تكوين نهج IPsec/IKE لاتصالات S2S VPN أو VNet-to-VNet

  • مقالة
  • قراءة خلال 11 دقائق

ترشدك هذه المقالة خلال خطوات تكوين نهج IPsec/IKE من موقع إلى موقع أو VNet-to-VNet باستخدام PowerShell.

حول معلمات نهج IPsec وIKE لبوابات Azure VPN

يدعم معيار بروتوكول IPsec وIKE مجموعة واسعة من خوارزميات التشفير في مجموعات مختلفة. ارجع إلى حول متطلبات التشفير وبوابات Azure VPN لمعرفة كيف يمكن أن يساعد ذلك في ضمان الاتصال عبر المباني ومن VNet-to-VNet لتلبية متطلبات الامتثال أو الأمان لديك.

توفر هذه المقالة إرشادات لإنشاء نهج IPsec/IKE وتكوينه، وتطبيقه على اتصال جديد أو موجود:

هام

  1. يرجى ملاحظة أن سياسة IPsec/IKE تعمل فقط على وحدات SKU للبوابة التالية:
    • VpnGw1~5 and VpnGw1AZ~5AZ (route-based)
    • Standard and HighPerformance (route-based)
  2. يمكنك فقط تحديد مجموعة نهج واحدة لاتصال معين.
  3. يجب عليك تحديد جميع الخوارزميات والمعلمات لكل من IKE (الوضع الرئيسي) وIPsec (الوضع السريع). مواصفات النهج الجزئي غير مسموح بها.
  4. راجع مواصفات مورد جهاز VPN الخاص بك للتأكد من أن سياسة IKEv2 مدعومة على أجهزة VPN المحلية. لا يمكن لاتصالات S2S أو VNet-to-VNet تحديد ما إذا كانت النُهُج غير متوافقة.

الجزء 1 - سير العمل لإنشاء نهج IPsec/IKE وتعيينه

يوضح هذا القسم سير العمل لإنشاء نهج IPsec/IKE وتحديثه على اتصال S2S VPN أو VNet-to-VNet:

  1. قم بإنشاء شبكة ظاهرية وبوابة VPN
  2. قم بإنشاء بوابة شبكة محلية للاتصال عبر المباني أو شبكة ظاهرية أخرى وبوابة للاتصال من VNet-to-VNet
  3. إنشاء نهج IPsec/IKE باستخدام خوارزميات ومعلمات محددة
  4. إنشاء اتصال (IPsec أو VNet2VNet) باستخدام نهج IPsec/IKE
  5. إضافة/تحديث/إزالة نهج IPsec/IKE لاتصال موجود

تساعدك الإرشادات الواردة في هذه المقالة على إعداد نُهُج IPsec/IKE وتكوينها كما هو موضح في الرسم التخطيطي:

ipsec-ike-policy

الجزء 2 - نقاط القوة الرئيسية لخوارزميات التشفير & المدعومة

يسرد الجدول التالي خوارزميات التشفير المدعومة ونقاط القوة الرئيسية القابلة للتكوين من قبل العملاء:

IPsec/IKEv2 الخيارات
تشفير IKEv2 AES256، AES192، AES128، DES3، DES
تكامل البيانات IKEv2 SHA384, SHA256, SHA1, MD5
مجموعة DH DHGroup24, ECP384, ECP256, DHGroup14, DHGroup2048, DHGroup2, DHGroup1, None
تشفير IPsec GCMAES256، GCMAES192، GCMAES128، AES256، AES192، AES128، DES3، DES، لا شيء
تكامل بيانات IPsec GCMAES256، GCMAES192، GCMAES128، SHA256، SHA1، MD5
مجموعة PFS PFS24، ECP384، ECP256، PFS2048، PFS2، PFS1، لا شيء
مدة بقاء QM SA (اختياري: يتم استخدام القيم الافتراضية إذا لم يتم تحديدها)
ثواني (عدد صحيح؛ دقيقة 300/الافتراضي 27000 ثانية)
KBytes (عدد صحيح؛ دقيقة 1024/الافتراضي 102400000 كيلوبايت)
محدد نسبة استخدام الشبكة UsePolicyBasedTrafficSelectors** ($True/$False؛ اختياري، الافتراضي $False إذا لم يتم تحديده)

