Configurar una directiva de IPsec o IKE para conexiones VPN de sitio a sitio o de red virtual a red virtualConfigure IPsec/IKE policy for S2S VPN or VNet-to-VNet connections

Este artículo le guiará por los pasos para configurar una directiva de IPsec o IKE para conexiones VPN de sitio a sitio o de red virtual a red virtual mediante el modelo de implementación de Resource Manager y PowerShell.This article walks you through the steps to configure IPsec/IKE policy for Site-to-Site VPN or VNet-to-VNet connections using the Resource Manager deployment model and PowerShell.

Nota

Este artículo se ha actualizado para usar el nuevo módulo Az de Azure PowerShell.This article has been updated to use the new Azure PowerShell Az module. Aún puede usar el módulo de AzureRM que continuará recibiendo correcciones de errores hasta diciembre de 2020 como mínimo.You can still use the AzureRM module, which will continue to receive bug fixes until at least December 2020. Para más información acerca del nuevo módulo Az y la compatibilidad con AzureRM, consulte Introducing the new Azure PowerShell Az module (Presentación del nuevo módulo Az de Azure PowerShell).To learn more about the new Az module and AzureRM compatibility, see Introducing the new Azure PowerShell Az module. Para obtener instrucciones sobre la instalación del módulo Az, consulte Instalación de Azure PowerShell.For Az module installation instructions, see Install Azure PowerShell.

Acerca de los parámetros de la directiva de IPsec e IKE para Azure VPN gatewayAbout IPsec and IKE policy parameters for Azure VPN gateways

El protocolo IPsec e IKE estándar admite una gran variedad de algoritmos criptográficos en diversas combinaciones.IPsec and IKE protocol standard supports a wide range of cryptographic algorithms in various combinations. En About cryptographic requirements and Azure VPN gateways (Acerca de los requisitos de cifrado y las puertas de enlace de VPN de Azure) se describe la manera en que esto puede ayudar a garantizar que la conectividad entre locales y de red virtual a red virtual satisface los requisitos de cumplimiento o seguridad.Refer to About cryptographic requirements and Azure VPN gateways to see how this can help ensuring cross-premises and VNet-to-VNet connectivity satisfy your compliance or security requirements.

En este artículo se proporcionan instrucciones para crear y configurar una directiva de IPsec o IKE y aplicarla a una conexión nueva o existente:This article provides instructions to create and configure an IPsec/IKE policy and apply to a new or existing connection:

Importante

  1. Tenga en cuenta que la directiva de IPsec/IKE solo funciona en las SKU de puerta de enlace siguiente:Note that IPsec/IKE policy only works on the following gateway SKUs:
    • VpnGw1, VpnGw2, VpnGw3 (basadas en enrutamiento)VpnGw1, VpnGw2, VpnGw3 (route-based)
    • Standard y HighPerformance (basadas en enrutamiento)Standard and HighPerformance (route-based)
  2. Solo se puede especificar una combinación de directivas para una conexión dada.You can only specify one policy combination for a given connection.
  3. Es preciso especificar todos los algoritmos y parámetros de IKE (modo principal) e IPsec (modo rápido).You must specify all algorithms and parameters for both IKE (Main Mode) and IPsec (Quick Mode). No se permite la especificación de una directiva parcial.Partial policy specification is not allowed.
  4. Consulte las especificaciones del proveedor de dispositivos VPN para asegurarse de que los dispositivos VPN locales admiten la directiva.Consult with your VPN device vendor specifications to ensure the policy is supported on your on-premises VPN devices. No se pueden establecer conexiones de sitio a sitio o de red virtual a red virtual si las directivas son incompatibles.S2S or VNet-to-VNet connections cannot establish if the policies are incompatible.

