مشاركة عبر

تكوين نهج اتصال IPsec/IKE مخصصة ل S2S VPN وVNet-to-VNet: PowerShell

  • مقالة

ترشدك هذه المقالة عبر خطوات تكوين نهج IPsec/IKE مخصص لاتصالات VPN من موقع إلى موقع لبوابة VPN أو اتصالات VNet-to-VNet باستخدام PowerShell.

‏‏سير العمل‬

تساعدك الإرشادات الواردة في هذه المقالة في إعداد وتكوين نهج IPsec/IKE كما هو موضح في الرسم التخطيطي التالي.

رسم تخطيطي يوضح نهج IPsec/IKE لكل من بوابات VNet-to-VNet وبوابات VPN من موقع إلى موقع.

  1. قم بإنشاء شبكة ظاهرية وبوابة VPN.
  2. قم بإنشاء بوابة شبكة محلية للاتصال عبر المباني أو شبكة ظاهرية أخرى وبوابة للاتصال من VNet-to-VNet.
  3. إنشاء نهج IPsec/IKE مع خوارزميات ومعلمات محددة.
  4. إنشاء اتصال (IPsec أو VNet2VNet) باستخدام نهج IPsec/IKE.
  5. إضافة/تحديث/إزالة نهج IPsec/IKE لاتصال موجود.

معلمات النهج

يدعم معيار بروتوكول IPsec وIKE مجموعة واسعة من خوارزميات التشفير في مجموعات مختلفة. ارجع إلى عن متطلبات التشفير وبوابات Azure VPN لمعرفة كيف يمكن أن يساعد ذلك في ضمان الاتصال عبر المباني ومن VNet-to-VNet لتلبية متطلبات الامتثال أو الأمان لديك. كن على دراية بالاعتبارات التالية:

  • يعمل نهج IPsec/IKE فقط على وحدات SKU للبوابة التالية:
    • VpnGw1~5 وVpnGw1AZ~5AZ
    • الأداء القياسيوالعالي
  • يمكنك فقط تحديد مجموعة نهج واحدة لاتصال معين.
  • يجب عليك تحديد جميع الخوارزميات والمعلمات لكل من IKE (الوضع الرئيسي) و IPsec (الوضع السريع). المواصفات الجزئية للنهج غير مسموح بها.
  • راجع مواصفات مورد جهاز VPN الخاص بك للتأكد من أن سياسة IKEv2 مدعومة على أجهزة VPN المحلية. لا يمكن لاتصالات S2S أو VNet-to-VNet تحديد ما إذا كانت النهج غير متوافقة.

خوارزميات التشفير ونقاط القوة الرئيسية

يسرد الجدول التالي خوارزميات التشفير القابلة للتكوين المدعومة ونقاط القوة الرئيسية.

IPsec/IKEv2 الخيارات
تشفير IKEv2 GCMAES256، GCMAES128، AES256، AES192، AES128
تكامل البيانات IKEv2 SHA384, SHA256, لوغاريتم التجزئة الآمن 1, MD5
مجموعة DH DHGroup24, ECP384, ECP256, DHGroup14, DHGroup2048, DHGroup2, DHGroup1, None
تشفير IPsec GCMAES256, GCMAES192, GCMAES128, AES256, AES192, AES128, DES3, DES، لا شيء
تكامل بيانات IPsec GCMAES256، GCMAES192، GCMAES128، SHA256، SHA1، MD5
مجموعة PFS PFS24, ECP384, ECP256, PFS2048, PFS2, PFS1، لا شيء
مدة بقاء QM SA (اختياري: يتم استخدام القيم الافتراضية إذا لم يتم تحديدها)
ثواني (عدد صحيح؛ دقيقة 300/الافتراضي 27000 ثانية)
KBytes (عدد صحيح؛ دقيقة 1024/الافتراضي 102400000 كيلوبايت)
محدد نسبة استخدام الشبكة UsePolicyBasedTrafficSelectors** ($True/$False؛ اختياري، الافتراضي $False إذا لم يتم تحديده)
مهلة DPD ثواني (عدد صحيح: 9 دقائق/الحد الأقصى 3600؛ الافتراضي 45 ثانية)

