关于用于站点到站点 VPN 网关连接的 VPN 设备和 IPsec/IKE 参数

通过 VPN 网关配置站点到站点 (S2S) 跨界 VPN 连接需要用到 VPN 设备。 在创建混合解决方案时,或者每想要在本地网络与虚拟网络之间建立安全连接时,可以使用站点到站点连接。 本文提供了一个已验证 VPN 设备的列表,以及一个适用于 VPN 网关的 IPsec/IKE 参数的列表。

重要

如果遇到本地 VPN 设备与 VPN 网关之间的连接问题,请参阅已知的设备兼容性问题

查看表时的注意事项:

  • Azure VPN 网关的术语已更改。 只有名称已更改。 没有功能变更。
    • 静态路由 = PolicyBased
    • 动态路由 = RouteBased
  • 除非另有说明,否则高性能 VPN 网关和 RouteBased VPN 网关的规范相同。 例如,经验证与 RouteBased VPN 网关兼容的 VPN 设备也与高性能 VPN 网关兼容。

验证的 VPN 设备和设备配置指南

我们在与设备供应商合作的过程中验证了一系列的标准 VPN 设备。 以下列表的设备系列中的所有设备都应适用于 VPN 网关。 这些是建议用于设备配置的算法。

建议的算法 加密 完整性 DH 组
IKE AES256 SHA256 DH2
IPSec AES256GCM AES256GCM

若要获取配置 VPN 设备的帮助,请参考相应设备系列所对应的链接。 我们会尽力而为地提供配置说明的链接,配置指南中列出的默认值不需要包含最佳加密算法。 如需 VPN 设备支持,请联系设备制造商。

供应商 设备系列 最低操作系统版本 PolicyBased 配置说明 RouteBased 配置说明
A10 Networks, Inc. Thunder CFW ACOS 4.1.1 不兼容 配置指南
AhnLab TrusGuard TG 2.7.6
TG 3.5.x
未测试 配置指南
Allied Telesis AR 系列 VPN 路由器 AR 系列 5.4.7+ 配置指南 配置指南
Arista CloudEOS 路由器 vEOS 4.24.0FX 未测试 配置指南
Barracuda Networks, Inc. Barracuda CloudGen 防火墙 PolicyBased:5.4.3
RouteBased:6.2.0
配置指南 配置指南
检查点 安全网关 R80.10 配置指南 配置指南
Cisco ASA 8.3
8.4+ (IKEv2*)
支持 配置指南*
Cisco ASR PolicyBased:IOS 15.1
RouteBased:IOS 15.2
支持 支持
Cisco CSR RouteBased:IOS-XE 16.10 未测试 配置脚本
Cisco ISR PolicyBased:IOS 15.0
RouteBased*:IOS 15.1
支持 支持
Cisco Meraki (MX) MX v15.12 不兼容 配置指南
Cisco vEdge (Viptela OS) 18.4.0(主动/被动模式) 不兼容 手动配置(主动/被动)
Citrix NetScaler MPX、SDX、VPX 10.1 和更高版本 配置指南 不兼容
F5 BIG-IP 系列 12.0 配置指南 配置指南
Fortinet FortiGate FortiOS 5.6 未测试 配置指南
Fujitsu Si-R G 系列 V04:V04.12
V20:V20.14
配置指南 配置指南
Hillstone Networks 下一代防火墙 (NGFW) 5.5R7 未测试 配置指南
HPE Aruba EdgeConnect SDWAN Gateway ECOS 版本 v9.2
Orchestrator OS v9.2
配置指南 配置指南
Internet Initiative Japan (IIJ) SEIL 系列 SEIL/X 4.60
SEIL/B1 4.60
SEIL/x86 3.20
配置指南 不兼容
Juniper SRX PolicyBased:JunOS 10.2
Routebased:JunOS 11.4
支持 配置脚本
Juniper J 系列 PolicyBased:JunOS 10.4r9
RouteBased:JunOS 11.4
支持 配置脚本
Juniper ISG ScreenOS 6.3 支持 配置脚本
Juniper SSG ScreenOS 6.2 支持 配置脚本
Juniper MX JunOS 12.x 支持 配置脚本
Microsoft 路由和远程访问服务 Windows Server 2012 不兼容 支持
Open Systems AG 任务控制安全网关 空值 支持 不兼容
Palo Alto Networks 运行 PAN-OS 的所有设备 PAN-OS
PolicyBased:6.1.5 或更高版本
RouteBased:7.1.4
支持 配置指南
Sentrium(开发人员) VyOS VyOS 1.2.2 未测试 配置指南
ShareTech Next Generation UTM(NU 系列) 9.0.1.3 不兼容 配置指南
SonicWall TZ 系列、NSA 系列
SuperMassive 系列
E 类 NSA 系列
SonicOS 5.8.x
SonicOS 5.9.x
SonicOS 6.x
不兼容 配置指南
Sophos XG 下一代防火墙 XG v17 未测试 配置指南

