حول متطلبات التشفير وبوابات Azure VPN
تتناول هذه المقالة كيفية تكوين بوابات Azure VPN لتلبية متطلبات التشفير لكل من أنفاق S2S VPN عبر المباني واتصالات VNet-to-VNet داخل Azure.
حول IKEv1 وIKEv2 لاتصالات Azure VPN
تقليديًا، سمحنا باتصالات IKEv1 لوحدات SKU الأساسية فقط وسمحنا باتصالات IKEv2 لجميع وحدات SKU لبوابة VPN بخلاف وحدات SKU الأساسية. تسمح وحدات SKU الأساسية باتصال واحد فقط، وإلى جانب القيود الأخرى مثل الأداء، كان العملاء الذين يستخدمون الأجهزة القديمة التي تدعم بروتوكولات IKEv1 فقط يتمتعون بتجربة محدودة. من أجل تحسين تجربة العملاء الذين يستخدمون بروتوكولات IKEv1، نسمح الآن باتصالات IKEv1 لجميع وحدات SKU لبوابة VPN، باستثناء SKU الأساسية. لمزيد من المعلومات، راجع VPN Gateway SKUs. لاحظ أن بوابات VPN التي تستخدم IKEv1 قد تواجه عمليات إعادة توصيل نفق في أثناء إعادة مفاتيح الوضع الرئيسي.
عند تطبيق اتصالات IKEv1 وIKEv2 على نفس بوابة VPN، يتم تمكين النقل بين هذين الاتصالين تلقائيا.
حول معلمات نهج IPsec وIKE لبوابات Azure VPN
يدعم معيار بروتوكول IPsec وIKE مجموعة واسعة من خوارزميات التشفير في مجموعات مختلفة. إذا لم تطلب مجموعة محددة من خوارزميات التشفير والمعلمات، فإن بوابات Azure VPN تستخدم مجموعة من المقترحات الافتراضية. تم اختيار مجموعات النهج الافتراضية لزيادة قابلية التشغيل البيني إلى أقصى حد مع مجموعة واسعة من أجهزة VPN التابعة لجهات خارجية في التكوينات الافتراضية. ونتيجة لذلك، لا يمكن للسياسات وعدد المقترحات تغطية جميع المجموعات الممكنة من خوارزميات التشفير المتاحة ونقاط القوة الرئيسية.
النهج الافتراضي
يتم سرد النهج الافتراضي الذي تم تعيينه لبوابة Azure VPN في المقالة: حول أجهزة VPN ومعلمات IPsec/IKE لاتصالات بوابة VPN من موقع إلى موقع.
متطلبات التشفير
بالنسبة للاتصالات التي تتطلب خوارزميات أو معلمات تشفير محددة، عادة بسبب متطلبات الامتثال أو الأمان، يمكنك الآن تكوين بوابات Azure VPN الخاصة بها لاستخدام نهج IPsec/IKE مخصص مع خوارزميات تشفير محددة ونقاط قوة رئيسية، بدلًا من مجموعات نهج Azure الافتراضية.
على سبيل المثال، تستخدم سياسات الوضع الرئيسي IKEv2 لبوابات Azure VPN Diffie-Hellman المجموعة 2 فقط (1024 بت)، في حين قد تحتاج إلى تحديد مجموعات أقوى لاستخدامها في IKE، مثل المجموعة 14 (2048 بت) أو المجموعة 24 (مجموعة MODP 2048 بت) أو ECP (مجموعات المنحنى الإهليلجي) 256 أو 384 بت (المجموعة 19 والمجموعة 20، على التوالي). تنطبق متطلبات مماثلة على سياسات الوضع السريع IPsec أيضًا.
سياسة IPsec/IKE المخصصة مع بوابات Azure VPN
تدعم بوابات Azure VPN الآن سياسة IPsec/IKE المخصصة لكل اتصال. بالنسبة للاتصال من موقع إلى موقع أو VNet-to-VNet، يمكنك اختيار مجموعة محددة من خوارزميات التشفير لـIPsec وIKE بقوة المفتاح المطلوبة، كما هو موضح في المثال التالي:
يمكنك إنشاء نهج IPsec/IKE وتطبيقه على اتصال جديد أو موجود.