Parte 1: flujo de trabajo para crear y establecer una directiva de IPsec o IKEPart 1 - Workflow to create and set IPsec/IKE policy

En esta sección se describe el flujo de trabajo para crear y actualizar una directiva de IPsec o IKE en una conexión VPN de sitio a sitio o de red virtual a red virtual:This section outlines the workflow to create and update IPsec/IKE policy on a S2S VPN or VNet-to-VNet connection:

  1. Crear una red virtual y una puerta de enlace de VPNCreate a virtual network and a VPN gateway
  2. Crear una puerta de enlace de red local para la conexión entre locales, u otra red virtual y puerta de enlace para la conexión de red virtual a red virtualCreate a local network gateway for cross premises connection, or another virtual network and gateway for VNet-to-VNet connection
  3. Crear una directiva de IPsec o IKE con los algoritmos y parámetros seleccionadosCreate an IPsec/IKE policy with selected algorithms and parameters
  4. Crear una conexión (IPsec o de red virtual a red virtual) con la directiva de IPsec o IKECreate a connection (IPsec or VNet2VNet) with the IPsec/IKE policy
  5. Agregar, actualizar o quitar una directiva de IPsec o IKE para una conexión existenteAdd/update/remove an IPsec/IKE policy for an existing connection

Las instrucciones incluidas en este artículo le ayudan a instalar y configurar directivas de IPsec o IKE como se muestra en el diagrama:The instructions in this article helps you set up and configure IPsec/IKE policies as shown in the diagram:

ipsec-ike-policy

Parte 2: algoritmos criptográficos y niveles de clave admitidosPart 2 - Supported cryptographic algorithms & key strengths

En la tabla siguiente se enumeran los algoritmos criptográficos y los niveles de las claves admitidos que pueden configurar los clientes:The following table lists the supported cryptographic algorithms and key strengths configurable by the customers:

IPsec o IKEv2IPsec/IKEv2 OpcionesOptions
Cifrado IKEv2IKEv2 Encryption AES256, AES192, AES128, DES3, DESAES256, AES192, AES128, DES3, DES
Integridad de IKEv2IKEv2 Integrity SHA384, SHA256, SHA1, MD5SHA384, SHA256, SHA1, MD5
Grupo DHDH Group DHGroup24, ECP384, ECP256, DHGroup14, DHGroup2048, DHGroup2, DHGroup1, NoDHGroup24, ECP384, ECP256, DHGroup14, DHGroup2048, DHGroup2, DHGroup1, None
Cifrado IPsecIPsec Encryption GCMAES256, GCMAES192, GCMAES128, AES256, AES192, AES128, DES3, DES, NoGCMAES256, GCMAES192, GCMAES128, AES256, AES192, AES128, DES3, DES, None
Integridad de IPsecIPsec Integrity GCMASE256, GCMAES192, GCMAES128, SHA256, SHA1, MD5GCMASE256, GCMAES192, GCMAES128, SHA256, SHA1, MD5
Grupo PFSPFS Group PFS24, ECP384, ECP256, PFS2048, PFS2, PFS1, NoPFS24, ECP384, ECP256, PFS2048, PFS2, PFS1, None
Vigencia de SA QMQM SA Lifetime (Opcional: Se usan los valores predeterminados si no se especifica ningún valor)(Optional: default values are used if not specified)
Segundos (entero; mín. 300/predeterminado 27000 segundos)Seconds (integer; min. 300/default 27000 seconds)
KBytes (entero; mín. 1024/predeterminado 102400000 KBytes)KBytes (integer; min. 1024/default 102400000 KBytes)
Selector de tráficoTraffic Selector UsePolicyBasedTrafficSelectors** ($True/$False; Opcional, valor predeterminado $False si no se especifica)UsePolicyBasedTrafficSelectors** ($True/$False; Optional, default $False if not specified)

Importante

  1. La configuración de su dispositivo VPN local debe coincidir o contener los siguientes algoritmos y parámetros que se especifican en la directiva de IPsec o IKE de Azure:Your on-premises VPN device configuration must match or contain the following algorithms and parameters that you specify on the Azure IPsec/IKE policy:

    • Algoritmo de cifrado de IKE (modo principal/fase 1)IKE encryption algorithm (Main Mode / Phase 1)
    • Algoritmo de integridad de IKE (modo principal/fase 1)IKE integrity algorithm (Main Mode / Phase 1)
    • Grupo DH (modo principal/fase 1)DH Group (Main Mode / Phase 1)
    • Algoritmo de cifrado de IPsec (modo rápido/fase 2)IPsec encryption algorithm (Quick Mode / Phase 2)
    • Algoritmo de integridad de IPsec (modo rápido/fase 2)IPsec integrity algorithm (Quick Mode / Phase 2)
    • Grupo PFS (modo rápido/fase 2)PFS Group (Quick Mode / Phase 2)
    • Selector de tráfico (si se usa UsePolicyBasedTrafficSelectors)Traffic Selector (if UsePolicyBasedTrafficSelectors is used)
    • Las vigencias de SA solo son especificaciones locales, no es preciso que coincidan.The SA lifetimes are local specifications only, do not need to match.
  2. Si se usa GCMAES para el algoritmo de cifrado IPsec, se debe seleccionar el mismo algoritmo GCMAES y longitud de clave para la integridad de IPsec; por ejemplo, el uso de GCMAES128 para ambosIf GCMAES is used as for IPsec Encryption algorithm, you must select the same GCMAES algorithm and key length for IPsec Integrity; for example, using GCMAES128 for both

  3. En la tabla anterior:In the table above:

    • IKEv2 corresponde al modo principal o fase 1IKEv2 corresponds to Main Mode or Phase 1
    • IPsec corresponde al modo rápido o fase 2IPsec corresponds to Quick Mode or Phase 2
    • El Grupo DH especifica el grupo Diffie-Hellmen utilizado en el modo principal o fase 1DH Group specifies the Diffie-Hellmen Group used in Main Mode or Phase 1
    • El grupo PFS especifica el grupo Diffie-Hellmen utilizado en el modo rápido o fase 2PFS Group specified the Diffie-Hellmen Group used in Quick Mode or Phase 2
  4. La vigencia de SA del modo principal de IKEv2 se fija en 28 800 segundos en las puertas de enlace de VPN de AzureIKEv2 Main Mode SA lifetime is fixed at 28,800 seconds on the Azure VPN gateways

  5. Si establece "UsePolicyBasedTrafficSelectors" en $True en una conexión, configurará la puerta de enlace de VPN de Azure de modo que se conecte al firewall VPN basado en directivas de forma local.Setting "UsePolicyBasedTrafficSelectors" to $True on a connection will configure the Azure VPN gateway to connect to policy-based VPN firewall on premises. Si habilita PolicyBasedTrafficSelectors, debe asegurarse de que el dispositivo VPN tiene los selectores de tráfico coincidentes definidos con todas las combinaciones de sus prefijos de red local (puerta de enlace de red local) a o desde los prefijos de red virtual de Azure, en lugar de cualquiera a cualquiera.If you enable PolicyBasedTrafficSelectors, you need to ensure your VPN device has the matching traffic selectors defined with all combinations of your on-premises network (local network gateway) prefixes to/from the Azure virtual network prefixes, instead of any-to-any. Por ejemplo, si sus prefijos de red local son 10.1.0.0/16 y 10.2.0.0/16, y sus prefijos de red virtual son 192.168.0.0/16 y 172.16.0.0/16, debe especificar los siguientes selectores de tráfico:For example, if your on-premises network prefixes are 10.1.0.0/16 and 10.2.0.0/16, and your virtual network prefixes are 192.168.0.0/16 and 172.16.0.0/16, you need to specify the following traffic selectors:

    • 10.1.0.0/16 <====> 192.168.0.0/1610.1.0.0/16 <====> 192.168.0.0/16
    • 10.1.0.0/16 <====> 172.16.0.0/1610.1.0.0/16 <====> 172.16.0.0/16
    • 10.2.0.0/16 <====> 192.168.0.0/1610.2.0.0/16 <====> 192.168.0.0/16
    • 10.2.0.0/16 <====> 172.16.0.0/1610.2.0.0/16 <====> 172.16.0.0/16

Para obtener más información sobre los selectores de tráfico basados en directivas, consulte Connect multiple on-premises policy-based VPN devices (Conectar varios dispositivos VPN basados en directivas locales).For more information regarding policy-based traffic selectors, see Connect multiple on-premises policy-based VPN devices.

