Konfigurace zásad IPsec/IKE pro připojení site-to-site VPNConfigure IPsec/IKE policy for site-to-site VPN connections

Tento článek vás provede jednotlivými kroky konfigurace zásad IPsec/IKE pro připojení VPN typu Site-to-Site (S2S) v centru Azure Stack.This article walks through the steps to configure an IPsec/IKE policy for site-to-site (S2S) VPN connections in Azure Stack Hub.

Poznámka

Abyste mohli tuto funkci používat, musíte mít spuštěný Azure Stack centra sestavení 1809 nebo novější.You must be running Azure Stack Hub build 1809 or later to use this feature. Pokud aktuálně spouštíte sestavení před 1809, aktualizujte systém Azure Stack hub na nejnovější sestavení, než budete pokračovat postupem v tomto článku.If you're currently running a build prior to 1809, update your Azure Stack Hub system to the latest build before proceeding with the steps in this article.

Parametry zásad IPsec a IKE pro brány VPN GatewayIPsec and IKE policy parameters for VPN gateways

Protokol IPsec a IKE standard podporuje široké spektrum kryptografických algoritmů v různých kombinacích.The IPsec and IKE protocol standard supports a wide range of cryptographic algorithms in various combinations. Pokud chcete zjistit, které parametry jsou v Azure Stackovém centru podporované, abyste mohli splnit požadavky na dodržování předpisů nebo zabezpečení, přečtěte si téma parametry protokolu IPSec/IKE.To see which parameters are supported in Azure Stack Hub so you can satisfy your compliance or security requirements, see IPsec/IKE parameters.

Tento článek poskytuje pokyny, jak vytvořit a nakonfigurovat zásadu IPsec/IKE a použít ji pro nové nebo existující připojení.This article provides instructions on how to create and configure an IPsec/IKE policy and apply it to a new or existing connection.

PožadavkyConsiderations

Při používání těchto zásad Vezměte v vědomí následující důležité informace:Note the following important considerations when using these policies:

  • Zásady IPsec/IKE fungují jenom na SKU brány Standard a HighPerformance (na základě tras).The IPsec/IKE policy only works on the Standard and HighPerformance (route-based) gateway SKUs.

  • Pro jedno připojení můžete zadat pouze jednu kombinaci zásad.You can only specify one policy combination for a given connection.

  • Je nutné zadat všechny algoritmy a parametry pro protokol IKE (hlavní režim) i pro protokol IPsec (rychlý režim).You must specify all algorithms and parameters for both IKE (Main Mode) and IPsec (Quick Mode). Zadání částečných zásad není povoleno.Partial policy specification is not allowed.

  • Pokud chcete zajistit, aby se zásady na místních zařízeních VPN podporovaly, kontaktujte specifikace dodavatele zařízení VPN.Consult with your VPN device vendor specifications to ensure the policy is supported on your on-premises VPN devices. Připojení Site-to-site nelze navázat, pokud jsou zásady nekompatibilní.Site-to-site connections cannot be established if the policies are incompatible.

PožadavkyPrerequisites

Než začnete, ujistěte se, že máte následující požadavky:Before you begin, make sure you have the following prerequisites:

Část 1 – Vytvoření a nastavení zásad IPsec/IKEPart 1 - Create and set IPsec/IKE policy

Tato část popisuje kroky potřebné k vytvoření a aktualizaci zásad IPsec/IKE na připojení VPN typu Site-to-site:This section describes the steps required to create and update the IPsec/IKE policy on a site-to-site VPN connection:

  1. Vytvořte virtuální síť a bránu VPN.Create a virtual network and a VPN gateway.

  2. Vytvořte bránu místní sítě pro připojení mezi různými místy.Create a local network gateway for cross-premises connection.

  3. Vytvořte zásadu IPsec/IKE s vybranými algoritmy a parametry.Create an IPsec/IKE policy with selected algorithms and parameters.

  4. Vytvořte připojení IPSec pomocí zásad IPsec/IKE.Create an IPSec connection with the IPsec/IKE policy.

  5. Přidat nebo aktualizovat nebo odebrat zásady IPsec/IKE pro existující připojení.Add/update/remove an IPsec/IKE policy for an existing connection.