  • يجب أن يتطابق تكوين جهاز VPN المحلي مع الخوارزميات والمعلمات التالية التي تحددها في نهج Azure IPsec/IKE أو يحتوي عليها:

    • خوارزمية تشفير IKE (الوضع الرئيسي / المرحلة 1)
    • خوارزمية تكامل بيانات IKE (الوضع الرئيسي / المرحلة 1)
    • مجموعة DH (الوضع الرئيسي / المرحلة 1)
    • خوارزمية تشفير IPsec (الوضع السريع / المرحلة 2)
    • خوارزمية تكامل بيانات IPsec (الوضع السريع / المرحلة 2)
    • مجموعة PFS (الوضع السريع / المرحلة 2)
    • محدد نسبة استخدام الشبكة (إذا تم استخدام UsePolicyBasedTrafficSelectors)
    • مدة بقاء SA هي مواصفات محلية فقط، ولا تحتاج إلى المطابقة.

  • إذا تم استخدام GCMAES كما هو الحال بالنسبة لخوارزمية تشفير IPsec، يجب عليك تحديد خوارزمية GCMAES نفسها وطول المفتاح لتكامل بيانات IPsec؛ على سبيل المثال، باستخدام GCMAES128 لكليهما.

  • في جدول الخوارزميات والمفاتيح :

    • يتوافق IKE مع الوضع الرئيسي أو المرحلة 1.
    • يتوافق IPsec مع الوضع السريع أو المرحلة 2.
    • تحدد مجموعة DH مجموعة Diffie-Hellman المستخدمة في الوضع الرئيسي أو المرحلة 1.
    • حددت مجموعة PFS مجموعة Diffie-Hellman المستخدمة في الوضع السريع أو المرحلة 2.

  • تم إصلاح عمر IKE Main Mode SA في 28800 ثانية على بوابات Azure VPN.

  • "UsePolicyBasedTrafficSelectors" هي معلمة اختيارية على الاتصال. إذا حددت UsePolicyBasedTrafficSelectors على $True، فسيقوم بتكوين بوابة Azure VPN للاتصال بجدار حماية VPN المستند إلى السياسة في مكان العمل. إذا قمت بتمكين UsePolicyBasedTrafficSelectors، فستحتاج إلى التأكد من أن جهاز VPN الخاص بك يحتوي على محددات نسبة استخدام الشبكة المطابقة المحددة مع جميع مجموعات بادئات الشبكة المحلية (بوابة الشبكة المحلية) إلى/من بادئات الشبكة الظاهرية Azure، بدلًا من أي بادئة إلى أي منها. تقبل بوابة Azure VPN أي محدد نسبة استخدام الشبكة يتم اقتراحه بواسطة بوابة VPN البعيدة بغض النظر عما تم تكوينه على بوابة Azure VPN.

    على سبيل المثال، إذا كانت بادئات الشبكة المحلية هي 10.1.0.0/16 و10.2.0.0/16، وكانت بادئات الشبكة الظاهرية هي 192.168.0.0/16 و172.16.0.0/16، فستحتاج إلى تحديد محددات نسبة استخدام الشبكة التالية:

    • 10.1.0.0/16 <====> 192.168.0.0/16
    • 10.1.0.0/16 <====> 172.16.0.0/16
    • 10.2.0.0/16 <====> 192.168.0.0/16
    • 10.2.0.0/16 <====> 172.16.0.0/16

    لمزيد من المعلومات حول محددات نسبة استخدام الشبكة المستندة إلى السياسة، راجع الاتصال بالعديد من أجهزة VPN المحلية المستندة إلى النهج.

