Informacje na temat urządzeń sieci VPN i parametrów protokołu IPsec/IKE dla połączeń bramy VPN typu lokacja-lokacjaAbout VPN devices and IPsec/IKE parameters for Site-to-Site VPN Gateway connections

Urządzenie sieci VPN jest niezbędne do skonfigurowania połączenia sieci VPN typu lokacja-lokacja obejmującego wiele lokalizacji (S2S) przy użyciu bramy sieci VPN.A VPN device is required to configure a Site-to-Site (S2S) cross-premises VPN connection using a VPN gateway. Połączeń typu lokacja-lokacja można używać do tworzenia rozwiązań hybrydowych oraz bezpiecznych połączeń między sieciami lokalnymi i wirtualnymi.Site-to-Site connections can be used to create a hybrid solution, or whenever you want secure connections between your on-premises networks and your virtual networks. Ten artykuł zawiera listę zweryfikowanych urządzeń sieci VPN oraz listę parametrów protokołu IPsec/IKE dla bram sieci VPN.This article provides a list of validated VPN devices and a list of IPsec/IKE parameters for VPN gateways.

Ważne

Jeśli występują problemy z połączeniem między lokalnymi urządzeniami sieci VPN i bramami sieci VPN, zapoznaj się z sekcją Znane problemy dotyczące zgodności urządzeń.If you are experiencing connectivity issues between your on-premises VPN devices and VPN gateways, refer to Known device compatibility issues.

Kwestie, które należy wziąć pod uwagę podczas przeglądania tabeli:Items to note when viewing the tables:

  • Nastąpiła zmiana terminologii w zakresie bram Azure VPN Gateway.There has been a terminology change for Azure VPN gateways. Zmianie uległy tylko nazwy.Only the names have changed. Nie nastąpiła żadna zmiana funkcjonalności.There is no functionality change.
    • Routing statyczny = PolicyBasedStatic Routing = PolicyBased
    • Routing dynamiczny = RouteBasedDynamic Routing = RouteBased
  • Specyfikacje dotyczące bramy VPN typu HighPerformance i bramy VPN typu RouteBased są takie same, o ile nie określono inaczej.Specifications for HighPerformance VPN gateway and RouteBased VPN gateway are the same, unless otherwise noted. Na przykład zweryfikowane urządzenia sieci VPN, które są zgodne z bramami sieci VPN typu RouteBased, są również zgodne z bramą sieci VPN typu HighPerformance.For example, the validated VPN devices that are compatible with RouteBased VPN gateways are also compatible with the HighPerformance VPN gateway.

Zweryfikowane urządzenia sieci VPN i przewodniki konfiguracji urządzeniaValidated VPN devices and device configuration guides

We współpracy z dostawcami urządzeń zweryfikowaliśmy szereg standardowych urządzeń sieci VPN.In partnership with device vendors, we have validated a set of standard VPN devices. Wszystkie urządzenia z rodzin znajdujących się na poniższej liście powinny współpracować z bramami sieci VPN.All of the devices in the device families in the following list should work with VPN gateways. Zobacz Informacje na temat ustawień usługi VPN Gateway, aby poznać zasady użycia typu sieci VPN (PolicyBased lub RouteBased) dla rozwiązania usługi VPN Gateway, które chcesz skonfigurować.See About VPN Gateway Settings to understand the VPN type use (PolicyBased or RouteBased) for the VPN Gateway solution you want to configure.

Aby skonfigurować urządzenie sieci VPN, zapoznaj się z linkami odpowiadającymi odpowiedniej rodzinie urządzeń.To help configure your VPN device, refer to the links that correspond to the appropriate device family. Linki do instrukcji konfiguracji zostały podane na zasadzie największej staranności.The links to configuration instructions are provided on a best-effort basis. W celu uzyskania pomocy technicznej w zakresie urządzenia sieci VPN należy skontaktować się z jego producentem.For VPN device support, contact your device manufacturer.