سير العمل
- أنشئ الشبكات الظاهرية أو بوابات VPN أو بوابات الشبكة المحلية لطوبولوجيا الاتصال كما هو موضح في مستندات إرشادية أخرى.
- إنشاء نهج IPsec/IKE.
- يمكنك تطبيق النهج عند إنشاء اتصال S2S أو VNet-to-VNet.
- إذا كان الاتصال قد تم إنشاؤه بالفعل، فيمكنك تطبيق النهج أو تحديثه على اتصال موجود.
الأسئلة المتداولة حول سياسة IPsec/IKE
هل سياسة IPsec/IKE المخصصة مدعومة على جميع وحدات SKU الخاصة ببوابة Azure VPN؟
يتم دعم نهج IPsec/IKE المخصص على جميع وحدات SKU الخاصة ب Azure باستثناء وحدة SKU الأساسية.
كم عدد النهج التي يمكنني تحديدها على الاتصال؟
يمكنك فقط تحديد مجموعة نهج واحدة لاتصال معين.
هل يمكنني تحديد سياسة جزئية بشأن اتصال؟ (على سبيل المثال، خوارزميات IKE فقط، ولكن ليس IPsec)
لا، يجب عليك تحديد جميع الخوارزميات والمعلمات لكل من IKE (الوضع الرئيسي) وIPsec (الوضع السريع). المواصفات الجزئية للنهج غير مسموح بها.
ما هي الخوارزميات ونقاط القوة الرئيسية المدعومة في النهج المخصص؟
يسرد الجدول التالي خوارزميات التشفير المدعومة ونقاط القوة الرئيسية التي يمكنك تكوينها. يجب عليك تحديد خيار واحد لكل حقل.
| IPsec/IKEv2 | الخيارات |
|---|---|
| تشفير IKEv2 | GCMAES256، GCMAES128، AES256، AES192، AES128 |
| تكامل البيانات IKEv2 | SHA384, SHA256, لوغاريتم التجزئة الآمن 1, MD5 |
| مجموعة DH | DHGroup24, ECP384, ECP256, DHGroup14, DHGroup2048, DHGroup2, DHGroup1, None |
| تشفير IPsec | GCMAES256, GCMAES192, GCMAES128, AES256, AES192, AES128, DES3, DES، لا شيء |
| تكامل بيانات IPsec | GCMAES256، GCMAES192، GCMAES128، SHA256، SHA1، MD5 |
| مجموعة PFS | PFS24, ECP384, ECP256, PFS2048, PFS2, PFS1، لا شيء |
| مدة بقاء QM SA | (اختياري: يتم استخدام القيم الافتراضية إذا لم يتم تحديدها) ثواني (عدد صحيح؛ دقيقة 300/الافتراضي 27000 ثانية) KBytes (عدد صحيح؛ دقيقة 1024/الافتراضي 102400000 كيلوبايت) |
| محدد نسبة استخدام الشبكة | UsePolicyBasedTrafficSelectors** ($True/$False؛ اختياري، الافتراضي $False إذا لم يتم تحديده) |
| مهلة DPD | ثواني (عدد صحيح: 9 دقائق/الحد الأقصى 3600؛ الافتراضي 45 ثانية) |
يجب أن يتطابق تكوين جهاز VPN المحلي مع الخوارزميات والمعلمات التالية التي تحددها في نهج Azure IPsec/IKE أو يحتوي عليها:
- خوارزمية تشفير IKE (الوضع الرئيسي / المرحلة 1)
- خوارزمية تكامل بيانات IKE (الوضع الرئيسي / المرحلة 1)
- مجموعة DH (الوضع الرئيسي / المرحلة 1)
- خوارزمية تشفير IPsec (الوضع السريع / المرحلة 2)
- خوارزمية تكامل بيانات IPsec (الوضع السريع / المرحلة 2)
- مجموعة PFS (الوضع السريع / المرحلة 2)
- محدد نسبة استخدام الشبكة (إذا تم استخدام UsePolicyBasedTrafficSelectors)
- مدة بقاء SA هي مواصفات محلية فقط، ولا تحتاج إلى المطابقة.
