Konfigurace zásad IPsec/IKE pro připojení S2S VPN nebo VNet-to-VNetConfigure IPsec/IKE policy for S2S VPN or VNet-to-VNet connections

Tento článek vás provede kroky konfigurace zásad IPsec/IKE pro připojení Site-to-Site VPN nebo VNet-to-VNet pomocí modelu nasazení Resource Manageru a Powershellu.This article walks you through the steps to configure IPsec/IKE policy for Site-to-Site VPN or VNet-to-VNet connections using the Resource Manager deployment model and PowerShell.

Poznámka

Tento článek byl aktualizován, aby používal nový Azure PowerShell AZ Module.This article has been updated to use the new Azure PowerShell Az module. Stále můžete používat modul AzureRM, který bude dál přijímat opravy chyb, dokud nebude aspoň 2020. prosince.You can still use the AzureRM module, which will continue to receive bug fixes until at least December 2020. Další informace o novém rozhraní AZ Module a AzureRM Compatibility najdete v tématu představení nového Azure PowerShell AZ Module.To learn more about the new Az module and AzureRM compatibility, see Introducing the new Azure PowerShell Az module. Pokyny k instalaci přidaných modulů najdete v tématu Install Azure PowerShell.For Az module installation instructions, see Install Azure PowerShell.

O parametrech zásad protokolu IPsec a IKE pro brány Azure VPN GatewayAbout IPsec and IKE policy parameters for Azure VPN gateways

Protokol IPsec a IKE standard podporuje širokou škálu kryptografických algoritmů v různých kombinacích.IPsec and IKE protocol standard supports a wide range of cryptographic algorithms in various combinations. Odkazovat na o kryptografických požadavcích a branách Azure VPN Gateway zobrazíte, jak to může pomoct zajistit mezi různými místy a VNet-to-VNet připojení splňují vaše požadavky na dodržování předpisů a zabezpečení.Refer to About cryptographic requirements and Azure VPN gateways to see how this can help ensuring cross-premises and VNet-to-VNet connectivity satisfy your compliance or security requirements.

Tento článek obsahuje pokyny k vytvoření a konfigurace zásad IPsec/IKE a použít pro nové nebo existující připojení:This article provides instructions to create and configure an IPsec/IKE policy and apply to a new or existing connection:

Důležité

  1. Všimněte si, že zásady IPsec/IKE funguje pouze na následující SKU brány:Note that IPsec/IKE policy only works on the following gateway SKUs:
    • VpnGw1, VpnGw2, VpnGw3 (route-based)VpnGw1, VpnGw2, VpnGw3 (route-based)
    • Standardní a HighPerformance (trasové)Standard and HighPerformance (route-based)
  2. Pro jedno připojení můžete zadat pouze jednu kombinaci zásad.You can only specify one policy combination for a given connection.
  3. Musíte zadat všechny algoritmy a parametry protokolu IKE (hlavní režim) a IPsec (rychlý režim).You must specify all algorithms and parameters for both IKE (Main Mode) and IPsec (Quick Mode). Zadání částečných zásad není povoleno.Partial policy specification is not allowed.
  4. Poraďte se s vaší sítě VPN zařízení dodavatele specifikace zajistit, že zásady platí pro vaše místní zařízení VPN.Consult with your VPN device vendor specifications to ensure the policy is supported on your on-premises VPN devices. S2S nebo VNet-to-VNet připojení nejde vytvořit, pokud zásady nejsou kompatibilní.S2S or VNet-to-VNet connections cannot establish if the policies are incompatible.

Část 1 – pracovní postup pro vytvoření a nastavení zásad IPsec/IKEPart 1 - Workflow to create and set IPsec/IKE policy

Tato část popisuje postup vytvoření a aktualizace zásad IPsec/IKE na připojení S2S VPN nebo VNet-to-VNet:This section outlines the workflow to create and update IPsec/IKE policy on a S2S VPN or VNet-to-VNet connection:

  1. Vytvoření virtuální sítě a brány VPNCreate a virtual network and a VPN gateway
  2. Vytvoření brány místní sítě pro různé místní připojení nebo jinou virtuální sítí a bránu pro připojení VNet-to-VNetCreate a local network gateway for cross premises connection, or another virtual network and gateway for VNet-to-VNet connection
  3. Vytvoření zásady IPsec/IKE s vybranou algoritmů a parametrůCreate an IPsec/IKE policy with selected algorithms and parameters
  4. Vytvořte připojení (IPsec nebo VNet2VNet) zásady IPsec/IKECreate a connection (IPsec or VNet2VNet) with the IPsec/IKE policy
  5. Přidání/aktualizaci/odebrání zásad protokolu IPsec/IKE pro připojení k existujícíAdd/update/remove an IPsec/IKE policy for an existing connection