DostawcaVendor Rodzina urządzeńDevice family Minimalna wersja systemu operacyjnegoMinimum OS version Instrukcje dotyczące konfiguracji typu PolicyBasedPolicyBased configuration instructions Instrukcje dotyczące konfiguracji typu RouteBasedRouteBased configuration instructions
A10 Networks, Inc.A10 Networks, Inc. Thunder CFWThunder CFW ACOS 4.1.1ACOS 4.1.1 NiezgodneNot compatible Przewodnik konfiguracjiConfiguration guide
Allied TelesisAllied Telesis Routery sieci VPN z serii ARAR Series VPN Routers AR-Series 5.4.7 +AR-Series 5.4.7+ Przewodnik konfiguracjiConfiguration guide Przewodnik konfiguracjiConfiguration guide
AristaArista Router CloudEOSCloudEOS Router vEOS 4.24.0 FXvEOS 4.24.0FX (nie przetestowano)(not tested) Przewodnik konfiguracjiConfiguration guide
Barracuda Networks, Inc.Barracuda Networks, Inc. Barracuda CloudGen FirewallBarracuda CloudGen Firewall PolicyBased: 5.4.3PolicyBased: 5.4.3
RouteBased: 6.2.0RouteBased: 6.2.0
Przewodnik konfiguracjiConfiguration guide Przewodnik konfiguracjiConfiguration guide
Check PointCheck Point Security GatewaySecurity Gateway 80.10 rR80.10 Przewodnik konfiguracjiConfiguration guide Przewodnik konfiguracjiConfiguration guide
CiscoCisco ASAASA 8.38.3
8.4+ (IKEv2*)8.4+ (IKEv2*)
ObsługiwaneSupported Przewodnik konfiguracji *Configuration guide*
CiscoCisco ASRASR PolicyBased: IOS 15.1PolicyBased: IOS 15.1
RouteBased: IOS 15.2RouteBased: IOS 15.2
ObsługiwaneSupported ObsługiwaneSupported
CiscoCisco PRZEDSTAWICIELCSR RouteBased: IOS-XE 16,10RouteBased: IOS-XE 16.10 (nie przetestowano)(not tested) Skrypt konfiguracjiConfiguration script
CiscoCisco ISRISR PolicyBased: IOS 15.0PolicyBased: IOS 15.0
RouteBased*: IOS 15.1RouteBased*: IOS 15.1
ObsługiwaneSupported ObsługiwaneSupported
CiscoCisco Meraki (MX)Meraki (MX) MX v 15.12MX v15.12 NiezgodneNot compatible Przewodnik konfiguracjiConfiguration guide
CiscoCisco vEdge (Viptela system operacyjny)vEdge (Viptela OS) 18.4.0 (Tryb aktywny/pasywny)18.4.0 (Active/Passive Mode)

19,2 (Tryb aktywny/aktywny)19.2 (Active/Active Mode)
NiezgodneNot compatible Konfiguracja ręczna (aktywna/pasywna)Manual configuration (Active/Passive)