هام

  1. يجب أن يتطابق تكوين جهاز VPN المحلي مع الخوارزميات والمعلمات التالية التي تحددها في نهج Azure IPsec/IKE أو يحتوي عليها:

    • خوارزمية تشفير IKE (الوضع الرئيسي / المرحلة 1)
    • خوارزمية تكامل بيانات IKE (الوضع الرئيسي / المرحلة 1)
    • مجموعة DH (الوضع الرئيسي / المرحلة 1)
    • خوارزمية تشفير IPsec (الوضع السريع / المرحلة 2)
    • خوارزمية تكامل بيانات IPsec (الوضع السريع / المرحلة 2)
    • مجموعة PFS (الوضع السريع / المرحلة 2)
    • محدد نسبة استخدام الشبكة (إذا تم استخدام UsePolicyBasedTrafficSelectors)
    • مدة بقاء SA هي مواصفات محلية فقط، ولا تحتاج إلى مطابقتها.

  2. إذا تم استخدام GCMAES كما هو الحال بالنسبة لخوارزمية تشفير IPsec، يجب عليك تحديد خوارزمية GCMAES نفسها وطول المفتاح لتكامل بيانات IPsec؛ على سبيل المثال، باستخدام GCMAES128 لكليهما

  3. في الجدول أعلاه:

    • يتوافق IKEv2 مع الوضع الرئيسي أو المرحلة 1
    • يتوافق IPsec مع الوضع السريع أو المرحلة 2
    • تحدد DH Group مجموعة Diffie-Hellman المستخدمة في الوضع الرئيسي أو المرحلة 1
    • حددت PFS Group مجموعة Diffie-Hellman المستخدمة في الوضع السريع أو المرحلة 2

  4. تم إصلاح عمر IKEv2 Main Mode SA في 28800 ثانية على بوابات Azure VPN

  5. تحديد UsePolicyBasedTrafficSelectors على $True، فسيقوم بتكوين بوابة Azure VPN للاتصال بجدار حماية VPN المستند إلى السياسة في مكان العمل. إذا قمت بتمكين UsePolicyBasedTrafficSelectors، فستحتاج إلى التأكد من أن جهاز VPN الخاص بك يحتوي على محددات نسبة استخدام الشبكة المطابقة المحددة مع جميع مجموعات بادئات الشبكة المحلية (بوابة الشبكة المحلية) إلى/من بادئات الشبكة الظاهرية Azure، بدلًا من أي بادئة إلى أي منها. على سبيل المثال، إذا كانت بادئات الشبكة المحلية هي 10.1.0.0/16 و10.2.0.0/16، وكانت بادئات الشبكة الظاهرية هي 192.168.0.0/16 و172.16.0.0/16، فستحتاج إلى تحديد محددات نسبة استخدام الشبكة التالية:

    • 10.1.0.0/16 <====> 192.168.0.0/16
    • 10.1.0.0/16 <====> 172.16.0.0/16
    • 10.2.0.0/16 <====> 192.168.0.0/16
    • 10.2.0.0/16 <====> 172.16.0.0/16

لمزيد من المعلومات حول محددات نسبة استخدام الشبكة المستندة إلى السياسة، راجع الاتصال بالعديد من أجهزة VPN المحلية المستندة إلى النهج.

يسرد الجدول التالي مجموعات Diffie-Hellman المقابلة التي يدعمها النهج المخصص:

مجموعة Diffie-Hellman DHGroup PFSGroup طول المفتاح
1 DHGroup1 PFS1 768-bit MODP
2 DHGroup2 PFS2 1024-bit MODP
14 DHGroup14
DHGroup2048		 PFS2048 2048-bit MODP
19 ECP256 ECP256 ECP 256 بت
20 ECP384 ECP384 ECP 384 بت
24 DHGroup24 PFS24 2048-bit MODP

راجع RFC3526 وRFC5114 لمزيد من التفاصيل.