Pokyny v tomto článku umožňuje nastavení a konfigurace zásad IPsec/IKE, jak je znázorněno na obrázku:The instructions in this article helps you set up and configure IPsec/IKE policies as shown in the diagram:

zásady protokolu ike IPSec

Část 2 – podporované kryptografické algoritmy a síly klíčePart 2 - Supported cryptographic algorithms & key strengths

Následující tabulka uvádí podporované kryptografické algoritmy a síly klíče, konfigurovat zákazníky:The following table lists the supported cryptographic algorithms and key strengths configurable by the customers:

IPsec/IKEv2IPsec/IKEv2 MožnostiOptions
Šifrování protokolem IKEv2IKEv2 Encryption AES256, AES192, AES128, DES3, DESAES256, AES192, AES128, DES3, DES
Integrita protokolu IKEv2IKEv2 Integrity SHA384, SHA256, SHA1, MD5SHA384, SHA256, SHA1, MD5
Skupina DHDH Group DHGroup24, ECP384, ECP256, DHGroup14, DHGroup2048, DHGroup2, DHGroup1, NoneDHGroup24, ECP384, ECP256, DHGroup14, DHGroup2048, DHGroup2, DHGroup1, None
Šifrování protokolem IPsecIPsec Encryption GCMAES256, GCMAES192, GCMAES128, AES256, AES192, AES128, DES3, DES, ŽádnéGCMAES256, GCMAES192, GCMAES128, AES256, AES192, AES128, DES3, DES, None
Integrita protokolu IPsecIPsec Integrity GCMASE256, GCMAES192, GCMAES128, SHA256, SHA1, MD5GCMASE256, GCMAES192, GCMAES128, SHA256, SHA1, MD5
Skupina PFSPFS Group PFS24, ECP384, ECP256, PFS2048, PFS2, PFS1, ŽádnáPFS24, ECP384, ECP256, PFS2048, PFS2, PFS1, None
Doba života přidružení zabezpečení v rychlém režimuQM SA Lifetime (Volitelné: výchozí hodnoty jsou použity, pokud není zadána)(Optional: default values are used if not specified)
Sekundy (integer; min. 300 / výchozí hodnota 27 000 sekund)Seconds (integer; min. 300/default 27000 seconds)
Kilobajty (integer; min. 1024 / výchozí hodnota 102 400 000 kilobajtů)KBytes (integer; min. 1024/default 102400000 KBytes)
Selektor provozuTraffic Selector UsePolicyBasedTrafficSelectors ** ($True nebo $False; Volitelné, výchozí $False, pokud není zadána)UsePolicyBasedTrafficSelectors** ($True/$False; Optional, default $False if not specified)

Důležité

  1. Konfigurace místní zařízení VPN musí odpovídat nebo obsahovat následující algoritmy a parametry, které zadáte v zásadách Azure IPsec/IKE:Your on-premises VPN device configuration must match or contain the following algorithms and parameters that you specify on the Azure IPsec/IKE policy:

    • Algoritmus šifrování protokolem IKE (hlavní režim / fáze 1)IKE encryption algorithm (Main Mode / Phase 1)
    • Algoritmus integrity protokolu IKE (hlavní režim / fáze 1)IKE integrity algorithm (Main Mode / Phase 1)
    • Skupina Diffie-Hellman (hlavní režim / fáze 1)DH Group (Main Mode / Phase 1)
    • Algoritmus šifrování protokolem IPsec (rychlý režim / fáze 2)IPsec encryption algorithm (Quick Mode / Phase 2)
    • Algoritmus integrity protokolu IPsec (rychlý režim / fáze 2)IPsec integrity algorithm (Quick Mode / Phase 2)
    • Skupina PFS (rychlý režim / fáze 2)PFS Group (Quick Mode / Phase 2)
    • Selektor provozu (Pokud se používá UsePolicyBasedTrafficSelectors)Traffic Selector (if UsePolicyBasedTrafficSelectors is used)
    • Doby životnosti přidružení zabezpečení jsou pouze místní specifikace, nemusí se shodovat.The SA lifetimes are local specifications only, do not need to match.
  2. Pokud GCMAES se používá také u algoritmus šifrování protokolem IPsec, musíte vybrat stejný algoritmus GCMAES a délku klíče pro Integrity protokolu IPsec; například pro obě pomocí GCMAES128If GCMAES is used as for IPsec Encryption algorithm, you must select the same GCMAES algorithm and key length for IPsec Integrity; for example, using GCMAES128 for both

