关于用于站点到站点 VPN 网关连接的 VPN 设备和 IPsec/IKE 参数
通过 VPN 网关配置站点到站点 (S2S) 跨界 VPN 连接需要用到 VPN 设备。 在创建混合解决方案时,或者每想要在本地网络与虚拟网络之间建立安全连接时,可以使用站点到站点连接。 本文提供了一个已验证 VPN 设备的列表,以及一个适用于 VPN 网关的 IPsec/IKE 参数的列表。
重要
如果遇到本地 VPN 设备与 VPN 网关之间的连接问题,请参阅已知的设备兼容性问题。
查看表时的注意事项:
- Azure VPN 网关的术语已更改。 只有名称已更改。 没有功能变更。
- 静态路由 = PolicyBased
- 动态路由 = RouteBased
- 除非另有说明,否则高性能 VPN 网关和 RouteBased VPN 网关的规范相同。 例如,经验证与 RouteBased VPN 网关兼容的 VPN 设备也与高性能 VPN 网关兼容。
验证的 VPN 设备和设备配置指南
我们在与设备供应商合作的过程中验证了一系列的标准 VPN 设备。 以下列表的设备系列中的所有设备都应适用于 VPN 网关。 这些是建议用于设备配置的算法。
| 建议的算法 | 加密 | 完整性 | DH 组 |
|---|---|---|---|
| IKE | AES256 | SHA256 | DH2 |
| IPSec | AES256GCM | AES256GCM | 无 |
若要获取配置 VPN 设备的帮助,请参考相应设备系列所对应的链接。 我们会尽力而为地提供配置说明的链接,配置指南中列出的默认值不需要包含最佳加密算法。 如需 VPN 设备支持,请联系设备制造商。
| 供应商 | 设备系列 | 最低操作系统版本 | PolicyBased 配置说明 | RouteBased 配置说明 |
|---|---|---|---|---|
| A10 Networks, Inc. | Thunder CFW | ACOS 4.1.1 | 不兼容 | 配置指南 |
| AhnLab | TrusGuard | TG 2.7.6 TG 3.5.x |
未测试 | 配置指南 |
| Allied Telesis | AR 系列 VPN 路由器 | AR 系列 5.4.7+ | 配置指南 | 配置指南 |
| Arista | CloudEOS 路由器 | vEOS 4.24.0FX | 未测试 | 配置指南 |
| Barracuda Networks, Inc. | Barracuda CloudGen 防火墙 | PolicyBased:5.4.3 RouteBased:6.2.0 |
配置指南 | 配置指南 |
| 检查点 | 安全网关 | R80.10 | 配置指南 | 配置指南 |
| Cisco | ASA | 8.3 8.4+ (IKEv2*) |
支持 | 配置指南* |
| Cisco | ASR | PolicyBased:IOS 15.1 RouteBased:IOS 15.2 |
支持 | 支持 |
| Cisco | CSR | RouteBased:IOS-XE 16.10 | 未测试 | 配置脚本 |
| Cisco | ISR | PolicyBased:IOS 15.0 RouteBased*:IOS 15.1 |
支持 | 支持 |
| Cisco | Meraki (MX) | MX v15.12 | 不兼容 | 配置指南 |
| Cisco | vEdge (Viptela OS) | 18.4.0(主动/被动模式) | 不兼容 | 手动配置(主动/被动) |
| Citrix | NetScaler MPX、SDX、VPX | 10.1 和更高版本 | 配置指南 | 不兼容 |
| F5 | BIG-IP 系列 | 12.0 | 配置指南 | 配置指南 |
| Fortinet | FortiGate | FortiOS 5.6 | 未测试 | 配置指南 |
| Fsas 技术 | Si-R G 系列 | V04:V04.12 V20:V20.14 |
配置指南 | 配置指南 |
| Hillstone Networks | 下一代防火墙 (NGFW) | 5.5R7 | 未测试 | 配置指南 |
| HPE Aruba | EdgeConnect SDWAN Gateway | ECOS 版本 v9.2 Orchestrator OS v9.2 |
配置指南 | 配置指南 |
| Internet Initiative Japan (IIJ) | SEIL 系列 | SEIL/X 4.60 SEIL/B1 4.60 SEIL/x86 3.20 |
配置指南 | 不兼容 |
| Juniper | SRX | PolicyBased:JunOS 10.2 Routebased:JunOS 11.4 |
支持 | 配置脚本 |
| Juniper | J 系列 | PolicyBased:JunOS 10.4r9 RouteBased:JunOS 11.4 |
支持 | 配置脚本 |
| Juniper | ISG | ScreenOS 6.3 | 支持 | 配置脚本 |
| Juniper | SSG | ScreenOS 6.2 | 支持 | 配置脚本 |
| Juniper | MX | JunOS 12.x | 支持 | 配置脚本 |
| Microsoft | 路由和远程访问服务 | Windows Server 2012 | 不兼容 | 支持 |
| Open Systems AG | 任务控制安全网关 | 空值 | 支持 | 不兼容 |
