حول متطلبات التشفير وبوابات Azure VPN
تتناول هذه المقالة كيفية تكوين بوابات Azure VPN لتلبية متطلبات التشفير لكل من أنفاق S2S VPN عبر المباني واتصالات VNet-to-VNet داخل Azure.
حول IKEv1 وIKEv2 لاتصالات Azure VPN
تقليديًا، سمحنا باتصالات IKEv1 لوحدات SKU الأساسية فقط وسمحنا باتصالات IKEv2 لجميع وحدات SKU لبوابة VPN بخلاف وحدات SKU الأساسية. تسمح وحدات SKU الأساسية باتصال واحد فقط، وإلى جانب القيود الأخرى مثل الأداء، كان العملاء الذين يستخدمون الأجهزة القديمة التي تدعم بروتوكولات IKEv1 فقط يتمتعون بتجربة محدودة. من أجل تحسين تجربة العملاء الذين يستخدمون بروتوكولات IKEv1، نسمح الآن باتصالات IKEv1 لجميع وحدات SKU لبوابة VPN، باستثناء SKU الأساسية. لمزيد من المعلومات، راجع VPN Gateway SKUs. لاحظ أن بوابات VPN التي تستخدم IKEv1 قد تواجه عمليات إعادة توصيل نفق في أثناء إعادة مفاتيح الوضع الرئيسي.
عند تطبيق اتصالات IKEv1 وIKEv2 على نفس بوابة VPN، يتم تمكين العبور بين هذين الاتصالين تلقائيًا.
حول معلمات نهج IPsec وIKE لبوابات Azure VPN
يدعم معيار بروتوكول IPsec وIKE مجموعة واسعة من خوارزميات التشفير في مجموعات مختلفة. إذا لم تطلب مجموعة محددة من خوارزميات التشفير والمعلمات، فستستخدم بوابات Azure VPN مجموعة من المقترحات الافتراضية. تم اختيار مجموعات النهج الافتراضية لزيادة قابلية التشغيل البيني إلى أقصى حد مع مجموعة واسعة من أجهزة VPN التابعة لجهات خارجية في التكوينات الافتراضية. ونتيجة لذلك، لا يمكن للسياسات وعدد المقترحات أن تغطي جميع المجموعات الممكنة من خوارزميات التشفير المتاحة ونقاط القوة الرئيسية.
النهج الافتراضي
يتم سرد النهج الافتراضي الذي تم تعيينه لبوابة Azure VPN في المقالة: حول أجهزة VPN ومعلمات IPsec/IKE لاتصالات بوابة VPN من موقع إلى موقع.
متطلبات التشفير
بالنسبة للاتصالات التي تتطلب خوارزميات أو معلمات تشفير محددة، عادة بسبب متطلبات الامتثال أو الأمان، يمكنك الآن تكوين بوابات Azure VPN الخاصة بها لاستخدام نهج IPsec/IKE مخصص مع خوارزميات تشفير محددة ونقاط قوة رئيسية، بدلًا من مجموعات نهج Azure الافتراضية.
على سبيل المثال، تستخدم سياسات الوضع الرئيسي IKEv2 لبوابات Azure VPN Diffie-Hellman المجموعة 2 فقط (1024 بت)، في حين قد تحتاج إلى تحديد مجموعات أقوى لاستخدامها في IKE، مثل المجموعة 14 (2048 بت) أو المجموعة 24 (مجموعة MODP 2048 بت) أو ECP (مجموعات المنحنى الإهليلجي) 256 أو 384 بت (المجموعة 19 والمجموعة 20، على التوالي). تنطبق متطلبات مماثلة على سياسات الوضع السريع IPsec أيضًا.
سياسة IPsec/IKE المخصصة مع بوابات Azure VPN
تدعم بوابات Azure VPN الآن سياسة IPsec/IKE المخصصة لكل اتصال. بالنسبة للاتصال من موقع إلى موقع أو VNet-to-VNet، يمكنك اختيار مجموعة محددة من خوارزميات التشفير لـIPsec وIKE بقوة المفتاح المطلوبة، كما هو موضح في المثال التالي:
يمكنك إنشاء نهج IPsec/IKE وتطبيقه على اتصال جديد أو موجود.