  3. V předchozí tabulce:In the table above:

    • Odpovídá IKEv2 v hlavním režimu nebo fáze 1IKEv2 corresponds to Main Mode or Phase 1
    • Protokol IPsec odpovídá rychlého režimu nebo fázi 2.IPsec corresponds to Quick Mode or Phase 2
    • Skupina Diffie-Hellman Určuje skupiny Diffie-Hellmen v hlavním režimu nebo fáze 1DH Group specifies the Diffie-Hellmen Group used in Main Mode or Phase 1
    • Skupina PFS zadaná skupina Diffie-Hellmen použitá v rychlém režimu nebo fázi 2.PFS Group specified the Diffie-Hellmen Group used in Quick Mode or Phase 2
  4. V branách Azure VPN Gateway je doba života přidružení zabezpečení protokolu IKEv2 v hlavním režimu pevně nastavena na 28 800 sekund.IKEv2 Main Mode SA lifetime is fixed at 28,800 seconds on the Azure VPN gateways

  5. Nastavení "UsePolicyBasedTrafficSelectors" na $True připojení nakonfiguruje bránu Azure VPN pro připojení k založené na zásadách VPN brány firewall v místním prostředí.Setting "UsePolicyBasedTrafficSelectors" to $True on a connection will configure the Azure VPN gateway to connect to policy-based VPN firewall on premises. Pokud povolíte PolicyBasedTrafficSelectors, je potřeba zajistit, že vaše zařízení VPN mělo definované odpovídající selektory provozu všechny kombinace místní sítě (brány místní sítě) a předpon virtuální sítě Azure předpony, místo any-to-any.If you enable PolicyBasedTrafficSelectors, you need to ensure your VPN device has the matching traffic selectors defined with all combinations of your on-premises network (local network gateway) prefixes to/from the Azure virtual network prefixes, instead of any-to-any. Například pokud jsou předpony vaší místní sítě 10.1.0.0/16 a 10.2.0.0/16 a předpony vaší virtuální sítě jsou 192.168.0.0/16 a 172.16.0.0/16, je potřeba zadat následující selektory provozu:For example, if your on-premises network prefixes are 10.1.0.0/16 and 10.2.0.0/16, and your virtual network prefixes are 192.168.0.0/16 and 172.16.0.0/16, you need to specify the following traffic selectors:

    • 10.1.0.0/16 <====> 192.168.0.0/1610.1.0.0/16 <====> 192.168.0.0/16
    • 10.1.0.0/16 <====> 172.16.0.0/1610.1.0.0/16 <====> 172.16.0.0/16
    • 10.2.0.0/16 <====> 192.168.0.0/1610.2.0.0/16 <====> 192.168.0.0/16
    • 10.2.0.0/16 <====> 172.16.0.0/1610.2.0.0/16 <====> 172.16.0.0/16

Další informace týkající se selektory provozu na základě zásad najdete v tématu připojení několika místních na základě zásad zařízení VPN.For more information regarding policy-based traffic selectors, see Connect multiple on-premises policy-based VPN devices.

V následující tabulce jsou uvedeny odpovídající skupiny Diffie-Hellman nepodporuje vlastní zásady:The following table lists the corresponding Diffie-Hellman Groups supported by the custom policy:

Skupina Diffie-HellmanDiffie-Hellman Group DHGroupDHGroup PFSGroupPFSGroup Délka klíčeKey length
11 DHGroup1DHGroup1 PFS1PFS1 768bitová skupina MODP768-bit MODP
22 DHGroup2DHGroup2 PFS2PFS2 1024bitová skupina MODP1024-bit MODP
1414 DHGroup14DHGroup14
DHGroup2048DHGroup2048
PFS2048PFS2048 2048bitová skupina MODP2048-bit MODP
1919 ECP256ECP256 ECP256ECP256 256bitová skupina ECP256-bit ECP
2020 ECP384ECP384 ECP284ECP284 384bitová skupina ECP384-bit ECP
2424 DHGroup24DHGroup24 PFS24PFS24 2048bitová skupina MODP2048-bit MODP

Další podrobnosti najdete v článcích týkajících se RFC3526 a RFC5114.Refer to RFC3526 and RFC5114 for more details.

Část 3 – vytvoření nové připojení S2S VPN s zásady IPsec/IKEPart 3 - Create a new S2S VPN connection with IPsec/IKE policy

Tato část vás provede kroky k vytvoření připojení S2S VPN pomocí zásad IPsec/IKE.This section walks you through the steps of creating a S2S VPN connection with an IPsec/IKE policy. Následujícím postupem se vytvoří připojení, jak je znázorněno na obrázku:The following steps create the connection as shown in the diagram:

s2s-policy

Zobrazit vytvořit připojení S2S VPN podrobnější podrobné pokyny pro vytvoření připojení S2S VPN.See Create a S2S VPN connection for more detailed step-by-step instructions for creating a S2S VPN connection.

