Exportar (0) Imprimir
Expandir todo

Acerca de los dispositivos VPN de la red virtual

Actualizado: julio de 2014

Se puede usar una conexión VPN de sitio a sitio segura para crear una solución de sucursal virtual o si desea una conexión segura entre la red local y la red virtual. Las conexiones de sitio a sitio requieren una dirección IP IPv4 pública y un dispositivo VPN compatible o RRAS ejecutado en Windows Server 2012. Para crear una conexión VPN de sitio a sitio que se adapte a sus necesidades, tenga en cuenta los siguientes factores:

Cuando cree una conexión VPN de sitio a sitio, debe especificar una puerta de enlace estática o dinámica. Seleccione el tipo de puerta de enlace que sea compatible con su enrutador y para el tipo de parámetros IPSec y la configuración que necesite. En la tabla siguiente se muestran las configuraciones admitidas para las VPN estáticas y dinámicas. Si tiene pensado usar una configuración de sitio a sitio en simultáneo con una configuración de punto a sitio, tendrá que configurar una puerta de enlace de VPN de enrutamiento dinámico.

  • VPN de enrutamiento estático: las VPN de enrutamiento estático también se denominan VPN basadas en directivas. Las VPN basadas en directivas cifran y enrutan paquetes mediante una interfaz basada en una directiva definida por el cliente. La directiva se define generalmente como una lista de acceso. Una VPN de enrutamiento estático requiere una puerta de enlace de VPN de enrutamiento estático.
    Nota: VPN multisitio, VNet a VNet y Punto a sitio no se admiten con puertas de enlace VPN de enrutamiento estático.

  • VPN de enrutamiento dinámico: las VPN de enrutamiento dinámico también se denominan VPN basadas en enrutamiento. Las VPN basadas en enrutamiento dependen de una interfaz de túnel creada específicamente para reenviar paquetes. Los paquetes que llegan a la interfaz de túnel se reenvían a través de la conexión VPN. Las VPN de enrutamiento dinámico requieren una puerta de enlace de VPN de enrutamiento dinámico.
    Nota: Se requiere una puerta de enlace VPN de enrutamiento dinámico para VPN multisitio, VNet a VNet y Punto a sitio.

En la tabla siguiente, se describen los requisitos para las puertas de enlace de VPN estáticas y dinámicas.

 

Propiedad Puerta de enlace de VPN de enrutamiento estático Puerta de enlace de VPN de enrutamiento dinámico

Conectividad de sitio a sitio (S2S)

Configuración de VPN basada en directivas

Configuración de VPN basada en enrutamiento

Conectividad de punto a sitio (P2S)

No admitida

Admitida (puede coexistir con la conectividad de sitio a sitio)

Método de autenticación

Clave compartida previamente

  • Clave compartida previamente para la conectividad de sitio a sitio

  • Certificados para la conectividad de punto a sitio

Número máximo de conexiones de sitio a sitio (S2S)

1

1

Número máximo de conexiones de punto a sitio (P2S)

No admitida

128

Compatibilidad para enrutamiento activo (BGP)

No admitida

No admitida

Hemos validado un conjunto de dispositivos VPN estándar sitio a sitio (S2S) en colaboración con proveedores de dispositivos. Para obtener una lista de los dispositivos VPN compatibles conocidos con la Red virtual, vea Dispositivos VPN compatibles conocidos a continuación. Todos los dispositivos en las familias de dispositivos contenidos en esta lista deberían funcionar con la Red virtual. Para configurar el dispositivo VPN, vea la plantilla de configuración del dispositivo que se corresponda con la familia de dispositivos relevante.

Si su dispositivo no aparece en la lista de dispositivos VPN compatibles conocidos y desea usar el dispositivo para la conexión VPN, deberá comprobar que cumple los requisitos mínimos descritos en la tabla Requisitos de la puerta de enlace. Los dispositivos que cumplen los requisitos mínimos también deberían funcionar adecuadamente con la Red virtual. Póngase en contacto con el fabricante del dispositivo para obtener instrucciones de compatibilidad y configuración adicionales.

Hemos colaborado con proveedores de dispositivos VPN para admitir a familias específicas de dispositivos VPN. La sección siguiente proporciona una lista de todas las familias de dispositivos conocidas que funcionan con nuestra puerta de enlace de la red virtual. Se sabe que todos los dispositivos que pertenecen a las familias de dispositivos mencionadas funcionan bien, salvo que se produzcan excepciones. Para obtener información sobre la compatibilidad de dispositivos VPN, póngase en contacto con el fabricante del dispositivo.