En la tabla siguiente se muestran los grupos Diffie-Hellman admitidos en la directiva personalizada:The following table lists the corresponding Diffie-Hellman Groups supported by the custom policy:

Grupo Diffie-HellmanDiffie-Hellman Group Grupo DHDHGroup Grupo PFSPFSGroup Longitud de claveKey length
11 DHGroup1DHGroup1 PFS1PFS1 MODP de 768 bits768-bit MODP
22 DHGroup2DHGroup2 PFS2PFS2 MODP de 1024 bits1024-bit MODP
1414 DHGroup14DHGroup14
DHGroup2048DHGroup2048
PFS2048PFS2048 MODP de 2048 bits2048-bit MODP
1919 ECP256ECP256 ECP256ECP256 ECP de 256 bits256-bit ECP
2020 ECP384ECP384 ECP384ECP384 ECP de 384 bits384-bit ECP
2424 DHGroup24DHGroup24 PFS24PFS24 MODP de 2048 bits2048-bit MODP

Consulte RFC3526 y RFC5114 para ver información más detallada.Refer to RFC3526 and RFC5114 for more details.

Parte 3: crear una conexión VPN de sitio a sitio con una directiva de IPsec o IKEPart 3 - Create a new S2S VPN connection with IPsec/IKE policy

En esta sección se describen los pasos necesarios para crear una conexión VPN de sitio a sitio con una directiva de IPsec o IKE.This section walks you through the steps of creating a S2S VPN connection with an IPsec/IKE policy. Con los pasos siguientes crea la conexión como se muestra en el diagrama:The following steps create the connection as shown in the diagram:

s2s-policy

Consulte Creación de una conexión VPN de sitio a sitio para obtener instrucciones detalladas sobre cómo crear una conexión VPN de sitio a sitio.See Create a S2S VPN connection for more detailed step-by-step instructions for creating a S2S VPN connection.

Antes de empezarBefore you begin

Paso 1: Creación de la red virtual, VPN Gateway y la puerta de enlace de red localStep 1 - Create the virtual network, VPN gateway, and local network gateway

1. Declaración de las variables1. Declare your variables

Para este ejercicio, se empieza por declarar las variables.For this exercise, we start by declaring our variables. Asegúrese de reemplazar los valores por los suyos propios cuando realice la configuración para el entorno de producción.Be sure to replace the values with your own when configuring for production.

$Sub1          = "<YourSubscriptionName>"
$RG1           = "TestPolicyRG1"
$Location1     = "East US 2"
$VNetName1     = "TestVNet1"
$FESubName1    = "FrontEnd"
$BESubName1    = "Backend"
$GWSubName1    = "GatewaySubnet"
$VNetPrefix11  = "10.11.0.0/16"
$VNetPrefix12  = "10.12.0.0/16"
$FESubPrefix1  = "10.11.0.0/24"
$BESubPrefix1  = "10.12.0.0/24"
$GWSubPrefix1  = "10.12.255.0/27"
$DNS1          = "8.8.8.8"
$GWName1       = "VNet1GW"
$GW1IPName1    = "VNet1GWIP1"
$GW1IPconf1    = "gw1ipconf1"
$Connection16  = "VNet1toSite6"

$LNGName6      = "Site6"
$LNGPrefix61   = "10.61.0.0/16"
$LNGPrefix62   = "10.62.0.0/16"
$LNGIP6        = "131.107.72.22"

2. Conexión a su suscripción y creación de un nuevo grupo de recursos2. Connect to your subscription and create a new resource group

Asegúrese de cambiar el modo de PowerShell para que use los cmdlets del Administrador de recursos.Make sure you switch to PowerShell mode to use the Resource Manager cmdlets. Para obtener más información, consulte Uso de Windows PowerShell con el Administrador de recursos.For more information, see Using Windows PowerShell with Resource Manager.

