VENDITE: 1-800-867-1389

Informazioni sui dispositivi VPN per Rete virtuale

Aggiornamento: novembre 2014

È possibile usare una connessione VPN da sito a sito sicura per creare una soluzione di succursale o se si desidera realizzare una connessione sicura tra una rete locale e una rete virtuale. Per le connessioni da sito a sito sono necessari un indirizzo IP IPv4 pubblico e un dispositivo con compatibilità VPN o RRAS in esecuzione in Windows Server 2012. Per creare la connessione VPN da sito a sito più adatta alle proprie esigenze, è opportuno considerare quanto segue:

Quando si crea una connessione VPN da sito a sito, è necessario specificare un gateway di tipo statico o dinamico. Selezionare il tipo di gateway supportato dal router e adatto ai tipi di parametri e configurazione IPSec desiderati. Nelle tabelle riportate di seguito vengono descritte le configurazioni supportate da VPN statici e dinamici. Se si intende usare una configurazione da sito a sito contemporaneamente a una configurazione da punto a sito, sarà necessario configurare un gateway VPN con routing dinamico.

  • VPN con routing statico: le VPN con routing statico sono anche denominate VPN basate su criteri. Le VPN basate su criteri crittografano e reindirizzano i pacchetti tramite un'interfaccia basata su criteri definiti dal cliente. I criteri vengono in genere definiti come elenco di accesso. Le VPN con routing statico richiedono un gateway appropriato.
    Nota: le connessioni VPN multisito, tra reti virtuali e da punto a sito non sono supportate con gateway VPN con routing statico.

  • VPN con routing dinamico: le VPN con routing dinamico sono anche denominate VPN basate su route. Le VPN basate su route dipendono da un'interfaccia tunnel creata appositamente per l'inoltro di pacchetti. Qualsiasi pacchetto in arrivo nell'interfaccia tunnel verrà inoltrato tramite la connessione VPN. Le VPN con routing dinamico richiedono un gateway appropriato.
    Nota: per le connessioni VPN multisito, tra reti virtuali e da punto a sito è necessario un gateway VPN con routing dinamico.

Nella tabella seguente sono elencati i requisiti per i gateway VPN statici e dinamici.

 

Proprietà Gateway VPN con routing statico Gateway VPN con routing dinamico Gateway VPN con prestazioni elevate

Connettività da sito a sito (S2S)

Configurazione VPN basata su criteri

Configurazione VPN basata su route

Configurazione VPN basata su route

Connettività da punto a sito (P2S)

Non supportata

Supportato (può coesistere con la connettività da sito a sito)

Supportato (può coesistere con la connettività da sito a sito)

Metodo di autenticazione

Chiave precondivisa

  • Chiave precondivisa per la connettività da sito a sito

  • Certificati per la connettività da punto a sito

  • Chiave precondivisa per la connettività da sito a sito

  • Certificati per la connettività da punto a sito

Numero massimo di connessioni da sito a sito (S2S)

1

10

30

Numero massimo di connessioni da punto a sito (P2S)

Non supportata

128

128

Supporto routing attivo (BGP)

Non supportata

Non supportata

Non supportata

Si noti che nella parte restante di questa pagina le specifiche per il gateway VPN con prestazioni elevate e il gateway VPN con routing dinamico sono uguali se non diversamente specificato. Ad esempio, i dispositivi VPN convalidati e compatibili con i gateway VPN con routing dinamico di Azure saranno compatibili anche con il nuovo gateway VPN con prestazioni elevate di Azure.

Abbiamo approvato un set di dispositivi VPN da sito a sito standard in partnership con fornitori di dispositivi. Per un elenco dei dispositivi VPN di cui è nota la compatibilità con Rete virtuale, vedere Dispositivi VPN con compatibilità nota di seguito. Tutti i dispositivi appartenenti ai gruppi inclusi in questo elenco dovrebbero funzionare con Rete virtuale. Per agevolare la configurazione del dispositivo VPN, fare riferimento al modello di configurazione del dispositivo corrispondente al gruppo di dispositivi appropriato.

Se un dispositivo non è elencato nell'elenco di dispositivi VPN con compatibilità nota e si desidera usarlo per la connessione VPN, è necessario verificare che soddisfi i requisiti minimi descritti nella tabella Requisiti del gateway. I dispositivi che soddisfano i requisiti minimi dovrebbero funzionare correttamente con la rete virtuale. Contattare il produttore del dispositivo per assistenza e istruzioni di configurazione.

Abbiamo collaborato con fornitori di dispositivi VPN per qualificare congiuntamente gruppi specifici di dispositivi VPN. Nella sezione seguente viene fornito un elenco di tutti i gruppi di dispositivi di cui è nota la compatibilità di utilizzo con il gateway della rete virtuale. Tutti i dispositivi membri dei gruppi di dispositivi elencati sono noti per la compatibilità di utilizzo, tranne per le eccezioni indicate. Per il supporto del dispositivo VPN, contattare il produttore del dispositivo.

