Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Для настройки распределенного VPN-подключения типа "сеть — сеть" через VPN-шлюз требуется VPN-устройство. Подключения типа "сеть — сеть" можно использовать для создания гибридного решения, а также когда требуется безопасное подключение между локальной и виртуальной сетями. В этой статье перечислены проверенные VPN-устройства и параметры IPsec/IKE для VPN-шлюзов.
На что следует обратите внимание при просмотре таблицы:
- Существуют изменения терминологии для VPN-шлюзов Azure. Изменены только имена. Нет изменений в функциональных возможностях.
- Статическая маршрутизация — на основе политик (PolicyBased).
- Динамическая маршрутизация — на основе маршрутов (RouteBased).
- Спецификации высокопроизводительных VPN-шлюзов и VPN-шлюзов типа RouteBased одинаковы, если не указано иное. Например, проверенные VPN-устройства, совместимые с VPN-шлюзами RouteBased, также совместимы с высокопроизводительными VPN-шлюзами.
Проверенные VPN-устройства и руководства по конфигурации устройства
В сотрудничестве с поставщиками устройств мы утвердили набор стандартных VPN-устройств. Все устройства из приведенного ниже списка семейств должны работать с VPN-шлюзами. Это рекомендуемые алгоритмы для конфигурации устройства.
| Рекомендуемые алгоритмы | Кодировки | Целостность | Группа DH |
|---|---|---|---|
| АЙК | AES256 | SHA256 | DH2 |
| IPsec | AES256GCM | AES256GCM | нет |
Чтобы настроить VPN-устройство, перейдите по ссылкам, соответствующим семейству устройств. Ссылки на инструкции по настройке предоставляются на основе наилучших усилий и значения по умолчанию, перечисленные в руководстве по настройке, не должны содержать лучшие алгоритмы шифрования. За поддержкой VPN-устройства обратитесь к его изготовителю.
| поставщик | Семейство устройств | Минимальная версия ОС | Инструкции по настройке PolicyBased | Инструкции по настройке RouteBased |
|---|---|---|---|---|
| A10 Networks, Inc. | Тандер CFW | ACOS 4.1.1 | Не совместимо | Руководство по настройке |
| AhnLab | TrusGuard | TG 2.7.6 TG 3.5.x |
Не протестировано | Руководство по настройке |
| Союзная телеза | VPN-маршрутизаторы серии AR | Серии AR 5.4.7+ | Руководство по настройке | Руководство по настройке |
| Ость | Маршрутизатор CloudEOS | vEOS 4.24.0FX | Не протестировано | Руководство по настройке |
| Barracuda Networks, Inc. | Брандмауэр Barracuda CloudGen | Основанный на политике: 5.4.3 RouteBased: 6.2.0 |
Руководство по настройке | Руководство по настройке |
| Контрольная точка | Шлюз безопасности | R80.10 | Руководство по настройке | Руководство по настройке |
| Сиско | АСА | 8.3 8.4+ (IKEv2*) |
Поддерживается | Руководство по настройке* |
| Сиско | Автоматическое распознавание речи | Основы политики: IOS 15.1 RouteBased: iOS 15.2 |
Поддерживается | Поддерживается |
| Сиско | Корпоративная социальная ответственность | RouteBased: IOS-XE 16.10 | Не протестировано | Скрипт настройки |
| Сиско | ISR | PolicyBased: IOS 15.0 RouteBased*: IOS 15.1 |
Поддерживается | Поддерживается |
| Сиско | Мераки (MX) | MX версии 15.12 | Не совместимо | Руководство по настройке |
| Сиско | vEdge (ОС Viptela) | 18.4.0 (режим "активный — пассивный") | Не совместимо | Настройка вручную (режим "активный — пассивный") |