Abre la consola de PowerShell y conéctate a tu cuenta.Open your PowerShell console and connect to your account. Use el siguiente ejemplo para ayudarle a conectarse:Use the following sample to help you connect:

Connect-AzAccount
Select-AzSubscription -SubscriptionName $Sub1
New-AzResourceGroup -Name $RG1 -Location $Location1

3. Creación de la red virtual, la puerta de enlace de VPN y la puerta de enlace de red local3. Create the virtual network, VPN gateway, and local network gateway

En el ejemplo siguiente se crea la red virtual, TestVNet1, con tres subredes y VPN Gateway.The following sample creates the virtual network, TestVNet1, with three subnets, and the VPN gateway. Al reemplazar valores, es importante que siempre asigne el nombre GatewaySubnet a la subred de la puerta de enlace.When substituting values, it's important that you always name your gateway subnet specifically GatewaySubnet. Si usa otro, se produce un error al crear la puerta de enlace.If you name it something else, your gateway creation fails.

$fesub1 = New-AzVirtualNetworkSubnetConfig -Name $FESubName1 -AddressPrefix $FESubPrefix1
$besub1 = New-AzVirtualNetworkSubnetConfig -Name $BESubName1 -AddressPrefix $BESubPrefix1
$gwsub1 = New-AzVirtualNetworkSubnetConfig -Name $GWSubName1 -AddressPrefix $GWSubPrefix1

New-AzVirtualNetwork -Name $VNetName1 -ResourceGroupName $RG1 -Location $Location1 -AddressPrefix $VNetPrefix11,$VNetPrefix12 -Subnet $fesub1,$besub1,$gwsub1

$gw1pip1    = New-AzPublicIpAddress -Name $GW1IPName1 -ResourceGroupName $RG1 -Location $Location1 -AllocationMethod Dynamic
$vnet1      = Get-AzVirtualNetwork -Name $VNetName1 -ResourceGroupName $RG1
$subnet1    = Get-AzVirtualNetworkSubnetConfig -Name "GatewaySubnet" -VirtualNetwork $vnet1
$gw1ipconf1 = New-AzVirtualNetworkGatewayIpConfig -Name $GW1IPconf1 -Subnet $subnet1 -PublicIpAddress $gw1pip1

New-AzVirtualNetworkGateway -Name $GWName1 -ResourceGroupName $RG1 -Location $Location1 -IpConfigurations $gw1ipconf1 -GatewayType Vpn -VpnType RouteBased -GatewaySku VpnGw1

New-AzLocalNetworkGateway -Name $LNGName6 -ResourceGroupName $RG1 -Location $Location1 -GatewayIpAddress $LNGIP6 -AddressPrefix $LNGPrefix61,$LNGPrefix62

Paso 2: Creación de una conexión VPN de sitio a sitio con una directiva IPsec/IKEStep 2 - Create a S2S VPN connection with an IPsec/IKE policy

1. Cree una directiva IPsec/IKE.1. Create an IPsec/IKE policy

El script de ejemplo siguiente crea una directiva de IPsec o IKE con los algoritmos y parámetros siguientes:The following sample script creates an IPsec/IKE policy with the following algorithms and parameters:

  • IKEv2: AES256, SHA384 y DHGroup24IKEv2: AES256, SHA384, DHGroup24
  • IPsec: AES256, SHA256, sin PFS, 14 400 segundos de vigencia de SA y 102 400 000 KBIPsec: AES256, SHA256, PFS None, SA Lifetime 14400 seconds & 102400000KB
$ipsecpolicy6 = New-AzIpsecPolicy -IkeEncryption AES256 -IkeIntegrity SHA384 -DhGroup DHGroup24 -IpsecEncryption AES256 -IpsecIntegrity SHA256 -PfsGroup None -SALifeTimeSeconds 14400 -SADataSizeKilobytes 102400000