  • مهلة DPD - القيمة الافتراضية هي 45 ثانية على بوابات Azure VPN. سيؤدي تعيين المهلة إلى فترات أقصر إلى إعادة تشغيل IKE بقوة أكبر، ما يؤدي إلى ظهور الاتصال غير متصل في بعض الحالات. قد لا يكون هذا مرغوباً فيه إذا كانت مواقعك المحلية بعيدة عن منطقة Azure حيث توجد بوابة VPN، أو إذا كانت حالة الارتباط الفعلي قد تتكبد فقدان الحزمة. التوصية العامة هي تعيين المهلة بين 30 إلى 45 ثانية.

إشعار

يتم استخدام تكامل IKEv2 لكل من التكامل و PRF (دالة عشوائية الزائفة). إذا كانت خوارزمية تشفير IKEv2 المحددة هي GCM*، يتم استخدام القيمة التي تم تمريرها في تكامل IKEv2 ل PRF فقط وضمنيا قمنا بتعيين تكامل IKEv2 إلى GCM*. في جميع الحالات الأخرى، يتم استخدام القيمة التي تم تمريرها في تكامل IKEv2 لكل من تكامل IKEv2 و PRF.

مجموعات ديفي هيلمان

يسرد الجدول التالي مجموعات Diffie-Hellman المقابلة المدعومة بالسياسة المخصصة:

مجموعة ديفي هيلمان DHGroup PFSGroup طول المفتاح
1 DHGroup1 PFS1 MODP 768 بت
2 DHGroup2 PFS2 MODP 1024 بت
14 DHGroup14
DHGroup2048		 PFS2048 2048-bit MODP
19 ECP256 ECP256 ECP 256 بت
20 ECP384 ECP384 ECP 384 بت
24 DHGroup24 PFS24 2048-bit MODP

راجع RFC3526 وRFC5114 لمزيد من التفاصيل.

إنشاء اتصال S2S VPN مع نهج IPsec/IKE

يرشدك هذا القسم خلال خطوات إنشاء اتصال S2S VPN باستخدام سياسة IPsec/IKE. تعمل الخطوات التالية على إنشاء الاتصال كما هو موضح في الرسم التخطيطي:

رسم تخطيطي يوضح بنية النهج.

راجع إنشاء اتصال S2S VPN للحصول على إرشادات أكثر تفصيلًا خطوة بخطوة لإنشاء اتصال S2S VPN.

يمكنك تشغيل الخطوات لهذا التمرين باستخدام Azure Cloud Shell في متصفحك. إذا كنت ترغب في استخدام PowerShell مباشرة من الكمبيوتر بدلا من ذلك، فقم بتثبيت Azure Resource Manager PowerShell cmdlets. للمزيد من المعلومات حول تثبيت PowerShell cmdlets، راجع كيفية تثبيت وتكوين Azure PowerShell.

الخطوة 1 - إنشاء الشبكة الظاهرية وبوابة VPN وموارد بوابة الشبكة المحلية

إذا كنت تستخدم Azure Cloud Shell، يمكنك الاتصال تلقائيا بحسابك ولا تحتاج إلى تشغيل الأمر التالي.

إذا كنت تستخدم PowerShell من الكمبيوتر، فافتح وحدة تحكم PowerShell واتصل بحسابك. لمزيد من المعلومات، راجع استخدام Windows PowerShell مع Resource Manager. استخدم المثال التالي لمساعدتك على الاتصال:

Connect-AzAccount
Select-AzSubscription -SubscriptionName <YourSubscriptionName>

1. قم بتعريف المتغيرات الخاصة بك

لهذا التمرين، نبدأ بالإعلان عن المتغيرات. يمكنك استبدال المتغيرات بالمتغيرات الخاصة بك قبل تشغيل الأوامر.