Pokyny v tomto článku vám pomůžou nastavit a nakonfigurovat zásady IPsec/IKE, jak je znázorněno na následujícím obrázku:The instructions in this article help you set up and configure IPsec/IKE policies, as shown in the following figure:

Nastavení a konfigurace zásad IPsec/IKE

Část 2 – podporované kryptografické algoritmy a síly klíčůPart 2 - Supported cryptographic algorithms and key strengths

Následující tabulka uvádí podporované kryptografické algoritmy a síly klíčů konfigurovatelné pomocí centra Azure Stack:The following table lists the supported cryptographic algorithms and key strengths configurable by Azure Stack Hub:

IPsec/IKEv2IPsec/IKEv2 MožnostiOptions
Šifrování protokolem IKEv2IKEv2 Encryption AES256, AES192, AES128, DES3, DESAES256, AES192, AES128, DES3, DES
Integrita protokolu IKEv2IKEv2 Integrity SHA384, SHA256, SHA1, MD5SHA384, SHA256, SHA1, MD5
Skupina DHDH Group ECP384, DHGroup14, DHGroup2, DHGroup1, ECP256 , DHGroup24ECP384, DHGroup14, DHGroup2, DHGroup1, ECP256 , DHGroup24
Šifrování protokolem IPsecIPsec Encryption GCMAES256, GCMAES192, GCMAES128, AES256, AES192, AES128, DES3, DES, ŽádnéGCMAES256, GCMAES192, GCMAES128, AES256, AES192, AES128, DES3, DES, None
Integrita protokolu IPsecIPsec Integrity GCMAES256, GCMAES192, GCMAES128GCMAES256, GCMAES192, GCMAES128
Skupina PFSPFS Group PFS24, ECP384, ECP256, PFS2048, PFS2, PFS1, PFSMM, NonePFS24, ECP384, ECP256, PFS2048, PFS2, PFS1, PFSMM, None
Doba života přidružení zabezpečení v rychlém režimuQM SA Lifetime (Volitelné: použijí se výchozí hodnoty, pokud není zadaný)(Optional: default values are used if not specified)
Sekundy (integer; min. 300 / výchozí hodnota 27 000 sekund)Seconds (integer; min. 300/default 27000 seconds)
Kilobajty (integer; min. 1024 / výchozí hodnota 102 400 000 kilobajtů)KBytes (integer; min. 1024/default 102400000 KBytes)
Selektor provozuTraffic Selector Selektory přenosu na základě zásad nejsou v Azure Stackovém centru podporovány.Policy-based Traffic Selectors are not supported in Azure Stack Hub.

* Tyto parametry jsou k dispozici pouze v sestaveních 2002 a vyšších.* These parameters are only available in builds 2002 and above.

  • Konfigurace vašeho místního zařízení VPN musí odpovídat zásadám brány Azure VPN Gateway nebo musí obsahovat následující algoritmy a parametry, které zadáte v zásadách IPsec/IKE Azure:Your on-premises VPN device configuration must match or contain the following algorithms and parameters that you specify on the Azure IPsec/IKE policy:

    • Šifrovací algoritmus IKE (hlavní režim/fáze 1).IKE encryption algorithm (Main Mode/Phase 1).
    • Algoritmus integrity protokolu IKE (hlavní režim/fáze 1).IKE integrity algorithm (Main Mode/Phase 1).
    • Skupina DH (hlavní režim/fáze 1)DH Group (Main Mode/Phase 1).
    • Šifrovací algoritmus IPsec (rychlý režim/fáze 2).IPsec encryption algorithm (Quick Mode/Phase 2).
    • Algoritmus integrity protokolu IPsec (rychlý režim/fáze 2).IPsec integrity algorithm (Quick Mode/Phase 2).
    • Skupina PFS (rychlý režim/fáze 2).PFS Group (Quick Mode/Phase 2).
    • Životnosti přidružení zabezpečení jsou pouze místní specifikace a nemusejí odpovídat.The SA lifetimes are local specifications only and do not need to match.
  • Pokud se jako šifrovací algoritmus protokolu IPsec používá GCMAES, musíte vybrat stejný algoritmus GCMAES a délku klíče pro integritu protokolu IPsec. například použití GCMAES128 pro obojí.If GCMAES is used as the IPsec encryption algorithm, you must select the same GCMAES algorithm and key length for IPsec integrity; for example, using GCMAES128 for both.

