Konfigurieren der IPsec/IKE-Richtlinie für S2S-VPN- oder VNet-zu-VNet-VerbindungenConfigure IPsec/IKE policy for S2S VPN or VNet-to-VNet connections

In diesem Artikel werden die Schritte zum Konfigurieren der IPsec/IKE-Richtlinie für Site-to-Site-VPN- oder VNet-zu-VNet-Verbindungen mit dem Resource Manager-Bereitstellungsmodell und PowerShell beschrieben.This article walks you through the steps to configure IPsec/IKE policy for Site-to-Site VPN or VNet-to-VNet connections using the Resource Manager deployment model and PowerShell.

IPsec- und IKE-Richtlinienparameter für Azure-VPN-GatewaysAbout IPsec and IKE policy parameters for Azure VPN gateways

Der IPsec- und IKE-Protokollstandard unterstützt ein breites Spektrum von Kryptografiealgorithmen in verschiedenen Kombinationen.IPsec and IKE protocol standard supports a wide range of cryptographic algorithms in various combinations. Informationen dazu, wie Sie damit erreichen können, dass die standortübergreifende und VNet-zu-VNet-Konnektivität Ihre Konformitäts- oder Sicherheitsanforderungen erfüllt, finden Sie unter Kryptografische Anforderungen und Azure-VPN-Gateways.Refer to About cryptographic requirements and Azure VPN gateways to see how this can help ensuring cross-premises and VNet-to-VNet connectivity satisfy your compliance or security requirements.

Dieser Artikel enthält eine Anleitung zum Erstellen und Konfigurieren einer IPsec/IKE-Richtlinie und Anwenden auf eine neue oder vorhandene Verbindung:This article provides instructions to create and configure an IPsec/IKE policy and apply to a new or existing connection:

Wichtig

  1. Die IPsec/IKE-Richtlinie kann nur für folgende Gateways verwendet werden:Note that IPsec/IKE policy only works on the following gateway SKUs:
    • VpnGw1, VpnGw2, VpnGw3 (routenbasiert)VpnGw1, VpnGw2, VpnGw3 (route-based)
    • Standard und HighPerformance (routenbasiert)Standard and HighPerformance (route-based)
  2. Pro Verbindung kann jeweils nur eine Richtlinienkombination angegeben werden.You can only specify one policy combination for a given connection.
  3. Sie müssen alle Algorithmen und Parameter für IKE (Hauptmodus) und IPsec (Schnellmodus) angeben.You must specify all algorithms and parameters for both IKE (Main Mode) and IPsec (Quick Mode). Partielle Richtlinien sind nicht zulässig.Partial policy specification is not allowed.
  4. Vergewissern Sie sich in den Spezifikationen Ihres VPN-Geräteanbieters, dass die Richtlinie von Ihren lokalen VPN-Geräten unterstützt wird.Consult with your VPN device vendor specifications to ensure the policy is supported on your on-premises VPN devices. S2S- bzw. VNet-zu-VNet-Verbindungen können nicht hergestellt werden, wenn die Richtlinien inkompatibel sind.S2S or VNet-to-VNet connections cannot establish if the policies are incompatible.

Teil 1: Workflow zum Erstellen und Festlegen der IPsec/IKE-RichtliniePart 1 - Workflow to create and set IPsec/IKE policy

In diesem Abschnitt wird der Workflow zum Erstellen und Aktualisieren der IPsec/IKE-Richtlinie für eine S2S-VPN- oder VNet-zu-VNet-Verbindung beschrieben:This section outlines the workflow to create and update IPsec/IKE policy on a S2S VPN or VNet-to-VNet connection:

  1. Erstellen eines virtuelles Netzwerks und eines VPN-GatewaysCreate a virtual network and a VPN gateway
  2. Erstellen eines Gateways des lokalen Netzwerks für eine standortübergreifende Verbindung oder eines anderen virtuellen Netzwerks und Gateways für eine VNet-zu-VNet-VerbindungCreate a local network gateway for cross premises connection, or another virtual network and gateway for VNet-to-VNet connection
  3. Erstellen einer IPsec/IKE-Richtlinie mit ausgewählten Algorithmen und ParameternCreate an IPsec/IKE policy with selected algorithms and parameters
  4. Erstellen einer Verbindung (IPsec oder VNet2VNet) mit der IPsec/IKE-RichtlinieCreate a connection (IPsec or VNet2VNet) with the IPsec/IKE policy
  5. Hinzufügen/Aktualisieren/Entfernen einer IPsec/IKE-Richtlinie für eine vorhandene VerbindungAdd/update/remove an IPsec/IKE policy for an existing connection

Die Anleitung in diesem Artikel dient zum Einrichten und Konfigurieren von IPsec/IKE-Richtlinien, wie im folgenden Diagramm dargestellt:The instructions in this article helps you set up and configure IPsec/IKE policies as shown in the diagram:

IPsec/IKE-Richtlinie

Teil 2: Unterstützte Kryptografiealgorithmen und SchlüsselstärkenPart 2 - Supported cryptographic algorithms & key strengths

Die folgende Tabelle gibt Aufschluss über die unterstützten Kryptografiealgorithmen und Schlüsselstärken, die von den Kunden konfiguriert werden können:The following table lists the supported cryptographic algorithms and key strengths configurable by the customers:

IPsec/IKEv2IPsec/IKEv2 OptionenOptions
IKEv2-VerschlüsselungIKEv2 Encryption AES256, AES192, AES128, DES3, DESAES256, AES192, AES128, DES3, DES
IKEv2-IntegritätIKEv2 Integrity SHA384, SHA256, SHA1, MD5SHA384, SHA256, SHA1, MD5
DH-GruppeDH Group DHGroup24, ECP384, ECP256, DHGroup14, DHGroup2048, DHGroup2, DHGroup1, keineDHGroup24, ECP384, ECP256, DHGroup14, DHGroup2048, DHGroup2, DHGroup1, None
IPsec-VerschlüsselungIPsec Encryption GCMAES256, GCMAES192, GCMAES128, AES256, AES192, AES128, DES3, DES, keineGCMAES256, GCMAES192, GCMAES128, AES256, AES192, AES128, DES3, DES, None
IPsec-IntegritätIPsec Integrity GCMASE256, GCMAES192, GCMAES128, SHA256, SHA1, MD5GCMASE256, GCMAES192, GCMAES128, SHA256, SHA1, MD5
PFS-GruppePFS Group PFS24, ECP384, ECP256, PFS2048, PFS2, PFS1, keinePFS24, ECP384, ECP256, PFS2048, PFS2, PFS1, None
QM-SA-GültigkeitsdauerQM SA Lifetime (Optional: Wenn kein Wert angegeben wird, werden die Standardwerte verwendet)(Optional: default values are used if not specified)
Sekunden (ganze Zahl; min. 300/Standard: 27.000 Sekunden)Seconds (integer; min. 300/default 27000 seconds)
KB (ganze Zahl; min. 1024/Standard: 102.400.000 KB)KBytes (integer; min. 1024/default 102400000 KBytes)
DatenverkehrsselektorTraffic Selector UsePolicyBasedTrafficSelectors** ($True/$False; Optional, default $False if not specified)UsePolicyBasedTrafficSelectors** ($True/$False; Optional, default $False if not specified)

Wichtig

  1. Ihre lokale VPN-Gerätekonfiguration muss folgenden Algorithmus- und Parameterangaben für die Azure-IPsec-/IKE-Richtlinie entsprechen oder selbige enthalten:Your on-premises VPN device configuration must match or contain the following algorithms and parameters that you specify on the Azure IPsec/IKE policy:

    • IKE-Verschlüsselungsalgorithmus (Hauptmodus/Phase 1)IKE encryption algorithm (Main Mode / Phase 1)
    • IKE-Integritätsalgorithmus (Hauptmodus/Phase 1)IKE integrity algorithm (Main Mode / Phase 1)
    • DH-Gruppe (Hauptmodus/Phase 1)DH Group (Main Mode / Phase 1)
    • IPsec-Verschlüsselungsalgorithmus (Schnellmodus/Phase 2)IPsec encryption algorithm (Quick Mode / Phase 2)
    • IPsec-Integritätsalgorithmus (Schnellmodus/Phase 2)IPsec integrity algorithm (Quick Mode / Phase 2)
    • PFS-Gruppe (Schnellmodus/Phase 2)PFS Group (Quick Mode / Phase 2)
    • Datenverkehrsselektor (bei Verwendung von „UsePolicyBasedTrafficSelectors“)Traffic Selector (if UsePolicyBasedTrafficSelectors is used)
    • Bei der SA-Gültigkeitsdauer handelt es sich lediglich um eine lokale Angabe. Diese muss nicht übereinstimmen.The SA lifetimes are local specifications only, do not need to match.
  2. Wenn GCMAES als IPsec-Verschlüsselungsalgorithmus verwendet wird, müssen Sie für die IPsec-Integrität denselben GCMAES-Algorithmus und dieselbe Schlüssellänge auswählen (beispielsweise „GCMAES128“ für beides).If GCMAES is used as for IPsec Encryption algorithm, you must select the same GCMAES algorithm and key length for IPsec Integrity; for example, using GCMAES128 for both