Než začneteBefore you begin

Krok 1 – vytvoření virtuální sítě, brána sítě VPN a bránu místní sítěStep 1 - Create the virtual network, VPN gateway, and local network gateway

1. Deklarace proměnných1. Declare your variables

Pro toto cvičení začneme zahájíme deklarací proměnných.For this exercise, we start by declaring our variables. Při konfiguraci pro ostrý provoz nezapomeňte nahradit hodnoty vlastními.Be sure to replace the values with your own when configuring for production.

$Sub1          = "<YourSubscriptionName>"
$RG1           = "TestPolicyRG1"
$Location1     = "East US 2"
$VNetName1     = "TestVNet1"
$FESubName1    = "FrontEnd"
$BESubName1    = "Backend"
$GWSubName1    = "GatewaySubnet"
$VNetPrefix11  = "10.11.0.0/16"
$VNetPrefix12  = "10.12.0.0/16"
$FESubPrefix1  = "10.11.0.0/24"
$BESubPrefix1  = "10.12.0.0/24"
$GWSubPrefix1  = "10.12.255.0/27"
$DNS1          = "8.8.8.8"
$GWName1       = "VNet1GW"
$GW1IPName1    = "VNet1GWIP1"
$GW1IPconf1    = "gw1ipconf1"
$Connection16  = "VNet1toSite6"

$LNGName6      = "Site6"
$LNGPrefix61   = "10.61.0.0/16"
$LNGPrefix62   = "10.62.0.0/16"
$LNGIP6        = "131.107.72.22"

2. Připojení k vašemu předplatnému a vytvořte novou skupinu prostředků2. Connect to your subscription and create a new resource group

Ujistěte se, že jste přešli do režimu prostředí PowerShell, aby bylo možné používat rutiny Resource Manageru.Make sure you switch to PowerShell mode to use the Resource Manager cmdlets. Další informace najdete v tématu Použití prostředí Windows PowerShell s Resource Managerem.For more information, see Using Windows PowerShell with Resource Manager.

Otevřete konzolu prostředí PowerShell a připojte se ke svému účtu.Open your PowerShell console and connect to your account. Připojení vám usnadní následující ukázka:Use the following sample to help you connect:

Connect-AzAccount
Select-AzSubscription -SubscriptionName $Sub1
New-AzResourceGroup -Name $RG1 -Location $Location1

3. Vytvoření virtuální sítě, brána sítě VPN a bránu místní sítě3. Create the virtual network, VPN gateway, and local network gateway

Následující příklad vytvoří virtuální síť, se třemi podsítěmi virtuální sítě TestVNet1 a bránu VPN.The following sample creates the virtual network, TestVNet1, with three subnets, and the VPN gateway. Při nahrazování hodnot je důležité vždy přiřadit podsíti brány konkrétní název GatewaySubnet.When substituting values, it's important that you always name your gateway subnet specifically GatewaySubnet. Pokud použijete jiný název, vytvoření brány se nezdaří.If you name it something else, your gateway creation fails.

$fesub1 = New-AzVirtualNetworkSubnetConfig -Name $FESubName1 -AddressPrefix $FESubPrefix1
$besub1 = New-AzVirtualNetworkSubnetConfig -Name $BESubName1 -AddressPrefix $BESubPrefix1
$gwsub1 = New-AzVirtualNetworkSubnetConfig -Name $GWSubName1 -AddressPrefix $GWSubPrefix1

New-AzVirtualNetwork -Name $VNetName1 -ResourceGroupName $RG1 -Location $Location1 -AddressPrefix $VNetPrefix11,$VNetPrefix12 -Subnet $fesub1,$besub1,$gwsub1

$gw1pip1    = New-AzPublicIpAddress -Name $GW1IPName1 -ResourceGroupName $RG1 -Location $Location1 -AllocationMethod Dynamic
$vnet1      = Get-AzVirtualNetwork -Name $VNetName1 -ResourceGroupName $RG1
$subnet1    = Get-AzVirtualNetworkSubnetConfig -Name "GatewaySubnet" -VirtualNetwork $vnet1
$gw1ipconf1 = New-AzVirtualNetworkGatewayIpConfig -Name $GW1IPconf1 -Subnet $subnet1 -PublicIpAddress $gw1pip1

New-AzVirtualNetworkGateway -Name $GWName1 -ResourceGroupName $RG1 -Location $Location1 -IpConfigurations $gw1ipconf1 -GatewayType Vpn -VpnType RouteBased -GatewaySku VpnGw1