الجزء 3 - إنشاء اتصال S2S VPN جديد باستخدام سياسة IPsec / IKE

يرشدك هذا القسم خلال خطوات إنشاء اتصال S2S VPN باستخدام سياسة IPsec/IKE. تعمل الخطوات التالية على إنشاء الاتصال كما هو موضح في الرسم التخطيطي:

s2s-policy

راجع إنشاء اتصال S2S VPN للحصول على إرشادات أكثر تفصيلًا خطوة بخطوة لإنشاء اتصال S2S VPN.

قبل أن تبدأ

الخطوة 1 - إنشاء الشبكة الافتراضية وبوابة VPN وبوابة الشبكة المحلية

1. الإعلان عن المتغيرات الخاصة بك

بالنسبة لهذا التمرين، نبدأ بالإعلان عن متغيراتنا. تأكد من استبدال القيم بالقيم التي تريد استخدامها عند تكوين للإنتاج.

$Sub1          = "<YourSubscriptionName>"
$RG1           = "TestPolicyRG1"
$Location1     = "East US 2"
$VNetName1     = "TestVNet1"
$FESubName1    = "FrontEnd"
$BESubName1    = "Backend"
$GWSubName1    = "GatewaySubnet"
$VNetPrefix11  = "10.11.0.0/16"
$VNetPrefix12  = "10.12.0.0/16"
$FESubPrefix1  = "10.11.0.0/24"
$BESubPrefix1  = "10.12.0.0/24"
$GWSubPrefix1  = "10.12.255.0/27"
$DNS1          = "8.8.8.8"
$GWName1       = "VNet1GW"
$GW1IPName1    = "VNet1GWIP1"
$GW1IPconf1    = "gw1ipconf1"
$Connection16  = "VNet1toSite6"

$LNGName6      = "Site6"
$LNGPrefix61   = "10.61.0.0/16"
$LNGPrefix62   = "10.62.0.0/16"
$LNGIP6        = "131.107.72.22"

2. الاتصال إلى اشتراكك وإنشاء مجموعة موارد جديدة

تأكد من التبديل إلى وضع PowerShell لاستخدام Resource Manager cmdlets. لمزيد من المعلومات، راجع استخدام Windows PowerShell مع Resource Manager.

يجب فتح وحدة تحكم PowerShell والاتصال بالحساب الخاص بك. استخدم المثال التالي لمساعدتك على الاتصال:

Connect-AzAccount
Select-AzSubscription -SubscriptionName $Sub1
New-AzResourceGroup -Name $RG1 -Location $Location1

3. إنشاء الشبكة الافتراضية وبوابة VPN وبوابة الشبكة المحلية

ينشئ النموذج التالي الشبكة الظاهرية، TestVNet1، مع ثلاث شبكات فرعية، وبوابة VPN. عند استبدال القيم، من المهم دومًا تسمية الشبكة الفرعية للبوابة الخاصة بك وخصوصاً GatewaySubnet. إذا أعطيتها اسمًا آخر، سيفشل إنشاء البوابة الخاصة بك.

$fesub1 = New-AzVirtualNetworkSubnetConfig -Name $FESubName1 -AddressPrefix $FESubPrefix1
$besub1 = New-AzVirtualNetworkSubnetConfig -Name $BESubName1 -AddressPrefix $BESubPrefix1
$gwsub1 = New-AzVirtualNetworkSubnetConfig -Name $GWSubName1 -AddressPrefix $GWSubPrefix1

New-AzVirtualNetwork -Name $VNetName1 -ResourceGroupName $RG1 -Location $Location1 -AddressPrefix $VNetPrefix11,$VNetPrefix12 -Subnet $fesub1,$besub1,$gwsub1