| Citrix | NetScaler MPX, SDX, VPX | 10.1 и выше | Руководство по настройке | Не совместимо |
| Клавиша F5 | Серия BIG-IP | 12,0 | Руководство по настройке | Руководство по настройке |
| Fortinet | FortiGate | FortiOS 5.6 | Не протестировано | Руководство по настройке |
| Fsas Technologies | Серии Si-R G | V04: V04.12 V20: V20.14 |
Руководство по настройке | Руководство по настройке |
| Хиллстоун Сети | Брандмауэры следующего поколения (NGFW) | 5.5R7 | Не протестировано | Руководство по настройке |
| HPE Aruba | Шлюз SDWAN EdgeConnect | Выпуск ECOS версии 9.2 Orchestrator OS версии 9.2 |
Руководство по настройке | Руководство по настройке |
| Интернет-инициатива Японии (IIJ) | Серия SEIL | SEIL/X 4.60 SEIL/B1 4.60 SEIL/x86 3.20 |
Руководство по настройке | Не совместимо |
| Можжевельник | SRX | PolicyBased: JunOS 10.2 Routebased: JunOS 11.4 |
Поддерживается | Скрипт настройки |
| Можжевельник | Серия J | PolicyBased: JunOS 10.4r9 RouteBased: JunOS 11.4 |
Поддерживается | Скрипт настройки |
| Можжевельник | ISG | ScreenOS 6.3 | Поддерживается | Скрипт настройки |
| Можжевельник | SSG | ScreenOS 6.2 | Поддерживается | Скрипт настройки |
| Можжевельник | МХ | JunOS 12.x | Поддерживается | Скрипт настройки |
| Корпорация Майкрософт | Служба маршрутизации и удаленного доступа | Windows Server 2012 | Не совместимо | Поддерживается |
| Open Systems AG | Шлюз безопасности управления миссиями | Н/П | Поддерживается | Не совместимо |
| Palo Alto Networks | Все устройства под управлением PAN-OS | PAN-OS PolicyBased: 6.1.5 или более поздней версии RouteBased: 7.1.4 |
Поддерживается | Руководство по настройке |
| Sentrium (разработчик) | VyOS | VyOS 1.2.2 | Не протестировано | Руководство по настройке |
| ShareTech | UTM нового поколения (серия NU) | 9.0.1.3 | Не совместимо | Руководство по настройке |
| SonicWall | Серия TZ, серия NSA Серия SuperMassive Серия NSA класса E |
SonicOS 5.8.x SonicOS 5.9.x SonicOS 6.x |
Не совместимо | Руководство по настройке |
| Sophos | Брандмауэр следующего поколения XG | XG - версия 17 | Не протестировано |
Руководство по настройке Руководство по настройке нескольких SA |
| Synology | MR2200ac RT2600ac RT1900ac |
SRM1.1.5/VpnPlusServer-1.2.0 | Не протестировано | Руководство по настройке |
| Ubiquiti | EdgeRouter | EdgeOS версии 1.10 | Не протестировано |
BGP через IKEv2 или IPsec VTI через IKEv2 или IPsec |
| Ультра | 3E-636L3 | 5.2.0.T3 Build-13 | Не протестировано | Руководство по настройке |
| WatchGuard | Все | Fireware XTM PolicyBased: версия 11.11.x RouteBased: v11.12.x |
Руководство по настройке | Руководство по настройке |
| Zyxel | Серия ZyWALL USG Серия ZyWALL ATP Серия ZyWALL VPN |
ZLD версии 4.32+ | Не протестировано |
VTI через IKEv2 или IPsec BGP через IKEv2 или IPsec |
Примечание.
(*) Версии Cisco ASA 8.4+ с поддержкой IKEv2 могут подключаться к VPN-шлюзу Azure при помощи настраиваемой политики IPsec/IKE с параметром UsePolicyBasedTrafficSelectors. Дополнительные сведения см. в этой статье.
(\*\*) Маршрутизаторы ISR серии 7200 поддерживают только VPN типа PolicyBased.
Загрузка сценариев конфигурации VPN-устройства из Azure
Для некоторых устройств можно загрузить сценарии конфигурации непосредственно из Azure. Для получения дополнительной информации и инструкций по загрузке см. Загрузка сценариев конфигурации VPN-устройств.
