このページは役に立ちましたか。
このページのコンテンツについての ご意見をお待ちしております
その他にご意見はありますか。
残り 1500 文字
エクスポート (0) 印刷
すべて展開

仮想ネットワークの接続に使用する VPN デバイスとゲートウェイについて

更新日: 2015年6月

セキュリティで保護されたサイト間 VPN 接続は、ブランチ オフィス ソリューションを作成する場合や、オンプレミス型ネットワークと仮想ネットワークの間にセキュリティで保護された接続が必要な場合に使用できます。サイト間接続には、公開 IPv4 IP アドレス、互換性のある VPN デバイス、または Windows Server 2012 で稼働する RRAS が必要です。ニーズに最適な VPN 接続を作成するには、次の要因を考慮する必要があります。

VPN ゲートウェイの SKU には、Basic、Standard、Performance の 3 つがあります。次の表に、ゲートウェイの種類とスループットを示します。価格の詳細については、「VPN Gateway 料金」を参照してください。

 

SKU VPN Gateway/ExpressRoute の共存 ExpressRoute ゲートウェイのスループット VPN ゲートウェイのスループット VPN ゲートウェイの IPsec トンネルの最大数

基本

いいえ

500 Mbps

100 Mbps

10

Standard

はい

1000 Mbps

100 Mbps

10

パフォーマンス

はい

2000 Mbps

200 Mbps

30

サイト間 VPN を作成するときに、静的ゲートウェイか動的ゲートウェイのいずれかを指定する必要があります。ルーターによってサポートされ、必要な IPSec パラメーターや構成に適した種類のゲートウェイを選択します。次の表に、静的および動的 VPN のサポートされる構成を示します。ポイント対サイトの構成と同時にサイト間の構成を使用することを計画している場合は、動的ルーティング VPN ゲートウェイを構成する必要があります。

  • 静的ルーティング VPN - 静的ルーティング VPN は、ポリシー ベースの VPN とも呼ばれます。ポリシー ベースの VPN では、お客様が定義したポリシーに基づくインターフェイスを使用して、パケットの暗号化とルーティングを実行します。通常、ポリシーはアクセス リストとして定義されます。静的ルーティング VPN には、静的ルーティング VPN ゲートウェイが必要となります。
    注 - マルチサイト VPNVNet 間、およびポイント対サイトは、静的ルーティング VPN ゲートウェイではサポートされません。

  • 動的ルーティング VPN - 動的ルーティング VPN は、ルート ベースの VPN とも呼ばれます。ルート ベースの VPN は、パケットを転送するために特別に作成されたトンネル インターフェイスによって異なります。トンネル インターフェイスに到達したパケットは、VPN 接続を使用して転送されます。動的ルーティング VPN には、動的ルーティング VPN ゲートウェイが必要となります。
    注 - マルチサイト VPNVNet 間、およびポイント対サイトには、動的ルーティング VPN ゲートウェイが必要です。

次の表に、静的および動的 VPN ゲートウェイの要件の一覧を示します。

 

プロパティ 静的ルーティング VPN ゲートウェイ 動的ルーティング VPN ゲートウェイ 高パフォーマンスの VPN ゲートウェイ

サイト間接続 (S2S)

ポリシー ベースの VPN 構成

ルート ベースの VPN 構成

ルート ベースの VPN 構成

ポイント対サイト接続 (P2S)

サポートされていません

サポートされています (サイト間接続と共存可能)

サポートされています (サイト間接続と共存可能)

認証方法

事前共有キー

  • サイト間接続用の事前共有キー

  • ポイント対サイト接続用の証明書

  • サイト間接続用の事前共有キー

  • ポイント対サイト接続用の証明書

サイト間 (S2S) 接続の最大数

1

10

30

ポイント対サイト (P2S) 接続の最大数

サポートされていません

128

128

アクティブなルーティングのサポート (BGP)

サポートされていません

サポートされていません

サポートされていません

この��ージの残りの部分では、特に注意書きがない限り、高パフォーマンス VPN ゲートウェイと動的ルーティング VPN ゲートウェイの仕様は同じです。たとえば、Azure 動的ルーティング VPN ゲートウェイとの互換性が検証済みの VPN デバイスは、新しい Azure 高パフォーマンス VPN ゲートウェイとも互換性があります。

デバイスのベンダーと連携して、標準的なサイト間 (S2S) VPN デバイスのセットを検証しました。仮想ネットワークとの互換性が確認されている VPN デバイスの一覧については、下の「互換性のある既知の VPN デバイス」を参照してください。一覧に示されているデバイス ファミリ内のすべてのデバイスは、仮想ネットワークで動作します。VPN デバイスの構成をサポートするために、適切なデバイス ファミリに対応するデバイスの構成テンプレートを参照してください。