| Palo Alto Networks | 运行 PAN-OS 的所有设备 | PAN-OS PolicyBased:6.1.5 或更高版本 RouteBased:7.1.4 |
支持 | 配置指南 |
| Sentrium(开发人员) | VyOS | VyOS 1.2.2 | 未测试 | 配置指南 |
| ShareTech | Next Generation UTM(NU 系列) | 9.0.1.3 | 不兼容 | 配置指南 |
| SonicWall | TZ 系列、NSA 系列 SuperMassive 系列 E 类 NSA 系列 |
SonicOS 5.8.x SonicOS 5.9.x SonicOS 6.x |
不兼容 | 配置指南 |
| Sophos | XG 下一代防火墙 | XG v17 | 未测试 | 配置指南 配置指南 - 多个 SA |
| Synology | MR2200ac RT2600ac RT1900ac |
SRM1.1.5/VpnPlusServer-1.2.0 | 未测试 | 配置指南 |
| Ubiquiti | EdgeRouter | EdgeOS v1.10 | 未测试 | 基于 IKEv2/IPsec 的BGP 基于 IKEv2/IPsec 的 VTI |
| 超高性能 | 3E-636L3 | 5.2.0.T3 Build-13 | 未测试 | 配置指南 |
| WatchGuard | 全部 | Fireware XTM PolicyBased:v11.11.x RouteBased:v11.12.x |
配置指南 | 配置指南 |
| Zyxel | ZyWALL USG 系列 ZyWALL ATP 系列 ZyWALL VPN 系列 |
ZLD v4.32+ | 未测试 | 基于 IKEv2/IPsec 的 VTI 基于 IKEv2/IPsec 的BGP |
注意
(*) Cisco ASA 版本 8.4+ 增加了 IKEv2 支持,可以通过“UsePolicyBasedTrafficSelectors”选项使用自定义 IPsec/IKE 策略连接到 Azure VPN 网关。 请参阅此操作说明文章。
(**) ISR 7200 系列路由器仅支持 PolicyBased VPN。
从 Azure 下载 VPN 设备配置脚本
对于某些设备,你可以直接从 Azure 下载配置脚本。 有关详细信息和下载说明,请参阅下载 VPN 设备配置脚本。
未验证的 VPN 设备
即使没有看到设备在“已验证的 VPN 设备”表列出中,该设备也有可能适用于站点到站点连接。 请联系设备制造商了解支持和配置说明。
编辑设备配置示例
在下载提供的 VPN 设备配置示例后,需要替换一些值来反映你环境的设置。
编辑示例的步骤:
- 使用记事本打开示例。
- 搜索所有 <text> 字符串并将其替换为与环境相关的值。 请确保包含 < 和 >。 指定名称时,选择的名称应是唯一的。 如果命令无效,请查看设备制造商文档。
| 示例文本 | 更改为 |
|---|---|
| <RP_OnPremisesNetwork> | 为此对象选择的名称。 示例:myOnPremisesNetwork |
| <RP_AzureNetwork> | 为此对象选择的名称。 示例:myAzureNetwork |
| <RP_AccessList> | 为此对象选择的名称。 示例:myAzureAccessList |
| <RP_IPSecTransformSet> | 为此对象选择的名称。 示例:myIPSecTransformSet |
| <RP_IPSecCryptoMap> | 为此对象选择的名称。 示例:myIPSecCryptoMap |
| <SP_AzureNetworkIpRange> | 指定范围。 示例:192.168.0.0 |
| <SP_AzureNetworkSubnetMask> | 指定子网掩码。 示例:255.255.0.0 |
| <SP_OnPremisesNetworkIpRange> | 指定本地范围。 示例:10.2.1.0 |
| <SP_OnPremisesNetworkSubnetMask> | 指定本地子网掩码。 示例:255.255.255.0 |
| <SP_AzureGatewayIpAddress> | 此信息特定于虚拟网络,位于管理门户的“网关 IP 地址”中。 |
| <SP_PresharedKey> | 此信息特定于虚拟网络,位于管理门户的“管理密钥”中。 |
默认 IPsec/IKE 参数
下表包含了 Azure VPN 网关在默认配置(默认策略)中使用的算法和参数的组合。 对于使用 Azure 资源管理器部署模型创建的基于路由的 VPN 网关,可以在每个单独的连接上指定一个自定义策略。 有关详细说明,请参阅配置 IPsec/IKE 策略。
在下面的表中:
- SA = 安全关联
- IKE 阶段 1 也称“主模式”
- IKE 阶段 2 也称“快速模式”
IKE 阶段 1(主模式)参数
| 属性 | PolicyBased | RouteBased |
|---|---|---|
| SDK 版本 | IKEv1 | IKEv1 和 IKEv2 |
| Diffie-Hellman 组 | 组 2(1024 位) | 组 2(1024 位) |
| 身份验证方法 | 预共享密钥 | 预共享密钥 |
| 加密和哈希算法 | 1.AES256、SHA256 2.AES256、SHA1 3.AES128、SHA1 4. 3DES、SHA1 |
1.AES256、SHA1 2.AES256、SHA256 3.AES128、SHA1 4.AES128、SHA256 5. 3DES、SHA1 6. 3DES、SHA256 |