سير العمل
- إنشاء الشبكات الافتراضية أو بوابات VPN أو بوابات الشبكة المحلية لطبولوجيا الاتصال الخاصة بك كما هو موضح في المستندات الإرشادية الأخرى
- إنشاء نهج IPsec/IKE
- يمكنك تطبيق النهج عند إنشاء اتصال S2S أو VNet-to-VNet
- إذا كان الاتصال قد تم إنشاؤه بالفعل، فيمكنك تطبيق النهج أو تحديثه على اتصال موجود
الأسئلة المتداولة حول سياسة IPsec/IKE
هل سياسة IPsec/IKE المخصصة مدعومة على جميع وحدات SKU الخاصة ببوابة Azure VPN؟
يتم دعم نهج IPsec/IKE المخصص على جميع وحدات SKU الخاصة بـAzure باستثناء وحدة SKU الأساسية.
كم عدد السياسات التي يمكنني تحديدها على الاتصال؟
يمكنك فقط تحديد مجموعة نهج واحدة لاتصال معين.
هل يمكنني تحديد سياسة جزئية بشأن اتصال؟ (على سبيل المثال، خوارزميات IKE فقط، ولكن ليس IPsec)
لا، يجب عليك تحديد جميع الخوارزميات والمعلمات لكل من IKE (الوضع الرئيسي) وIPsec (الوضع السريع). مواصفات السياسة الجزئية غير مسموح بها.
ما هي الخوارزميات ونقاط القوة الرئيسية المدعومة في السياسة المخصصة؟
يسرد الجدول التالي خوارزميات التشفير المدعومة ونقاط القوة الرئيسية القابلة للتكوين من قبل العملاء. يجب عليك تحديد خيار واحد لكل حقل.
| IPsec/IKEv2 | الخيارات |
|---|---|
| تشفير IKEv2 | AES256، AES192، AES128، DES3، DES |
| تكامل بيانات IKEv2 | SHA384, SHA256, SHA1, MD5 |
| مجموعة DH | DHGroup24, ECP384, ECP256, DHGroup14 (DHGroup2048), DHGroup2, DHGroup1, None |
| تشفير IPsec | GCMAES256, GCMAES192, GCMAES128, AES256, AES192, AES128, DES3, DES, None |
| تكامل بيانات IPsec | GCMAES256, GCMAES192, GCMAES128, SHA256, SHA1, MD5 |
| مجموعة PFS | PFS24, ECP384, ECP256, PFS2048, PFS2, PFS1, None |
| مدة بقاء QM SA | ثواني (عدد صحيح; الحد الأدنى 300/الافتراضي 27000 ثانية) KBytes (عدد صحيح; الحد الأدنى 1024/الافتراضي 102400000 كيلوبايت) |
| محدد نسبة استخدام الشبكة | UsePolicyBasedTrafficSelectors ($True/$False; default $False) |
هام
- DHGroup2048 & PFS2048 هي نفسها مجموعة Diffie-Hellman 14 في IKE وIPsec PFS. راجع مجموعات Diffie-Hellman للحصول على التخطيط الكامل.
- بالنسبة لخوارزميات GCMAES، يجب عليك تحديد نفس خوارزمية GCMAES وطول المفتاح لكل من تشفير IPsec وسلامته.
- تم إصلاح عمر IKEv2 Main Mode SA في 28800 ثانية على بوابات Azure VPN.
- مدد بقاء QM SA هي معلمات اختيارية. إذا لم يتم تحديد أي منها، استخدام القيم الافتراضية البالغة 27000 ثانية (7.5 ساعة) و102400000 كيلوبايت (102 جيجابايت).
- UsePolicyBasedTrafficSelector هو معلمة خيار على الاتصال. راجع عنصر الأسئلة المتداولة التالي للحصول على "UsePolicyBasedTrafficSelectors".
هل يجب أن يتطابق كل شيء بين سياسة بوابة Azure VPN وتكوينات جهاز VPN المحلي؟
يجب أن يتطابق تكوين جهاز VPN المحلي مع الخوارزميات والمعلمات التالية التي تحددها في نهج Azure IPsec/IKE أو يحتوي عليها:
- خوارزمية التشفير IKE
- خوارزمية تكامل البيانات IKE
- مجموعة DH
- خوارزمية التشفير IPsec
- خوارزمية تكامل البيانات IPsec
- مجموعة PFS
- محدد نسبة استخدام الشبكة (*)
مدة بقاء SA هي مواصفات محلية فقط، ولا تحتاج إلى مطابقتها.
