可以使用站点到站点连接。 本文提供了适用于 Azure VPN 网关的 IPsec/IKE 参数的列表,以及连接到 Azure VPN 网关的有效 VPN 设备的列表。

Important

如果遇到本地 VPN 设备与 Azure VPN 网关之间的连接问题,请参阅已知的设备兼容性问题

查看表时的注意事项:

  • Azure VPN 网关的术语已更改。 没有功能更改。 只有名称更改。
    • 静态路由 = PolicyBased
    • 动态路由 = RouteBased
  • 除非另有说明,否则高性能 VPN 网关和 RouteBased VPN 网关的规范是相同的。 例如,经验证与 RouteBased VPN 网关兼容的 VPN 设备也与 Azure 高性能 VPN 网关兼容。

Note

配置站点到站点连接时,需要为 VPN 设备提供面向公众的 IPv4 IP 地址。

验证的 VPN 设备和设备配置指南

我们在与设备供应商合作的过程中验证了一系列标准 VPN 设备。 以下列表中包含的设备系列中的所有设备都应适用于 Azure VPN 网关。 请参阅 关于 VPN 网关 以确定需要为要配置的解决方案创建的网关类型。

若要获取配置 VPN 设备的帮助,请参考各设备系列相对应的链接。 我们会尽力提供各种配置说明链接。 如需 VPN 设备支持,请联系设备制造商。

供应商 设备系列 最低操作系统版本 PolicyBased 配置说明 RouteBased 配置说明
A10 Networks, Inc. Thunder CFW ACOS 4.1.1 不兼容 配置指南
Allied Telesis AR 系列 VPN 路由器 2.9.2 即将支持 不兼容
Barracuda Networks, Inc. Barracuda NextGen Firewall F 系列 PolicyBased:5.4.3
RouteBased:6.2.0
配置指南 配置指南
Barracuda Networks, Inc. Barracuda NextGen Firewall X 系列 Barracuda Firewall 6.5 配置指南 不兼容
Brocade Vyatta 5400 vRouter Virtual Router 6.6R3 GA 配置指南 不兼容
检查点 安全网关 R77.30 配置指南 配置指南
Cisco ASA 8.3 配置示例 不兼容
Cisco ASR PolicyBased:IOS 15.1
RouteBased:IOS 15.2
配置示例 配置示例
Cisco ISR PolicyBased:IOS 15.0
RouteBased*:IOS 15.1
配置示例 配置示例*
Citrix NetScaler MPX、SDX、VPX 10.1 及以上 配置指南 不兼容
F5 BIG-IP 系列 12.0 配置指南 配置指南
Fortinet FortiGate FortiOS 5.4.2 配置指南
Internet Initiative Japan (IIJ) SEIL 系列 SEIL/X 4.60
SEIL/B1 4.60
SEIL/x86 3.20
配置指南 不兼容
Juniper SRX PolicyBased:JunOS 10.2
Routebased:JunOS 11.4
配置示例 配置示例
Juniper J 系列 PolicyBased:JunOS 10.4r9
RouteBased:JunOS 11.4
配置示例 配置示例
Juniper ISG ScreenOS 6.3 配置示例 配置示例
Juniper SSG ScreenOS 6.2 配置示例 配置示例
Microsoft 路由和远程访问服务 Windows Server 2012 不兼容 配置示例
打开系统 AG 任务控制安全网关 不适用 配置指南 不兼容
Openswan Openswan 2.6.32 (即将支持) 不兼容
Palo Alto Networks 运行 PAN-OS 的所有设备 PAN-OS
PolicyBased:6.1.5 或更高版本
RouteBased:7.1.4
配置指南 配置指南
SonicWall TZ 系列、NSA 系列
SuperMassive 系列
E 类 NSA 系列
SonicOS 5.8.x
SonicOS 5.9.x
SonicOS 6.x
SonicOS 6.2 配置指南
SonicOS 5.9 配置指南
SonicOS 6.2 配置指南
SonicOS 5.9 配置指南
WatchGuard 全部 Fireware XTM
PolicyBased:v11.11.x
RouteBased:v11.12.x
配置指南 配置指南

(*) ISR 7200 系列路由器仅支持 PolicyBased VPN。

未验证的 VPN 设备

即使没有看到设备在“已验证的 VPN 设备”表列出中,该设备也有可能适用于站点到站点连接。 请联系设备制造商了解更多支持和配置说明。

编辑设备配置示例

在下载提供的 VPN 设备配置示例后,需要替换一些值来反映你环境的设置。

编辑示例的步骤:

  1. 使用记事本打开示例。
  2. 搜索所有 <text> 字符串并将其替换为与环境相关的值。 请确保包含 < 和 >。 指定名称时,选择的名称应是唯一的。 如果命令无效,请查看设备制造商文档。
示例文本 更改为
<RP_OnPremisesNetwork> 为此对象选择的名称。 示例:myOnPremisesNetwork
<RP_AzureNetwork> 为此对象选择的名称。 示例:myAzureNetwork
<RP_AccessList> 为此对象选择的名称。 示例:myAzureAccessList
<RP_IPSecTransformSet> 为此对象选择的名称。 示例:myIPSecTransformSet
<RP_IPSecCryptoMap> 为此对象选择的名称。 示例:myIPSecCryptoMap
<SP_AzureNetworkIpRange> 指定范围。 示例:192.168.0.0
<SP_AzureNetworkSubnetMask> 指定子网掩码。 示例:255.255.0.0
<SP_OnPremisesNetworkIpRange> 指定本地范围。 示例:10.2.1.0
<SP_OnPremisesNetworkSubnetMask> 指定本地子网掩码。 示例:255.255.255.0
<SP_AzureGatewayIpAddress> 此信息特定于虚拟网络,并位于经典管理门户的“网关 IP 地址”中。
<SP_PresharedKey> 此信息特定于虚拟网络,并作为“管理密钥”位于经典管理门户中。

IPsec/IKE 参数

Note

尽管 Azure VPN 网关支持下表中列出的值,但目前无法从 Azure VPN 网关中指定或选择算法或参数的特定组合。 必须从本地 VPN 设备指定任何约束。 此外,还必须将 MSS 固定在 1350

在下面的表中:

  • SA = 安全关联
  • IKE 阶段 1 也称“主模式”
  • IKE 阶段 2 也称“快速模式”

IKE 阶段 1(主模式)参数

属性 PolicyBased RouteBased
SDK 版本 IKEv1 IKEv2
Diffie-Hellman 组 组 2(1024 位) 组 2(1024 位)
身份验证方法 预共享密钥 预共享密钥
加密和哈希算法 1.AES256、SHA256
2.AES256、SHA1
3.AES128、SHA1
4. 3DES、SHA1
1.AES256、SHA1
2.AES256、SHA256
3.AES128、SHA1
4.AES128、SHA256
5. 3DES、SHA1
6. 3DES、SHA256
SA 生存期 28,800 秒 28,800 秒

IKE 阶段 2(快速模式)参数

属性 PolicyBased RouteBased
SDK 版本 IKEv1 IKEv2
加密和哈希算法 1.AES256、SHA256
2.AES256、SHA1
3.AES128、SHA1
4. 3DES、SHA1
RouteBased QM SA 产品/服务
SA 生存期(时间) 3,600 秒 27,000 秒
SA 生存期(字节数) 102,400,000 KB -
完全向前保密 (PFS) RouteBased QM SA 产品/服务
死对等体检测 (DPD) 不支持 支持

RouteBased VPN IPsec 安全关联(IKE 快速模式 SA)产品/服务

下表列出了 IPsec SA(IKE 快速模式)产品/服务。 这些产品按提供或接受产品的偏好顺序列出。

Azure 网关作为发起方

- 加密 身份验证 PFS 组
1 GCM AES256 GCM (AES256)
2 AES256 SHA1
3 3DES SHA1
4 AES256 SHA256
5 AES128 SHA1
6 3DES SHA256

Azure 网关作为响应方

- 加密 身份验证 PFS 组
1 GCM AES256 GCM (AES256)
2 AES256 SHA1
3 3DES SHA1
4 AES256 SHA256
5 AES128 SHA1
6 3DES SHA256
7 DES SHA1
8 AES256 SHA1 1
9 AES256 SHA1 2
10 AES256 SHA1 14
11 AES128 SHA1 1
12 AES128 SHA1 2
13 AES128 SHA1 14
14 3DES SHA1 1
15 3DES SHA1 2
16 3DES SHA256 2
17 AES256 SHA256 1
18 AES256 SHA256 2
19 AES256 SHA256 14
20 AES256 SHA1 24
21 AES256 SHA256 24
22 AES128 SHA256
23 AES128 SHA256 1
24 AES128 SHA256 2
25 AES128 SHA256 14
26 3DES SHA1 14
  • 可以使用 RouteBased 和高性能 VPN 网关指定 IPsec ESP NULL 加密。 基于 Null 的加密不对传输中的数据提供保护,仅应在需要最大吞吐量和最小延迟时才使用。 客户端可以在 VNet 到 VNet 通信方案中选择使用此方法,或者在解决方案中的其他位置应用加密时使用此方法。
  • 若要通过 Internet 建立跨界连接,请使用默认的 Azure VPN 网关设置以及上表中列出的加密和哈希算法,确保关键通信的安全性。

已知的设备兼容性问题

Important

这些是第三方 VPN 设备与 Azure VPN 网关之间的已知兼容性问题。 Azure 团队正积极与供应商合作解决此处列出的问题。 解决问题后,使用最新的信息更新此页。 请定期查看。

2017 年 2 月 16 日

早于 7.1.4 版的 Palo Alto Networks 设备(针对 Azure 基于路由的 VPN):如果通过 PAN-OS 版本早于 7.1.4 的 Palo Alto Networks 使用 VPN 设备,并且遇到 Azure 基于路由的 VPN 网关的连接问题,请执行以下步骤:

  1. 检查 Palo Alto Networks 设备的固件版本。 如果 PAN-OS 版本低于 7.1.4,请升级到 7.1.4。
  2. 连接到 Azure VPN 网关时,请在 Palo Alto Networks 设备上将阶段 2 SA(或快速模式 SA)生存期更改为 28,800 秒(8 小时)。
  3. 如果仍然遇到连接问题,请从 Azure 门户开具支持请求票证。