Продажи: 1-800-867-1389

Об устройствах VPN для виртуальной сети

Обновлено: Апрель 2015 г.

Безопасные межсайтовые VPN-подключения могут быть использованы для создания решения в филиале или безопасного соединения между локальной и виртуальных сетями. Для межсайтового подключения требуется общедоступный IPv4-адрес, а также совместимое VPN-устройство или RRAS под управлением Windows Server 2012. Для создания межсайтового VPN-подключения, которое бы наилучшим образом отвечало вашим потребностям, следует учесть следующие факторы.

При создании межсайтовой VPN следует указать либо статический, либо динамический шлюз. Выберите тип шлюза, который поддерживается на маршрутизаторе и подходит для используемых параметров IPsec и конфигурации. В приведенных ниже таблицах указаны поддерживаемые конфигурации как для статических, так и для динамических VPN. Если планируется использовать конфигурацию "сайт-сайт" параллельно с конфигурацией "точка-сайт", то необходимо настроить шлюз VPN динамической маршрутизации.

  • VPN со статической маршрутизацией — VPN со статической маршрутизацией также именуются «VPN на основе политик». VPN на основе политик шифруют и маршрутизируют пакеты через интерфейс на основе определенных клиентом политик. Политика обычно определяется в виде списка доступа. VPN со статической маршрутизацией требуют шлюза VPN со статической маршрутизацией.
    Примечание. VPN с несколькими сайтами, подключения типа «VNet to VNet» и подключения типа «точка-сеть» не поддерживаются в шлюзах VPN со статической маршрутизацией.

  • VPN с динамической маршрутизацией — VPN с динамической маршрутизацией также называются «VPN на основе маршрутов». VPN на основе маршрутов используют интерфейс туннеля, специально созданный для пересылки пакетов. Любой пакет, поступающий на интерфейс туннеля, переправляется через соединение VPN. VPN с динамической маршрутизацией требуют шлюза VPN с динамической маршрутизацией.
    Примечание. Для VPN с несколькими сайтами, подключения типа «VNet to VNet» и подключения типа «точка-сеть» требуется шлюз VPN с динамической маршрутизацией.

В таблице ниже перечислены требования к статическим и динамическим шлюзам VPN.

 

Свойство Шлюз VPN со статической маршрутизацией Шлюз VPN с динамической маршрутизацией Шлюз высокопроизводительной VPN

Подключения «сеть-сеть» (S2S)

Настройка VPN на основе политик

Настройка VPN на основе маршрутов

Настройка VPN на основе маршрутов

Подключения «точка-сеть» (P2S)

Не поддерживается

Поддерживается (может сосуществовать с межсайтовым подключением)

Поддерживается (может сосуществовать с межсайтовым подключением)

Метод проверки подлинности

Предварительный ключ

  • Общий ключ для подключения «сеть-сеть»

  • Сертификаты для подключения типа «точка-сеть»

  • Общий ключ для подключения «сеть-сеть»

  • Сертификаты для подключения типа «точка-сеть»

Максимальное количество подключений «сеть-сеть» (S2S)

1

10

30

Максимальное количество подключений «точка-сеть» (P2S)

Не поддерживается

128

128

Активная поддержка маршрутизации (BGP)

Не поддерживается

Не поддерживается

Не поддерживается

Обратите внимание, что в оставшейся части этой страницы присутствуют те же спецификации для шлюза высокопроизводительной VPN и шлюза VPN с динамической маршрутизацией, если не указано иное. Например, проверенные устройства VPN, совместимые со шлюзами VPN с динамической маршрутизацией Azure, также будут совместимы с новым шлюзом высокопроизводительной VPN Azure.

Мы утвердили набор стандартных VPN-устройств типа «сеть-сеть» (S2S) в условиях партнерства поставщиков устройств. Список VPN-устройств, заведомо совместимых с виртуальными сетями, см. ниже в разделе Известные совместимые устройства VPN. Все устройства в семействах устройств в этом списке должны работать с виртуальной сетью. Чтобы легче настроить устройство VPN, используйте шаблон конфигурации, который соответствует соответствующему семейству устройств.

Если вы не видите своего устройства в списке совместимых VPN-устройств, но хотите использовать это устройство для соединения VPN, необходимо убедиться, что оно соответствует минимальным требованиям, приведенным в таблице Требования к шлюзу. Устройства, соответствующие минимальным требованиям, также должны хорошо работать с виртуальной сетью. За дополнительной поддержкой и инструкциями по настройке обратитесь к изготовителю соответствующего устройства.

При содействии поставщиков устройств VPN мы составили список конкретных семейств устройств VPN. Ниже представлен список всех семейств устройств для работы с нашим шлюзом виртуальной сети. Все устройства из перечисленных семейств должны работать, если исключения не упомянуты. По вопросам поддержки устройства VPN обращайтесь к изготовителю своего устройства.

