关于用于站点到站点 VPN 网关连接的 VPN 设备和 IPsec/IKE 参数

通过 VPN 网关配置站点到站点 (S2S) 跨界 VPN 连接需要用到 VPN 设备。 在创建混合解决方案时,或者每想要在本地网络与虚拟网络之间建立安全连接时,可以使用站点到站点连接。 本文提供了一个已验证 VPN 设备的列表,以及一个适用于 VPN 网关的 IPsec/IKE 参数的列表。

Important

如果遇到本地 VPN 设备与 VPN 网关之间的连接问题,请参阅已知的设备兼容性问题

查看表时的注意事项:

  • Azure VPN 网关的术语已更改。 只有名称已更改。 没有功能更改。
    • 静态路由 = PolicyBased
    • 动态路由 = RouteBased
  • 除非另有说明,否则高性能 VPN 网关和 RouteBased VPN 网关的规范相同。 例如,经验证与 RouteBased VPN 网关兼容的 VPN 设备也与高性能 VPN 网关兼容。

验证的 VPN 设备和设备配置指南

Note

配置站点到站点连接时,需要为 VPN 设备提供面向公众的 IPv4 IP 地址。

我们在与设备供应商合作的过程中验证了一系列的标准 VPN 设备。 以下列表的设备系列中的所有设备都应适用于 VPN 网关。 请参阅关于 VPN 网关设置,了解如何将 VPN 类型(PolicyBased 或 RouteBased)用于要配置的 VPN 网关解决方案。

若要获取配置 VPN 设备的帮助,请参考各设备系列相对应的链接。 我们会尽力提供各种配置说明链接。 如需 VPN 设备支持,请联系设备制造商。

供应商 设备系列 最低操作系统版本 PolicyBased 配置说明 RouteBased 配置说明
A10 Networks, Inc. Thunder CFW ACOS 4.1.1 不兼容 配置指南
Allied Telesis AR 系列 VPN 路由器 2.9.2 即将支持 不兼容
Barracuda Networks, Inc. Barracuda NextGen Firewall F 系列 PolicyBased:5.4.3
RouteBased:6.2.0
配置指南 配置指南
Barracuda Networks, Inc. Barracuda NextGen Firewall X 系列 Barracuda Firewall 6.5 配置指南 不兼容
Brocade Vyatta 5400 vRouter Virtual Router 6.6R3 GA 配置指南 不兼容
检查点 安全网关 R77.30 配置指南 配置指南
Cisco ASA 8.3
8.4+ (IKEv2*)
配置示例 配置指南*
Cisco ASR PolicyBased:IOS 15.1
RouteBased:IOS 15.2
配置示例 配置示例
Cisco ISR PolicyBased:IOS 15.0
RouteBased*:IOS 15.1
配置示例 配置示例**
Cisco Meraki 不适用 不兼容 不兼容
Citrix NetScaler MPX、SDX、VPX 10.1 及以上 配置指南 不兼容
F5 BIG-IP 系列 12.0 配置指南 配置指南
Fortinet FortiGate FortiOS 5.6 配置指南
Internet Initiative Japan (IIJ) SEIL 系列 SEIL/X 4.60
SEIL/B1 4.60
SEIL/x86 3.20
配置指南 不兼容
Juniper SRX PolicyBased:JunOS 10.2
Routebased:JunOS 11.4
配置示例 配置示例
Juniper J 系列 PolicyBased:JunOS 10.4r9
RouteBased:JunOS 11.4
配置示例 配置示例
Juniper ISG ScreenOS 6.3 配置示例 配置示例
Juniper SSG ScreenOS 6.2 配置示例 配置示例
Microsoft 路由和远程访问服务 Windows Server 2012 不兼容 配置示例
打开系统 AG 任务控制安全网关 不适用 配置指南 不兼容
Palo Alto Networks 运行 PAN-OS 的所有设备 PAN-OS
PolicyBased:6.1.5 或更高版本
RouteBased:7.1.4
配置指南 配置指南
ShareTech Next Generation UTM(NU 系列) 9.0.1.3 不兼容 配置指南
SonicWall TZ 系列、NSA 系列
SuperMassive 系列
E 类 NSA 系列
SonicOS 5.8.x
SonicOS 5.9.x
SonicOS 6.x
不兼容 配置指南
Sophos XG 下一代防火墙 XG v17 配置指南
Ubiquiti EdgeRouter EdgeOS v1.10 基于 IKEv2/IPsec 的 BGP