  3. In der obigen Tabelle:In the table above:
    • IKEv2 entspricht Hauptmodus oder Phase 1.IKEv2 corresponds to Main Mode or Phase 1
    • IPsec entspricht Hauptmodus oder Phase 2.IPsec corresponds to Quick Mode or Phase 2
    • Die DH-Gruppe gibt die im Hauptmodus oder in Phase 1 verwendete Diffie-Hellmen-Gruppe an.DH Group specifies the Diffie-Hellmen Group used in Main Mode or Phase 1
    • Die PFS-Gruppe gibt die im Schnellmodus oder in Phase 2 verwendete Diffie-Hellmen-Gruppe an.PFS Group specified the Diffie-Hellmen Group used in Quick Mode or Phase 2
  4. Die SA-Gültigkeitsdauer von IKEv2 (Hauptmodus) ist für die Azure-VPN-Gateways auf 28.800 Sekunden festgelegt.IKEv2 Main Mode SA lifetime is fixed at 28,800 seconds on the Azure VPN gateways
  5. Wenn „UsePolicyBasedTrafficSelectors“ für eine Verbindung auf „$True“ festgelegt wird, wird das Azure-VPN-Gateway zum Herstellen einer Verbindung mit einer richtlinienbasierten VPN-Firewall an einem lokalen Standort konfiguriert.Setting "UsePolicyBasedTrafficSelectors" to $True on a connection will configure the Azure VPN gateway to connect to policy-based VPN firewall on premises. Wenn Sie „PolicyBasedTrafficSelectors“ aktivieren, müssen für Ihr VPN-Gerät die entsprechenden Datenverkehrsselektoren mit allen Präfixkombinationen zwischen Ihrem lokalen Netzwerk (lokalen Netzwerkgateway) und den Präfixen des virtuellen Azure-Netzwerks definiert sein (anstelle von Any-to-Any).If you enable PolicyBasedTrafficSelectors, you need to ensure your VPN device has the matching traffic selectors defined with all combinations of your on-premises network (local network gateway) prefixes to/from the Azure virtual network prefixes, instead of any-to-any. Wenn die Präfixe Ihres lokalen Netzwerks also beispielsweise 10.1.0.0/16 und 10.2.0.0/16 lauten und für Ihr virtuelles Netzwerk die Präfixe 192.168.0.0/16 und 172.16.0.0/16 verwendet werden, müssen folgende Datenverkehrsselektoren angegeben werden:For example, if your on-premises network prefixes are 10.1.0.0/16 and 10.2.0.0/16, and your virtual network prefixes are 192.168.0.0/16 and 172.16.0.0/16, you need to specify the following traffic selectors:
    • 10.1.0.0/16 <====> 192.168.0.0/1610.1.0.0/16 <====> 192.168.0.0/16
    • 10.1.0.0/16 <====> 172.16.0.0/1610.1.0.0/16 <====> 172.16.0.0/16
    • 10.2.0.0/16 <====> 192.168.0.0/1610.2.0.0/16 <====> 192.168.0.0/16
    • 10.2.0.0/16 <====> 172.16.0.0/1610.2.0.0/16 <====> 172.16.0.0/16

Weitere Informationen zu richtlinienbasierten Datenverkehrsselektoren finden Sie unter Herstellen einer Verbindung zwischen Azure-VPN-Gateways und mehreren lokalen richtlinienbasierten VPN-Geräten mit PowerShell.For more information regarding policy-based traffic selectors, see Connect multiple on-premises policy-based VPN devices.

Die folgende Tabelle enthält die entsprechenden Diffie-Hellman-Gruppen, die von der benutzerdefinierten Richtlinie unterstützt werden:The following table lists the corresponding Diffie-Hellman Groups supported by the custom policy:

Diffie-Hellman-GruppeDiffie-Hellman Group DHGroupDHGroup PFSGroupPFSGroup SchlüssellängeKey length
11 DHGroup1DHGroup1 PFS1PFS1 768-Bit-MODP768-bit MODP
22 DHGroup2DHGroup2 PFS2PFS2 1024-Bit-MODP1024-bit MODP
1414 DHGroup14DHGroup14
DHGroup2048DHGroup2048
PFS2048PFS2048 2048-Bit-MODP2048-bit MODP
1919 ECP256ECP256 ECP256ECP256 256-Bit-ECP256-bit ECP
2020 ECP384ECP384 ECP284ECP284 384-Bit-ECP384-bit ECP
2424 DHGroup24DHGroup24 PFS24PFS24 2048-Bit-MODP2048-bit MODP

Ausführlichere Informationen finden Sie unter RFC3526 und RFC5114.Refer to RFC3526 and RFC5114 for more details.

Teil 3: Erstellen einer neuen S2S-VPN-Verbindung mit einer IPsec/IKE-RichtliniePart 3 - Create a new S2S VPN connection with IPsec/IKE policy

In diesem Abschnitt wird das Erstellen einer S2S-VPN-Verbindung mit einer IPsec/IKE-Richtlinie schrittweise beschrieben.This section walks you through the steps of creating a S2S VPN connection with an IPsec/IKE policy. Mit den folgenden Schritten wird die Verbindung erstellt, wie im Diagramm dargestellt:The following steps create the connection as shown in the diagram:

s2s-policy

Eine ausführlichere Schritt-für-Schritt-Anleitung zum Erstellen einer S2S-VPN-Verbindung finden Sie unter Erstellen eines VNET mit einer Site-to-Site-VPN-Verbindung per PowerShell.See Create a S2S VPN connection for more detailed step-by-step instructions for creating a S2S VPN connection.

VoraussetzungenBefore you begin

  • Stellen Sie sicher, dass Sie über ein Azure-Abonnement verfügen.Verify that you have an Azure subscription. Wenn Sie noch kein Azure-Abonnement besitzen, können Sie Ihre MSDN-Abonnentenvorteile aktivieren oder sich für ein kostenloses Konto registrieren.If you don't already have an Azure subscription, you can activate your MSDN subscriber benefits or sign up for a free account.
  • Installieren Sie die Azure Resource Manager PowerShell-Cmdlets.Install the Azure Resource Manager PowerShell cmdlets. Weitere Informationen zur Installation der PowerShell-Cmdlets finden Sie unter Übersicht über Azure PowerShell.See Overview of Azure PowerShell for more information about installing the PowerShell cmdlets.