 

Fornitore Gruppo di dispositivi Versione minima del sistema operativo Esempio di configurazione del routing statico Esempio di configurazione del routing dinamico

Allied Telesis

Router VPN serie AR

2.9.2

Presto disponibile

Non compatibile

Barracuda Networks, Inc.

Barracuda NG Firewall

Barracuda Firewall

Barracuda NG Firewall 5.4.3

Barracuda Firewall 6.5

Barracuda NG Firewall

Barracuda Firewall

Non compatibile

Brocade

Vyatta 5400 vRouter

Virtual Router 6.6R3 GA

Istruzioni di configurazione

Non compatibile

Check Point

Gateway di sicurezza

R75.40

R75.40VS

Istruzioni di configurazione

Istruzioni di configurazione

Cisco

ASA

8.3

Modelli ASA Cisco

Non compatibile

Cisco

ASR

IOS 15,1 (statico)

IOS 15,2 (dinamico)

Modelli ASR Cisco

Modelli ASR Cisco

Cisco

ISR

IOS 15.0 (statico)

IOS 15.1 (dinamico)

Modelli ISR Cisco

Modelli ISR Cisco

Citrix

Dispositivo MPX CloudBridge o dispositivo virtuale VPX

N/D

Istruzioni di integrazione

Non compatibile

Dell SonicWALL

Serie TZ

Serie NSA

Serie SuperMassive

Serie NSA Classe E

SonicOS 5.8.x, SonicOS 5.9.x, SonicOS 6.x

Istruzioni di configurazione

Istruzioni di configurazione

F5

BIG-IP series

N/D

Istruzioni di configurazione

Non compatibile

Fortinet

FortiGate

FortiOS 5.0.7

Istruzioni di configurazione

Istruzioni di configurazione

Juniper

SRX

JunOS 10.2 (statico)

JunOS 11.4 (dinamico)

Modelli SRX Juniper

Modelli SRX Juniper

Juniper

J-Series

JunOS 10.4r9 (statico)

JunOS 11.4 (dinamico)

Modelli serie J Juniper

Modelli serie J Juniper

Juniper

ISG

ScreenOS 6,3 (statico e dinamico)

Modelli ISG Juniper

Modelli ISG Juniper

Juniper

SSG

ScreenOS 6.2 (statico e dinamico)

Modelli SSG Juniper

Modelli SSG Juniper

Microsoft

Servizio Routing e accesso remoto

Windows Server 2012

Non compatibile

Modelli del servizio Routing e Accesso remoto (RRAS)

Openswan

Openswan

2.6.32

(presto disponibile)

Non compatibile

Palo Alto Networks

Tutti i dispositivi che eseguono PAN-OS 5.0 o versione successiva

PAN-OS 5.x o versione successiva

Palo Alto Networks

Non compatibile

Watchguard

Tutte

Fireware XTM v11.x

Istruzioni di configurazione

Non compatibile

Dopo aver scaricato il modello di configurazione dei dispositivi VPN fornito, sarà necessario sostituire alcuni valori in modo che riflettano le impostazioni dell'ambiente specifico. Se si è scaricato il modello di dispositivi VPN dal portale di gestione, alcune stringhe sono prepopolate con valori pertinenti alla rete virtuale. È tuttavia necessario aggiornare il modello in modo che rifletta i valori aggiuntivi specifici per l'ambiente in uso.

Aprire il modello tramite il Blocco note. Cercare e sostituire tutte le stringhe di <text> con i valori pertinenti all'ambiente. Accertarsi di includere < e >. Se è specificato un nome, il nome selezionato dovrà essere univoco. Se un comando non funziona, consultare la documentazione del produttore del dispositivo.

 

Testo del modello Modificare in

<RP_OnPremisesNetwork>

Nome scelto per l'oggetto. Esempio: myOnPremisesNetwork

<RP_AzureNetwork>

Nome scelto per l'oggetto. Esempio: myAzureNetwork

<RP_AccessList>

Nome scelto per l'oggetto. Esempio: myAzureAccessList

<RP_IPSecTransformSet>

Nome scelto per l'oggetto. Esempio: myIPSecTransformSet

<RP_IPSecCryptoMap>

Nome scelto per l'oggetto. Esempio: myIPSecCryptoMap

<SP_AzureNetworkIpRange>

Specificare l'intervallo. Esempio: 192.168.0.0

<SP_AzureNetworkSubnetMask>

Specificare la subnet mask. Esempio: 255.255.0.0

<SP_OnPremisesNetworkIpRange>

Specificare l'intervallo locale. Esempio: 10.2.1.0

<SP_OnPremisesNetworkSubnetMask>

Specificare la subnet mask locale. Esempio: 255.255.255.0

<SP_AzureGatewayIpAddress>

Questa informazione è specifica per la rete virtuale ed è disponibile in Indirizzo IP gateway nel portale di gestione.