$RG1           = "TestRG1"
$Location1     = "EastUS"
$VNetName1     = "TestVNet1"
$FESubName1    = "FrontEnd"
$BESubName1    = "Backend"
$GWSubName1    = "GatewaySubnet"
$VNetPrefix11  = "10.1.0.0/16"
$FESubPrefix1  = "10.1.0.0/24"
$BESubPrefix1  = "10.1.1.0/24"
$GWSubPrefix1  = "10.1.255.0/27"
$DNS1          = "8.8.8.8"
$GWName1       = "VNet1GW"
$GW1IPName1    = "VNet1GWIP1"
$GW1IPconf1    = "gw1ipconf1"
$Connection16  = "VNet1toSite6"
$LNGName6      = "Site6"
$LNGPrefix61   = "10.61.0.0/16"
$LNGPrefix62   = "10.62.0.0/16"
$LNGIP6        = "131.107.72.22"

2. إنشاء الشبكة الظاهرية وبوابة VPN وبوابة الشبكة المحلية

تنشئ العينات التالية الشبكة الظاهرية، TestVNet1، بثلاث شبكات فرعية، وبوابة VPN. عند استبدال القيم، من المهم دومًا تسمية الشبكة الفرعية للبوابة الخاصة بك وخصوصاً GatewaySubnet. إذا أعطيتها اسمًا آخر، سيفشل إنشاء البوابة الخاصة بك. قد يستغرق إنشاء بوابة الشبكة الظاهرية 45 دقيقة أو أكثر. خلال هذا الوقت، إذا كنت تستخدم Azure Cloud Shell، فقد انتهاء مهلة الاتصال الخاص بك. لا يؤثر هذا على أمر إنشاء البوابة.

New-AzResourceGroup -Name $RG1 -Location $Location1

$fesub1 = New-AzVirtualNetworkSubnetConfig -Name $FESubName1 -AddressPrefix $FESubPrefix1
$besub1 = New-AzVirtualNetworkSubnetConfig -Name $BESubName1 -AddressPrefix $BESubPrefix1
$gwsub1 = New-AzVirtualNetworkSubnetConfig -Name $GWSubName1 -AddressPrefix $GWSubPrefix1

New-AzVirtualNetwork -Name $VNetName1 -ResourceGroupName $RG1 -Location $Location1 -AddressPrefix $VNetPrefix11 -Subnet $fesub1,$besub1,$gwsub1

$gw1pip1 = New-AzPublicIpAddress -Name $GW1IPName1 -ResourceGroupName $RG1 -Location $Location1 -AllocationMethod Dynamic
$vnet1 = Get-AzVirtualNetwork -Name $VNetName1 -ResourceGroupName $RG1
$subnet1 = Get-AzVirtualNetworkSubnetConfig -Name "GatewaySubnet" -VirtualNetwork $vnet1
$gw1ipconf1 = New-AzVirtualNetworkGatewayIpConfig -Name $GW1IPconf1 -Subnet $subnet1 -PublicIpAddress $gw1pip1

New-AzVirtualNetworkGateway -Name $GWName1 -ResourceGroupName $RG1 -Location $Location1 -IpConfigurations $gw1ipconf1 -GatewayType Vpn -VpnType RouteBased -GatewaySku VpnGw1

إنشاء بوابة الشبكة المحلية. قد تحتاج إلى إعادة الاتصال والإعلان عن المتغيرات التالية مرة أخرى إذا انتهت مهلة Azure Cloud Shell.

الإعلان عن المتغيرات.

$RG1           = "TestRG1"
$Location1     = "EastUS"
$LNGName6      = "Site6"
$LNGPrefix61   = "10.61.0.0/16"
$LNGPrefix62   = "10.62.0.0/16"
$LNGIP6        = "131.107.72.22"
$GWName1       = "VNet1GW"
$Connection16  = "VNet1toSite6"

إنشاء بوابة شبكة محلية Site6.