Si usa GCMAES para IPsec, debe usar el mismo algoritmo GCMAES y longitud de clave para la integridad y el cifrado IPsec.If you use GCMAES for IPsec, you must use the same GCMAES algorithm and key length for both IPsec encryption and integrity. En el ejemplo anterior, los parámetros correspondientes serán "-IpsecEncryption GCMAES256 -IpsecIntegrity GCMAES256" cuando se use GCMAES256.For example above, the corresponding parameters will be "-IpsecEncryption GCMAES256 -IpsecIntegrity GCMAES256" when using GCMAES256.

2. Crear la conexión VPN de sitio a sitio con la directiva de IPsec o IKE2. Create the S2S VPN connection with the IPsec/IKE policy

Cree una conexión VPN de sitio a sitio y aplique la directiva de IPsec o IKE creada anteriormente.Create an S2S VPN connection and apply the IPsec/IKE policy created earlier.

$vnet1gw = Get-AzVirtualNetworkGateway -Name $GWName1  -ResourceGroupName $RG1
$lng6 = Get-AzLocalNetworkGateway  -Name $LNGName6 -ResourceGroupName $RG1

New-AzVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1 -VirtualNetworkGateway1 $vnet1gw -LocalNetworkGateway2 $lng6 -Location $Location1 -ConnectionType IPsec -IpsecPolicies $ipsecpolicy6 -SharedKey 'AzureA1b2C3'

Opcionalmente, puede agregar "-UsePolicyBasedTrafficSelectors $True" al cmdlet para crear la conexión a fin de permitir que la puerta de enlace de VPN se conecte a dispositivos VPN basados en directivas de forma local, como se ha descrito anteriormente.You can optionally add "-UsePolicyBasedTrafficSelectors $True" to the create connection cmdlet to enable Azure VPN gateway to connect to policy-based VPN devices on premises, as described above.

Importante

Una vez que se haya especificado una directiva de IPsec o IKE en una conexión, la puerta de enlace de VPN de Azure solo enviará o aceptará la propuesta de IPsec o IKE con los algoritmos criptográficos y los niveles de clave especificados en esa conexión en particular.Once an IPsec/IKE policy is specified on a connection, the Azure VPN gateway will only send or accept the IPsec/IKE proposal with specified cryptographic algorithms and key strengths on that particular connection. Asegúrese de que el dispositivo VPN local para la conexión usa o acepta la combinación de directivas exacta. En caso contrario, no se establecerá el túnel VPN de sitio a sitio.Make sure your on-premises VPN device for the connection uses or accepts the exact policy combination, otherwise the S2S VPN tunnel will not establish.

Parte 4: crear una conexión de red virtual a red virtual con una directiva de IPsec o IKEPart 4 - Create a new VNet-to-VNet connection with IPsec/IKE policy

Los pasos necesarios para crear una conexión de red virtual a red virtual con una directiva de IPsec o IKE son similares a los pasos para crear una conexión VPN de sitio a sitio.The steps of creating a VNet-to-VNet connection with an IPsec/IKE policy are similar to that of a S2S VPN connection. Con los scripts de ejemplo siguientes crea la conexión como se muestra en el diagrama:The following sample scripts create the connection as shown in the diagram:

v2v-policy

Consulte Creación de una conexión de red virtual a red virtual para conocer los pasos detallados para crear una conexión de red virtual a red virtual.See Create a VNet-to-VNet connection for more detailed steps for creating a VNet-to-VNet connection. Tiene que completar la parte 3 para crear y configurar TestVNet1 y VPN Gateway.You must complete Part 3 to create and configure TestVNet1 and the VPN Gateway.

Paso 1: Creación de la segunda red virtual y VPN GatewayStep 1 - Create the second virtual network and VPN gateway

1. Declaración de las variables1. Declare your variables

Asegúrese de reemplazar los valores por los que desea usar para su configuración.Be sure to replace the values with the ones that you want to use for your configuration.