  • V tabulce:In the preceding table:

    • IKEv2 odpovídá hlavnímu režimu nebo fázi 1.IKEv2 corresponds to Main Mode or Phase 1.
    • Protokol IPsec odpovídá rychlému režimu nebo fázi 2.IPsec corresponds to Quick Mode or Phase 2.
    • Skupina DH určuje Diffie-Hellmen skupinu použitou v hlavním režimu nebo ve fázi 1.DH Group specifies the Diffie-Hellmen Group used in Main Mode or Phase 1.
    • Skupina PFS určuje Diffie-Hellmen skupinu použitou v rychlém režimu nebo ve fázi 2.PFS Group specifies the Diffie-Hellmen Group used in Quick Mode or Phase 2.
  • Životnost přidružení zabezpečení v hlavním režimu IKEv2 je opravena na 28 800 sekund v bránách VPN centra Azure Stack.IKEv2 Main Mode SA lifetime is fixed at 28,800 seconds on the Azure Stack Hub VPN gateways.

Následující tabulka obsahuje seznam odpovídajících skupin Diffie-Hellman podporovaných vlastními zásadami:The following table lists the corresponding Diffie-Hellman Groups supported by the custom policy:

Skupina Diffie-HellmanDiffie-Hellman Group DHGroupDHGroup PFSGroupPFSGroup Délka klíčeKey length
11 DHGroup1DHGroup1 PFS1PFS1 768bitová skupina MODP768-bit MODP
22 DHGroup2DHGroup2 PFS2PFS2 1024bitová skupina MODP1024-bit MODP
1414 DHGroup14DHGroup14
DHGroup2048DHGroup2048
PFS2048PFS2048 2048bitová skupina MODP2048-bit MODP
1919 ECP256ECP256* ECP256ECP256 256bitová skupina ECP256-bit ECP
2020 ECP384ECP384 ECP384ECP384 384bitová skupina ECP384-bit ECP
2424 DHGroup24DHGroup24* PFS24PFS24 2048bitová skupina MODP2048-bit MODP

* Tyto parametry jsou k dispozici pouze v sestaveních 2002 a vyšších.* These parameters are only available in builds 2002 and above.

Další informace najdete na stránkách RFC3526 a RFC5114.For more information, see RFC3526 and RFC5114.

Část 3 – vytvoření nového připojení VPN typu Site-to-site pomocí zásad IPsec/IKEPart 3 - Create a new site-to-site VPN connection with IPsec/IKE policy

V této části se seznámíte s postupem vytvoření připojení VPN typu Site-to-site pomocí zásad IPsec/IKE.This section walks through the steps to create a site-to-site VPN connection with an IPsec/IKE policy. V následujících krocích se vytvoří připojení, jak je znázorněno na následujícím obrázku:The following steps create the connection, as shown in the following figure:

Site-to-site – zásady

Podrobnější pokyny pro vytvoření připojení VPN typu Site-to-site najdete v tématu vytvoření připojení VPN typu Site-to-site.For more detailed step-by-step instructions for creating a site-to-site VPN connection, see Create a site-to-site VPN connection.

Krok 1 – vytvoření virtuální sítě, brány sítě VPN a brány místní sítěStep 1 - Create the virtual network, VPN gateway, and local network gateway

1. deklarujete proměnné1. Declare variables

Pro toto cvičení začněte deklarací následujících proměnných.For this exercise, start by declaring the following variables. Nezapomeňte nahradit zástupné symboly vlastními hodnotami při konfiguraci produkčního prostředí:Be sure to replace the placeholders with your own values when configuring for production:

$Sub1 = "<YourSubscriptionName>"
$RG1 = "TestPolicyRG1"
$Location1 = "East US 2"
$VNetName1 = "TestVNet1"
$FESubName1 = "FrontEnd"
$BESubName1 = "Backend"
$GWSubName1 = "GatewaySubnet"
$VNetPrefix11 = "10.11.0.0/16"
$VNetPrefix12 = "10.12.0.0/16"
$FESubPrefix1 = "10.11.0.0/24"
$BESubPrefix1 = "10.12.0.0/24"
$GWSubPrefix1 = "10.12.255.0/27"
$DNS1 = "8.8.8.8"
$GWName1 = "VNet1GW"
$GW1IPName1 = "VNet1GWIP1"
$GW1IPconf1 = "gw1ipconf1"
$Connection16 = "VNet1toSite6"
$LNGName6 = "Site6"
$LNGPrefix61 = "10.61.0.0/16"
$LNGPrefix62 = "10.62.0.0/16"
$LNGIP6 = "131.107.72.22"

2. Připojte se k předplatnému a vytvořte novou skupinu prostředků.2. Connect to your subscription and create a new resource group

Ujistěte se, že jste přešli do režimu prostředí PowerShell, aby bylo možné používat rutiny Resource Manageru.Make sure you switch to PowerShell mode to use the Resource Manager cmdlets. Další informace najdete v tématu připojení k Azure Stack hub pomocí prostředí PowerShell jako uživatel.For more information, see Connect to Azure Stack Hub with PowerShell as a user.

Otevřete konzolu PowerShellu a připojte se ke svému účtu. například:Open your PowerShell console and connect to your account; for example:

Connect-AzAccount
Select-AzSubscription -SubscriptionName $Sub1
New-AzResourceGroup -Name $RG1 -Location $Location1

3. Vytvořte virtuální síť, bránu VPN a bránu místní sítě.3. Create the virtual network, VPN gateway, and local network gateway

Následující příklad vytvoří virtuální síť, virtuální sítě testvnet1 spolu se třemi podsítěmi a bránou VPN.The following example creates the virtual network, TestVNet1, along with three subnets and the VPN gateway. Při nahrazování hodnot je důležité specificky pojmenovat podsíť brány GatewaySubnet.When substituting values, it's important that you specifically name your gateway subnet GatewaySubnet. Pokud použijete jiný název, vytvoření brány se nezdaří.If you name it something else, your gateway creation fails.

$fesub1 = New-AzVirtualNetworkSubnetConfig -Name $FESubName1 -AddressPrefix $FESubPrefix1
$besub1 = New-AzVirtualNetworkSubnetConfig -Name $BESubName1 -AddressPrefix $BESubPrefix1
$gwsub1 = New-AzVirtualNetworkSubnetConfig -Name $GWSubName1 -AddressPrefix $GWSubPrefix1

New-AzVirtualNetwork -Name $VNetName1 -ResourceGroupName $RG1 -Location $Location1 -AddressPrefix $VNetPrefix11,$VNetPrefix12 -Subnet $fesub1,$besub1,$gwsub1

$gw1pip1 = New-AzPublicIpAddress -Name $GW1IPName1 -ResourceGroupName $RG1 -Location $Location1 -AllocationMethod Dynamic

$vnet1 = Get-AzVirtualNetwork -Name $VNetName1 -ResourceGroupName $RG1

$subnet1 = Get-AzVirtualNetworkSubnetConfig -Name "GatewaySubnet" `
-VirtualNetwork $vnet1

$gw1ipconf1 = New-AzVirtualNetworkGatewayIpConfig -Name $GW1IPconf1 `
-Subnet $subnet1 -PublicIpAddress $gw1pip1

New-AzVirtualNetworkGateway -Name $GWName1 -ResourceGroupName $RG1 `
-Location $Location1 -IpConfigurations $gw1ipconf1 -GatewayType Vpn `
-VpnType RouteBased -GatewaySku VpnGw1

New-AzLocalNetworkGateway -Name $LNGName6 -ResourceGroupName $RG1 `
-Location $Location1 -GatewayIpAddress $LNGIP6 -AddressPrefix `
$LNGPrefix61,$LNGPrefix62

Krok 2 – Vytvoření připojení VPN typu Site-to-site pomocí zásad IPsec/IKEStep 2 - Create a site-to-site VPN connection with an IPsec/IKE policy