إذا تم استخدام GCMAES كما هو الحال بالنسبة لخوارزمية تشفير IPsec، يجب عليك تحديد خوارزمية GCMAES نفسها وطول المفتاح لتكامل بيانات IPsec؛ على سبيل المثال، باستخدام GCMAES128 لكليهما.
في جدول الخوارزميات والمفاتيح :
- يتوافق IKE مع الوضع الرئيسي أو المرحلة 1.
- يتوافق IPsec مع الوضع السريع أو المرحلة 2.
- تحدد مجموعة DH مجموعة Diffie-Hellman المستخدمة في الوضع الرئيسي أو المرحلة 1.
- حددت مجموعة PFS مجموعة Diffie-Hellman المستخدمة في الوضع السريع أو المرحلة 2.
تم إصلاح عمر IKE Main Mode SA في 28800 ثانية على بوابات Azure VPN.
"UsePolicyBasedTrafficSelectors" هي معلمة اختيارية على الاتصال. إذا حددت UsePolicyBasedTrafficSelectors على $True، فسيقوم بتكوين بوابة Azure VPN للاتصال بجدار حماية VPN المستند إلى السياسة في مكان العمل. إذا قمت بتمكين UsePolicyBasedTrafficSelectors، فستحتاج إلى التأكد من أن جهاز VPN الخاص بك يحتوي على محددات نسبة استخدام الشبكة المطابقة المحددة مع جميع مجموعات بادئات الشبكة المحلية (بوابة الشبكة المحلية) إلى/من بادئات الشبكة الظاهرية Azure، بدلًا من أي بادئة إلى أي منها. تقبل بوابة Azure VPN أي محدد نسبة استخدام الشبكة يتم اقتراحه بواسطة بوابة VPN البعيدة بغض النظر عما تم تكوينه على بوابة Azure VPN.
على سبيل المثال، إذا كانت بادئات الشبكة المحلية هي 10.1.0.0/16 و10.2.0.0/16، وكانت بادئات الشبكة الظاهرية هي 192.168.0.0/16 و172.16.0.0/16، فستحتاج إلى تحديد محددات نسبة استخدام الشبكة التالية:
- 10.1.0.0/16 <====> 192.168.0.0/16
- 10.1.0.0/16 <====> 172.16.0.0/16
- 10.2.0.0/16 <====> 192.168.0.0/16
- 10.2.0.0/16 <====> 172.16.0.0/16
لمزيد من المعلومات حول محددات نسبة استخدام الشبكة المستندة إلى السياسة، راجع الاتصال بالعديد من أجهزة VPN المحلية المستندة إلى النهج.
مهلة DPD - القيمة الافتراضية هي 45 ثانية على بوابات Azure VPN. سيؤدي تعيين المهلة إلى فترات أقصر إلى إعادة تشغيل IKE بقوة أكبر، ما يؤدي إلى ظهور الاتصال غير متصل في بعض الحالات. قد لا يكون هذا مرغوباً فيه إذا كانت مواقعك المحلية بعيدة عن منطقة Azure حيث توجد بوابة VPN، أو إذا كانت حالة الارتباط الفعلي قد تتكبد فقدان الحزمة. التوصية العامة هي تعيين المهلة بين 30 إلى 45 ثانية.
لمزيد من المعلومات، راجع اتصال العديد من أجهزة VPN المحلية المستندة إلى النهج.