<SP_PresharedKey>

Questa informazione è specifica per la rete virtuale ed è disponibile in Gestisci chiave nel portale di gestione.

Configurazione parametri fase 1 IKE

Proprietà Gateway VPN con routing statico Gateway VPN con routing dinamico e gateway VPN con prestazioni elevate

Versione IKE

IKEv1

IKEv2

Gruppo Diffie-Hellman

Gruppo 2 (1024 bit)

Gruppo 2 (1024 bit)

Metodo di autenticazione

Chiave precondivisa

Chiave precondivisa

Algoritmi di crittografia

AES256

AES128

3DES

AES256

3DES

Algoritmo di hashing

SHA1(SHA128)

SHA1(SHA128)

Durata associazione di sicurezza fase 1 (tempo)

28.800 secondi

28.800 secondi

Configurazione parametri fase 2 IKE

Proprietà Gateway VPN con routing statico Gateway VPN con routing dinamico e gateway VPN con prestazioni elevate

Versione IKE

IKEv1

IKEv2

Algoritmo di hashing

SHA1(SHA128)

SHA1(SHA128)

Durata associazione di sicurezza fase 2 (tempo)

3.600 secondi

-

Durata associazione di sicurezza fase 2 (produttività)

102.400.000 KB

-

Offerte di crittografia e autenticazione di associazione di sicurezza IPSec (in ordine di preferenza)

  1. ESP-AES256

  2. ESP-AES128

  3. ESP-3DES

  4. N/D

Vedere Offerte di associazione di sicurezza IPSec per gateway con routing dinamico

PFS (Perfect Forward Secrecy)

No

Sì (Group1 DH)

Rilevamento peer inattivo

Non supportata

Supportata

Nella tabella indicata di seguito vengono elencate le offerte di crittografia e autenticazione di associazione di sicurezza IPSec. Le offerte sono elencate nell'ordine di preferenza di presentazione o accettazione.

 

Offerte di crittografia e autenticazione di associazione di sicurezza IPSec Gateway Azure - Iniziatore Gateway Azure - Risponditore

1

SHA con ESP AES_256

SHA con ESP AES_128

2

SHA con ESP AES_128

MD5 con ESP 3_DES

3

MD5 con ESP 3_DES

SHA con ESP 3_DES

4

SHA con ESP 3_DES

AH SHA1 con ESP AES_128 con HMAC Null

5

AH SHA1 con ESP AES_256 con HMAC Null

AH SHA1 con ESP 3_DES con HMAC Null

6

AH SHA1 con ESP AES_128 con HMAC Null

AH MD5 con ESP 3_DES con HMAC Null, nessuna durata proposta

7

AH SHA1 con ESP 3_DES con HMAC Null

AH SHA1 con SHA1 con ESP 3_DES, nessuna durata

8

AH MD5 con ESP 3_DES con HMAC Null, nessuna durata proposta

AH MD5 con MD5 con ESP 3_DES, nessuna durata

9

AH SHA1 con SHA1 con ESP 3_DES, nessuna durata

MD5 con ESP DES

10

AH MD5 con MD5 con ESP 3_DES, nessuna durata

SHA1 con ESP DES, nessuna durata

11

MD5 con ESP DES

AH SHA1 con ESP DES con HMAC Null, nessuna durata proposta

12

SHA1 con ESP DES, nessuna durata

AH MD5 con ESP DES con HMAC Null, nessuna durata proposta

13

AH SHA1 con ESP DES con HMAC Null, nessuna durata proposta

AH SHA1 con SHA1 con ESP DES, nessuna durata

14

AH MD5 con ESP DES con HMAC Null, nessuna durata proposta

AH MD5 con MD5 con ESP DES, nessuna durata

15

AH SHA1 con SHA1 con ESP DES, nessuna durata

SHA con ESP, nessuna durata

16

AH MD5 con MD5 con ESP DES, nessuna durata

MD5 con ESP, nessuna durata

17

-

SHA con AH, nessuna durata

18

-

MD5 con AH, nessuna durata

Si noti che è possibile specificare la crittografia NULL ESP IPsec con gateway VPN con prestazioni elevate e routing dinamico, previsto per le connessioni da rete virtuale a rete virtuale all'interno di reti di Azure. Per la connettività locale tramite Internet, usare le impostazioni predefinite del gateway VPN di Azure con gli algoritmi di crittografia e hash elencati nelle tabelle precedenti, per garantire la sicurezza delle comunicazioni critiche.

Vedere anche

Il documento è risultato utile?
(1500 caratteri rimanenti)
Grazie per i commenti inviati.
Microsoft sta conducendo un sondaggio in linea per comprendere l'opinione degli utenti in merito al sito Web di MSDN. Se si sceglie di partecipare, quando si lascia il sito Web di MSDN verrà visualizzato il sondaggio in linea.

Si desidera partecipare?
Mostra:
© 2014 Microsoft