 

Proveedor Familia de dispositivos Versión mínima del sistema operativo Ejemplo de configuración de enrutamiento estático Ejemplo de configuración de enrutamiento dinámico

Allied Telesis

Enrutador VPN de la serie AR

2.9.2

Próximamente

No compatible

Brocade

Enrutador virtual Vyatta 5400

Enrutador virtual 6.6R3 GA

Instrucciones de configuración

No compatible

Punto de control

Puerta de enlace de seguridad

R75,40

R75.40VS

Instrucciones de configuración

Instrucciones de configuración

Cisco

ASA

8.3

Plantillas de Cisco ASA

No compatible

Cisco

ASR

IOS 15,1 (estático)

IOS 15,2 (dinámico)

Plantillas de Cisco ASR

Plantillas de Cisco ASR

Cisco

ISR

IOS 15,0 (estático)

IOS 15,1 (dinámico)

Plantillas de Cisco ISR

Plantillas de Cisco ISR

Citrix

Dispositivo MPX o dispositivo virtual VPX de CloudBridge

N/D

Instrucciones de integración

No compatible

Dell SonicWALL

Serie TZ

Serie NSA

Serie SuperMassive

Serie E-Class NSA

SonicOS 5,8.x

SonicOS 5.9.x

SonicOS 6.x

Instrucciones de configuración

Instrucciones de configuración

F5

Serie BIG-IP

N/D

Instrucciones de configuración

No compatible

Fortinet

FortiGate

FortiOS 5.0.7

Instrucciones de configuración

Instrucciones de configuración

Juniper

SRX

JunOS 10.2 (estático)

JunOS 11.4 (dinámico)

Plantillas de Juniper SRX

Plantillas de Juniper SRX

Juniper

J-Series

JunOS 10.4r9 (estático)

JunOS 11.4 (dinámico)

Plantillas de Juniper serie J

Plantillas de Juniper serie J

Juniper

ISG

ScreenOS 6,3 (estático y dinámico)

Plantillas de Juniper ISG

Plantillas de Juniper ISG

Juniper

SSG

ScreenOS 6,2 (estático y dinámico)

Plantillas de Juniper SSG

Plantillas de Juniper SSG

Microsoft

Servicio de Enrutamiento y acceso remoto

Windows Server 2012

No compatible

Plantillas del Servicio de Enrutamiento y acceso remoto (RRAS)

Openswan

Openswan

2.6.32

(próximamente)

No compatible

Watchguard

Todos

Fireware XTM v11.x

Instrucciones de configuración

No compatible

Después de descargar la plantilla de configuración de dispositivos VPN, deberá reemplazar algunos de los valores para reflejar la configuración del entorno. Si descargó la plantilla de dispositivos VPN desde el Portal de administración, verá que algunas cadenas están rellenadas previamente con valores que pertenecen a la red virtual. No obstante, deberá actualizar la plantilla para reflejar los valores adicionales que son específicos del entorno.

Abra la plantilla con el Bloc de notas. Busque y reemplace todas las cadenas de <text> por los valores que pertenezcan al entorno. Asegúrese de incluir < y >. Cuando se especifica un nombre, el nombre seleccionado debe ser único. Si un comando no funciona, consulte la documentación del fabricante del dispositivo.

 

Texto de la plantilla Cambiar a

<RP_OnPremisesNetwork>

Nombre elegido para este objeto. Ejemplo: myOnPremisesNetwork

<RP_AzureNetwork>

Nombre elegido para este objeto. Ejemplo: myAzureNetwork

<RP_AccessList>

Nombre elegido para este objeto. Ejemplo: myAzureAccessList

<RP_IPSecTransformSet>

Nombre elegido para este objeto. Ejemplo: myIPSecTransformSet

<RP_IPSecCryptoMap>

Nombre elegido para este objeto. Ejemplo: myIPSecCryptoMap

<SP_AzureNetworkIpRange>

Especifique rango. Ejemplo: 192.168.0.0

<SP_AzureNetworkSubnetMask>

Especifique máscara de subred. Ejemplo: 255.255.0.0

<SP_OnPremisesNetworkIpRange>

Especifique rango local. Ejemplo: 10.2.1.0

<SP_OnPremisesNetworkSubnetMask>

Especifique máscara de subred local. Ejemplo: 255.255.255.0

<SP_AzureGatewayIpAddress>

Esta información es específica de su red virtual y se encuentra en el Portal de administración como Dirección IP de la puerta de enlace.