使用しているデバイスが互換性のある既知の VPN デバイスの一覧に含まれておらず、そのデバイスを VPN 接続で使用する場合は、そのデバイスが「ゲートウェイの要件」の表で説明している最小要件を満たしていることを確認する必要があります。最小要件を満たしているデバイスは、仮想ネットワークで適切に動作します。追加のサポートと構成手順については、デバイスの製造元にお問い合わせください。

VPN デバイスのベンダーと連携して、特定の VPN デバイス ファミリを評価しました。ここでは、仮想ネットワーク ゲートウェイで動作するすべてのデバイス ファミリの一覧を示します。ここに示されているデバイス ファミリに含まれるすべてのデバイスは、例外が記載されていない限り動作します。VPN デバイスのサポートについては、デバイスの製造元にお問い合わせください。

 

ベンダー デバイス ファミリ OS の最小バージョン 静的ルーティング構成の例 動的ルーティング構成の例

Allied Telesis

AR シリーズ VPN ルーター

2.9.2

近日公開予定

互換性なし

Barracuda Networks, Inc.

Barracuda NG Firewall

Barracuda Firewall

Barracuda NG Firewall 5.4.3

Barracuda Firewall 6.5

Barracuda NG Firewall

Barracuda Firewall

互換性なし

Brocade

Vyatta 5400 vRouter

仮想ルーター 6.6R3 GA

構成手順

互換性なし

チェックポイント

セキュリティ ゲートウェイ

R75.40

R75.40VS

構成手順

構成手順

Cisco

ASA

8.3

Cisco ASA 用テンプレート

互換性なし

Cisco

ASR

IOS 15.1 (静的)

IOS 15.2 (動的)

Cisco ASR 用テンプレート

Cisco ASR 用テンプレート

Cisco

ISR

IOS 15.0 (静的)

IOS 15.1 (動的)

Cisco ISR 用テンプレート

Cisco ISR 用テンプレート

Citrix

CloudBridge MPX アプライアンスまたは VPX 仮想アプライアンス

該当なし

統合手順

互換性なし

Dell SonicWALL

TZ シリーズ

NSA シリーズ

SuperMassive シリーズ

E-Class NSA シリーズ

SonicOS 5.8.x、SonicOS 5.9.x、SonicOS 6.x

構成手順

互換性なし

F5

BIG-IP シリーズ

該当なし

構成手順

互換性なし

Fortinet

FortiGate

FortiOS 5.0.7

構成手順

構成手順

Internet Initiative Japan (IIJ)

SEIL シリーズ

SEIL/X  4.60

SEIL/B1  4.60

SEIL/x86 3.20

構成手順

互換性なし

Juniper

SRX

JunOS 10.2 (静的)

JunOS 11.4 (動的)

Juniper SRX 用テンプレート

Juniper SRX 用テンプレート

Juniper

J-Series

JunOS 10.4r9 (静的)

JunOS 11.4 (動的)

Juniper J シリーズ用テンプレート

Juniper J シリーズ用テンプレート

Juniper

ISG

ScreenOS 6.3 (静的および動的)

Juniper ISG 用テンプレート

Juniper ISG 用テンプレート

Juniper

SSG

ScreenOS 6.2 (静的および動的)

Juniper SSG 用テンプレート

Juniper SSG 用テンプレート

Microsoft

ルーティングとリモート アクセス サービス

Windows Server 2012

互換性なし

ルーティングとリモート アクセス サービス (RRAS) 用テンプレート

Openswan

Openswan

2.6.32

(近日公開予定)

互換性なし

Palo Alto Networks

PAN-OS 5.0 以降を実行するすべてのデバイス

PAN-OS 5x 以降

Palo Alto Networks

互換性なし

Watchguard

すべて

Fireware XTM v11.x

構成手順

互換性なし

提���されている VPN デバイス構成テンプレートをダウンロードした後は、使用している環境に対する設定を反映するために、いくつかの値を置き換える必要があります。VPN デバイス テンプレートを管理ポータルからダウンロードした場合は、いくつかの文字列に対して、仮想ネットワークに対応する値が既に設定されています。ただし、使用している環境に固有の追加の値を反映するために、テンプレートをさらに更新する必要があります。

テンプレートをメモ帳で開きます。すべての <text> 文字列を検索し、環境に対応した値に置換します。< および > を必ず含めてください。名前を指定する場合は、一意の名前を選択する必要があります。コマンドが正しく動作しない場合は、デバイスの製造元から提供されるドキュメントを参照してください。

 