Konfiguracja onrampy chmury (aktywna/aktywna)Cloud Onramp configuration (Active/Active)
CitrixCitrix NetScaler MPX, SDX, VPXNetScaler MPX, SDX, VPX 10.1 lub nowsze10.1 and above Przewodnik konfiguracjiConfiguration guide NiezgodneNot compatible
F5F5 Seria BIG-IPBIG-IP series 12.012.0 Przewodnik konfiguracjiConfiguration guide Przewodnik konfiguracjiConfiguration guide
FortinetFortinet FortiGateFortiGate FortiOS 5.6FortiOS 5.6 (nie przetestowano)(not tested) Przewodnik konfiguracjiConfiguration guide
Sieci HillstoneHillstone Networks Zapory w następnej generacji (zapory następnej generacji)Next-Gen Firewalls (NGFW) 5,5 R75.5R7 (nie przetestowano)(not tested) Przewodnik konfiguracjiConfiguration guide
Internet Initiative Japan (IIJ)Internet Initiative Japan (IIJ) Seria SEILSEIL Series SEIL/X 4.60SEIL/X 4.60
SEIL/B1 4.60SEIL/B1 4.60
SEIL/x86 3.20SEIL/x86 3.20
Przewodnik konfiguracjiConfiguration guide NiezgodneNot compatible
JuniperJuniper SRXSRX PolicyBased: JunOS 10.2PolicyBased: JunOS 10.2
Routebased: JunOS 11.4Routebased: JunOS 11.4
ObsługiwaneSupported Skrypt konfiguracjiConfiguration script
JuniperJuniper Seria JJ-Series PolicyBased: JunOS 10.4r9PolicyBased: JunOS 10.4r9
RouteBased: JunOS 11.4RouteBased: JunOS 11.4
ObsługiwaneSupported Skrypt konfiguracjiConfiguration script
JuniperJuniper ISGISG ScreenOS 6.3ScreenOS 6.3 ObsługiwaneSupported Skrypt konfiguracjiConfiguration script
JuniperJuniper SSGSSG ScreenOS 6.2ScreenOS 6.2 ObsługiwaneSupported Skrypt konfiguracjiConfiguration script
JuniperJuniper MXMX JunOS 12. xJunOS 12.x ObsługiwaneSupported Skrypt konfiguracjiConfiguration script
MicrosoftMicrosoft Routing and Remote Access ServiceRouting and Remote Access Service Windows Server 2012Windows Server 2012 NiezgodneNot compatible ObsługiwaneSupported
Open Systems AGOpen Systems AG Mission Control Security GatewayMission Control Security Gateway BrakN/A Przewodnik konfiguracjiConfiguration guide NiezgodneNot compatible
Palo Alto NetworksPalo Alto Networks Wszystkie urządzenia z systemem PAN-OSAll devices running PAN-OS PAN-OSPAN-OS
PolicyBased: wersja 6.1.5 lub nowszaPolicyBased: 6.1.5 or later
RouteBased: 7.1.4RouteBased: 7.1.4
ObsługiwaneSupported Przewodnik konfiguracjiConfiguration guide
Sentrium (deweloper)Sentrium (Developer) VyOSVyOS VyOS 1.2.2VyOS 1.2.2 (nie przetestowano)(not tested) Przewodnik konfiguracji Configuration guide
ShareTechShareTech UTM następnej generacji (seria NU)Next Generation UTM (NU series) 9.0.1.39.0.1.3 NiezgodneNot compatible Przewodnik konfiguracjiConfiguration guide
SonicWallSonicWall Seria TZ, seria NSATZ Series, NSA Series
Seria SuperMassiveSuperMassive Series
Seria E-Class NSAE-Class NSA Series
SonicOS 5.8.xSonicOS 5.8.x
SonicOS 5.9.xSonicOS 5.9.x
SonicOS 6.xSonicOS 6.x
NiezgodneNot compatible Przewodnik konfiguracjiConfiguration guide
SophosSophos XG Next Gen FirewallXG Next Gen Firewall XG v17XG v17 (nie przetestowano)(not tested) Przewodnik konfiguracjiConfiguration guide

Przewodnik konfiguracji — wiele sygnatur dostępu współdzielonegoConfiguration guide - Multiple SAs
SynologySynology MR2200acMR2200ac
RT2600acRT2600ac
RT1900acRT1900ac
SRM 1.1.5/VpnPlusServer-1.2.0SRM1.1.5/VpnPlusServer-1.2.0 (nie przetestowano)(not tested) Przewodnik konfiguracjiConfiguration guide
UbiquitiUbiquiti EdgeRouterEdgeRouter EdgeOS vEdgeOS v1.10 (nie przetestowano)(not tested) BGP przez protokół IKEv2/IPsecBGP over IKEv2/IPsec