 

Поставщик Семейство ус��ройств Минимальная версия операционной системы Пример конфигурации статической маршрутизации Пример конфигурации динамической маршрутизации

Allied Telesis

Серии AR маршрутизаторов VPN

2.9.2

Будет указано позднее

Несовместимо

Barracuda Networks, Inc.

Брандмауэр Barracuda NG

Брандмауэр Barracuda

Брандмауэр Barracuda NG 5.4.3

Брандмауэр Barracuda 6.5

Брандмауэр Barracuda NG

Брандмауэр Barracuda

Несовместимо

Brocade

Vyatta 5400 vRouter

Virtual Router 6.6R3 GA

Инструкции по настройке

Несовместимо

Контрольная точка

Шлюз безопасности

R75,40

R75.40VS

Инструкции по настройке

Инструкции по настройке

Cisco

ASA

8,3

Шаблоны Cisco ASA

Несовместимо

Cisco

ASR

IOS 15,1 (статическая)

IOS 15,2 (динамическая)

Шаблоны Cisco ASR

Шаблоны Cisco ASR

Cisco

ISR

IOS 15.0 (статическая)

IOS 15.1 (динамическая)

Шаблоны Cisco ISR

Шаблоны Cisco ISR

Citrix

Устройство CloudBridge MPX или виртуальное устройство VPX

Отсутствует

Инструкции по интеграции

Несовместимо

Dell SonicWALL

Серии TZ

Серии NSA

Серии SuperMassive

Серии NSA E-класса

SonicOS 5.8.x, SonicOS 5.9.x, SonicOS 6.x

Инструкции по настройке

Несовместимо

F5

Серия BIG-IP

Отсутствует

Инструкции по настройке

Несовместимо

Fortinet

FortiGate

FortiOS 5.0.7

Инструкции по настройке

Инструкции по настройке

Internet Initiative Japan Inc. (IIJ)

Серия SEIL

SEIL/X   4.60

SEIL/B1  4.60

SEIL/x86 3.20

Инструкции по настройке

Несовместимо

Juniper

SRX

JunOS 10.2 (статическая)

JunOS 11.4 (динамическая)

Шаблоны Juniper SRX

Шаблоны Juniper SRX

Juniper

J-Series

JunOS 10.4r9 (статическая)

JunOS 11.4 (динамическая)

Шаблоны Juniper J-series

Шаблоны Juniper J-series

Juniper

ISG

ScreenOS 6,3 (статическая и динамическая)

Шаблоны Juniper ISG

Шаблоны Juniper ISG

Juniper

SSG

ScreenOS 6.2 (статическая и динамическая)

Шаблоны Juniper SSG

Шаблоны Juniper SSG

Microsoft

Служба маршрутизации и удаленного доступа

Windows Server 2012

Несовместимо

Шаблоны службы маршрутизации и удаленного доступа (RRAS)

Openswan

Openswan

2.6.32

(скоро ожидается)

Несовместимо

Palo Alto Networks

Все устройства под управлением PAN-OS 5.0 или более поздней версии

PAN-OS 5x или более поздней версии

Palo Alto Networks

Несовместимо

Watchguard

Все

Fireware XTM v11.x

Инструкции по настройке

Несовместимо

После загрузки предоставленного шаблона конфигурации VPN-устройства необходимо заменить некоторые значения, чтобы предоставить информацию о среде. Если шаблон VPN-устройства загружен из портала управления, некоторые строки будут уже заполнены значениями, отражающими свойства виртуальной сети. Тем не менее шаблон все еще требуется изменить, задав дополнительные значения, относящиеся к конкретной среде.

Откройте шаблон в Блокноте. Найдите и замените все строки <text> значениями, отражающими свойства вашей среды. Не забудьте включить < и >. При указании имени выбранное имя должно быть уникальным. Если какая-то команда не работает, обратитесь к документации изготовителя своего устройства.

 

Текст шаблона Изменить на

<RP_OnPremisesNetwork>

Выбранное имя для этого объекта Пример. myOnPremisesNetwork

<RP_AzureNetwork>

Выбранное имя для этого объекта Пример. myAzureNetwork

<RP_AccessList>

Выбранное имя для этого объекта Пример. myAzureAccessList

<RP_IPSecTransformSet>

Выбранное имя для этого объекта Пример. myIPSecTransformSet

<RP_IPSecCryptoMap>

Выбранное имя для этого объекта Пример. myIPSecCryptoMap

<SP_AzureNetworkIpRange>

Укажите диапазон. Пример. 192.168.0.0

<SP_AzureNetworkSubnetMask>

Укажите маску подсети. Пример. 255.255.0.0

<SP_OnPremisesNetworkIpRange>

Укажите локальный диапазон. Пример. 10.2.1.0

<SP_OnPremisesNetworkSubnetMask>

Укажите локальную маску подсети. Пример. 255.255.255.0

<SP_AzureGatewayIpAddress>

Эта информация относится к конкретной виртуальной сети и отображается на портале управления как IP-адрес шлюза.