| SA 生存期 | 28,800 秒 | 28,800 秒 |
| 快速模式 SA 的数量 | 100 | 100 |
IKE 阶段 2(快速模式)参数
| 属性 | PolicyBased | RouteBased |
|---|---|---|
| SDK 版本 | IKEv1 | IKEv1 和 IKEv2 |
| 加密和哈希算法 | 1.AES256、SHA256 2.AES256、SHA1 3.AES128、SHA1 4. 3DES、SHA1 |
RouteBased QM SA 产品/服务 |
| SA 生存期(时间) | 3,600 秒 | 27,000 秒 |
| SA 生存期(字节数) | 102,400,000 KB | 102,400,000 KB |
| 完全向前保密 (PFS) | 否 | RouteBased QM SA 产品/服务 |
| 死对等体检测 (DPD) | 不支持 | 支持 |
Azure VPN 网关 TCP MSS 固定
MSS 固定在 Azure VPN 网关上双向执行。 下表列出了不同场景中的数据包大小。
| 数据包流 | IPv4 | IPv6 |
|---|---|---|
| 通过 Internet | 1340 字节 | 1360 字节 |
| 通过 Express Route 网关 | 1250 字节 | 1250 字节 |
RouteBased VPN IPsec 安全关联(IKE 快速模式 SA)产品/服务
下表列出了 IPsec SA(IKE 快速模式)产品/服务。 这些产品按提供或接受产品的偏好顺序列出。
Azure 网关作为发起方
| - | 加密 | 身份验证 | PFS 组 |
|---|---|---|---|
| 1 | GCM AES256 | GCM (AES256) | 无 |
| 2 | AES256 | SHA1 | 无 |
| 3 | 3DES | SHA1 | 无 |
| 4 | AES256 | SHA256 | 无 |
| 5 | AES128 | SHA1 | 无 |
| 6 | 3DES | SHA256 | 无 |
Azure 网关作为响应方
| - | 加密 | 身份验证 | PFS 组 |
|---|---|---|---|
| 1 | GCM AES256 | GCM (AES256) | 无 |
| 2 | AES256 | SHA1 | 无 |
| 3 | 3DES | SHA1 | 无 |
| 4 | AES256 | SHA256 | 无 |
| 5 | AES128 | SHA1 | 无 |
| 6 | 3DES | SHA256 | 无 |
| 7 | DES | SHA1 | 无 |
| 8 | AES256 | SHA1 | 1 |
| 9 | AES256 | SHA1 | 2 |
| 10 | AES256 | SHA1 | 14 |
| 11 | AES128 | SHA1 | 1 |
| 12 | AES128 | SHA1 | 2 |
| 13 | AES128 | SHA1 | 14 |
| 14 | 3DES | SHA1 | 1 |
| 15 | 3DES | SHA1 | 2 |
| 16 | 3DES | SHA256 | 2 |
| 17 | AES256 | SHA256 | 1 |
| 18 | AES256 | SHA256 | 2 |
| 19 | AES256 | SHA256 | 14 |
| 20 | AES256 | SHA1 | 24 |
| 21 | AES256 | SHA256 | 24 |
| 22 | AES128 | SHA256 | 无 |
| 23 | AES128 | SHA256 | 1 |
| 24 | AES128 | SHA256 | 2 |
| 25 | AES128 | SHA256 | 14 |
| 26 | 3DES | SHA1 | 14 |
- 可以使用 RouteBased 和 HighPerformance VPN 网关指定 IPsec ESP NULL 加密。 基于 Null 的加密不对传输中的数据提供保护,仅应在需要最大吞吐量和最小延迟时才使用。 客户端可以在 VNet 到 VNet 通信方案中选择使用此方法,或者在解决方案中的其他位置应用加密时使用此方法。
- 对于通过 Internet 进行的跨界连接,请使用上表中列出的带有加密和哈希算法的默认 Azure VPN 网关设置,以确保关键通信的安全。
已知的设备兼容性问题
重要
这些是第三方 VPN 设备与 Azure VPN 网关之间的已知兼容性问题。 Azure 团队正积极与供应商合作解决此处列出的问题。 解决问题后,使用最新的信息更新此页。 请定期查看。
2017 年 2 月 16 日
早于 7.1.4 版的 Palo Alto Networks 设备(针对 Azure 基于路由的 VPN):如果通过 PAN-OS 版本早于 7.1.4 的 Palo Alto Networks 使用 VPN 设备,并且遇到 Azure 基于路由的 VPN 网关的连接问题,请执行以下步骤:
- 检查 Palo Alto Networks 设备的固件版本。 如果 PAN-OS 版本低于 7.1.4,请升级到 7.1.4。
- 连接到 Azure VPN 网关时,请在 Palo Alto Networks 设备上将阶段 2 SA(或快速模式 SA)生存期更改为 28,800 秒(8 小时)。
- 如果仍然遇到连接问题,请从 Azure 门户开具支持请求票证。