VTI za pośrednictwem protokołu IKEv2/IPsecVTI over IKEv2/IPsec
UltraUltra 3E — 636L33E-636L3 Kompilacja 5.2.0. T3 — 135.2.0.T3 Build-13 (nie przetestowano)(not tested) Przewodnik konfiguracjiConfiguration guide
WatchGuardWatchGuard WszystkoAll Fireware XTMFireware XTM
PolicyBased: v11.11.xPolicyBased: v11.11.x
RouteBased: v11.12.xRouteBased: v11.12.x
Przewodnik konfiguracjiConfiguration guide Przewodnik konfiguracjiConfiguration guide
ZyxelZyxel Seria USG ZyWALLZyWALL USG series
Seria ATP ZyWALLZyWALL ATP series
Seria sieci VPN ZyWALLZyWALL VPN series
ZLD v 4.32 +ZLD v4.32+ (nie przetestowano)(not tested) VTI za pośrednictwem protokołu IKEv2/IPsecVTI over IKEv2/IPsec

BGP przez protokół IKEv2/IPsecBGP over IKEv2/IPsec

Uwaga

(*) Produkt Cisco ASA w wersji 8.4 i nowszych ma obsługę protokołu IKEv2 i może łączyć się z bramą Azure VPN Gateway za pomocą zasad IPsec/IKE z opcją „UsePolicyBasedTrafficSelectors”.(*) Cisco ASA versions 8.4+ add IKEv2 support, can connect to Azure VPN gateway using custom IPsec/IKE policy with "UsePolicyBasedTrafficSelectors" option. Zapoznaj się z tym artykułem z instrukcjami.Refer to this how-to article.

(**) Routery z serii ISR 7200 obsługują tylko sieci VPN oparte na zasadach.(**) ISR 7200 Series routers only support PolicyBased VPNs.

Pobieranie skryptów konfiguracji urządzenia sieci VPN z platformy AzureDownload VPN device configuration scripts from Azure

W przypadku niektórych urządzeń można pobrać skrypty konfiguracyjne bezpośrednio z platformy Azure.For certain devices, you can download configuration scripts directly from Azure. Aby uzyskać więcej informacji i uzyskać instrukcje, zobacz pobieranie skryptów konfiguracji urządzenia sieci VPN.For more information and download instructions, see Download VPN device configuration scripts.

Urządzenia z dostępnymi skryptami konfiguracjiDevices with available configuration scripts

DostawcaVendor Rodzina urządzeńDevice family Wersja oprogramowania układowegoFirmware version
CiscoCisco ISRISR IOS 15,1 (wersja zapoznawcza)IOS 15.1 (Preview)
CiscoCisco ASAASA ASA (*) RouteBased (IKEv2-No BGP) dla ASA poniżej 9,8ASA ( * ) RouteBased (IKEv2- No BGP) for ASA below 9.8
CiscoCisco ASAASA ASA RouteBased (IKEv2-No BGP) dla ASA 9.8 +ASA RouteBased (IKEv2 - No BGP) for ASA 9.8+
JuniperJuniper SRX_GASRX_GA 12. x12.x
JuniperJuniper SSG_GASSG_GA ScreenOS 6.2. xScreenOS 6.2.x
JuniperJuniper JSeries_GAJSeries_GA JunOS 12. xJunOS 12.x
JuniperJuniper SRXSRX JunOS 12. x RouteBased BGPJunOS 12.x RouteBased BGP
UbiquitiUbiquiti EdgeRouterEdgeRouter EdgeOS v 1.10 x RouteBased VTIEdgeOS v1.10x RouteBased VTI
UbiquitiUbiquiti EdgeRouterEdgeRouter EdgeOS v 1.10 x RouteBased BGPEdgeOS v1.10x RouteBased BGP

