导出 (0) 打印
全部展开

关于用于虚拟网络的 VPN 设备

更新时间: 2014年6月

在创建分支机构解决方案时,或者每当你想要在本地网络与虚拟网络之间建立安全连接时,可以使用安全的站点到站点 VPN 连接。站点到站点连接要求使用面向公众的 IPv4 IP 地址,以及一台兼容的 VPN 设备或者 Windows Server 2012 上运行的 RRAS。若要创建最符合需要的站点到站点 VPN 连接,你需要考虑以下因素:

在创建站点到站点 VPN 时,可以指定静态动态网关。选择路由器支持的网关类型、IPSec 参数类型及所需配置。下表显示了静态和动态 VPN 都支持的配置。如果你计划同时使用站点到站点配置和点到站点配置,则需要配置动态路由 VPN 网关。

  • 静态路由 VPN - 静态路由 VPN 也称为基于策略的 VPN。基于策略的 VPN 基于客户定义的策略来对通过接口的数据包进行加密和路由。该策略通常以访问列表的形式定义。静态路由 VPN 需要静态路由 VPN 网关。

  • 动态路由 VPN – 动态路由 VPN 也称为基于路由的 VPN。基于路由的 VPN 依赖于专为转发数据包创建的隧道接口。到达隧道接口的任何数据包都将通过 VPN 连接转发。动态路由 VPN 需要动态路由 VPN 网关。

下表列出了静态和动态 VPN 网关的要求。

 

属性 静态路由 VPN 网关 动态路由 VPN 网关

站点到站点连接 (S2S)

基于策略的 VPN 配置

基于路由的 VPN 配置

点到站点连接 (P2S)

不支持

支持(可与站点到站点连接共存)

身份验证方法

预共享密钥

  • 用于站点到站点连接的预共享密钥

  • 用于点到站点连接的证书

站点到站点 (S2S) 最大连接数

1

1

点到站点 (P2S) 最大连接数

不支持

128

活动路由支持 (BGP)

不支持

不支持

我们在与设备供应商合作的过程中验证了一系列的标准站点到站点 (S2S) VPN 设备。有关已知与虚拟网络兼容的 VPN 设备的列表,请参阅下面的已知的兼容 VPN 设备。此列表中包含的设备系列中的所有设备都应适用于虚拟网络。要获取配置 VPN 设备的帮助,请参考对应于各设备系列的设备配置模板。

如果已知兼容 VPN 设备列表中未列出你的设备,但你想要使用该设备建立 VPN 连接,那么,你需要确认该设备是否符合网关要求表中列出的最低要求。满足最低要求的设备也应该能顺利用于虚拟网络。请联系你的设备制造商了解更多支持和配置说明。

我们已与 VPN 设备供应商合作共同验证了特定 VPN 设备系列是否适用。以下一节提供了已知可与我们的虚拟网络网关一同使用的所有设备系列。除非另外特别说明不适用,否则所列设备系列中的所有设备都已知适用于虚拟网络。有关 VPN 设备支持,请联系你的设备制造商。

 

供应商 设备系列 最低操作系统版本 用于静态路由的配置模板 用于动态路由的配置模板

Allied Telesis

AR 系列 VPN 路由器

2.9.2

即将推出

不兼容

Brocade

Vyatta 5400 vRouter

Virtual Router 6.6R3 GA

配置说明

不兼容

检查点

安全网关

R75.40

R75.40VS

配置说明

配置说明

Cisco

ASA

8.3

Cisco ASA 模板

不兼容

Cisco

ASR

IOS 15.1(静态)

IOS 15.2(动态)

Cisco ASR 模板

Cisco ASR 模板

Cisco

ISR

IOS 15.0(静态)

IOS 15.1(动态)

Cisco ISR 模板

Cisco ISR 模板

Citrix

CloudBridge MPX 设备或 VPX 虚拟设备

N/A

集成说明

不兼容

Dell SonicWALL

TZ 系列

NSA 系列

SuperMassive 系列

E 类 NSA 系列

SonicOS 5.8.x

SonicOS 5.9.x

SonicOS 6.x

配置说明

配置说明

F5

BIG-IP 系列

N/A

配置说明

不兼容

Fortinet

FortiGate

FortiOS 5.0.7

配置说明

配置说明

Juniper

SRX

JunOS 10.2(静态)

JunOS 11.4(动态)

Juniper SRX 模板

Juniper SRX 模板

Juniper

J 系列

JunOS 10.4r9(静态)

JunOS 11.4(动态)

Juniper J 系列模板

Juniper J 系列模板

Juniper

ISG

ScreenOS 6.3(静态和动态)

Juniper ISG 模板

Juniper ISG 模板

Juniper

SSG

ScreenOS 6.2(静态和动态)

Juniper SSG 模板

Juniper SSG 模板

Microsoft

路由和远程访问服务

Windows Server 2012

不兼容

路由和远程访问服务 (RRAS) 模板

Openswan

Openswan

2.6.32

(即将推出)