Schritt 1: Erstellen des virtuellen Netzwerks, VPN-Gateways und lokalen NetzwerkgatewaysStep 1 - Create the virtual network, VPN gateway, and local network gateway

1. Deklarieren von Variablen1. Declare your variables

Bei dieser Übung beginnen wir mit dem Deklarieren der Variablen.For this exercise, we start by declaring our variables. Achten Sie darauf, dass Sie die Werte durch Ihre eigenen Werte ersetzen, wenn Sie die Konfiguration für die Produktion durchführen.Be sure to replace the values with your own when configuring for production.

$Sub1          = "<YourSubscriptionName>"
$RG1           = "TestPolicyRG1"
$Location1     = "East US 2"
$VNetName1     = "TestVNet1"
$FESubName1    = "FrontEnd"
$BESubName1    = "Backend"
$GWSubName1    = "GatewaySubnet"
$VNetPrefix11  = "10.11.0.0/16"
$VNetPrefix12  = "10.12.0.0/16"
$FESubPrefix1  = "10.11.0.0/24"
$BESubPrefix1  = "10.12.0.0/24"
$GWSubPrefix1  = "10.12.255.0/27"
$DNS1          = "8.8.8.8"
$GWName1       = "VNet1GW"
$GW1IPName1    = "VNet1GWIP1"
$GW1IPconf1    = "gw1ipconf1"
$Connection16  = "VNet1toSite6"

$LNGName6      = "Site6"
$LNGPrefix61   = "10.61.0.0/16"
$LNGPrefix62   = "10.62.0.0/16"
$LNGIP6        = "131.107.72.22"

2. Herstellen einer Verbindung mit Ihrem Abonnement und Erstellen einer neuen Ressourcengruppe2. Connect to your subscription and create a new resource group

Stellen Sie sicher, dass Sie in den PowerShell-Modus wechseln, um die Ressourcen-Manager-Cmdlets zu verwenden.Make sure you switch to PowerShell mode to use the Resource Manager cmdlets. Weitere Informationen finden Sie unter Verwenden von Windows PowerShell mit Resource Manager.For more information, see Using Windows PowerShell with Resource Manager.

Öffnen Sie die PowerShell-Konsole, und stellen Sie eine Verbindung mit Ihrem Konto her.Open your PowerShell console and connect to your account. Verwenden Sie das folgende Beispiel, um eine Verbindung herzustellen:Use the following sample to help you connect:

Connect-AzureRmAccount
Select-AzureRmSubscription -SubscriptionName $Sub1
New-AzureRmResourceGroup -Name $RG1 -Location $Location1

3. Erstellen des virtuellen Netzwerks, VPN-Gateways und Gateways des lokalen Netzwerks3. Create the virtual network, VPN gateway, and local network gateway

Im folgenden Beispiel werden das virtuelle Netzwerk „TestVNet1“ mit drei Subnetzen und das VPN-Gateway erstellt.The following sample creates the virtual network, TestVNet1, with three subnets, and the VPN gateway. Beim Ersetzen der Werte ist es wichtig, dass Sie Ihrem Gatewaysubnetz immer den Namen „GatewaySubnet“ geben.When substituting values, it's important that you always name your gateway subnet specifically GatewaySubnet. Wenn Sie einen anderen Namen verwenden, tritt beim Erstellen des Gateways ein Fehler auf.If you name it something else, your gateway creation fails.

$fesub1 = New-AzureRmVirtualNetworkSubnetConfig -Name $FESubName1 -AddressPrefix $FESubPrefix1
$besub1 = New-AzureRmVirtualNetworkSubnetConfig -Name $BESubName1 -AddressPrefix $BESubPrefix1
$gwsub1 = New-AzureRmVirtualNetworkSubnetConfig -Name $GWSubName1 -AddressPrefix $GWSubPrefix1

New-AzureRmVirtualNetwork -Name $VNetName1 -ResourceGroupName $RG1 -Location $Location1 -AddressPrefix $VNetPrefix11,$VNetPrefix12 -Subnet $fesub1,$besub1,$gwsub1

$gw1pip1    = New-AzureRmPublicIpAddress -Name $GW1IPName1 -ResourceGroupName $RG1 -Location $Location1 -AllocationMethod Dynamic
$vnet1      = Get-AzureRmVirtualNetwork -Name $VNetName1 -ResourceGroupName $RG1
$subnet1    = Get-AzureRmVirtualNetworkSubnetConfig -Name "GatewaySubnet" -VirtualNetwork $vnet1
$gw1ipconf1 = New-AzureRmVirtualNetworkGatewayIpConfig -Name $GW1IPconf1 -Subnet $subnet1 -PublicIpAddress $gw1pip1

New-AzureRmVirtualNetworkGateway -Name $GWName1 -ResourceGroupName $RG1 -Location $Location1 -IpConfigurations $gw1ipconf1 -GatewayType Vpn -VpnType RouteBased -GatewaySku VpnGw1

New-AzureRmLocalNetworkGateway -Name $LNGName6 -ResourceGroupName $RG1 -Location $Location1 -GatewayIpAddress $LNGIP6 -AddressPrefix $LNGPrefix61,$LNGPrefix62