$gw1pip1    = New-AzPublicIpAddress -Name $GW1IPName1 -ResourceGroupName $RG1 -Location $Location1 -AllocationMethod Dynamic
$vnet1      = Get-AzVirtualNetwork -Name $VNetName1 -ResourceGroupName $RG1
$subnet1    = Get-AzVirtualNetworkSubnetConfig -Name "GatewaySubnet" -VirtualNetwork $vnet1
$gw1ipconf1 = New-AzVirtualNetworkGatewayIpConfig -Name $GW1IPconf1 -Subnet $subnet1 -PublicIpAddress $gw1pip1

New-AzVirtualNetworkGateway -Name $GWName1 -ResourceGroupName $RG1 -Location $Location1 -IpConfigurations $gw1ipconf1 -GatewayType Vpn -VpnType RouteBased -GatewaySku VpnGw1

New-AzLocalNetworkGateway -Name $LNGName6 -ResourceGroupName $RG1 -Location $Location1 -GatewayIpAddress $LNGIP6 -AddressPrefix $LNGPrefix61,$LNGPrefix62

الخطوة 2 - إنشاء اتصال S2S VPN باستخدام سياسة IPsec / IKE

1. إنشاء نهج IPsec/IKE

ينشئ البرنامج النصي النموذجي التالي نهج IPsec/IKE باستخدام الخوارزميات والمعلمات التالية:

  • IKEv2: AES256، SHA384، DHGroup24
  • IPsec: AES256, SHA256, PFS None, SA Lifetime 14400 seconds & 102400000KB
$ipsecpolicy6 = New-AzIpsecPolicy -IkeEncryption AES256 -IkeIntegrity SHA384 -DhGroup DHGroup24 -IpsecEncryption AES256 -IpsecIntegrity SHA256 -PfsGroup None -SALifeTimeSeconds 14400 -SADataSizeKilobytes 102400000

إذا كنت تستخدم GCMAES لـ IPsec، يجب عليك استخدام خوارزمية GCMAES وطول المفتاح نفسيهما لكل من تشفير IPsec وتكامل البيانات. في المثال أعلاه، ستكون المعلمات المقابلة هي "-IpsecEncryption GCMAES256 -IpsecIntegrity GCMAES256" عند استخدام GCMAES256.

2. قم بإنشاء اتصال S2S VPN باستخدام سياسة IPsec / IKE

قم بإنشاء اتصال S2S VPN وتطبيق سياسة IPsec/IKE التي تم إنشاؤها مسبقًا.

$vnet1gw = Get-AzVirtualNetworkGateway -Name $GWName1  -ResourceGroupName $RG1
$lng6 = Get-AzLocalNetworkGateway  -Name $LNGName6 -ResourceGroupName $RG1

New-AzVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1 -VirtualNetworkGateway1 $vnet1gw -LocalNetworkGateway2 $lng6 -Location $Location1 -ConnectionType IPsec -IpsecPolicies $ipsecpolicy6 -SharedKey 'AzureA1b2C3'

يمكنك اختياريًا إضافة "-UsePolicyBasedTrafficSelectors $True" إلى cmdlet إنشاء اتصال لتمكين بوابة Azure VPN من الاتصال بأجهزة VPN المستندة إلى السياسة محليًا، كما هو موضح أعلاه.

هام

بمجرد تحديد نهج IPsec/IKE على اتصال، ستقوم بوابة Azure VPN بإرسال أو قبول اقتراح IPsec/IKE فقط الذي به خوارزميات تشفير محددة ونقاط قوة رئيسية على ذلك الاتصال المحدد. تأكد من أن جهاز VPN المحلي الخاص بك للاتصال يستخدم مجموعة السياسة الدقيقة أو يقبل، وإلا فلن يتم إنشاء نفق S2S VPN.