Uwaga

( * ) Wymagane: NarrowAzureTrafficSelectors (Enable UsePolicyBasedTrafficSelectors Option) i CustomAzurePolicies (IKE/IPsec)( * ) Required: NarrowAzureTrafficSelectors (enable UsePolicyBasedTrafficSelectors option) and CustomAzurePolicies (IKE/IPsec)

Niezweryfikowane urządzenia sieci VPNNon-validated VPN devices

Jeśli urządzenie nie zostało ujęte w tabeli zweryfikowanych urządzeń sieci VPN, być może będzie działało w ramach połączenia typu lokacja-lokacja.If you don’t see your device listed in the Validated VPN devices table, your device still may work with a Site-to-Site connection. Dodatkową pomoc oraz instrukcje dotyczące konfiguracji można uzyskać, kontaktując się z producentem urządzenia.Contact your device manufacturer for additional support and configuration instructions.

Edytowanie przykładów konfiguracji urządzeniaEditing device configuration samples

Po pobraniu dostarczonej przykładowej konfiguracji urządzenia sieci VPN należy zastąpić niektóre z wartości w celu odzwierciedlenia ustawień własnego środowiska.After you download the provided VPN device configuration sample, you’ll need to replace some of the values to reflect the settings for your environment.

Aby edytować przykładową konfigurację:To edit a sample:

  1. Otwórz przykładową konfigurację za pomocą Notatnika.Open the sample using Notepad.
  2. Wyszukaj i zamień wszystkie ciągi <text> z wartościami, które odnoszą się do używanego środowiska.Search and replace all <text> strings with the values that pertain to your environment. Nie zapomnij o nawiasach < i >.Be sure to include < and >. Podczas określenia nazwy należy zwrócić uwagę na to, aby była ona unikatowa.When a name is specified, the name you select should be unique. Jeśli polecenie nie działa, zapoznaj się z dokumentacją producenta urządzenia.If a command does not work, consult your device manufacturer documentation.
Przykładowy tekstSample text Zmień naChange to
<RP_OnPremisesNetwork><RP_OnPremisesNetwork> Nazwę tego obiektu definiuje użytkownik.Your chosen name for this object. Przykład: myOnPremisesNetworkExample: myOnPremisesNetwork
<RP_AzureNetwork><RP_AzureNetwork> Nazwę tego obiektu definiuje użytkownik.Your chosen name for this object. Przykład: myAzureNetworkExample: myAzureNetwork
<RP_AccessList><RP_AccessList> Nazwę tego obiektu definiuje użytkownik.Your chosen name for this object. Przykład: myAzureAccessListExample: myAzureAccessList
<RP_IPSecTransformSet><RP_IPSecTransformSet> Nazwę tego obiektu definiuje użytkownik.Your chosen name for this object. Przykład: myIPSecTransformSetExample: myIPSecTransformSet
<RP_IPSecCryptoMap><RP_IPSecCryptoMap> Nazwę tego obiektu definiuje użytkownik.Your chosen name for this object. Przykład: myIPSecCryptoMapExample: myIPSecCryptoMap
<SP_AzureNetworkIpRange><SP_AzureNetworkIpRange> Określ zakres.Specify range. Przykład: 192.168.0.0Example: 192.168.0.0
<SP_AzureNetworkSubnetMask><SP_AzureNetworkSubnetMask> Określ maskę podsieci.Specify subnet mask. Przykład: 255.255.0.0Example: 255.255.0.0
<SP_OnPremisesNetworkIpRange><SP_OnPremisesNetworkIpRange> Określ zakres lokalny.Specify on-premises range. Przykład: 10.2.1.0Example: 10.2.1.0
<SP_OnPremisesNetworkSubnetMask><SP_OnPremisesNetworkSubnetMask> Określ lokalną maskę podsieci.Specify on-premises subnet mask. Przykład: 255.255.255.0Example: 255.255.255.0
<SP_AzureGatewayIpAddress><SP_AzureGatewayIpAddress> Te informacje dotyczące konkretnej sieci wirtualnej znajdują się w portalu zarządzania usługą, w obszarze Adres IP bramy.This information specific to your virtual network and is located in the Management Portal as Gateway IP address.
<SP_PresharedKey><SP_PresharedKey> Te informacje dotyczące konkretnej sieci wirtualnej znajdują się w portalu zarządzania usługą, w obszarze Zarządzaj kluczem.This information is specific to your virtual network and is located in the Management Portal as Manage Key.