ما هي مجموعات Diffie-Hellman المدعومة؟
يسرد الجدول التالي مجموعات Diffie-Hellman المقابلة المدعومة بالسياسة المخصصة:
| مجموعة ديفي هيلمان | DHGroup | PFSGroup | طول المفتاح |
|---|---|---|---|
| 1 | DHGroup1 | PFS1 | MODP 768 بت |
| 2 | DHGroup2 | PFS2 | MODP 1024 بت |
| 14 | DHGroup14 DHGroup2048 |
PFS2048 | 2048-bit MODP |
| 19 | ECP256 | ECP256 | ECP 256 بت |
| 20 | ECP384 | ECP384 | ECP 384 بت |
| 24 | DHGroup24 | PFS24 | 2048-bit MODP |
راجع RFC3526 وRFC5114 لمزيد من التفاصيل.
هل يحل النهج المخصص محل مجموعات نهج IPsec/IKE الافتراضية لبوابات Azure VPN؟
نعم، بمجرد تحديد نهج مخصص على اتصال، ستستخدم بوابة Azure VPN السياسة الخاصة بالاتصال فقط، سواء كبادئ IKE أو مستجيب IKE.
إذا قمت بإزالة سياسة IPsec/IKE مخصصة، فهل يصبح الاتصال غير محمي؟
لا، سيظل الاتصال محميا بواسطة IPsec/IKE. بمجرد إزالة السياسة المخصصة من اتصال، تعود بوابة Azure VPN مرة أخرى إلى القائمة الافتراضية لمقترحات IPsec/ IKE وتعيد تشغيل تاكيد اتصال IKE مرة أخرى باستخدام جهاز VPN المحلي.
هل تؤدي إضافة أو تحديث سياسة IPsec/IKE إلى تعطيل اتصال VPN الخاص بي؟
نعم، يمكن أن يسبب اضطرابًا صغيرًا (بضع ثوان) حيث تقوم بوابة Azure VPN بتمزيق الاتصال الحالي وإعادة تشغيل تأكيد اتصال IKE لإعادة إنشاء نفق IPsec باستخدام خوارزميات ومعلمات التشفير الجديدة. تأكد من تكوين جهاز VPN المحلي الخاص بك أيضًا باستخدام خوارزميات المطابقة ونقاط القوة الرئيسية لتقليل الاضطراب.
هل يمكنني استخدام نهج مختلفة على اتصالات مختلفة؟
نعم. يتم تطبيق النهج المخصص على أساس كل اتصال. يمكنك إنشاء نهج IPsec/IKE مختلفة وتطبيقها على اتصالات مختلفة. يمكنك أيضًا اختيار تطبيق نهج مخصصة على مجموعة فرعية من الاتصالات. تستخدم المجموعات المتبقية مجموعات نهج IPsec/IKE الافتراضية من Azure.
هل يمكنني استخدام النهج المخصص على اتصال VNet-to-VNet أيضا؟
نعم، يمكنك تطبيق نهج مخصص على كل من اتصالات IPsec عبر المباني أو اتصالات VNet-to-VNet.
هل أحتاج إلى تحديد نفس النهج على كل من موارد اتصال VNet-to-VNet؟
نعم. يتكون نفق VNet-to-VNet من موردي اتصال في Azure، أحدهما لكل اتجاه. تأكد من أن كلا موردي الاتصال لهما نفس السياسة، وإلا فلن يتم إنشاء اتصال VNet-to-VNet.
ما هي قيمة مهلة DPD الافتراضية؟ هل يمكنني تحديد مهلة DPD مختلفة؟
مهلة DPD الافتراضية هي 45 ثانية. يمكنك تحديد قيمة مهلة DPD مختلفة على كل اتصال IPsec أو VNet-to-VNet، من 9 ثوان إلى 3600 ثانية.
إشعار
القيمة الافتراضية هي 45 ثانية على بوابات Azure VPN. سيؤدي تعيين المهلة إلى فترات أقصر إلى إعادة تشغيل IKE بقوة أكبر، ما يؤدي إلى ظهور الاتصال غير متصل في بعض الحالات. قد لا يكون هذا مرغوبا فيه إذا كانت مواقعك المحلية أبعد عن منطقة Azure حيث توجد بوابة VPN، أو عندما قد يتسبب شرط الارتباط الفعلي في فقدان الحزمة. التوصية العامة هي تعيين المهلة بين 30 و 45 ثانية.