基于 IKEv2/IPsec 的 VTI
WatchGuard 全部 Fireware XTM
PolicyBased:v11.11.x
RouteBased:v11.12.x
配置指南 配置指南

Note

(*) Cisco ASA 版本 8.4+ 增加了 IKEv2 支持,可以通过“UsePolicyBasedTrafficSelectors”选项使用自定义 IPsec/IKE 策略连接到 Azure VPN 网关。 请参阅此操作说明文章

(**) ISR 7200 系列路由器仅支持 PolicyBased VPN。

从 Azure 下载 VPN 设备配置脚本

对于某些设备,你可以直接从 Azure 下载配置脚本。 有关详细信息和下载说明,请参阅下载 VPN 设备配置脚本

具有可用配置脚本的设备

供应商 设备系列 固件版本
Cisco ISR IOS 15.1 (预览版)
Cisco ASA ASA (*) RouteBased(IKEv2- 无 BGP),对于低于 9.8 版的 ASA
Cisco ASA ASA RouteBased(IKEv2 - 无 BGP),对于 ASA 9.8+
Juniper SRX_GA 12.x
Juniper SSG_GA ScreenOS 6.2.x
Juniper JSeries_GA JunOS 12.x
Ubiquiti EdgeRouter EdgeOS v1.10x RouteBased VTI
Ubiquiti EdgeRouter EdgeOS v1.10x RouteBased BGP

Note

(*) 必需:NarrowAzureTrafficSelectors 和 CustomAzurePolicies (IKE/IPsec)

未验证的 VPN 设备

即使没有看到设备在“已验证的 VPN 设备”表列出中,该设备也有可能适用于站点到站点连接。 请联系设备制造商了解更多支持和配置说明。

编辑设备配置示例

在下载提供的 VPN 设备配置示例后,需要替换一些值来反映你环境的设置。

编辑示例的步骤:

  1. 使用记事本打开示例。
  2. 搜索所有 <text> 字符串并将其替换为与环境相关的值。 请确保包含 < 和 >。 指定名称时,选择的名称应是唯一的。 如果命令无效,请查看设备制造商文档。
示例文本 更改为
<RP_OnPremisesNetwork> 为此对象选择的名称。 示例:myOnPremisesNetwork
<RP_AzureNetwork> 为此对象选择的名称。 示例:myAzureNetwork
<RP_AccessList> 为此对象选择的名称。 示例:myAzureAccessList
<RP_IPSecTransformSet> 为此对象选择的名称。 示例:myIPSecTransformSet
<RP_IPSecCryptoMap> 为此对象选择的名称。 示例:myIPSecCryptoMap
<SP_AzureNetworkIpRange> 指定范围。 示例:192.168.0.0
<SP_AzureNetworkSubnetMask> 指定子网掩码。 示例:255.255.0.0
<SP_OnPremisesNetworkIpRange> 指定本地范围。 示例:10.2.1.0
<SP_OnPremisesNetworkSubnetMask> 指定本地子网掩码。 示例:255.255.255.0
<SP_AzureGatewayIpAddress> 此信息特定于虚拟网络,位于管理门户的“网关 IP 地址”中。
<SP_PresharedKey> 此信息特定于虚拟网络,位于管理门户的“管理密钥”中。

IPsec/IKE 参数

Important

  1. 下面各表包含了 Azure VPN 网关在默认配置中使用的算法和参数的组合。 对于使用 Azure 资源管理器部署模型创建的基于路由的 VPN 网关,可以在每个单独的连接上指定一个自定义策略。 有关详细说明,请参阅配置 IPsec/IKE 策略

  2. 此外,还必须将 TCP MSS 固定在 1350。 或者,如果 VPN 设备不支持 MSS 固定,则可以改为在隧道接口上将 MTU 设置为 1400 字节。

在下面的表中:

  • SA = 安全关联
  • IKE 阶段 1 也称“主模式”
  • IKE 阶段 2 也称“快速模式”

IKE 阶段 1(主模式)参数

属性 PolicyBased RouteBased
SDK 版本 IKEv1 IKEv2
Diffie-Hellman 组 组 2(1024 位) 组 2(1024 位)
身份验证方法 预共享密钥 预共享密钥
加密和哈希算法 1.AES256、SHA256
2.AES256、SHA1
3.AES128、SHA1
4. 3DES、SHA1
1.AES256、SHA1
2.AES256、SHA256
3.AES128、SHA1
4.AES128、SHA256
5. 3DES、SHA1
6. 3DES、SHA256
SA 生存期 28,800 秒 28,800 秒

IKE 阶段 2(快速模式)参数

属性 PolicyBased RouteBased
SDK 版本 IKEv1 IKEv2
加密和哈希算法 1.AES256、SHA256
2.AES256、SHA1
3.AES128、SHA1
4. 3DES、SHA1
RouteBased QM SA 产品/服务
SA 生存期(时间) 3,600 秒 27,000 秒
SA 生存期(字节数) 102,400,000 KB -
完全向前保密 (PFS) RouteBased QM SA 产品/服务
死对等体检测 (DPD) 不支持 支持

RouteBased VPN IPsec 安全关联(IKE 快速模式 SA)产品/服务

下表列出了 IPsec SA(IKE 快速模式)产品/服务。 这些产品按提供或接受产品的偏好顺序列出。

Azure 网关作为发起方

- 加密 身份验证 PFS 组
1 GCM AES256 GCM (AES256)
2 AES256 SHA1
3 3DES SHA1
4 AES256 SHA256
5 AES128 SHA1
6 3DES SHA256

Azure 网关作为响应方

- 加密 身份验证 PFS 组
1 GCM AES256 GCM (AES256)
2 AES256 SHA1
3 3DES SHA1
4 AES256 SHA256
5 AES128 SHA1
6 3DES SHA256
7 DES SHA1
8 AES256 SHA1 1
9 AES256 SHA1 2
10 个 AES256 SHA1 14
11 AES128 SHA1 1
12 AES128 SHA1 2
13 AES128 SHA1 14
14 3DES SHA1 1
15 3DES SHA1 2
16 3DES SHA256 2
17 AES256 SHA256 1
18 AES256 SHA256 2
19 AES256 SHA256 14
20 个 AES256 SHA1 24
21 AES256 SHA256 24
22 AES128 SHA256
23 AES128 SHA256 1
24 AES128 SHA256 2
25 AES128 SHA256 14
26 3DES SHA1 14
  • 可以使用 RouteBased 和 HighPerformance VPN 网关指定 IPsec ESP NULL 加密。 基于 Null 的加密不对传输中的数据提供保护,仅应在需要最大吞吐量和最小延迟时才使用。 客户端可以在 VNet 到 VNet 通信方案中选择使用此方法,或者在解决方案中的其他位置应用加密时使用此方法。
  • 若要通过 Internet 建立跨界连接,请使用默认的 Azure VPN 网关设置以及上表中列出的加密和哈希算法,确保关键通信的安全性。

已知的设备兼容性问题

Important

这些是第三方 VPN 设备与 Azure VPN 网关之间的已知兼容性问题。 Azure 团队正积极与供应商合作解决此处列出的问题。 解决问题后,使用最新的信息更新此页。 请定期查看。

2017 年 2 月 16 日

早于 7.1.4 版的 Palo Alto Networks 设备(针对 Azure 基于路由的 VPN):如果通过 PAN-OS 版本早于 7.1.4 的 Palo Alto Networks 使用 VPN 设备,并且遇到 Azure 基于路由的 VPN 网关的连接问题,请执行以下步骤:

  1. 检查 Palo Alto Networks 设备的固件版本。 如果 PAN-OS 版本低于 7.1.4,请升级到 7.1.4。
  2. 连接到 Azure VPN 网关时,请在 Palo Alto Networks 设备上将阶段 2 SA(或快速模式 SA)生存期更改为 28,800 秒(8 小时)。
  3. 如果仍然遇到连接问题,请从 Azure 门户开具支持请求票证。