1. vytvoření zásady IPsec/IKE1. Create an IPsec/IKE policy

Tento ukázkový skript vytvoří zásadu IPsec/IKE s následujícími algoritmy a parametry:This sample script creates an IPsec/IKE policy with the following algorithms and parameters:

  • IKEv2: AES128, SHA1, DHGroup14IKEv2: AES128, SHA1, DHGroup14
  • IPsec: AES256, SHA256, None, životnost SA 14400 sekund a 102400000KBIPsec: AES256, SHA256, none, SA Lifetime 14400 seconds, and 102400000KB
$ipsecpolicy6 = New-AzIpsecPolicy -IkeEncryption AES128 -IkeIntegrity SHA1 -DhGroup DHGroup14 -IpsecEncryption AES256 -IpsecIntegrity SHA256 -PfsGroup none -SALifeTimeSeconds 14400 -SADataSizeKilobytes 102400000

Pokud pro protokol IPsec používáte GCMAES, musíte použít stejný algoritmus GCMAES a délku klíče pro šifrování a integritu protokolu IPsec.If you use GCMAES for IPsec, you must use the same GCMAES algorithm and key length for both IPsec encryption and integrity.

2. vytvoření připojení VPN typu Site-to-site pomocí zásad IPsec/IKE2. Create the site-to-site VPN connection with the IPsec/IKE policy

Vytvořte připojení VPN typu Site-to-site a použijte zásady IPsec/IKE, které jste vytvořili dříve:Create a site-to-site VPN connection and apply the IPsec/IKE policy you created previously:

$vnet1gw = Get-AzVirtualNetworkGateway -Name $GWName1 -ResourceGroupName $RG1
$lng6 = Get-AzLocalNetworkGateway -Name $LNGName6 -ResourceGroupName $RG1

New-AzVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1 -VirtualNetworkGateway1 $vnet1gw -LocalNetworkGateway2 $lng6 -Location $Location1 -ConnectionType IPsec -IpsecPolicies $ipsecpolicy6 -SharedKey 'Azs123'

Důležité

Jakmile se v připojení zadá zásada IPsec/IKE, brána Azure VPN Gateway jenom pošle nebo přijme návrh IPsec/IKE se zadanými kryptografickými algoritmy a silnými klíči v tomto konkrétním připojení.Once an IPsec/IKE policy is specified on a connection, the Azure VPN gateway only sends or accepts the IPsec/IKE proposal with specified cryptographic algorithms and key strengths on that particular connection. Ujistěte se, že vaše místní zařízení VPN pro připojení používá nebo přijímá přesnou kombinaci zásad, jinak nelze vytvořit tunel VPN typu Site-to-site.Make sure your on-premises VPN device for the connection uses or accepts the exact policy combination, otherwise the site-to-site VPN tunnel cannot be established.

Část 4 – aktualizace zásad IPsec/IKE pro připojeníPart 4 - Update IPsec/IKE policy for a connection

Předchozí část ukázala, jak spravovat zásady protokolu IPsec/IKE pro existující připojení Site-to-site.The previous section showed how to manage IPsec/IKE policy for an existing site-to-site connection. Tato část vás provede následujícími operacemi s připojením:This section walks through the following operations on a connection:

  • Zobrazí zásady IPsec/IKE připojení.Show the IPsec/IKE policy of a connection.
  • Přidejte nebo aktualizujte zásady IPsec/IKE pro připojení.Add or update the IPsec/IKE policy to a connection.
  • Odeberte zásadu IPsec/IKE z připojení.Remove the IPsec/IKE policy from a connection.

Poznámka

Zásady IPsec/IKE se podporují jenom pro brány VPN založené na standardech a HighPerformance trasách.IPsec/IKE policy is supported on Standard and HighPerformance route-based VPN gateways only. Nefunguje na základní skladové jednotce brány.It does not work on the Basic gateway SKU.

1. zobrazení zásad IPsec/IKE připojení1. Show the IPsec/IKE policy of a connection

Následující příklad ukazuje, jak získat zásadu IPsec/IKE nakonfigurovanou pro připojení.The following example shows how to get the IPsec/IKE policy configured on a connection. Skripty také pokračují v předchozích cvičeních.The scripts also continue from the previous exercises.