<SP_PresharedKey>

Эта информация относится к конкретной виртуальной сети и отображается на портале управления как Управление ключами.

Настройка IKE фазы 1

Свойство Шлюз VPN со статической маршрутизацией Шлюз VPN с динамической маршрутизацией и шлюз высокопроизводительной VPN

Версия IKE

IKEv1

IKEv2

Группа Diffie-Hellman

Группа 2 (1024 бита)

Группа 2 (1024 бита)

Метод проверки подлинности

Предварительный ключ

Предварительный ключ

Алгоритмы шифрования

AES256

AES128

3DES

AES256

3DES

Алгоритмы хеширования

SHA1(SHA128)

SHA1(SHA128)

Время существования сопоставления безопасности (SA) этапа 1 (время)

28 800 секунд

28 800 секунд

Настройка IKE фазы 2

Свойство Шлюз VPN со статической маршрутизацией Шлюз VPN с динамической маршрутизацией и шлюз высокопроизводительной VPN

Версия IKE

IKEv1

IKEv2

Алгоритмы хеширования

SHA1(SHA128)

SHA1(SHA128)

Время существования сопоставления безопасности (SA) этапа 2 (время)

3600 секунд

-

Время существования сопоставления безопасности (SA) этапа 2 (пропускная способность)

102 400 000 КБ

-

Предложения шифрования IPsec SA и проверки подлинности (в порядке предпочтения)

  1. ESP-AES256

  2. ESP-AES128

  3. ESP-3DES

  4. Отсутствует

См. раздел Предложения IPsec SA шлюза с динамической маршрутизацией

Perfect Forward Secrecy (PFS)

Нет

Да (DH-группа 1)

Обнаружение неиспользуемых одноранговых узлов

Не поддерживается

Поддерживается

В таблице ниже представлены предложения шифрования IPsec SA и проверки подлинности. Предложения перечислены в порядке предпочтения для представления или принятия предложения.

 

Предложения шифрования IPsec SA и проверки подлинности Шлюз Azure в качестве инициатора Шлюз Azure в качестве ответчика

1

ESP AES_256 SHA

ESP AES_128 SHA

2

ESP AES_128 SHA

ESP 3_DES MD5

3

ESP 3_DES MD5

ESP 3_DES SHA

4

ESP 3_DES SHA

AH SHA1 с ESP AES_128 с HMAC, равным null

5

AH SHA1 с ESP AES_256 с HMAC, равным null

AH SHA1 с ESP 3_DES с HMAC, равным null

6

AH SHA1 с ESP AES_128 с HMAC, равным null

AH MD5 с ESP 3_DES с HMAC, равным null, без предлагаемого времени существования

7

AH SHA1 с ESP 3_DES с HMAC, равным null

AH SHA1 с ESP 3_DES SHA1, без времени существования

8

AH MD5 с ESP 3_DES с HMAC, равным null, без предлагаемого времени существования

AH MD5 с ESP 3_DES MD5, без времени существования

9

AH SHA1 с ESP 3_DES SHA1, без времени существования

ESP DES MD5

10

AH MD5 с ESP 3_DES MD5, без времени существования

ESP DES SHA1, без времени существования

11

ESP DES MD5

AH SHA1 с ESP DES с HMAC, равным null, без предлагаемого времени существования

12

ESP DES SHA1, без времени существования

AH MD5 с ESP DES с HMAC, равным null, без предлагаемого времени существования

13

AH SHA1 с ESP DES с HMAC, равным null, без предлагаемого времени существования

AH SHA1 с ESP DES SHA1, без времени существования

14

AH MD5 с ESP DES с HMAC, равным null, без предлагаемого времени существования

AH MD5 с ESP DES MD5, без времени существования

15

AH SHA1 с ESP DES SHA1, без времени существования

ESP SHA, без времени существования

16

AH MD5 с ESP DES MD5, без времени существования

ESP MD5, без времени существования

17

-

AH SHA, без времени существования

18

-

AH MD5, без времени существования

Обратите внимание, что можно указать шифрование IPsec ESP NULL со шлюзом VPN с динамической маршрутизацией и шлюзом высокопроизводительной VPN, предназначенным для подключений "VNet-VNet" в сетях Azure. Для подключений между локальными средами через Интернет используйте параметры по умолчанию для шлюза VPN Azure с алгоритмами шифрования и хэширования, перечисленными в таблицах выше, для защиты важных взаимодействий.

См. также

Была ли вам полезна эта информация?
(1500 символов осталось)
Спасибо за ваш отзыв
Корпорация Майкрософт проводит интернет-опрос, чтобы выяснить ваше мнение о веб-сайте MSDN. Если вы желаете принять участие в этом интернет-опросе, он будет отображен при закрытии веб-сайта MSDN.

Вы хотите принять участие?
Показ:
© 2015 Microsoft