Domyślne parametry protokołu IPsec/IKEDefault IPsec/IKE parameters

Poniższe tabele zawierają kombinacje algorytmów i parametrów, które są używane przez bramy sieci VPN platformy Azure w konfiguracji domyślnej (domyślne zasady).The tables below contain the combinations of algorithms and parameters Azure VPN gateways use in default configuration (Default policies). W przypadku bram VPN Gateway opartych na trasach, utworzonych za pomocą modelu wdrażania z użyciem zarządzania zasobami platformy Azure, można określić niestandardowe zasady dla każdego pojedynczego połączenia.For route-based VPN gateways created using the Azure Resource Management deployment model, you can specify a custom policy on each individual connection. Zapoznaj się z artykułem Configure IPsec/IKE policy (Konfigurowanie zasad IPsec/IKE) w celu uzyskania szczegółowych instrukcji.Please refer to Configure IPsec/IKE policy for detailed instructions.

Ponadto należy zakleszczać rozmiar TCP/ o 1350.Additionally, you must clamp TCP MSS at 1350. Jeśli natomiast Twoje urządzenia sieci VPN nie obsługują ograniczania wartości MSS, możesz zamiast tego ustawić wartość MTU w interfejsie tunelu na 1400.Or if your VPN devices do not support MSS clamping, you can alternatively set the MTU on the tunnel interface to 1400 bytes instead.

W poniższych tabelach:In the following tables:

  • SA — skojarzenia zabezpieczeńSA = Security Association
  • Protokół IKE — faza 1 jest również określany jako „Tryb główny”IKE Phase 1 is also called "Main Mode"
  • Protokół IKE — faza 2 jest również określany jako „Tryb szybki”IKE Phase 2 is also called "Quick Mode"

Parametry protokołu IKE — faza 1 (tryb główny)IKE Phase 1 (Main Mode) parameters

WłaściwośćProperty PolicyBasedPolicyBased RouteBasedRouteBased
Wersja IKEIKE Version IKEv1IKEv1 Protokoły IKEv1 i IKEv2IKEv1 and IKEv2
Grupa Diffie’ego-HellmanaDiffie-Hellman Group Grupa 2 (1024 bity)Group 2 (1024 bit) Grupa 2 (1024 bity)Group 2 (1024 bit)
Metoda uwierzytelnianiaAuthentication Method Klucz wstępnyPre-Shared Key Klucz wstępnyPre-Shared Key
Szyfrowanie i algorytmy wyznaczania wartości skrótuEncryption & Hashing Algorithms 1. AES256, SHA2561. AES256, SHA256
2. AES256, SHA12. AES256, SHA1
3. AES128, SHA13. AES128, SHA1
4. 3DES, SHA14. 3DES, SHA1
1. AES256, SHA11. AES256, SHA1
2. AES256, SHA2562. AES256, SHA256
3. AES128, SHA13. AES128, SHA1
4. AES128, SHA2564. AES128, SHA256
5. 3DES, SHA15. 3DES, SHA1
6. 3DES, SHA2566. 3DES, SHA256
Okres istnienia skojarzeń zabezpieczeńSA Lifetime 28 800 sekund28,800 seconds 28 800 sekund28,800 seconds

Parametry protokołu IKE — faza 2 (tryb szybki)IKE Phase 2 (Quick Mode) parameters