New-AzLocalNetworkGateway -Name $LNGName6 -ResourceGroupName $RG1 -Location $Location1 -GatewayIpAddress $LNGIP6 -AddressPrefix $LNGPrefix61,$LNGPrefix62

الخطوة 2 - إنشاء اتصال S2S VPN باستخدام سياسة IPsec / IKE

1. إنشاء نهج IPsec/IKE

ينشئ البرنامج النصي النموذجي التالي نهج IPsec/IKE باستخدام الخوارزميات والمعلمات التالية:

  • IKEv2: AES256، SHA384، DHGroup24
  • IPsec: AES256 وSHA256 وPFS None وSAS Lifetime 14400 ثانية و102400000 كيلوبايت
$ipsecpolicy6 = New-AzIpsecPolicy -IkeEncryption AES256 -IkeIntegrity SHA384 -DhGroup DHGroup24 -IpsecEncryption AES256 -IpsecIntegrity SHA256 -PfsGroup None -SALifeTimeSeconds 14400 -SADataSizeKilobytes 102400000

إذا كنت تستخدم GCMAES لـIPsec، يجب عليك استخدام خوارزمية GCMAES وطول المفتاح نفسيهما لكل من تشفير IPsec وتكامل البيانات. في المثال أعلاه، ستكون المعلمات المقابلة هي "-IpsecEncryption GCMAES256 -IpsecIntegrity GCMAES256" عند استخدام GCMAES256.

2. قم بإنشاء اتصال S2S VPN باستخدام سياسة IPsec / IKE

قم بإنشاء اتصال S2S VPN وتطبيق سياسة IPsec/IKE التي تم إنشاؤها مسبقًا.

$vnet1gw = Get-AzVirtualNetworkGateway -Name $GWName1  -ResourceGroupName $RG1
$lng6 = Get-AzLocalNetworkGateway  -Name $LNGName6 -ResourceGroupName $RG1

New-AzVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1 -VirtualNetworkGateway1 $vnet1gw -LocalNetworkGateway2 $lng6 -Location $Location1 -ConnectionType IPsec -IpsecPolicies $ipsecpolicy6 -SharedKey 'AzureA1b2C3'

يمكنك اختياريا إضافة "-UsePolicyBasedTrafficSelectors $True" إلى الأمر cmdlet لإنشاء اتصال لتمكين بوابة Azure VPN للاتصال بأجهزة VPN المحلية المستندة إلى النهج.

هام

بمجرد تحديد نهج IPsec/IKE على اتصال، ستقوم بوابة Azure VPN بإرسال أو قبول اقتراح IPsec/IKE فقط الذي به خوارزميات تشفير محددة ونقاط قوة رئيسية على ذلك الاتصال المحدد. تأكد من أن جهاز VPN المحلي الخاص بك للاتصال يستخدم مجموعة السياسة الدقيقة أو يقبل، وإلا فلن يتم إنشاء نفق S2S VPN.

إنشاء اتصال VNet-to-VNet مع نهج IPsec/IKE

تتشابه خطوات إنشاء اتصال VNet-to-VNet مع سياسة IPsec/IKE مع تلك الخاصة باتصال S2S VPN. تقوم نماذج البرامج النصية التالية بإنشاء الاتصال كما هو موضح في الرسم التخطيطي:

يوضح الرسم التخطيطي بنية vnet-to-vnet.

راجع إنشاء اتصال VNet-to-VNet للحصول على خطوات أكثر تفصيلا لإنشاء اتصال VNet-to-VNet.

الخطوة 1: إنشاء الشبكة الظاهرية الثانية وبوابة VPN

1. قم بتعريف المتغيرات الخاصة بك

$RG2          = "TestRG2"
$Location2    = "EastUS"
$VNetName2    = "TestVNet2"
$FESubName2   = "FrontEnd"
$BESubName2   = "Backend"
$GWSubName2   = "GatewaySubnet"
$VNetPrefix21 = "10.21.0.0/16"
$VNetPrefix22 = "10.22.0.0/16"
$FESubPrefix2 = "10.21.0.0/24"
$BESubPrefix2 = "10.22.0.0/24"
$GWSubPrefix2 = "10.22.255.0/27"
$DNS2         = "8.8.8.8"
$GWName2      = "VNet2GW"
$GW2IPName1   = "VNet2GWIP1"
$GW2IPconf1   = "gw2ipconf1"
$Connection21 = "VNet2toVNet1"
$Connection12 = "VNet1toVNet2"