不兼容

Watchguard

全部

Fireware XTM v11.x

配置说明

不兼容

在下载提供的 VPN 设备配置模板后,你需要替换一些值来反映你环境的设置。如果你从管理门户下载了你的 VPN 设备模板,将注意到一些字符串已使用与你的虚拟网络有关的值预填充。但是,你仍必须更新模板以反映特定于你的环境的其他值。

使用记事本打开模板。搜索所有 <text> 字符串并将其替换为与你的环境相关的值。请确保包含 <>。指定名称时,你选择的名称应是唯一的。如果命令无效,请查看你的设备制造商文档。

 

模板文本 更改为

<RP_OnPremisesNetwork>

你为此对象选择的名称。示例:myOnPremisesNetwork

<RP_AzureNetwork>

你为此对象选择的名称。示例:myAzureNetwork

<RP_AccessList>

你为此对象选择的名称。示例:myAzureAccessList

<RP_IPSecTransformSet>

你为此对象选择的名称。示例:myIPSecTransformSet

<RP_IPSecCryptoMap>

你为此对象选择的名称。示例:myIPSecCryptoMap

<SP_AzureNetworkIpRange>

指定范围。示例:192.168.0.0

<SP_AzureNetworkSubnetMask>

指定子网掩码。示例:255.255.0.0

<SP_OnPremisesNetworkIpRange>

指定本地范围。示例:10.2.1.0

<SP_OnPremisesNetworkSubnetMask>

指定本地子网掩码。示例:255.255.255.0

<SP_AzureGatewayIpAddress>

此信息对于你的虚拟网络是特定的,位于管理门户的“网关 IP 地址”中。

<SP_PresharedKey>

此信息对于你的虚拟网络是特定的,位于管理门户的“管理密钥”中。

IKE 阶段 1 设置

属性 静态路由 VPN 网关 动态路由 VPN 网关

IKE 版本

IKEv1

IKEv2

Diffie-Hellman 组

组 2(1024 位)

组 2(1024 位)

身份验证方法

预共享密钥

预共享密钥

加密算法

AES256

AES128

3DES

AES256

3DES

哈希算法

SHA1(SHA128)

SHA1(SHA128)

阶段 1 安全关联 (SA) 生命周期(时间)

28,800 秒

28,800 秒

IKE 阶段 2 设置

属性 静态路由 VPN 网关 动态路由 VPN 网关

IKE 版本

IKEv1

IKEv2

哈希算法

SHA1(SHA128)

SHA1(SHA128)

阶段 2 安全关联 (SA) 生命周期(时间)

3,600 秒

-

阶段 2 安全关联 (SA) 生命周期(时间)

102,400,000 KB

-

IPsec SA 加密和身份验证产品(按偏好顺序列出)

  1. ESP-AES256

  2. ESP-AES128

  3. ESP-3DES

  4. N/A

请参阅动态路由网关 IPsec 安全关联 (SA) 产品

完全向前保密 (PFS)

对等体存活检测

不支持

支持

下表列出 IPsec SA 加密和身份验证产品。这些产品按提供或接受产品的偏好顺序列出。

 

IPsec SA 加密和身份验证产品 Azure 网关作为发起方 Azure 网关作为响应方

1

ESP AES_256 SHA

ESP AES_128 SHA

2

ESP AES_128 SHA

ESP 3_DES MD5

3

ESP 3_DES MD5

ESP 3_DES SHA

4

ESP 3_DES SHA

AH SHA1(具有含 null HMAC 的 ESP AES_128)

5

AH SHA1(具有含 null HMAC 的 ESP AES_256)

AH SHA1(具有含 null HMAC 的 ESP 3_DES)

6

AH SHA1(具有含 null HMAC 的 ESP AES_128)

AH MD5(具有含 null HMAC 的 ESP 3_DES),不建议生命周期

7

AH SHA1(具有含 null HMAC 的 ESP 3_DES)

AH SHA1(具有 ESP 3_DES SHA1),无生命周期

8

AH MD5(具有含 null HMAC 的 ESP 3_DES),不建议生命周期

AH MD5(具有 ESP 3_DES MD5),无生命周期

9

AH SHA1(具有 ESP 3_DES SHA1),无生命周期

ESP DES MD5

10

AH MD5(具有 ESP 3_DES MD5),无生命周期

ESP DES SHA1,无生命周期

11

ESP DES MD5

AH SHA1(具有 ESP DES null HMAC),不建议生命周期

12

ESP DES SHA1,无生命周期

AH MD5(具有 ESP DES null HMAC),不建议生命周期

13

AH SHA1(具有 ESP DES null HMAC),不建议生命周期

AH SHA1(具有 ESP DES SHA1),无生命周期

14

AH MD5(具有 ESP DES null HMAC),不建议生命周期

AH MD5(具有 ESP DES MD5),无生命周期

15

AH SHA1(具有 ESP DES SHA1),无生命周期

ESP SHA,无生命周期

16

AH MD5(具有 ESP DES MD5),无生命周期

ESP MD5,无生命周期

17

-

AH SHA,无生命周期

18

-

AH MD5,无生命周期

另请参阅

显示:
© 2014 Microsoft