Непроверенные VPN-устройства
Если устройство не отображается в таблице проверенных VPN-устройств, устройство по-прежнему может работать с подключением типа "сеть — сеть". Чтобы получить поддержку и инструкции по настройке, обратитесь к изготовителю устройства.
Изменение примеров конфигурации устройств
После скачивания предоставленного примера конфигурации VPN-устройства некоторые значения необходимо заменить в соответствии с параметрами вашей среды.
Чтобы изменить образец, выполните описанные ниже действия
- Откройте пример с помощью блокнота.
- Найдите все строки <text> и замените их значениями, отражающими свойства вашей среды. Не забудьте добавить < и >. Если указывается имя, оно должно быть уникальным. Если команда не работает, обратитесь к документации изготовителя устройства.
| Пример текста | Изменить на |
|---|---|
| <RP_OnPremisesNetwork> | Выбранное имя для данного объекта. Пример: myOnPremisesNetwork. |
| <RP_AzureNetwork> | Выбранное имя для данного объекта. Пример: myAzureNetwork. |
| <RP_AccessList> | Выбранное имя для данного объекта. Пример: myAzureAccessList. |
| <RP_IPSecTransformSet> | Выбранное имя для данного объекта. Пример: myIPSecTransformSet. |
| <RP_IPSecCryptoMap> | Выбранное имя для данного объекта. Пример: myIPSecCryptoMap. |
| <Диапазон IP-адресов сети Azure> | Укажите диапазон. Пример: 192.168.0.0. |
| <SP_AzureNetworkSubnetMask> | Укажите маску подсети. Пример: 255.255.0.0. |
| <SP_OnPremisesNetworkIpRange> | Укажите локальный диапазон. Пример: 10.2.1.0. |
| <SP_OnPremisesNetworkSubnetMask> | Укажите локальную маску подсети. Пример: 255.255.255.0. |
| <SP_AzureGatewayIpAddress (IP-адрес шлюза Azure)> | Эта информация относится к виртуальной сети и находится на портале управления в поле IP-адрес шлюза. |
| <SP_ПредварительноЗаданныйКлюч> | Эта информация относится к виртуальной сети и находится на портале управления в разделе «Управление ключами». |
Параметры IPsec/IKE по умолчанию
В следующих таблицах содержатся сочетания алгоритмов и параметров VPN-шлюзов Azure, используемых в конфигурации по умолчанию (политики по умолчанию). Для VPN-шлюзов на основе маршрутов, созданных с помощью модели развертывания на основе Azure Resource Management, можно указать пользовательскую политику для каждого отдельного подключения. Дополнительные сведения см. в разделе Настройка политик IPsec/IKE.
В таблицах ниже приведены следующие сведения:
- SA — ассоциация безопасности.
- Этап 1 IKE также называется "Главный режим".
- Этап 2 IKE также называется "Быстрый режим".
Параметры этапа 1 IKE (основной режим)
| Свойство | PolicyBased | RouteBased |
|---|---|---|
| Версия IKE | IKEv1 | IKEv1 и IKEv2 |
| Группа Диффи-Хелмана | Группа 2 (1024 бита) | Группа 2 (1024 бита) |
| Метод проверки подлинности | Предварительно согласованный ключ | Предварительно согласованный ключ |
| Алгоритмы шифрования и хэширования | 1. AES256, SHA256 2. AES256, SHA1 3. AES128, SHA1 4. 3DES, SHA1 |
1. AES256, SHA1 2. AES256, SHA256 3. AES128, SHA1 4. AES128, SHA256 5. 3DES, SHA1 6. 3DES, SHA256 |
| Срок действия SA | 28 800 сек | 28 800 сек |
| Количество SA в быстром режиме | 100 | 100 |
Параметры этапа 2 IKE (быстрый режим)
| Свойство | PolicyBased | RouteBased |
|---|---|---|
| Версия IKE | IKEv1 | IKEv1 и IKEv2 |
| Алгоритмы шифрования и хэширования | 1. AES256, SHA256 2. AES256, SHA1 3. AES128, SHA1 4. 3DES, SHA1 |
Предложения RouteBased QM SA |
| Срок действия SA (время) | 3600 секунд | 27 000 секунд |
| Срок действия SA (байты) | 102 400 000 КБ | 102 400 000 КБ |
| Идеальная прямая секретность (PFS) | Нет | Предложения RouteBased QM SA |
| Обнаружение недоступных пиринговых узлов (DPD) | Не поддерживается | Поддерживается |
Ограничение MSS TCP в VPN-шлюзе Azure
Ограничение MSS выполняется двунаправленно на VPN-шлюзе Azure. В следующей таблице перечислены размеры пакетов в разных сценариях.