New-AzLocalNetworkGateway -Name $LNGName6 -ResourceGroupName $RG1 -Location $Location1 -GatewayIpAddress $LNGIP6 -AddressPrefix $LNGPrefix61,$LNGPrefix62

Krok 2: vytvoření připojení S2S VPN pomocí zásad IPsec/IKEStep 2 - Create a S2S VPN connection with an IPsec/IKE policy

1. Vytvoření zásady IPsec/IKE1. Create an IPsec/IKE policy

Následující ukázkový skript vytvoří zásady IPsec/IKE s následující algoritmy a parametry:The following sample script creates an IPsec/IKE policy with the following algorithms and parameters:

  • IKEv2: AES256, SHA384, DHGroup24IKEv2: AES256, SHA384, DHGroup24
  • Protokol IPsec: AES256, SHA256, PFS None, SA Lifetime 14400 seconds & 102400000KBIPsec: AES256, SHA256, PFS None, SA Lifetime 14400 seconds & 102400000KB
$ipsecpolicy6 = New-AzIpsecPolicy -IkeEncryption AES256 -IkeIntegrity SHA384 -DhGroup DHGroup24 -IpsecEncryption AES256 -IpsecIntegrity SHA256 -PfsGroup None -SALifeTimeSeconds 14400 -SADataSizeKilobytes 102400000

Pokud používáte GCMAES pro protokol IPsec, musíte použít stejný algoritmus GCMAES a délku klíče pro šifrování protokolem IPsec i integritu.If you use GCMAES for IPsec, you must use the same GCMAES algorithm and key length for both IPsec encryption and integrity. Například výše, bude se odpovídající parametry "-IpsecEncryption GCMAES256 - IpsecIntegrity GCMAES256" při použití GCMAES256.For example above, the corresponding parameters will be "-IpsecEncryption GCMAES256 -IpsecIntegrity GCMAES256" when using GCMAES256.

2. Vytvoření připojení S2S VPN pomocí zásady IPsec/IKE2. Create the S2S VPN connection with the IPsec/IKE policy

Vytvoření připojení S2S VPN a použití zásady IPsec/IKE vytvořili dříve.Create an S2S VPN connection and apply the IPsec/IKE policy created earlier.

$vnet1gw = Get-AzVirtualNetworkGateway -Name $GWName1  -ResourceGroupName $RG1
$lng6 = Get-AzLocalNetworkGateway  -Name $LNGName6 -ResourceGroupName $RG1

New-AzVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1 -VirtualNetworkGateway1 $vnet1gw -LocalNetworkGateway2 $lng6 -Location $Location1 -ConnectionType IPsec -IpsecPolicies $ipsecpolicy6 -SharedKey 'AzureA1b2C3'

Volitelně můžete přidat "-UsePolicyBasedTrafficSelectors $True" do rutiny vytvořit připojení k povolení brány Azure VPN pro připojení k zařízení VPN na základě zásad v místním prostředí, jak je popsáno výše.You can optionally add "-UsePolicyBasedTrafficSelectors $True" to the create connection cmdlet to enable Azure VPN gateway to connect to policy-based VPN devices on premises, as described above.

Důležité

Jakmile zásady IPsec/IKE je zadáno na připojení, brány Azure VPN pouze odeslat nebo přijmout návrh protokolu IPsec/IKE s zadané kryptografické algoritmy a silami klíče v tomto konkrétním připojení.Once an IPsec/IKE policy is specified on a connection, the Azure VPN gateway will only send or accept the IPsec/IKE proposal with specified cryptographic algorithms and key strengths on that particular connection. Ujistěte se, že vaše místní zařízení VPN pro připojení používá nebo přijímá kombinaci přesné zásady, jinak nebude vytvořit tunel S2S VPN.Make sure your on-premises VPN device for the connection uses or accepts the exact policy combination, otherwise the S2S VPN tunnel will not establish.

Část 4 – vytvoření nového připojení VNet-to-VNet pomocí zásady IPsec/IKEPart 4 - Create a new VNet-to-VNet connection with IPsec/IKE policy

Kroky k vytvoření připojení typu VNet-to-VNet pomocí zásad IPsec/IKE jsou podobná připojení S2S VPN.The steps of creating a VNet-to-VNet connection with an IPsec/IKE policy are similar to that of a S2S VPN connection. Následující ukázkové skripty vytvořte připojení, jak je znázorněno na obrázku:The following sample scripts create the connection as shown in the diagram:

v2v-policy

Zobrazit vytvoření připojení typu VNet-to-VNet podrobný postup vytvoření připojení typu VNet-to-VNet.See Create a VNet-to-VNet connection for more detailed steps for creating a VNet-to-VNet connection. Je třeba provést část 3 vytvoření a konfigurace virtuální sítě TestVNet1 a bránu VPN.You must complete Part 3 to create and configure TestVNet1 and the VPN Gateway.