2. إنشاء الشبكة الظاهرية الثانية وبوابة VPN

New-AzResourceGroup -Name $RG2 -Location $Location2

$fesub2 = New-AzVirtualNetworkSubnetConfig -Name $FESubName2 -AddressPrefix $FESubPrefix2
$besub2 = New-AzVirtualNetworkSubnetConfig -Name $BESubName2 -AddressPrefix $BESubPrefix2
$gwsub2 = New-AzVirtualNetworkSubnetConfig -Name $GWSubName2 -AddressPrefix $GWSubPrefix2

New-AzVirtualNetwork -Name $VNetName2 -ResourceGroupName $RG2 -Location $Location2 -AddressPrefix $VNetPrefix21,$VNetPrefix22 -Subnet $fesub2,$besub2,$gwsub2

$gw2pip1    = New-AzPublicIpAddress -Name $GW2IPName1 -ResourceGroupName $RG2 -Location $Location2 -AllocationMethod Dynamic
$vnet2      = Get-AzVirtualNetwork -Name $VNetName2 -ResourceGroupName $RG2
$subnet2    = Get-AzVirtualNetworkSubnetConfig -Name "GatewaySubnet" -VirtualNetwork $vnet2
$gw2ipconf1 = New-AzVirtualNetworkGatewayIpConfig -Name $GW2IPconf1 -Subnet $subnet2 -PublicIpAddress $gw2pip1

New-AzVirtualNetworkGateway -Name $GWName2 -ResourceGroupName $RG2 -Location $Location2 -IpConfigurations $gw2ipconf1 -GatewayType Vpn -VpnType RouteBased -VpnGatewayGeneration Generation2 -GatewaySku VpnGw2

قد يستغرق إنشاء بوابة VPN حوالي 45 دقيقة أو أكثر.

الخطوة 2: إنشاء اتصال VNet-toVNet مع نهج IPsec/IKE

على غرار اتصال S2S VPN، قم بإنشاء نهج IPsec/IKE، ثم قم بتطبيق النهج على الاتصال الجديد. إذا كنت تستخدم Azure Cloud Shell، فقد يكون الاتصال قد انتهى. إذا كان الأمر كذلك، فأعد الاتصال وقم بذكر المتغيرات الضرورية مرة أخرى.

$GWName1 = "VNet1GW"
$GWName2 = "VNet2GW"
$RG1     = "TestRG1"
$RG2     = "TestRG2"
$Location1     = "EastUS"
$Location2    = "EastUS"
$Connection21 = "VNet2toVNet1"
$Connection12 = "VNet1toVNet2"

1. إنشاء نهج IPsec/IKE

ينشئ البرنامج النصي النموذجي التالي نهج IPsec/IKE مختلف باستخدام الخوارزميات والمعلمات التالية:

  • IKEv2: AES128، SHA1، DHGroup14
  • IPsec: GCMAES128، GCMAES128، PFS24، عمر SA 14400 ثانية و102400000 كيلوبايت
$ipsecpolicy2 = New-AzIpsecPolicy -IkeEncryption AES128 -IkeIntegrity SHA1 -DhGroup DHGroup14 -IpsecEncryption GCMAES128 -IpsecIntegrity GCMAES128 -PfsGroup PFS24 -SALifeTimeSeconds 14400 -SADataSizeKilobytes 102400000

2. إنشاء اتصالات VNet-to-VNet باستخدام نهج IPsec/IKE

قم بإنشاء اتصال VNet-to-VNet وقم بتطبيق نهج IPsec/IKE الذي قمت بإنشائه. في هذا المثال، كلتا البوابتين في نفس الاشتراك. لذلك من الممكن إنشاء وتكوين كلا الاتصالين بنفس نهج IPsec/IKE في نفس جلسة عمل PowerShell.