配置指南 - 多个 SA
Synology MR2200ac
RT2600ac
RT1900ac
SRM1.1.5/VpnPlusServer-1.2.0 未测试 配置指南
Ubiquiti EdgeRouter EdgeOS v1.10 未测试 基于 IKEv2/IPsec 的BGP

基于 IKEv2/IPsec 的 VTI
超高性能 3E-636L3 5.2.0.T3 Build-13 未测试 配置指南
WatchGuard 全部 Fireware XTM
PolicyBased:v11.11.x
RouteBased:v11.12.x
配置指南 配置指南
Zyxel ZyWALL USG 系列
ZyWALL ATP 系列
ZyWALL VPN 系列
ZLD v4.32+ 未测试 基于 IKEv2/IPsec 的 VTI

基于 IKEv2/IPsec 的BGP

注意

(*) Cisco ASA 版本 8.4+ 增加了 IKEv2 支持,可以通过“UsePolicyBasedTrafficSelectors”选项使用自定义 IPsec/IKE 策略连接到 Azure VPN 网关。 请参阅此操作说明文章

(**) ISR 7200 系列路由器仅支持 PolicyBased VPN。

从 Azure 下载 VPN 设备配置脚本

对于某些设备,你可以直接从 Azure 下载配置脚本。 有关详细信息和下载说明,请参阅下载 VPN 设备配置脚本

未验证的 VPN 设备

即使没有看到设备在“已验证的 VPN 设备”表列出中,该设备也有可能适用于站点到站点连接。 请联系设备制造商了解支持和配置说明。

编辑设备配置示例

在下载提供的 VPN 设备配置示例后,需要替换一些值来反映你环境的设置。

编辑示例的步骤:

  1. 使用记事本打开示例。
  2. 搜索所有 <text> 字符串并将其替换为与环境相关的值。 请确保包含 < 和 >。 指定名称时,选择的名称应是唯一的。 如果命令无效,请查看设备制造商文档。
示例文本 更改为
<RP_OnPremisesNetwork> 为此对象选择的名称。 示例:myOnPremisesNetwork
<RP_AzureNetwork> 为此对象选择的名称。 示例:myAzureNetwork
<RP_AccessList> 为此对象选择的名称。 示例:myAzureAccessList
<RP_IPSecTransformSet> 为此对象选择的名称。 示例:myIPSecTransformSet
<RP_IPSecCryptoMap> 为此对象选择的名称。 示例:myIPSecCryptoMap
<SP_AzureNetworkIpRange> 指定范围。 示例:192.168.0.0
<SP_AzureNetworkSubnetMask> 指定子网掩码。 示例:255.255.0.0
<SP_OnPremisesNetworkIpRange> 指定本地范围。 示例:10.2.1.0
<SP_OnPremisesNetworkSubnetMask> 指定本地子网掩码。 示例:255.255.255.0
<SP_AzureGatewayIpAddress> 此信息特定于虚拟网络,位于管理门户的“网关 IP 地址”中。
<SP_PresharedKey> 此信息特定于虚拟网络,位于管理门户的“管理密钥”中。

默认 IPsec/IKE 参数

下表包含了 Azure VPN 网关在默认配置(默认策略)中使用的算法和参数的组合。 对于使用 Azure 资源管理器部署模型创建的基于路由的 VPN 网关,可以在每个单独的连接上指定一个自定义策略。 有关详细说明,请参阅配置 IPsec/IKE 策略

此外,还必须将 TCP MSS 固定在 1350。 或者,如果 VPN 设备不支持 MSS 固定,可以改为在隧道接口上将 MTU 设置为 1400 字节。

在下面的表中:

  • SA = 安全关联
  • IKE 阶段 1 也称“主模式”
  • IKE 阶段 2 也称“快速模式”

IKE 阶段 1(主模式)参数

属性 PolicyBased RouteBased
SDK 版本 IKEv1 IKEv1 和 IKEv2
Diffie-Hellman 组 组 2(1024 位) 组 2(1024 位)
身份验证方法 预共享密钥 预共享密钥
加密和哈希算法 1.AES256、SHA256
2.AES256、SHA1
3.AES128、SHA1
4. 3DES、SHA1
1.AES256、SHA1
2.AES256、SHA256
3.AES128、SHA1
4.AES128、SHA256
5. 3DES、SHA1
6. 3DES、SHA256
SA 生存期 28,800 秒 28,800 秒
快速模式 SA 的数量 100 100

IKE 阶段 2(快速模式)参数

属性 PolicyBased RouteBased
SDK 版本 IKEv1 IKEv1 和 IKEv2
加密和哈希算法 1.AES256、SHA256
2.AES256、SHA1
3.AES128、SHA1
4. 3DES、SHA1
RouteBased QM SA 产品/服务
SA 生存期(时间) 3,600 秒 27,000 秒
SA 生存期(字节数) 102,400,000 KB 102,400,000 KB
完全向前保密 (PFS) RouteBased QM SA 产品/服务
死对等体检测 (DPD) 不支持 支持

RouteBased VPN IPsec 安全关联(IKE 快速模式 SA)产品/服务

下表列出了 IPsec SA(IKE 快速模式)产品/服务。 这些产品按提供或接受产品的偏好顺序列出。

Azure 网关作为发起方

- 加密 身份验证 PFS 组
1 GCM AES256 GCM (AES256)
2 AES256 SHA1
3 3DES SHA1
4 AES256 SHA256
5 AES128 SHA1
6 3DES SHA256

Azure 网关作为响应方

- 加密 身份验证 PFS 组
1 GCM AES256 GCM (AES256)
2 AES256 SHA1
3 3DES SHA1
4 AES256 SHA256
5 AES128 SHA1
6 3DES SHA256
7 DES SHA1
8 AES256 SHA1 1
9 AES256 SHA1 2
10 AES256 SHA1 14
11 AES128 SHA1 1
12 AES128 SHA1 2
13 AES128 SHA1 14
14 3DES SHA1 1
15 3DES SHA1 2
16 3DES SHA256 2
17 AES256 SHA256 1
18 AES256 SHA256 2
19 AES256 SHA256 14
20 AES256 SHA1 24
21 AES256 SHA256 24
22 AES128 SHA256
23 AES128 SHA256 1
24 AES128 SHA256 2
25 AES128 SHA256 14
26 3DES SHA1 14
  • 可以使用 RouteBased 和 HighPerformance VPN 网关指定 IPsec ESP NULL 加密。 基于 Null 的加密不对传输中的数据提供保护,仅应在需要最大吞吐量和最小延迟时才使用。 客户端可以在 VNet 到 VNet 通信方案中选择使用此方法,或者在解决方案中的其他位置应用加密时使用此方法。
  • 对于通过 Internet 进行的跨界连接,请使用上表中列出的带有加密和哈希算法的默认 Azure VPN 网关设置,以确保关键通信的安全。

已知的设备兼容性问题

重要

这些是第三方 VPN 设备与 Azure VPN 网关之间的已知兼容性问题。 Azure 团队正积极与供应商合作解决此处列出的问题。 解决问题后,使用最新的信息更新此页。 请定期查看。

2017 年 2 月 16 日

早于 7.1.4 版的 Palo Alto Networks 设备(针对 Azure 基于路由的 VPN):如果通过 PAN-OS 版本早于 7.1.4 的 Palo Alto Networks 使用 VPN 设备,并且遇到 Azure 基于路由的 VPN 网关的连接问题,请执行以下步骤:

  1. 检查 Palo Alto Networks 设备的固件版本。 如果 PAN-OS 版本低于 7.1.4,请升级到 7.1.4。
  2. 连接到 Azure VPN 网关时,请在 Palo Alto Networks 设备上将阶段 2 SA(或快速模式 SA)生存期更改为 28,800 秒(8 小时)。
  3. 如果仍然遇到连接问题,请从 Azure 门户开具支持请求票证。