<SP_PresharedKey>

Esta información es específica de su red virtual y se encuentra en el Portal de administración como Administrar clave.

IKE Fase 1 configuración

Propiedad Puerta de enlace de VPN de enrutamiento estático Puerta de enlace de VPN de enrutamiento dinámico

Versión del IKE

IKEv1

IKEv2

Grupo Diffie-Hellman

Grupo 2 (1024 bits)

Grupo 2 (1024 bits)

Método de autenticación

Clave compartida previamente

Clave compartida previamente

Algoritmos de cifrado

AES256

AES128

3DES

AES256

3DES

Algoritmo hash

SHA1 (SHA128)

SHA1 (SHA128)

Periodo de vida (tiempo) de la asociación de seguridad (SA) de la fase 1

28.800 segundos

28.800 segundos

IKE Fase 2 configuración

Propiedad Puerta de enlace de VPN de enrutamiento estático Puerta de enlace de VPN de enrutamiento dinámico

Versión del IKE

IKEv1

IKEv2

Algoritmo hash

SHA1 (SHA128)

SHA1 (SHA128)

Periodo de vida (tiempo) de la asociación de seguridad (SA) de la fase 2

3.600 segundos

-

Periodo de vida (rendimiento) de la asociación de seguridad (SA) de la fase 2

102.400.000 KB

-

Cifrado de IPsec SA & Ofertas de autenticación (en orden de preferencia)

  1. ESP-AES256

  2. ESP-AES128

  3. ESP-3DES

  4. N/D

Vea Ofertas de Asociación de seguridad (SA) de IPsec de una Puerta de enlace de enrutamiento dinámico.

Perfect Forward Secrecy (PFS)

No

No

Detección de inactividad en el mismo nivel

No admitida

Admitida

La tabla siguiente enumera las Ofertas de autenticación y cifrado de IPsec SA. Las ofertas se enumeran en el orden de preferencia en que se presenta o acepta la oferta.

 

Ofertas de autenticación y cifrado de IPsec SA Puerta de enlace de Azure como iniciador Puerta de enlace de Azure como transmisor

1

ESP AES_256 SHA

ESP AES_128 SHA

2

ESP AES_128 SHA

ESP 3_DES MD5

3

ESP 3_DES MD5

ESP 3_DES SHA

4

ESP 3_DES SHA

AH SHA1 con ESP AES_128 con HMAC nulo

5

AH SHA1 con ESP AES_256 con HMAC nulo

AH SHA1 con ESP 3_DES con HMAC nulo

6

AH SHA1 con ESP AES_128 con HMAC nulo

AH MD5 con ESP 3_DES con HMAC nulo, sin períodos de duración propuestos

7

AH SHA1 con ESP 3_DES con HMAC nulo

AH SHA1 con ESP 3_DES SHA1, sin períodos de duración

8

AH MD5 con ESP 3_DES con HMAC nulo, sin períodos de duración propuestos

AH MD5 con ESP 3_DES MD5, sin períodos de duración

9

AH SHA1 con ESP 3_DES SHA1, sin períodos de duración

ESP DES MD5

10

AH MD5 con ESP 3_DES MD5, sin períodos de duración

ESP DES SHA1, sin períodos de duración

11

ESP DES MD5

AH SHA1 con ESP DES con HMAC nulo, sin períodos de duración propuestos

12

ESP DES SHA1, sin períodos de duración

AH MD5 con ESP DES con HMAC nulo, sin períodos de duración propuestos

13

AH SHA1 con ESP DES con HMAC nulo, sin períodos de duración propuestos

AH SHA1 con ESP DES SHA1, sin períodos de duración

14

AH MD5 con ESP DES con HMAC nulo, sin períodos de duración propuestos

AH MD5 con ESP DES MD5, sin períodos de duración

15

AH SHA1 con ESP DES SHA1, sin períodos de duración

ESP SHA, sin períodos de duración

16

AH MD5 con ESP DES MD5, sin períodos de duración

ESP MD5, sin períodos de duración

17

-

AH SHA, sin períodos de duración

18

-

AH MD5, sin períodos de duración

Vea también

Mostrar:
© 2014 Microsoft