| Поток пакетов | IРv4 | IPv6 |
|---|---|---|
| Через Интернет | 1360 байт | 1340 байт |
| Через шлюз Express Route | 1250 байт | 1250 байт |
Предложения ассоциации безопасности IPsec для маршрутизируемых VPN (в быстром режиме IKE)
В следующей таблице перечислены параметры к SA IPsec (быстрого режима IKE). Предложения перечислены в порядке предпочтения представления или принятия предложения.
Шлюз Azure в качестве инициатора
| - | Шифрование | Аутентификация | Группа PFS |
|---|---|---|---|
| 1 | GCM AES256 | GCM (AES256) | нет |
| 2 | AES256 | SHA1 | нет |
| 3 | тройной стандарт шифрования данных (3DES) | SHA1 | нет |
| 4 | AES256 | SHA256 | нет |
| 5 | AES128 | SHA1 | нет |
| 6 | тройной стандарт шифрования данных (3DES) | SHA256 | нет |
Шлюз Azure как элемент реагирования
| - | Шифрование | Аутентификация | Группа PFS |
|---|---|---|---|
| 1 | GCM AES256 | GCM (AES256) | нет |
| 2 | AES256 | SHA1 | нет |
| 3 | тройной стандарт шифрования данных (3DES) | SHA1 | нет |
| 4 | AES256 | SHA256 | нет |
| 5 | AES128 | SHA1 | нет |
| 6 | тройной стандарт шифрования данных (3DES) | SHA256 | нет |
| 7 | DES (Стандарт шифрования данных) | SHA1 | нет |
| 8 | AES256 | SHA1 | 1 |
| 9 | AES256 | SHA1 | 2 |
| 10 | AES256 | SHA1 | 14 |
| 11 | AES128 | SHA1 | 1 |
| 12 | AES128 | SHA1 | 2 |
| 13 (тринадцать) | AES128 | SHA1 | 14 |
| 14 | тройной стандарт шифрования данных (3DES) | SHA1 | 1 |
| 15 | тройной стандарт шифрования данных (3DES) | SHA1 | 2 |
| 16 | тройной стандарт шифрования данных (3DES) | SHA256 | 2 |
| 17 | AES256 | SHA256 | 1 |
| 18 | AES256 | SHA256 | 2 |
| 19 | AES256 | SHA256 | 14 |
| 20 | AES256 | SHA1 | двадцать четыре |
| двадцать один | AES256 | SHA256 | двадцать четыре |
| двадцать два | AES128 | SHA256 | нет |
| двадцать три | AES128 | SHA256 | 1 |
| двадцать четыре | AES128 | SHA256 | 2 |
| двадцать пять | AES128 | SHA256 | 14 |
| 26 | тройной стандарт шифрования данных (3DES) | SHA1 | 14 |
- Вы можете указать NULL-шифрование ESP IPsec для высокопроизводительных VPN-шлюзов и VPN-шлюзов типа RouteBased. NULL-шифрование не защищает данные при передаче. Его следует использовать только в случаях, когда требуется максимальная пропускная способность и минимальная задержка. Клиенты могут использовать это в сценариях обмена данными между виртуальными сетями или при применении шифрования в другом месте решения.
- Для межсайтовых подключений через Интернет используйте параметры VPN-шлюза Azure по умолчанию с алгоритмами шифрования и хэширования, перечисленными в предыдущих таблицах, чтобы обеспечить безопасность критического взаимодействия.