هل يعمل نهج IPsec/IKE المخصص على اتصال ExpressRoute؟
لا. يعمل نهج IPsec/IKE فقط على اتصالات S2S VPN وVNet-to-VNet عبر بوابات Azure VPN.
كيف أعمل إنشاء اتصالات مع نوع بروتوكول IKEv1 أو IKEv2؟
يمكن إنشاء اتصالات IKEv1 على جميع وحدات SKU من نوع VPN المستندة إلى المسار، باستثناء وحدات SKU الأساسية ووحدة SKU القياسية ووحدات SKU القديمة الأخرى. يمكنك تحديد نوع بروتوكول اتصال من IKEv1 أو IKEv2 في أثناء إنشاء اتصالات. إذا لم تحدد نوع بروتوكول الاتصال، فسيتم استخدام مفتاح الإنترنت التبادلي (IKE) الإصدار 2 كخيار افتراضي حيثما ينطبق ذلك. لمزيد من المعلومات، انظر وثائق PowerShell cmdlet. للحصول على أنواع وحدات SKU ودعم IKEv1/IKEv2، راجع الاتصال بوابات لأجهزة VPN المستندة إلى السياسة.
هل العبور بين اتصالات مفتاح الإنترنت التبادلي (IKE) الإصدار 1 ومفتاح الإنترنت التبادلي (IKE) الإصدار 2 مسموح به؟
نعم. يتم دعم النقل بين اتصالات IKEv1 وIKEv2.
هل يمكنني الحصول على اتصالات IKEv1 من موقع إلى موقع على وحدات SKU الأساسية من نوع VPN القائم على المسار؟
لا. لا تدعم وحدة حفظ المخزون (SKU) الأساسية هذا.
هل يمكنني تغيير نوع بروتوكول الاتصال بعد إنشاء الاتصال (IKEv1 إلى IKEv2 والعكس صحيح)؟
لا. بمجرد إنشاء الاتصال، لا يمكن تغيير بروتوكولات مفتاح الإنترنت التبادلي (IKE) الإصدار 1 / مفتاح الإنترنت التبادلي (IKE) الإصدار 2. يجب حذف وإعادة إنشاء اتصال جديد بنوع البروتوكول المطلوب.
لماذا تتم إعادة توصيل IKEv1 بشكل متكرر؟
إذا كان التوجيه الثابت أو اتصال IKEv1 المستند إلى المسار ينقطع اتصاله على فترات روتينية، فمن المحتمل أن يكون ذلك بسبب عدم دعم بوابات VPN لعمليات إعادة إدخال المفاتيح الموضعية. عند إعادة تشغيل الوضع الرئيسي، فسيتم فصل أنفاق IKEv1 وتستغرق ما يصل إلى 5 ثوانٍ لإعادة الاتصال. تحدد قيمة انتهاء مهلة التفاوض في الوضع الرئيسي تكرار عمليات إعادة المفاتيح. لمنع عمليات إعادة الاتصال هذه، يمكنك التبديل إلى استخدام IKEv2، الذي يدعم عمليات إعادة المفاتيح الموضعية.
إذا كان اتصالك يعيد الاتصال في أوقات عشوائية، فاتبع دليل استكشاف الأخطاء وإصلاحها.
أين يمكنني العثور على معلومات التكوين والخطوات؟
راجع المقالات التالية لمزيد من المعلومات وخطوات التكوين.
- تكوين نهج IPsec/IKE لاتصالات S2S أو VNet-to-VNet - مدخل Microsoft Azure
- تكوين نهج IPsec/IKE لاتصالات S2S أو VNet-to-VNet - Azure PowerShell
الخطوات التالية
راجع تكوين نهج IPsec/IKE للحصول على إرشادات خطوة بخطوة حول تكوين نهج IPsec/IKE مخصص على اتصال.
راجع أيضًا الاتصال أجهزة VPN متعددة تستند إلى السياسة لمعرفة المزيد حول خيار UsePolicyBasedTrafficSelectors.