الجزء 4 - إنشاء اتصال VNet-to-VNet جديد باستخدام نهج IPsec/IKE

تتشابه خطوات إنشاء اتصال VNet-to-VNet مع سياسة IPsec/IKE مع تلك الخاصة باتصال S2S VPN. تقوم نماذج البرامج النصية التالية بإنشاء الاتصال كما هو موضح في الرسم التخطيطي:

v2v-policy

راجع إنشاء اتصال VNet-to-VNet للحصول على خطوات أكثر تفصيلا لإنشاء اتصال VNet-to-VNet. يجب عليك إكمال الجزء 3 لإنشاء وتكوين TestVNet1 وبوابة VPN.

الخطوة 1 - إنشاء الشبكة الافتراضية الثانية وبوابة VPN

1. الإعلان عن المتغيرات الخاصة بك

تأكد من استبدال القيم بالقيم التي تريد استخدامها للتكوين.

$RG2          = "TestPolicyRG2"
$Location2    = "East US 2"
$VNetName2    = "TestVNet2"
$FESubName2   = "FrontEnd"
$BESubName2   = "Backend"
$GWSubName2   = "GatewaySubnet"
$VNetPrefix21 = "10.21.0.0/16"
$VNetPrefix22 = "10.22.0.0/16"
$FESubPrefix2 = "10.21.0.0/24"
$BESubPrefix2 = "10.22.0.0/24"
$GWSubPrefix2 = "10.22.255.0/27"
$DNS2         = "8.8.8.8"
$GWName2      = "VNet2GW"
$GW2IPName1   = "VNet2GWIP1"
$GW2IPconf1   = "gw2ipconf1"
$Connection21 = "VNet2toVNet1"
$Connection12 = "VNet1toVNet2"

2. إنشاء الشبكة الافتراضية الثانية وبوابة VPN في مجموعة الموارد الجديدة

New-AzResourceGroup -Name $RG2 -Location $Location2

$fesub2 = New-AzVirtualNetworkSubnetConfig -Name $FESubName2 -AddressPrefix $FESubPrefix2
$besub2 = New-AzVirtualNetworkSubnetConfig -Name $BESubName2 -AddressPrefix $BESubPrefix2
$gwsub2 = New-AzVirtualNetworkSubnetConfig -Name $GWSubName2 -AddressPrefix $GWSubPrefix2

New-AzVirtualNetwork -Name $VNetName2 -ResourceGroupName $RG2 -Location $Location2 -AddressPrefix $VNetPrefix21,$VNetPrefix22 -Subnet $fesub2,$besub2,$gwsub2

$gw2pip1    = New-AzPublicIpAddress -Name $GW2IPName1 -ResourceGroupName $RG2 -Location $Location2 -AllocationMethod Dynamic
$vnet2      = Get-AzVirtualNetwork -Name $VNetName2 -ResourceGroupName $RG2
$subnet2    = Get-AzVirtualNetworkSubnetConfig -Name "GatewaySubnet" -VirtualNetwork $vnet2
$gw2ipconf1 = New-AzVirtualNetworkGatewayIpConfig -Name $GW2IPconf1 -Subnet $subnet2 -PublicIpAddress $gw2pip1

New-AzVirtualNetworkGateway -Name $GWName2 -ResourceGroupName $RG2 -Location $Location2 -IpConfigurations $gw2ipconf1 -GatewayType Vpn -VpnType RouteBased -GatewaySku HighPerformance

الخطوة 2 - إنشاء اتصال VNet-toVNet باستخدام نهج IPsec/IKE

على غرار اتصال S2S VPN، قم بإنشاء سياسة IPsec / IKE ثم قم بتطبيقها على السياسة على الاتصال الجديد.