Krok 1: vytvoření druhé virtuální sítě a brány VPNStep 1 - Create the second virtual network and VPN gateway

1. Deklarace proměnných1. Declare your variables

Nezapomeňte nahradit hodnoty těmi, které chcete použít pro svou konfiguraci.Be sure to replace the values with the ones that you want to use for your configuration.

$RG2          = "TestPolicyRG2"
$Location2    = "East US 2"
$VNetName2    = "TestVNet2"
$FESubName2   = "FrontEnd"
$BESubName2   = "Backend"
$GWSubName2   = "GatewaySubnet"
$VNetPrefix21 = "10.21.0.0/16"
$VNetPrefix22 = "10.22.0.0/16"
$FESubPrefix2 = "10.21.0.0/24"
$BESubPrefix2 = "10.22.0.0/24"
$GWSubPrefix2 = "10.22.255.0/27"
$DNS2         = "8.8.8.8"
$GWName2      = "VNet2GW"
$GW2IPName1   = "VNet2GWIP1"
$GW2IPconf1   = "gw2ipconf1"
$Connection21 = "VNet2toVNet1"
$Connection12 = "VNet1toVNet2"

2. Vytvoření druhé virtuální sítě a brány VPN v nové skupině prostředků2. Create the second virtual network and VPN gateway in the new resource group

New-AzResourceGroup -Name $RG2 -Location $Location2

$fesub2 = New-AzVirtualNetworkSubnetConfig -Name $FESubName2 -AddressPrefix $FESubPrefix2
$besub2 = New-AzVirtualNetworkSubnetConfig -Name $BESubName2 -AddressPrefix $BESubPrefix2
$gwsub2 = New-AzVirtualNetworkSubnetConfig -Name $GWSubName2 -AddressPrefix $GWSubPrefix2

New-AzVirtualNetwork -Name $VNetName2 -ResourceGroupName $RG2 -Location $Location2 -AddressPrefix $VNetPrefix21,$VNetPrefix22 -Subnet $fesub2,$besub2,$gwsub2

$gw2pip1    = New-AzPublicIpAddress -Name $GW2IPName1 -ResourceGroupName $RG2 -Location $Location2 -AllocationMethod Dynamic
$vnet2      = Get-AzVirtualNetwork -Name $VNetName2 -ResourceGroupName $RG2
$subnet2    = Get-AzVirtualNetworkSubnetConfig -Name "GatewaySubnet" -VirtualNetwork $vnet2
$gw2ipconf1 = New-AzVirtualNetworkGatewayIpConfig -Name $GW2IPconf1 -Subnet $subnet2 -PublicIpAddress $gw2pip1

New-AzVirtualNetworkGateway -Name $GWName2 -ResourceGroupName $RG2 -Location $Location2 -IpConfigurations $gw2ipconf1 -GatewayType Vpn -VpnType RouteBased -GatewaySku HighPerformance

Krok 2: vytvoření připojení typu VNet-toVNet s zásady IPsec/IKEStep 2 - Create a VNet-toVNet connection with the IPsec/IKE policy

Připojení S2S VPN, podobně jako vytvoření zásady IPsec/IKE, pak platí zásady, abyste mohli nové připojení.Similar to the S2S VPN connection, create an IPsec/IKE policy then apply to policy to the new connection.

1. Vytvoření zásady IPsec/IKE1. Create an IPsec/IKE policy

Následující ukázkový skript vytvoří jinou zásadu IPsec/IKE s následujícími algoritmy a parametry:The following sample script creates a different IPsec/IKE policy with the following algorithms and parameters:

  • IKEv2: AES128, SHA1, DHGroup14IKEv2: AES128, SHA1, DHGroup14
  • Protokol IPsec: GCMAES128, GCMAES128, PFS14, SA Lifetime 14400 seconds & 102400000KBIPsec: GCMAES128, GCMAES128, PFS14, SA Lifetime 14400 seconds & 102400000KB
$ipsecpolicy2 = New-AzIpsecPolicy -IkeEncryption AES128 -IkeIntegrity SHA1 -DhGroup DHGroup14 -IpsecEncryption GCMAES128 -IpsecIntegrity GCMAES128 -PfsGroup PFS14 -SALifeTimeSeconds 14400 -SADataSizeKilobytes 102400000

2. Vytvoření připojení VNet-to-VNet pomocí zásady IPsec/IKE2. Create VNet-to-VNet connections with the IPsec/IKE policy

Vytvoření připojení typu VNet-to-VNet a použití zásady IPsec/IKE, kterou jste vytvořili.Create a VNet-to-VNet connection and apply the IPsec/IKE policy you created. V tomto příkladu jsou obě brány ve stejném předplatném.In this example, both gateways are in the same subscription. Proto je možné vytvořit a nakonfigurovat obě připojení se stejnými zásadami protokolu IPsec/IKE ve stejné relaci prostředí PowerShell.So it is possible to create and configure both connections with the same IPsec/IKE policy in the same PowerShell session.