Schritt 2: Erstellen einer S2S-VPN-Verbindung mit einer IPsec/IKE-RichtlinieStep 2 - Create a S2S VPN connection with an IPsec/IKE policy

1. Erstellen Sie eine IPsec/IKE-Richtlinie.1. Create an IPsec/IKE policy

Im folgenden Beispielskript wird eine IPsec/IKE-Richtlinie mit den folgenden Algorithmen und Parametern erstellt:The following sample script creates an IPsec/IKE policy with the following algorithms and parameters:

  • IKEv2: AES256, SHA384, DHGroup24IKEv2: AES256, SHA384, DHGroup24
  • IPsec: AES256, SHA256, ohne PFS, SA-Gültigkeitsdauer 14.400 Sekunden und 102.400.000 KBIPsec: AES256, SHA256, PFS None, SA Lifetime 14400 seconds & 102400000KB
$ipsecpolicy6 = New-AzureRmIpsecPolicy -IkeEncryption AES256 -IkeIntegrity SHA384 -DhGroup DHGroup24 -IpsecEncryption AES256 -IpsecIntegrity SHA256 -PfsGroup None -SALifeTimeSeconds 14400 -SADataSizeKilobytes 102400000

Wenn Sie GCMAES für IPsec verwenden, müssen für die IPsec-Verschlüsselung und -Integrität derselbe GCMAES-Algorithmus und dieselbe Schlüssellänge verwendet werden.If you use GCMAES for IPsec, you must use the same GCMAES algorithm and key length for both IPsec encryption and integrity. Oben lauten die entsprechenden Parameter bei Verwendung von GCMAES256 beispielsweise „-IpsecEncryption GCMAES256“ und „-IpsecIntegrity GCMAES256“.For example above, the corresponding parameters will be "-IpsecEncryption GCMAES256 -IpsecIntegrity GCMAES256" when using GCMAES256.

2. Erstellen der S2S-VPN-Verbindung mit der IPSec/IKE-Richtlinie2. Create the S2S VPN connection with the IPsec/IKE policy

Erstellen Sie eine S2S-VPN-Verbindung, und wenden Sie die zuvor erstellte IPsec/IKE-Richtlinie an.Create an S2S VPN connection and apply the IPsec/IKE policy created earlier.

$vnet1gw = Get-AzureRmVirtualNetworkGateway -Name $GWName1  -ResourceGroupName $RG1
$lng6 = Get-AzureRmLocalNetworkGateway  -Name $LNGName6 -ResourceGroupName $RG1

New-AzureRmVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1 -VirtualNetworkGateway1 $vnet1gw -LocalNetworkGateway2 $lng6 -Location $Location1 -ConnectionType IPsec -IpsecPolicies $ipsecpolicy6 -SharedKey 'AzureA1b2C3'

Optional können Sie „-UsePolicyBasedTrafficSelectors $True“ dem Cmdlet für die Erstellung hinzufügen, um wie oben beschrieben für das Azure-VPN-Gateway das lokale Herstellen einer Verbindung mit richtlinienbasierten VPN-Geräten zu ermöglichen.You can optionally add "-UsePolicyBasedTrafficSelectors $True" to the create connection cmdlet to enable Azure VPN gateway to connect to policy-based VPN devices on premises, as described above.

Wichtig

Nachdem für eine Verbindung eine IPsec/IKE-Richtlinie angegeben wurde, sendet bzw. akzeptiert das Azure-VPN-Gateway den IPsec/IKE-Vorschlag mit angegebenen Kryptografiealgorithmen und Schlüsselstärken nur für die jeweilige Verbindung.Once an IPsec/IKE policy is specified on a connection, the Azure VPN gateway will only send or accept the IPsec/IKE proposal with specified cryptographic algorithms and key strengths on that particular connection. Stellen Sie sicher, dass Ihr lokales VPN-Gerät für die Verbindung die exakte Richtlinienkombination nutzt bzw. akzeptiert, da der S2S-VPN-Tunnel andernfalls nicht hergestellt wird.Make sure your on-premises VPN device for the connection uses or accepts the exact policy combination, otherwise the S2S VPN tunnel will not establish.

Teil 4: Erstellen einer neuen VNet-zu-VNet-Verbindung mit einer IPsec/IKE-RichtliniePart 4 - Create a new VNet-to-VNet connection with IPsec/IKE policy

Die Schritte zum Erstellen einer VNet-zu-VNet-Verbindung mit einer IPsec/IKE-Richtlinie ähneln denen für eine S2S-VPN-Verbindung.The steps of creating a VNet-to-VNet connection with an IPsec/IKE policy are similar to that of a S2S VPN connection. Mit den folgenden Beispielskripts wird die Verbindung erstellt, wie im Diagramm zu sehen:The following sample scripts create the connection as shown in the diagram:

v2v-policy

Ausführlichere Informationen zum Erstellen einer VNet-zu-VNet-Verbindung finden Sie unter Konfigurieren einer VNet-zu-VNet-VPN-Gatewayverbindung mithilfe von PowerShell.See Create a VNet-to-VNet connection for more detailed steps for creating a VNet-to-VNet connection. Sie müssen Teil 3 ausführen, um TestVNet1 und das VPN-Gateway zu erstellen und zu konfigurieren.You must complete Part 3 to create and configure TestVNet1 and the VPN Gateway.