1. إنشاء نهج IPsec/IKE

ينشئ البرنامج النصي النموذجي التالي نهج IPsec/IKE مختلف باستخدام الخوارزميات والمعلمات التالية:

  • IKEv2: AES128، SHA1، DHGroup14
  • IPsec: GCMAES128 وGCMAES128 وPFS14 ومدة بقاء SA 14400 ثانية & 102400000 كيلوبايت
$ipsecpolicy2 = New-AzIpsecPolicy -IkeEncryption AES128 -IkeIntegrity SHA1 -DhGroup DHGroup14 -IpsecEncryption GCMAES128 -IpsecIntegrity GCMAES128 -PfsGroup PFS14 -SALifeTimeSeconds 14400 -SADataSizeKilobytes 102400000

2. إنشاء اتصالات VNet-to-VNet باستخدام نهج IPsec/IKE

قم بإنشاء اتصال VNet-to-VNet وقم بتطبيق نهج IPsec/IKE الذي قمت بإنشائه. في هذا المثال، كلتا البوابتين في نفس الاشتراك. لذلك من الممكن إنشاء وتكوين كلا الاتصالين بنفس نهج IPsec / IKE في نفس جلسة عمل PowerShell.

$vnet1gw = Get-AzVirtualNetworkGateway -Name $GWName1  -ResourceGroupName $RG1
$vnet2gw = Get-AzVirtualNetworkGateway -Name $GWName2  -ResourceGroupName $RG2

New-AzVirtualNetworkGatewayConnection -Name $Connection12 -ResourceGroupName $RG1 -VirtualNetworkGateway1 $vnet1gw -VirtualNetworkGateway2 $vnet2gw -Location $Location1 -ConnectionType Vnet2Vnet -IpsecPolicies $ipsecpolicy2 -SharedKey 'AzureA1b2C3'

New-AzVirtualNetworkGatewayConnection -Name $Connection21 -ResourceGroupName $RG2 -VirtualNetworkGateway1 $vnet2gw -VirtualNetworkGateway2 $vnet1gw -Location $Location2 -ConnectionType Vnet2Vnet -IpsecPolicies $ipsecpolicy2 -SharedKey 'AzureA1b2C3'

هام

بمجرد تحديد نهج IPsec/IKE على اتصال، ستقوم بوابة Azure VPN بإرسال أو قبول اقتراح IPsec/IKE فقط الذي به خوارزميات تشفير محددة ونقاط قوة رئيسية على ذلك الاتصال المحدد. تأكد من أن نهجي IPsec لكلا الاتصالين متشابهان، وإلا فلن يتم إنشاء اتصال VNet-to-VNet.

بعد الانتهاء من هذه الخطوات، يتم إنشاء الاتصال في بضع دقائق، وسيكون لديك تخطيط الشبكة التالية كما هو موضح في البداية:

ipsec-ike-policy

الجزء 5 - تحديث نهج IPsec/IKE للاتصال

يوضح لك القسم الأخير كيفية إدارة نهج IPsec/IKE لاتصال S2S أو VNet-to-VNet موجود. يرشدك التمرين أدناه خلال العمليات التالية على الاتصال:

  1. إظهار سياسة IPsec/IKE الخاصة باتصال
  2. إضافة نهج IPsec/IKE أو تحديثه إلى اتصال
  3. إزالة نهج IPsec/IKE من اتصال

تنطبق نفس الخطوات على كل من اتصالات S2S وVNet-to-VNet.

هام

يتم دعم سياسة IPsec/IKE على بوابات VPN القياسيةوعالية الأداء المستندة إلى المسار فقط. لا يعمل على وحدة SKU للبوابة الأساسية أو بوابة VPN المستندة إلى السياسة.

1. إظهار سياسة IPsec/IKE الخاصة باتصال

يوضح المثال التالي كيفية تكوين نهج IPsec/IKE على اتصال. تستمر النصوص أيضًا من التمارين المذكورة أعلاه.