إذا قمت بتمكين UsePolicyBasedTrafficSelectors، فستحتاج إلى التأكد من أن جهاز VPN الخاص بك يحتوي على محددات نسبة استخدام الشبكة المطابقة المحددة مع جميع مجموعات بادئات الشبكة المحلية (بوابة الشبكة المحلية) من/إلى بادئات الشبكة الظاهرية Azure، بدلًا من أي بادئة إلى أي منها. على سبيل المثال، إذا كانت بادئات الشبكة المحلية هي 10.1.0.0/16 و10.2.0.0/16، وكانت بادئات الشبكة الظاهرية هي 192.168.0.0/16 و172.16.0.0/16، فستحتاج إلى تحديد محددات نسبة استخدام الشبكة التالية:
- 10.1.0.0/16 <====> 192.168.0.0/16
- 10.1.0.0/16 <====> 172.16.0.0/16
- 10.2.0.0/16 <====> 192.168.0.0/16
- 10.2.0.0/16 <====> 172.16.0.0/16
لمزيد من المعلومات، راجع اتصال العديد من أجهزة VPN المحلية المستندة إلى النهج.
ما هي مجموعات Diffie-Hellman المدعومة؟
يسرد الجدول أدناه مجموعات Diffie-Hellman المدعومة لـIKE (DHGroup) وIPsec (PFSGroup):
| مجموعة Diffie-Hellman | DHGroup | PFSGroup | طول المفتاح |
|---|---|---|---|
| 1 | DHGroup1 | PFS1 | 768-bit MODP |
| 2 | DHGroup2 | PFS2 | 1024-bit MODP |
| 14 | DHGroup14 DHGroup2048 |
PFS2048 | 2048-bit MODP |
| 19 | ECP256 | ECP256 | 256-bit ECP |
| 20 | ECP384 | ECP384 | 384-bit ECP |
| 24 | DHGroup24 | PFS24 | 2048-bit MODP |
لمزيد من المعلومات، راجع RFC3526 وRFC5114.
هل يحل النهج المخصص محل مجموعات نهج IPsec/IKE الافتراضية لبوابات Azure VPN؟
نعم، بمجرد تحديد نهج مخصص على اتصال، ستستخدم بوابة Azure VPN السياسة الخاصة بالاتصال فقط، سواء كبادئ IKE أو مستجيب IKE.
إذا قمت بإزالة سياسة IPsec/IKE مخصصة، فهل يصبح الاتصال غير محمي؟
لا، سيظل الاتصال محميًا بواسطة IPsec/IKE. بمجرد إزالة السياسة المخصصة من اتصال، تعود بوابة Azure VPN مرة أخرى إلى القائمة الافتراضية لمقترحات IPsec/ IKE وتعيد تشغيل تاكيد اتصال IKE مرة أخرى باستخدام جهاز VPN المحلي.
هل تؤدي إضافة أو تحديث سياسة IPsec/IKE إلى تعطيل اتصال VPN الخاص بي؟
نعم، يمكن أن يسبب اضطرابًا صغيرًا (بضع ثوان) حيث تقوم بوابة Azure VPN بتمزيق الاتصال الحالي وإعادة تشغيل مصافحة IKE لإعادة إنشاء نفق IPsec باستخدام خوارزميات ومعلمات التشفير الجديدة. تأكد من تكوين جهاز VPN المحلي الخاص بك أيضًا باستخدام خوارزميات المطابقة ونقاط القوة الرئيسية لتقليل التوزيع.
هل يمكنني استخدام سياسات مختلفة على اتصالات مختلفة؟
نعم. يتم تطبيق النهج المخصص على أساس كل اتصال. يمكنك إنشاء سياسات IPsec/IKE مختلفة وتطبيقها على اتصالات مختلفة. يمكنك أيضًا اختيار تطبيق سياسات مخصصة على مجموعة فرعية من الاتصالات. تستخدم المجموعات المتبقية مجموعات نهج IPsec/IKE الافتراضية من Azure.
هل يمكنني استخدام السياسة المخصصة على اتصال VNet-to-VNet أيضًا؟
نعم، يمكنك تطبيق نهج مخصص على كل من اتصالات IPsec عبر المباني أو اتصالات VNet-to-VNet.