WłaściwośćProperty PolicyBasedPolicyBased RouteBasedRouteBased
Wersja IKEIKE Version IKEv1IKEv1 Protokoły IKEv1 i IKEv2IKEv1 and IKEv2
Szyfrowanie i algorytmy wyznaczania wartości skrótuEncryption & Hashing Algorithms 1. AES256, SHA2561. AES256, SHA256
2. AES256, SHA12. AES256, SHA1
3. AES128, SHA13. AES128, SHA1
4. 3DES, SHA14. 3DES, SHA1
Oferty skojarzeń zabezpieczeń trybu szybkiego RouteBasedRouteBased QM SA Offers
Okres istnienia skojarzeń zabezpieczeń (czas)SA Lifetime (Time) 3600 sekund3,600 seconds 27 000 sekund27,000 seconds
Okres istnienia skojarzeń zabezpieczeń (bajty)SA Lifetime (Bytes) 102 400 000 KB102,400,000 KB 102 400 000 KB102,400,000 KB
Doskonałe utajnienie przekazywania (PFS)Perfect Forward Secrecy (PFS) NieNo Oferty skojarzeń zabezpieczeń trybu szybkiego RouteBasedRouteBased QM SA Offers
Wykrywanie nieaktywnych elementów równorzędnych (DPD, Dead Peer Detection)Dead Peer Detection (DPD) NieobsługiwaneNot supported ObsługiwaneSupported

Oferty skojarzeń zabezpieczeń protokołu IPsec połączenia VPN typu RouteBased (skojarzenia zabezpieczeń trybu szybkiego protokołu IKE)RouteBased VPN IPsec Security Association (IKE Quick Mode SA) Offers

W poniższej tabeli znajduje się lista ofert skojarzeń zabezpieczeń protokołu IPsec (tryb szybki protokołu IKE).The following table lists IPsec SA (IKE Quick Mode) Offers. Oferty są wymienione w kolejności preferencji, w jakiej oferta jest przedstawiona lub zaakceptowana.Offers are listed the order of preference that the offer is presented or accepted.

Brama Azure jako inicjatorAzure Gateway as initiator

- SzyfrowanieEncryption AuthenticationAuthentication Grupa PFSPFS Group
11 GCM AES256GCM AES256 GCM (AES256)GCM (AES256) BrakNone
22 AES256AES256 SHA1SHA1 BrakNone
33 3DES3DES SHA1SHA1 BrakNone
44 AES256AES256 SHA256SHA256 BrakNone
55 AES128AES128 SHA1SHA1 BrakNone
66 3DES3DES SHA256SHA256 BrakNone