Schritt 1: Erstellen des zweiten virtuellen Netzwerks und VPN-GatewaysStep 1 - Create the second virtual network and VPN gateway

1. Deklarieren von Variablen1. Declare your variables

Achten Sie darauf, dass Sie die Werte durch die Werte ersetzen, die Sie für die Konfiguration verwenden möchten.Be sure to replace the values with the ones that you want to use for your configuration.

$RG2          = "TestPolicyRG2"
$Location2    = "East US 2"
$VNetName2    = "TestVNet2"
$FESubName2   = "FrontEnd"
$BESubName2   = "Backend"
$GWSubName2   = "GatewaySubnet"
$VNetPrefix21 = "10.21.0.0/16"
$VNetPrefix22 = "10.22.0.0/16"
$FESubPrefix2 = "10.21.0.0/24"
$BESubPrefix2 = "10.22.0.0/24"
$GWSubPrefix2 = "10.22.255.0/27"
$DNS2         = "8.8.8.8"
$GWName2      = "VNet2GW"
$GW2IPName1   = "VNet2GWIP1"
$GW2IPconf1   = "gw2ipconf1"
$Connection21 = "VNet2toVNet1"
$Connection12 = "VNet1toVNet2"

2. Erstellen des zweiten virtuellen Netzwerks und VPN-Gateways in der neuen Ressourcengruppe2. Create the second virtual network and VPN gateway in the new resource group

New-AzureRmResourceGroup -Name $RG2 -Location $Location2

$fesub2 = New-AzureRmVirtualNetworkSubnetConfig -Name $FESubName2 -AddressPrefix $FESubPrefix2
$besub2 = New-AzureRmVirtualNetworkSubnetConfig -Name $BESubName2 -AddressPrefix $BESubPrefix2
$gwsub2 = New-AzureRmVirtualNetworkSubnetConfig -Name $GWSubName2 -AddressPrefix $GWSubPrefix2

New-AzureRmVirtualNetwork -Name $VNetName2 -ResourceGroupName $RG2 -Location $Location2 -AddressPrefix $VNetPrefix21,$VNetPrefix22 -Subnet $fesub2,$besub2,$gwsub2

$gw2pip1    = New-AzureRmPublicIpAddress -Name $GW2IPName1 -ResourceGroupName $RG2 -Location $Location2 -AllocationMethod Dynamic
$vnet2      = Get-AzureRmVirtualNetwork -Name $VNetName2 -ResourceGroupName $RG2
$subnet2    = Get-AzureRmVirtualNetworkSubnetConfig -Name "GatewaySubnet" -VirtualNetwork $vnet2
$gw2ipconf1 = New-AzureRmVirtualNetworkGatewayIpConfig -Name $GW2IPconf1 -Subnet $subnet2 -PublicIpAddress $gw2pip1

New-AzureRmVirtualNetworkGateway -Name $GWName2 -ResourceGroupName $RG2 -Location $Location2 -IpConfigurations $gw2ipconf1 -GatewayType Vpn -VpnType RouteBased -GatewaySku HighPerformance

Schritt 2: Erstellen einer VNet-zu-VNet-Verbindung mit der IPsec/IKE-RichtlinieStep 2 - Create a VNet-toVNet connection with the IPsec/IKE policy

Erstellen Sie ähnlich wie bei der S2S-VPN-Verbindung eine IPsec/IKE-Richtlinie, und wenden Sie die Richtlinie dann auf die neue Verbindung an.Similar to the S2S VPN connection, create an IPsec/IKE policy then apply to policy to the new connection.

1. Erstellen Sie eine IPsec/IKE-Richtlinie.1. Create an IPsec/IKE policy

Im folgenden Beispielskript wird eine andere IPsec/IKE-Richtlinie mit den folgenden Algorithmen und Parametern erstellt:The following sample script creates a different IPsec/IKE policy with the following algorithms and parameters:

  • IKEv2: AES128, SHA1, DHGroup14IKEv2: AES128, SHA1, DHGroup14
  • IPsec: GCMAES128, GCMAES128, PFS14, SA-Gültigkeitsdauer 14.400 Sekunden und 102.400.000 KBIPsec: GCMAES128, GCMAES128, PFS14, SA Lifetime 14400 seconds & 102400000KB
$ipsecpolicy2 = New-AzureRmIpsecPolicy -IkeEncryption AES128 -IkeIntegrity SHA1 -DhGroup DHGroup14 -IpsecEncryption GCMAES128 -IpsecIntegrity GCMAES128 -PfsGroup PFS14 -SALifeTimeSeconds 14400 -SADataSizeKilobytes 102400000

2. Erstellen von VNet-zu-VNet-Verbindungen mit der IPsec/IKE-Richtlinie2. Create VNet-to-VNet connections with the IPsec/IKE policy

Erstellen Sie eine VNet-zu-VNet-Verbindung, und wenden Sie die von Ihnen erstellte IPsec/IKE-Richtlinie an.Create a VNet-to-VNet connection and apply the IPsec/IKE policy you created. In diesem Beispiel befinden sich beide Gateways im selben Abonnement.In this example, both gateways are in the same subscription. Daher ist es möglich, beide Verbindungen mit derselben IPsec/IKE-Richtlinie in derselben PowerShell-Sitzung zu erstellen und zu konfigurieren.So it is possible to create and configure both connections with the same IPsec/IKE policy in the same PowerShell session.