هل أحتاج إلى تحديد نفس السياسة على كل من موارد اتصال VNet-to-VNet؟
نعم. يتكون نفق VNet-to-VNet من موردي اتصال في Azure، أحدهما لكل اتجاه. تأكد من أن كلا موردي الاتصال لهما نفس السياسة، وإلا فلن يتم إنشاء اتصال VNet-to-VNet.
ما هي قيمة مهلة DPD الافتراضية؟ هل يمكنني تحديد مهلة DPD مختلفة؟
مهلة DPD الافتراضية هي 45 ثانية. يمكنك تحديد قيمة مهلة DPD مختلفة على كل اتصال IPsec أو VNet-to-VNet بين 9 ثوانٍ إلى 3600 ثانية.
هل تعمل سياسة IPsec/IKE المخصصة على اتصال ExpressRoute؟
كلا. تعمل سياسة IPsec/IKE فقط على اتصالات S2S VPN وVNet-to-VNet عبر بوابات Azure VPN.
كيف أعمل إنشاء اتصالات مع نوع بروتوكول IKEv1 أو IKEv2؟
يمكن إنشاء اتصالات IKEv1 على جميع وحدات SKU من نوع VPN المستندة إلى المسار، باستثناء وحدات SKU الأساسية ووحدة SKU القياسية ووحدات SKU القديمة الأخرى. يمكنك تحديد نوع بروتوكول اتصال من IKEv1 أو IKEv2 في أثناء إنشاء اتصالات. إذا لم تحدد نوع بروتوكول اتصال، استخدام IKEv2 كخيار افتراضي حيثما ينطبق ذلك. لمزيد من المعلومات، انظر وثائق PowerShell cmdlet. للحصول على أنواع وحدات SKU ودعم IKEv1/IKEv2، راجع الاتصال بوابات لأجهزة VPN المستندة إلى السياسة.
هل يسمح بالعبور بين اتصالات IKEv1 وIKEv2؟
نعم. يتم دعم النقل بين اتصالات IKEv1 وIKEv2.
هل يمكنني الحصول على اتصالات IKEv1 من موقع إلى موقع على وحدات SKU الأساسية من نوع VPN القائم على المسار؟
كلا. لا تدعم SKU الأساسية هذا.
هل يمكنني تغيير نوع بروتوكول الاتصال بعد إنشاء الاتصال (IKEv1 إلى IKEv2 والعكس صحيح)؟
كلا. بمجرد إنشاء الاتصال، لا يمكن تغيير بروتوكولات IKEv1/IKEv2. يجب حذف وإعادة إنشاء اتصال جديد بنوع البروتوكول المطلوب.
لماذا تتم إعادة توصيل IKEv1 بشكل متكرر؟
إذا كان التوجيه الثابت أو اتصال IKEv1 المستند إلى المسار ينقطع اتصاله على فترات روتينية، فمن المحتمل أن يكون ذلك بسبب عدم دعم بوابات VPN لعمليات إعادة المفاتيح الموضعية. عند إعادة تشغيل الوضع الرئيسي، سيتم فصل أنفاق IKEv1 وتستغرق ما يصل إلى 5 ثوانٍ لإعادة الاتصال. ستحدد قيمة مهلة التفاوض في الوضع الرئيسي تكرار عمليات إعادة المفاتيح. لمنع عمليات إعادة الاتصال هذه، يمكنك التبديل إلى استخدام IKEv2، الذي يدعم عمليات إعادة المفاتيح الموضعية.
إذا كان اتصالك يعيد الاتصال في أوقات عشوائية، فاتبع دليل استكشاف الأخطاء وإصلاحها.
أين يمكنني العثور على مزيد من معلومات التكوين لـIPsec؟
راجع تكوين نهج IPsec/IKE لاتصالات S2S أو VNet-to-VNet.
الخطوات التالية
راجع تكوين نهج IPsec/IKE للحصول على إرشادات خطوة بخطوة حول تكوين نهج IPsec/IKE مخصص على اتصال.
راجع أيضًا الاتصال أجهزة VPN متعددة تستند إلى السياسة لمعرفة المزيد حول خيار UsePolicyBasedTrafficSelectors.