$vnet1gw = Get-AzVirtualNetworkGateway -Name $GWName1  -ResourceGroupName $RG1
$vnet2gw = Get-AzVirtualNetworkGateway -Name $GWName2  -ResourceGroupName $RG2

New-AzVirtualNetworkGatewayConnection -Name $Connection12 -ResourceGroupName $RG1 -VirtualNetworkGateway1 $vnet1gw -VirtualNetworkGateway2 $vnet2gw -Location $Location1 -ConnectionType Vnet2Vnet -IpsecPolicies $ipsecpolicy2 -SharedKey 'AzureA1b2C3'

New-AzVirtualNetworkGatewayConnection -Name $Connection21 -ResourceGroupName $RG2 -VirtualNetworkGateway1 $vnet2gw -VirtualNetworkGateway2 $vnet1gw -Location $Location2 -ConnectionType Vnet2Vnet -IpsecPolicies $ipsecpolicy2 -SharedKey 'AzureA1b2C3'

Důležité

Jakmile zásady IPsec/IKE je zadáno na připojení, brány Azure VPN pouze odeslat nebo přijmout návrh protokolu IPsec/IKE s zadané kryptografické algoritmy a silami klíče v tomto konkrétním připojení.Once an IPsec/IKE policy is specified on a connection, the Azure VPN gateway will only send or accept the IPsec/IKE proposal with specified cryptographic algorithms and key strengths on that particular connection. Zajistěte, aby že zásady protokolu IPsec pro obě připojení jsou stejné, jinak připojení VNet-to-VNet nevytvoří.Make sure the IPsec policies for both connections are the same, otherwise the VNet-to-VNet connection will not establish.

Po dokončení těchto kroků, připojení se naváže za pár minut a bude mít následující topologie sítě, jak je znázorněno na začátku:After completing these steps, the connection is established in a few minutes, and you will have the following network topology as shown in the beginning:

zásady protokolu ike IPSec

5. díl – zásady aktualizací IPsec/IKE pro připojeníPart 5 - Update IPsec/IKE policy for a connection

Poslední části se dozvíte, jak spravovat zásady IPsec/IKE pro existující připojení typu S2S nebo VNet-to-VNet.The last section shows you how to manage IPsec/IKE policy for an existing S2S or VNet-to-VNet connection. Cvičení níže vás provede následující operace v připojení:The exercise below walks you through the following operations on a connection:

  1. Zobrazit zásady IPsec/IKE připojeníShow the IPsec/IKE policy of a connection
  2. Přidáte nebo aktualizujete zásady IPsec/IKE pro připojeníAdd or update the IPsec/IKE policy to a connection
  3. Odebrání zásad IPsec/IKE připojeníRemove the IPsec/IKE policy from a connection

Stejný postup platí pro připojení typu S2S a připojení typu VNet-to-VNet.The same steps apply to both S2S and VNet-to-VNet connections.

Důležité

Zásady IPsec/IKE je podporována v standardní a HighPerformance trasovými bránami VPN jenom.IPsec/IKE policy is supported on Standard and HighPerformance route-based VPN gateways only. Nefunguje v základní SKU brány nebo brány sítě VPN založené na zásadách.It does not work on the Basic gateway SKU or the policy-based VPN gateway.

1. Zobrazit zásady IPsec/IKE připojení1. Show the IPsec/IKE policy of a connection

Následující příklad ukazuje, jak získat zásady IPsec/IKE na připojení nakonfigurované.The following example shows how to get the IPsec/IKE policy configured on a connection. Skripty také pokračovat z výše uvedeného cvičení.The scripts also continue from the exercises above.