$RG2          = "TestPolicyRG2"
$Location2    = "East US 2"
$VNetName2    = "TestVNet2"
$FESubName2   = "FrontEnd"
$BESubName2   = "Backend"
$GWSubName2   = "GatewaySubnet"
$VNetPrefix21 = "10.21.0.0/16"
$VNetPrefix22 = "10.22.0.0/16"
$FESubPrefix2 = "10.21.0.0/24"
$BESubPrefix2 = "10.22.0.0/24"
$GWSubPrefix2 = "10.22.255.0/27"
$DNS2         = "8.8.8.8"
$GWName2      = "VNet2GW"
$GW2IPName1   = "VNet2GWIP1"
$GW2IPconf1   = "gw2ipconf1"
$Connection21 = "VNet2toVNet1"
$Connection12 = "VNet1toVNet2"

2. Creación de la segunda red virtual y la puerta de enlace de VPN en el nuevo grupo de recursos2. Create the second virtual network and VPN gateway in the new resource group

New-AzResourceGroup -Name $RG2 -Location $Location2

$fesub2 = New-AzVirtualNetworkSubnetConfig -Name $FESubName2 -AddressPrefix $FESubPrefix2
$besub2 = New-AzVirtualNetworkSubnetConfig -Name $BESubName2 -AddressPrefix $BESubPrefix2
$gwsub2 = New-AzVirtualNetworkSubnetConfig -Name $GWSubName2 -AddressPrefix $GWSubPrefix2

New-AzVirtualNetwork -Name $VNetName2 -ResourceGroupName $RG2 -Location $Location2 -AddressPrefix $VNetPrefix21,$VNetPrefix22 -Subnet $fesub2,$besub2,$gwsub2

$gw2pip1    = New-AzPublicIpAddress -Name $GW2IPName1 -ResourceGroupName $RG2 -Location $Location2 -AllocationMethod Dynamic
$vnet2      = Get-AzVirtualNetwork -Name $VNetName2 -ResourceGroupName $RG2
$subnet2    = Get-AzVirtualNetworkSubnetConfig -Name "GatewaySubnet" -VirtualNetwork $vnet2
$gw2ipconf1 = New-AzVirtualNetworkGatewayIpConfig -Name $GW2IPconf1 -Subnet $subnet2 -PublicIpAddress $gw2pip1

New-AzVirtualNetworkGateway -Name $GWName2 -ResourceGroupName $RG2 -Location $Location2 -IpConfigurations $gw2ipconf1 -GatewayType Vpn -VpnType RouteBased -GatewaySku HighPerformance

Paso 2: Creación de una conexión de red virtual a red virtual con la directiva de IPsec o IKEStep 2 - Create a VNet-toVNet connection with the IPsec/IKE policy

De forma similar a la conexión VPN de sitio a sitio, cree una directiva de IPsec o IKE y aplíquela a la nueva conexión.Similar to the S2S VPN connection, create an IPsec/IKE policy then apply to policy to the new connection.

1. Cree una directiva IPsec/IKE.1. Create an IPsec/IKE policy

El script de ejemplo siguiente crea una directiva de IPsec o IKE diferente con los algoritmos y parámetros siguientes:The following sample script creates a different IPsec/IKE policy with the following algorithms and parameters:

  • IKEv2: AES128, SHA1, DHGroup14IKEv2: AES128, SHA1, DHGroup14
  • IPsec: GCMAES128, GCMAES128, PFS14, 14 400 segundos de vigencia de SA y 102 400 000 KBIPsec: GCMAES128, GCMAES128, PFS14, SA Lifetime 14400 seconds & 102400000KB
$ipsecpolicy2 = New-AzIpsecPolicy -IkeEncryption AES128 -IkeIntegrity SHA1 -DhGroup DHGroup14 -IpsecEncryption GCMAES128 -IpsecIntegrity GCMAES128 -PfsGroup PFS14 -SALifeTimeSeconds 14400 -SADataSizeKilobytes 102400000