$vnet1gw = Get-AzVirtualNetworkGateway -Name $GWName1  -ResourceGroupName $RG1
$vnet2gw = Get-AzVirtualNetworkGateway -Name $GWName2  -ResourceGroupName $RG2

New-AzVirtualNetworkGatewayConnection -Name $Connection12 -ResourceGroupName $RG1 -VirtualNetworkGateway1 $vnet1gw -VirtualNetworkGateway2 $vnet2gw -Location $Location1 -ConnectionType Vnet2Vnet -IpsecPolicies $ipsecpolicy2 -SharedKey 'AzureA1b2C3'

New-AzVirtualNetworkGatewayConnection -Name $Connection21 -ResourceGroupName $RG2 -VirtualNetworkGateway1 $vnet2gw -VirtualNetworkGateway2 $vnet1gw -Location $Location2 -ConnectionType Vnet2Vnet -IpsecPolicies $ipsecpolicy2 -SharedKey 'AzureA1b2C3'

هام

بمجرد تحديد نهج IPsec/IKE على اتصال، ستقوم بوابة Azure VPN بإرسال أو قبول اقتراح IPsec/IKE فقط الذي به خوارزميات تشفير محددة ونقاط قوة رئيسية على ذلك الاتصال المحدد. تأكد من أن نهجي IPsec لكلا الاتصالين متشابهان، وإلا فلن يتم إنشاء اتصال VNet-to-VNet.

بعد إكمال هذه الخطوات، يتم إنشاء الاتصال في بضع دقائق، وسيتوفر لديك طبولوجيا الشبكة التالية كما هو موضح في البداية:

يوضح الرسم التخطيطي نهج IPsec/IKE.

تحديث نهج IPsec/IKE للاتصال

يوضح لك القسم الأخير كيفية إدارة نهج IPsec/IKE لاتصال S2S أو VNet-to-VNet موجود. يرشدك التمرين التالي خلال العمليات التالية على اتصال:

  1. إظهار سياسة IPsec/IKE الخاصة باتصال
  2. إضافة نهج IPsec/IKE أو تحديثه إلى اتصال
  3. إزالة نهج IPsec/IKE من اتصال

تنطبق نفس الخطوات على كل من اتصالات S2S وVNet-to-VNet.

هام

يتم دعم سياسة IPsec/IKE على بوابات VPN القياسيةوعالية الأداء المستندة إلى المسار فقط. لا يعمل على وحدة SKU للبوابة الأساسية أو بوابة VPN المستندة إلى السياسة.

1. إظهار نهج IPsec/IKE للاتصال

يوضح المثال التالي كيفية تكوين نهج IPsec/IKE على اتصال. تستمر النصوص أيضًا من التمارين المذكورة أعلاه.

$RG1          = "TestRG1"
$Connection16 = "VNet1toSite6"
$connection6  = Get-AzVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1
$connection6.IpsecPolicies

يسرد الأمر الأخير نهج IPsec/IKE الحالي الذي تم تكوينه على الاتصال، إذا كان موجودا. المثال التالي هو إخراج عينة للاتصال:

SALifeTimeSeconds   : 14400
SADataSizeKilobytes : 102400000
IpsecEncryption     : AES256
IpsecIntegrity      : SHA256
IkeEncryption       : AES256
IkeIntegrity        : SHA384
DhGroup             : DHGroup24
PfsGroup            : PFS24

إذا لم يكن هناك نهج IPsec/IKE مكون، فإن الأمر (PS> $connection 6. IpsecPolicies) يحصل على إرجاع فارغ. هذا لا يعني أنه لم يتم تكوين IPsec/IKE على الاتصال، ولكن لا يوجد نهج IPsec/IKE مخصص. يستخدم الاتصال الفعلي السياسة الافتراضية التي تم التفاوض عليها بين جهاز VPN المحلي وبوابة Azure VPN.