$RG1 = "TestPolicyRG1"
$Connection16 = "VNet1toSite6"
$connection6 = Get-AzVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1
$connection6.IpsecPolicies

Poslední příkaz vypíše aktuální zásadu IPsec/IKE nakonfigurovanou v připojení, pokud existuje.The last command lists the current IPsec/IKE policy configured on the connection, if any. V následujícím příkladu je ukázkový výstup pro připojení:The following example is a sample output for the connection:

SALifeTimeSeconds : 14400
SADataSizeKilobytes : 102400000
IpsecEncryption : AES256
IpsecIntegrity : SHA256
IkeEncryption : AES128
IkeIntegrity : SHA1
DhGroup : DHGroup14
PfsGroup : None

Pokud nejsou nakonfigurované žádné zásady IPsec/IKE, příkaz vrátí $connection6.policy prázdnou hodnotu Return.If there's no IPsec/IKE policy configured, the command $connection6.policy gets an empty return. Neznamená to, že protokol IPsec/IKE není pro připojení nakonfigurovaný. znamená to, že nejsou k dispozici žádné vlastní zásady IPsec/IKE.It does not mean that IPsec/IKE isn't configured on the connection; it means there's no custom IPsec/IKE policy. Skutečné připojení používá výchozí zásady sjednané mezi místním zařízením VPN a službou Azure VPN Gateway.The actual connection uses the default policy negotiated between your on-premises VPN device and the Azure VPN gateway.

2. Přidání nebo aktualizace zásad IPsec/IKE pro připojení2. Add or update an IPsec/IKE policy for a connection

Postup přidání nové zásady nebo aktualizace existující zásady u připojení je stejný: Vytvořte novou zásadu a pak použijte novou zásadu pro připojení:The steps to add a new policy or update an existing policy on a connection are the same: create a new policy, then apply the new policy to the connection:

$RG1 = "TestPolicyRG1"
$Connection16 = "VNet1toSite6"
$connection6 = Get-AzVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1

$newpolicy6 = New-AzIpsecPolicy -IkeEncryption AES128 -IkeIntegrity SHA1 -DhGroup DHGroup14 -IpsecEncryption AES256 -IpsecIntegrity SHA256 -PfsGroup None -SALifeTimeSeconds 14400 -SADataSizeKilobytes 102400000

$connection6.SharedKey = "AzS123"

Set-AzVirtualNetworkGatewayConnection -VirtualNetworkGatewayConnection $connection6 -IpsecPolicies $newpolicy6

Připojení můžete znovu získat a ověřit, jestli se zásada aktualizovala:You can get the connection again to check if the policy is updated:

$connection6 = Get-AzVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1
$connection6.IpsecPolicies

Měl by se zobrazit výstup z posledního řádku, jak je znázorněno v následujícím příkladu:You should see the output from the last line, as shown in the following example:

SALifeTimeSeconds : 14400
SADataSizeKilobytes : 102400000
IpsecEncryption : AES256
IpsecIntegrity : SHA256
IkeEncryption : AES128
IkeIntegrity : SHA1
DhGroup : DHGroup14
PfsGroup : None

3. odebrání zásad IPsec/IKE z připojení3. Remove an IPsec/IKE policy from a connection

Když z připojení odeberete vlastní zásady, brána Azure VPN Gateway se vrátí k výchozímu návrhu protokolu IPSec/IKEa znovu vyjedná s vaším místním zařízením VPN.After you remove the custom policy from a connection, the Azure VPN gateway reverts to the default IPsec/IKE proposal, and renegotiates with your on-premises VPN device.

$RG1 = "TestPolicyRG1"
$Connection16 = "VNet1toSite6"
$connection6 = Get-AzVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1
$connection6.SharedKey = "AzS123"
$currentpolicy = $connection6.IpsecPolicies[0]
$connection6.IpsecPolicies.Remove($currentpolicy)

Set-AzVirtualNetworkGatewayConnection -VirtualNetworkGatewayConnection $connection6

Stejný skript můžete použít ke kontrole, zda byla zásada odebrána z připojení.You can use the same script to check if the policy has been removed from the connection.

Další krokyNext steps