$RG1          = "TestPolicyRG1"
$Connection16 = "VNet1toSite6"
$connection6  = Get-AzVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1
$connection6.IpsecPolicies

Poslední příkaz vypíše aktuální zásady IPsec/IKE nakonfigurované na připojení, pokud existuje.The last command lists the current IPsec/IKE policy configured on the connection, if there is any. Tady je ukázkový výstup pro připojení:The following is a sample output for the connection:

SALifeTimeSeconds   : 14400
SADataSizeKilobytes : 102400000
IpsecEncryption     : AES256
IpsecIntegrity      : SHA256
IkeEncryption       : AES256
IkeIntegrity        : SHA384
DhGroup             : DHGroup24
PfsGroup            : PFS24

Pokud neexistuje žádné zásady protokolu IPsec/IKE nakonfigurovaná, příkazu (PS > $connection6.policy) získá návratový prázdná.If there is no IPsec/IKE policy configured, the command (PS> $connection6.policy) gets an empty return. Neznamená to však není nakonfigurováno protokolu IPsec/IKE pro připojení, ale, že neexistuje žádná vlastní zásady IPsec/IKE.It does not mean IPsec/IKE is not configured on the connection, but that there is no custom IPsec/IKE policy. Aktuální připojení využívá výchozí zásady mezi vaše místní zařízení VPN a bránu Azure VPN.The actual connection uses the default policy negotiated between your on-premises VPN device and the Azure VPN gateway.

2. Přidat nebo aktualizovat zásady IPsec/IKE pro připojení2. Add or update an IPsec/IKE policy for a connection

Postup přidání nové zásady nebo aktualizovat existující zásady na připojení je stejný: Vytvořte novou zásadu a použít nové zásady připojení.The steps to add a new policy or update an existing policy on a connection are the same: create a new policy then apply the new policy to the connection.

$RG1          = "TestPolicyRG1"
$Connection16 = "VNet1toSite6"
$connection6  = Get-AzVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1

$newpolicy6   = New-AzIpsecPolicy -IkeEncryption AES128 -IkeIntegrity SHA1 -DhGroup DHGroup14 -IpsecEncryption AES256 -IpsecIntegrity SHA256 -PfsGroup None -SALifeTimeSeconds 14400 -SADataSizeKilobytes 102400000

Set-AzVirtualNetworkGatewayConnection -VirtualNetworkGatewayConnection $connection6 -IpsecPolicies $newpolicy6

Pokud chcete povolit "UsePolicyBasedTrafficSelectors" při připojování zařízení sítě VPN založené na zásadách místní, přidejte "-UsePolicyBaseTrafficSelectors" do rutiny, parametr nebo ji nastavte na $False zakázat možnost:To enable "UsePolicyBasedTrafficSelectors" when connecting to an on-premises policy-based VPN device, add the "-UsePolicyBaseTrafficSelectors" parameter to the cmdlet, or set it to $False to disable the option:

Set-AzVirtualNetworkGatewayConnection -VirtualNetworkGatewayConnection $connection6 -IpsecPolicies $newpolicy6 -UsePolicyBasedTrafficSelectors $True

Můžete získat připojení znovu ke kontrole, pokud se zásada se aktualizuje.You can get the connection again to check if the policy is updated.

$connection6  = Get-AzVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1
$connection6.IpsecPolicies

Jak je znázorněno v následujícím příkladu by měl zobrazit výstup z poslední řádek:You should see the output from the last line, as shown in the following example:

SALifeTimeSeconds   : 14400
SADataSizeKilobytes : 102400000
IpsecEncryption     : AES256
IpsecIntegrity      : SHA256
IkeEncryption       : AES128
IkeIntegrity        : SHA1
DhGroup             : DHGroup14
PfsGroup            : None

3. Odebrání zásad protokolu IPsec/IKE připojení3. Remove an IPsec/IKE policy from a connection

Jakmile z připojení odeberete vlastní zásady, brána Azure VPN se vrátí zpátky na výchozímu seznamu návrhů IPsec/IKE a vyjednávání znovu s vaším místním zařízením VPN.Once you remove the custom policy from a connection, the Azure VPN gateway reverts back to the default list of IPsec/IKE proposals and renegotiates again with your on-premises VPN device.

$RG1           = "TestPolicyRG1"
$Connection16  = "VNet1toSite6"
$connection6   = Get-AzVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1

$currentpolicy = $connection6.IpsecPolicies[0]
$connection6.IpsecPolicies.Remove($currentpolicy)

Set-AzVirtualNetworkGatewayConnection -VirtualNetworkGatewayConnection $connection6

Stejný skript můžete použít ke kontrole, pokud zásady byl odebrán z připojení.You can use the same script to check if the policy has been removed from the connection.

Další postupNext steps

Zobrazit připojení několika místních na základě zásad zařízení VPN pro další podrobnosti týkající se selektory provozu na základě zásad.See Connect multiple on-premises policy-based VPN devices for more details regarding policy-based traffic selectors.

Po dokončení připojení můžete do virtuálních sítí přidávat virtuální počítače.Once your connection is complete, you can add virtual machines to your virtual networks. Kroky jsou uvedeny v tématu Vytvoření virtuálního počítače.See Create a Virtual Machine for steps.