2. إضافة أو تحديث نهج IPsec/IKE للاتصال

خطوات إضافة نهج جديد أو تحديث نهج موجود على اتصال هي نفسها: إنشاء نهج جديد ثم تطبيق النهج الجديد على الاتصال.

$RG1          = "TestRG1"
$Connection16 = "VNet1toSite6"
$connection6  = Get-AzVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1

$newpolicy6   = New-AzIpsecPolicy -IkeEncryption AES128 -IkeIntegrity SHA1 -DhGroup DHGroup14 -IpsecEncryption AES256 -IpsecIntegrity SHA256 -PfsGroup None -SALifeTimeSeconds 14400 -SADataSizeKilobytes 102400000

Set-AzVirtualNetworkGatewayConnection -VirtualNetworkGatewayConnection $connection6 -IpsecPolicies $newpolicy6

لتمكين "UsePolicyBasedTrafficSelectors" عند الاتصال بجهاز VPN محلي يستند إلى السياسة، أضف المعلمة "-UsePolicyBaseTrafficSelectors" إلى cmdlet، أو قم بتعيينها على $False لتعطيل الخيار:

Set-AzVirtualNetworkGatewayConnection -VirtualNetworkGatewayConnection $connection6 -IpsecPolicies $newpolicy6 -UsePolicyBasedTrafficSelectors $True

على غرار "UsePolicyBasedTrafficSelectors"، يمكن إجراء تكوين مهلة DPD خارج نهج IPsec الذي يتم تطبيقه:

Set-AzVirtualNetworkGatewayConnection -VirtualNetworkGatewayConnection $connection6 -IpsecPolicies $newpolicy6 -DpdTimeoutInSeconds 30

يمكن تحديد إما/كل من محدد حركة المرور المستندة إلى النهج وخيارات مهلة DPD مع النهج الافتراضي، دون نهج IPsec/IKE مخصص، إذا رغبت في ذلك.

Set-AzVirtualNetworkGatewayConnection -VirtualNetworkGatewayConnection $connection6 -UsePolicyBasedTrafficSelectors $True -DpdTimeoutInSeconds 30

يمكنك الحصول على الاتصال مرة أخرى للتحقق مما إذا تم تحديث السياسة. للتحقق من الاتصال بالنهج المحدث، قم بتشغيل الأمر التالي.

$connection6  = Get-AzVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1
$connection6.IpsecPolicies

مثال على الإخراج:

SALifeTimeSeconds   : 14400
SADataSizeKilobytes : 102400000
IpsecEncryption     : AES256
IpsecIntegrity      : SHA256
IkeEncryption       : AES128
IkeIntegrity        : SHA1
DhGroup             : DHGroup14
PfsGroup            : None

3. إزالة نهج IPsec/IKE من اتصال

بمجرد إزالة النهج المخصص من اتصال، تعود بوابة Azure VPN مرة أخرى إلى القائمة الافتراضية لمقترحات IPsec/IKE وتعيد التفاوض مرة أخرى مع جهاز VPN المحلي.

$RG1           = "TestRG1"
$Connection16  = "VNet1toSite6"
$connection6   = Get-AzVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1

$currentpolicy = $connection6.IpsecPolicies[0]
$connection6.IpsecPolicies.Remove($currentpolicy)

Set-AzVirtualNetworkGatewayConnection -VirtualNetworkGatewayConnection $connection6

يمكنك استخدام نفس البرنامج النصي للتحقق مما إذا تمت إزالة النهج من الاتصال.

الأسئلة المتداولة حول سياسة IPsec/IKE

لعرض الأسئلة المتداولة، انتقل إلى قسم نهج IPsec/IKE في الأسئلة المتداولة حول بوابة VPN.

الخطوات التالية

لمزيد من المعلومات عن محددات نسبة استخدام الشبكة المستندة إلى السياسة، راجع الاتصال بالعديد من أجهزة VPN المحلية المستندة إلى النهج للاطلاع على مزيد من التفاصيل المتعلقة بمحدد نسبة استخدام الشبكة المستندة إلى النهج.