$vnet1gw = Get-AzureRmVirtualNetworkGateway -Name $GWName1  -ResourceGroupName $RG1
$vnet2gw = Get-AzureRmVirtualNetworkGateway -Name $GWName2  -ResourceGroupName $RG2

New-AzureRmVirtualNetworkGatewayConnection -Name $Connection12 -ResourceGroupName $RG1 -VirtualNetworkGateway1 $vnet1gw -VirtualNetworkGateway2 $vnet2gw -Location $Location1 -ConnectionType Vnet2Vnet -IpsecPolicies $ipsecpolicy2 -SharedKey 'AzureA1b2C3'

New-AzureRmVirtualNetworkGatewayConnection -Name $Connection21 -ResourceGroupName $RG2 -VirtualNetworkGateway1 $vnet2gw -VirtualNetworkGateway2 $vnet1gw -Location $Location2 -ConnectionType Vnet2Vnet -IpsecPolicies $ipsecpolicy2 -SharedKey 'AzureA1b2C3'

Wichtig

Nachdem für eine Verbindung eine IPsec/IKE-Richtlinie angegeben wurde, sendet bzw. akzeptiert das Azure-VPN-Gateway den IPsec/IKE-Vorschlag mit angegebenen Kryptografiealgorithmen und Schlüsselstärken nur für die jeweilige Verbindung.Once an IPsec/IKE policy is specified on a connection, the Azure VPN gateway will only send or accept the IPsec/IKE proposal with specified cryptographic algorithms and key strengths on that particular connection. Stellen Sie sicher, dass die IPsec-Richtlinien für beide Verbindungen identisch sind, da die VNet-zu-VNet-Verbindung ansonsten nicht hergestellt wird.Make sure the IPsec policies for both connections are the same, otherwise the VNet-to-VNet connection will not establish.

Nachdem Sie diese Schritte ausgeführt haben, wird die Verbindung innerhalb weniger Minuten hergestellt, und Sie verfügen über die gleiche Netzwerktopologie wie am Anfang des Artikels gezeigt:After completing these steps, the connection is established in a few minutes, and you will have the following network topology as shown in the beginning:

IPsec/IKE-Richtlinie

Teil 5: Aktualisieren der IPsec/IKE-Richtlinie für eine VerbindungPart 5 - Update IPsec/IKE policy for a connection

Im diesem letzten Abschnitt erfahren Sie, wie Sie die IPsec/IKE-Richtlinie für eine vorhandene S2S- oder VNet-zu-VNet-Verbindung verwalten.The last section shows you how to manage IPsec/IKE policy for an existing S2S or VNet-to-VNet connection. In der Übung unten werden die folgenden Vorgänge einer Verbindung schrittweise beschrieben:The exercise below walks you through the following operations on a connection:

  1. Anzeigen der IPsec/IKE-Richtlinie einer VerbindungShow the IPsec/IKE policy of a connection
  2. Hinzufügen oder Aktualisieren der IPsec/IKE-Richtlinie für eine VerbindungAdd or update the IPsec/IKE policy to a connection
  3. Entfernen der IPsec/IKE-Richtlinie aus einer VerbindungRemove the IPsec/IKE policy from a connection

Für S2S- und VNet-zu-VNet-Verbindungen gelten die gleichen Schritte.The same steps apply to both S2S and VNet-to-VNet connections.

Wichtig

Die IPsec-/IKE-Richtlinie wird nur für routenbasierte VPN-Gateways vom Typ Standard und HighPerformance unterstützt.IPsec/IKE policy is supported on Standard and HighPerformance route-based VPN gateways only. Sie funktioniert nicht für die Gateway-SKU „Basic“ oder das richtlinienbasierte VPN-Gateway.It does not work on the Basic gateway SKU or the policy-based VPN gateway.

1. Anzeigen der IPsec/IKE-Richtlinie einer Verbindung1. Show the IPsec/IKE policy of a connection

Im folgenden Beispiel wird veranschaulicht, wie Sie die für eine Verbindung konfigurierte IPsec/IKE-Richtlinie abrufen.The following example shows how to get the IPsec/IKE policy configured on a connection. Die Skripts der obigen Übungen werden fortgesetzt.The scripts also continue from the exercises above.

$RG1          = "TestPolicyRG1"
$Connection16 = "VNet1toSite6"
$connection6  = Get-AzureRmVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1
$connection6.IpsecPolicies

Mit dem letzten Befehl wird die aktuelle IPsec/IKE-Richtlinie für die Verbindung konfiguriert (sofern vorhanden).The last command lists the current IPsec/IKE policy configured on the connection, if there is any. Nachfolgend sehen Sie eine Beispielausgabe für die Verbindung:The following is a sample output for the connection:

SALifeTimeSeconds   : 14400
SADataSizeKilobytes : 102400000
IpsecEncryption     : AES256
IpsecIntegrity      : SHA256
IkeEncryption       : AES256
IkeIntegrity        : SHA384
DhGroup             : DHGroup24
PfsGroup            : PFS24