テンプレート テキスト 変更後の値

<RP_OnPremisesNetwork>

このオブジェクトに対して選択した名前。例:myOnPremisesNetwork

<RP_AzureNetwork>

このオブジェクトに対して選択した名前。例:myAzureNetwork

<RP_AccessList>

このオブジェクトに対して選択した名前。例:myAzureAccessList

<RP_IPSecTransformSet>

このオブジェクトに対して選択した名前。例:myIPSecTransformSet

<RP_IPSecCryptoMap>

このオブジェクトに対して選択した名前。例:myIPSecCryptoMap

<SP_AzureNetworkIpRange>

範囲を指定します。例:192.168.0.0

<SP_AzureNetworkSubnetMask>

サブネット マスクを指定します。例:255.255.0.0

<SP_OnPremisesNetworkIpRange>

内部設置型の範囲を指定します。例:10.2.1.0

<SP_OnPremisesNetworkSubnetMask>

内部設置型のサブネット マスクを指定します。例:255.255.255.0

<SP_AzureGatewayIpAddress>

この情報は仮想ネットワークに固有のものであり、管理ポータルの [ゲートウェイ IP アドレス] に設定されています。

<SP_PresharedKey>

この情報は仮想ネットワークに固有のものであり、管理ポータルの [キーの管理] に設定されています。

IKE フェーズ 1 セットアップ

プロパティ 静的ルーティング VPN ゲートウェイ 動的ルーティング VPN ゲートウェイと高パフォーマンス VPN ゲートウェイ

IKE のバージョン

IKEv1

IKEv2

Diffie-Hellman グループ

グループ 2 (1024 ビット)

グループ 2 (1024 ビット)

[認証方法]

事前共有キー

事前共有キー

暗号化アルゴリズム

AES256

AES128

3DES

AES256

3DES

ハッシュ アルゴリズム

SHA1 (SHA128)

SHA1 (SHA128)

フェーズ 1 のセキュリティ アソシエーション (SA) の有効期間 (時間)

28,800 秒

28,800 秒

IKE フェーズ 2 セットアップ

プロパティ 静的ルーティング VPN ゲートウェイ 動的ルーティング VPN ゲートウェイと高パフォーマンス VPN ゲートウェイ

IKE のバージョン

IKEv1

IKEv2

ハッシュ アルゴリズム

SHA1 (SHA128)

SHA1 (SHA128)

フェーズ 2 のセキュリティ アソシエーション (SA) の有効期間 (時間)

3,600 秒

-

フェーズ 2 のセキュリティ アソシエーション (SA) の有効期間 (スループット)

102,400,000 KB

-

IPsec SA 暗号化および認証プラン (優先度順)

  1. ESP-AES256

  2. ESP-AES128

  3. ESP-3DES

  4. 該当なし

動的ルーティング ゲートウェイの IPsec セキュリティ アソシエーション (SA) プラン」を参照してください。

PFS (Perfect Forward Secrecy)

いいえ

はい (DH Group1)

停止しているピアの検出

サポートされていません

サポートされています

次の表に、IPsec SA 暗号化および認証プランの一覧を示します。プランが提示または受け入れられる優先度の順に示しています。

 

IPsec SA 暗号化および認証プラン 発信側としての Azure ゲートウェイ 応答側としての Azure ゲートウェイ

1

ESP AES_256 SHA

ESP AES_128 SHA

2

ESP AES_128 SHA

ESP 3_DES MD5

3

ESP 3_DES MD5

ESP 3_DES SHA

4

ESP 3_DES SHA

AH SHA1 と ESP AES_128 および null HMAC

5

AH SHA1 と ESP AES_256 および null HMAC

AH SHA1 と ESP 3_DES および null HMAC

6

AH SHA1 と ESP AES_128 および null HMAC

AH MD5 と ESP 3_DES および null HMAC、有効期間の提示なし

7

AH SHA1 と ESP 3_DES および null HMAC

AH SHA1 と ESP 3_DES SHA1、有効期間なし

8

AH MD5 と ESP 3_DES および null HMAC、有効期間の提示なし

AH MD5 と ESP 3_DES MD5、有効期間なし

9

AH SHA1 と ESP 3_DES SHA1、有効期間なし

ESP DES MD5

10

AH MD5 と ESP 3_DES MD5、有効期間なし

ESP DES SHA1、有効期間なし

11

ESP DES MD5

AH SHA1 と ESP DES および null HMAC、有効期間の提示なし

12

ESP DES SHA1、有効期間なし

AH MD5 と ESP DES および null HMAC、有効期間の提示なし

13

AH SHA1 と ESP DES および null HMAC、有効期間の提示なし

AH SHA1 と ESP DES SHA1、有効期間なし

14

AH MD5 と ESP DES および null HMAC、有効期間の提示なし

AH MD5 と ESP DES MD5、有効期間なし

15

AH SHA1 と ESP DES SHA1、有効期間なし

ESP SHA、有効期間なし

16

AH MD5 と ESP DES MD5、有効期間なし

ESP MD5、有効期間なし

17

-

AH SHA、有効期間なし

18

-

AH MD5、有効期間なし

動的ルーティングおよび高パフォーマンス VPN ゲートウェイでは、Azure ネットワーク内の VNet 間接続のために、IPsec ESP NULL 暗号化を指定できることに注意してください。インターネット経由のクロスプレミス接続の場合、前の表の既定の Azure VPN ゲートウェイの設定と暗号化およびハッシュ アルゴリズムを使用して、重要な通信のセキュリティを確保してください。

関連項目

表示:
© 2015 Microsoft