$RG1          = "TestPolicyRG1"
$Connection16 = "VNet1toSite6"
$connection6  = Get-AzVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1
$connection6.IpsecPolicies

يسرد الأمر الأخير نهج IPsec/IKE الحالي الذي تم تكوينه على الاتصال، إن وجد. فيما يلي عينة إخراج للاتصال:

SALifeTimeSeconds   : 14400
SADataSizeKilobytes : 102400000
IpsecEncryption     : AES256
IpsecIntegrity      : SHA256
IkeEncryption       : AES256
IkeIntegrity        : SHA384
DhGroup             : DHGroup24
PfsGroup            : PFS24

إذا لم يكن هناك نهج IPsec/IKE تم تكوينه، فإن الأمر (PS> $connection 6. IpsecPolicies) يحصل على عائد فارغ. هذا لا يعني أنه لم يتم تكوين IPsec / IKE على الاتصال، ولكن لا توجد سياسة IPsec / IKE مخصصة. يستخدم الاتصال الفعلي السياسة الافتراضية التي تم التفاوض عليها بين جهاز VPN المحلي وبوابة Azure VPN.

2. إضافة أو تحديث نهج IPsec/IKE للاتصال

خطوات إضافة نهج جديد أو تحديث نهج موجود على اتصال هي نفسها: إنشاء نهج جديد ثم تطبيق النهج الجديد على الاتصال.

$RG1          = "TestPolicyRG1"
$Connection16 = "VNet1toSite6"
$connection6  = Get-AzVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1

$newpolicy6   = New-AzIpsecPolicy -IkeEncryption AES128 -IkeIntegrity SHA1 -DhGroup DHGroup14 -IpsecEncryption AES256 -IpsecIntegrity SHA256 -PfsGroup None -SALifeTimeSeconds 14400 -SADataSizeKilobytes 102400000

Set-AzVirtualNetworkGatewayConnection -VirtualNetworkGatewayConnection $connection6 -IpsecPolicies $newpolicy6

لتمكين "UsePolicyBasedTrafficSelectors" عند الاتصال بجهاز VPN محلي يستند إلى السياسة، أضف المعلمة "-UsePolicyBaseTrafficSelectors" إلى cmdlet، أو قم بتعيينها على $False لتعطيل الخيار:

Set-AzVirtualNetworkGatewayConnection -VirtualNetworkGatewayConnection $connection6 -IpsecPolicies $newpolicy6 -UsePolicyBasedTrafficSelectors $True

يمكنك الحصول على الاتصال مرة أخرى للتحقق مما إذا تم تحديث السياسة.

$connection6  = Get-AzVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1
$connection6.IpsecPolicies

يجب أن ترى الإخراج من السطر الأخير، كما هو موضح في المثال التالي:

SALifeTimeSeconds   : 14400
SADataSizeKilobytes : 102400000
IpsecEncryption     : AES256
IpsecIntegrity      : SHA256
IkeEncryption       : AES128
IkeIntegrity        : SHA1
DhGroup             : DHGroup14
PfsGroup            : None

3. إزالة نهج IPsec/IKE من اتصال

بمجرد إزالة النهج المخصص من اتصال، تعود بوابة Azure VPN مرة أخرى إلى القائمة الافتراضية لمقترحات IPsec/IKE وتعيد التفاوض مرة أخرى مع جهاز VPN المحلي.

$RG1           = "TestPolicyRG1"
$Connection16  = "VNet1toSite6"
$connection6   = Get-AzVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1

$currentpolicy = $connection6.IpsecPolicies[0]
$connection6.IpsecPolicies.Remove($currentpolicy)

Set-AzVirtualNetworkGatewayConnection -VirtualNetworkGatewayConnection $connection6

يمكنك استخدام نفس البرنامج النصي للتحقق مما إذا تمت إزالة النهج من الاتصال.

الخطوات التالية

لمزيد من المعلومات حول محددات نسبة استخدام الشبكة المستندة إلى السياسة، راجع الاتصال بالعديد من أجهزة VPN المحلية المستندة إلى النهج للاطلاع على مزيد من التفاصيل المتعلقة بمحدد نسبة استخدام الشبكة المستندة إلى النهج.

في الوقت الذي يتم فيه اكتمال الاتصال، يمكنك إضافة أجهزة ظاهرية إلى شبكاتك الظاهرية. راجع إنشاء جهاز ظاهري لمعرفة الخطوات.