Ist keine IPsec/IKE-Richtlinie konfiguriert, generiert der Befehl (PS> $connection6.policy) eine leere Rückgabe.If there is no IPsec/IKE policy configured, the command (PS> $connection6.policy) gets an empty return. Dies bedeutet nicht, dass IPsec/IKE nicht für die Verbindung konfiguriert wurde, sondern dass keine benutzerdefinierte IPsec/IKE-Richtlinie vorhanden ist.It does not mean IPsec/IKE is not configured on the connection, but that there is no custom IPsec/IKE policy. Für die eigentliche Verbindung wird die Standardrichtlinie verwendet, die zwischen Ihrem lokalen VPN-Gerät und dem Azure-VPN-Gateway ausgehandelt wurde.The actual connection uses the default policy negotiated between your on-premises VPN device and the Azure VPN gateway.

2. Hinzufügen oder Aktualisieren einer IPsec/IKE-Richtlinie für eine Verbindung2. Add or update an IPsec/IKE policy for a connection

Die Schritte zum Hinzufügen einer neuen Richtlinie oder Aktualisieren einer vorhandenen Richtlinie für eine Verbindung sind identisch: Erstellen Sie eine neue Richtlinie, und wenden Sie sie anschließend auf die Verbindung an.The steps to add a new policy or update an existing policy on a connection are the same: create a new policy then apply the new policy to the connection.

$RG1          = "TestPolicyRG1"
$Connection16 = "VNet1toSite6"
$connection6  = Get-AzureRmVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1

$newpolicy6   = New-AzureRmIpsecPolicy -IkeEncryption AES128 -IkeIntegrity SHA1 -DhGroup DHGroup14 -IpsecEncryption AES256 -IpsecIntegrity SHA256 -PfsGroup None -SALifeTimeSeconds 14400 -SADataSizeKilobytes 102400000

Set-AzureRmVirtualNetworkGatewayConnection -VirtualNetworkGatewayConnection $connection6 -IpsecPolicies $newpolicy6

Fügen Sie zum Aktivieren von „UsePolicyBasedTrafficSelectors“ beim Herstellen einer Verbindung mit einem lokalen richtlinienbasierten VPN-Gerät dem Cmdlet den Parameter „-UsePolicyBaseTrafficSelectors“ hinzu, oder legen Sie dafür „$False“ fest, um die Option zu deaktivieren:To enable "UsePolicyBasedTrafficSelectors" when connecting to an on-premises policy-based VPN device, add the "-UsePolicyBaseTrafficSelectors" parameter to the cmdlet, or set it to $False to disable the option:

Set-AzureRmVirtualNetworkGatewayConnection -VirtualNetworkGatewayConnection $connection6 -IpsecPolicies $newpolicy6 -UsePolicyBasedTrafficSelectors $True

Sie können die Verbindung erneut abrufen, um zu überprüfen, ob die Richtlinie aktualisiert wird.You can get the connection again to check if the policy is updated.

$connection6  = Get-AzureRmVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1
$connection6.IpsecPolicies

Die Ausgabe der letzten Zeile sollte wie im folgenden Beispiel aussehen:You should see the output from the last line, as shown in the following example:

SALifeTimeSeconds   : 14400
SADataSizeKilobytes : 102400000
IpsecEncryption     : AES256
IpsecIntegrity      : SHA256
IkeEncryption       : AES128
IkeIntegrity        : SHA1
DhGroup             : DHGroup14
PfsGroup            : None

3. Entfernen einer IPsec/IKE-Richtlinie aus einer Verbindung3. Remove an IPsec/IKE policy from a connection

Wenn Sie die benutzerdefinierte Richtlinie für eine Verbindung entfernen, verwendet das Azure-VPN-Gateway wieder die Standardliste mit IPsec-/IKE-Vorschlägen und beginnt eine neue Aushandlung mit Ihrem lokalen VPN-Gerät.Once you remove the custom policy from a connection, the Azure VPN gateway reverts back to the default list of IPsec/IKE proposals and renegotiates again with your on-premises VPN device.

$RG1           = "TestPolicyRG1"
$Connection16  = "VNet1toSite6"
$connection6   = Get-AzureRmVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1

$currentpolicy = $connection6.IpsecPolicies[0]
$connection6.IpsecPolicies.Remove($currentpolicy)

Set-AzureRmVirtualNetworkGatewayConnection -VirtualNetworkGatewayConnection $connection6

Mit dem gleichen Skript können Sie prüfen, ob die Richtlinie für die Verbindung entfernt wurde.You can use the same script to check if the policy has been removed from the connection.

Nächste SchritteNext steps

Ausführliche Informationen zu richtlinienbasierten Datenverkehrsselektoren finden Sie unter Herstellen einer Verbindung zwischen Azure-VPN-Gateways und mehreren lokalen richtlinienbasierten VPN-Geräten mit PowerShell.See Connect multiple on-premises policy-based VPN devices for more details regarding policy-based traffic selectors.

Sobald die Verbindung hergestellt ist, können Sie Ihren virtuellen Netzwerken virtuelle Computer hinzufügen.Once your connection is complete, you can add virtual machines to your virtual networks. Für diese Schritte finden Sie Informationen unter Erstellen eines virtuellen Computers .See Create a Virtual Machine for steps.