Brama Azure jako obiekt odpowiadającyAzure Gateway as responder

- SzyfrowanieEncryption AuthenticationAuthentication Grupa PFSPFS Group
11 GCM AES256GCM AES256 GCM (AES256)GCM (AES256) BrakNone
22 AES256AES256 SHA1SHA1 BrakNone
33 3DES3DES SHA1SHA1 BrakNone
44 AES256AES256 SHA256SHA256 BrakNone
55 AES128AES128 SHA1SHA1 BrakNone
66 3DES3DES SHA256SHA256 BrakNone
77 DESDES SHA1SHA1 BrakNone
88 AES256AES256 SHA1SHA1 11
99 AES256AES256 SHA1SHA1 22
1010 AES256AES256 SHA1SHA1 1414
1111 AES128AES128 SHA1SHA1 11
1212 AES128AES128 SHA1SHA1 22
1313 AES128AES128 SHA1SHA1 1414
1414 3DES3DES SHA1SHA1 11
1515 3DES3DES SHA1SHA1 22
1616 3DES3DES SHA256SHA256 22
1717 AES256AES256 SHA256SHA256 11
1818 AES256AES256 SHA256SHA256 22
1919 AES256AES256 SHA256SHA256 1414
2020 AES256AES256 SHA1SHA1 2424
2121 AES256AES256 SHA256SHA256 2424
2222 AES128AES128 SHA256SHA256 BrakNone
2323 AES128AES128 SHA256SHA256 11
2424 AES128AES128 SHA256SHA256 22
2525 AES128AES128 SHA256SHA256 1414
2626 3DES3DES SHA1SHA1 1414
  • Wartość NULL szyfrowania ESP protokołu IPsec możesz określić z bramami sieci VPN typu RouteBased i HighPerformance.You can specify IPsec ESP NULL encryption with RouteBased and HighPerformance VPN gateways. Szyfrowanie oparte na wartości null nie zapewnia ochrony danych w trakcie ich przesyłania i powinno być używane wyłącznie w przypadku, gdy wymagana jest maksymalna przepustowość i minimalne opóźnienia.Null based encryption does not provide protection to data in transit, and should only be used when maximum throughput and minimum latency is required. Klienci mogą skorzystać z tej możliwości w kontekście scenariuszy komunikacji między sieciami wirtualnymi lub w przypadku, gdy szyfrowanie jest stosowane w innym obszarze rozwiązania.Clients may choose to use this in VNet-to-VNet communication scenarios, or when encryption is being applied elsewhere in the solution.
  • Chcąc korzystać z łączności przez Internet obejmującej wiele lokalizacji, należy użyć ustawień domyślnych usługi Azure VPN Gateway z szyfrowaniem i algorytmami skrótu wymienionymi w tabelach powyżej w celu zapewnienia bezpieczeństwa komunikacji o krytycznym znaczeniu.For cross-premises connectivity through the Internet, use the default Azure VPN gateway settings with encryption and hashing algorithms listed in the tables above to ensure security of your critical communication.

Znane problemy ze zgodnością urządzeńKnown device compatibility issues

Ważne

Opisano tu znane problemy ze zgodnością między urządzeniami sieci VPN innych firm i bramami sieci VPN platformy Azure.These are the known compatibility issues between third-party VPN devices and Azure VPN gateways. Zespołu platformy Azure aktywnie współpracuje z dostawcami w celu rozwiązania opisanych poniżej problemów.The Azure team is actively working with the vendors to address the issues listed here. Po rozwiązaniu problemów ta strona zostanie zaktualizowana o najbardziej aktualne informacje.Once the issues are resolved, this page will be updated with the most up-to-date information. Sprawdzaj ją okresowo.Please check back periodically.

16 lutego 2017 r.Feb. 16, 2017

Urządzenia Palo Alto Networks z systemem w wersjach wcześniejszych niż 7.1.4 w przypadku sieci VPN na platformie Azure opartych na trasie: Jeśli korzystasz z urządzeń VPN firmy Palo Alto Networks z systemem PAN-OS w wersji wcześniejszej niż 7.1.4 i napotykasz problemy z połączeniem z bramami sieci VPN platformy Azure opartymi na trasie, wykonaj następujące czynności:Palo Alto Networks devices with version prior to 7.1.4 for Azure route-based VPN: If you are using VPN devices from Palo Alto Networks with PAN-OS version prior to 7.1.4 and are experiencing connectivity issues to Azure route-based VPN gateways, perform the following steps:

  1. Sprawdź wersję oprogramowania układowego urządzenia Palo Alto Networks.Check the firmware version of your Palo Alto Networks device. Jeśli system PAN-OS jest w wersji wcześniejszej niż 7.1.4, przeprowadź uaktualnienie do wersji 7.1.4.If your PAN-OS version is older than 7.1.4, upgrade to 7.1.4.
  2. Na urządzeniu Palo Alto Networks zmień okres istnienia Phase 2 SA (lub Quick Mode SA) na 28 800 sekund (8 godzin) podczas nawiązywania połączenia z bramą VPN platformy Azure.On the Palo Alto Networks device, change the Phase 2 SA (or Quick Mode SA) lifetime to 28,800 seconds (8 hours) when connecting to the Azure VPN gateway.
  3. Jeśli nadal masz problemy z łącznością, otwórz żądanie obsługi w witrynie Azure Portal.If you are still experiencing connectivity issues, open a support request from the Azure portal.