2. Crear conexiones de red virtual a red virtual con la directiva de IPsec o IKE2. Create VNet-to-VNet connections with the IPsec/IKE policy

Cree una conexión de red virtual a red virtual y aplique la directiva de IPsec o IKE creada.Create a VNet-to-VNet connection and apply the IPsec/IKE policy you created. En este ejemplo, ambas puertas de enlace están en la misma suscripción.In this example, both gateways are in the same subscription. Por esta razón, es posible crear y configurar las dos conexiones con la misma directiva de IPsec o IKE en la misma sesión de PowerShell.So it is possible to create and configure both connections with the same IPsec/IKE policy in the same PowerShell session.

$vnet1gw = Get-AzVirtualNetworkGateway -Name $GWName1  -ResourceGroupName $RG1
$vnet2gw = Get-AzVirtualNetworkGateway -Name $GWName2  -ResourceGroupName $RG2

New-AzVirtualNetworkGatewayConnection -Name $Connection12 -ResourceGroupName $RG1 -VirtualNetworkGateway1 $vnet1gw -VirtualNetworkGateway2 $vnet2gw -Location $Location1 -ConnectionType Vnet2Vnet -IpsecPolicies $ipsecpolicy2 -SharedKey 'AzureA1b2C3'

New-AzVirtualNetworkGatewayConnection -Name $Connection21 -ResourceGroupName $RG2 -VirtualNetworkGateway1 $vnet2gw -VirtualNetworkGateway2 $vnet1gw -Location $Location2 -ConnectionType Vnet2Vnet -IpsecPolicies $ipsecpolicy2 -SharedKey 'AzureA1b2C3'

Importante

Una vez que se haya especificado una directiva de IPsec o IKE en una conexión, la puerta de enlace de VPN de Azure solo enviará o aceptará la propuesta de IPsec o IKE con los algoritmos criptográficos y los niveles de clave especificados en esa conexión en particular.Once an IPsec/IKE policy is specified on a connection, the Azure VPN gateway will only send or accept the IPsec/IKE proposal with specified cryptographic algorithms and key strengths on that particular connection. Asegúrese de que las directivas de IPsec para ambas conexiones son iguales. En caso contrario, no se establecerá la conexión de red virtual a red virtual.Make sure the IPsec policies for both connections are the same, otherwise the VNet-to-VNet connection will not establish.

Después de completar estos pasos, la conexión se establecerá al cabo de unos minutos y tendrá la topología de red siguiente, tal como se mostró al principio:After completing these steps, the connection is established in a few minutes, and you will have the following network topology as shown in the beginning:

ipsec-ike-policy

Parte 5: actualizar una directiva de IPsec o IKE para una conexiónPart 5 - Update IPsec/IKE policy for a connection

En la última sección se muestra cómo administrar la directiva de IPsec o IKE para una conexión existente de sitio a sitio o de red virtual a red virtual.The last section shows you how to manage IPsec/IKE policy for an existing S2S or VNet-to-VNet connection. En el ejercicio siguiente se explica cómo se realizan las siguientes operaciones en una conexión:The exercise below walks you through the following operations on a connection:

  1. Mostrar la directiva de IPsec o IKE de una conexiónShow the IPsec/IKE policy of a connection
  2. Agregar o actualizar la directiva de IPsec o IKE para una conexiónAdd or update the IPsec/IKE policy to a connection
  3. Eliminar la directiva de IPsec o IKE de una conexiónRemove the IPsec/IKE policy from a connection

Los mismos pasos se aplican a las conexiones de sitio a sitio y de red virtual a red virtual.The same steps apply to both S2S and VNet-to-VNet connections.

Importante

La directiva de IPsec o IKE solo se admite en las puertas de enlace de VPN basadas en rutas Standard y HighPerformance.IPsec/IKE policy is supported on Standard and HighPerformance route-based VPN gateways only. No funciona en la SKU de puerta de enlace básica o la puerta de enlace de VPN basada en directivas.It does not work on the Basic gateway SKU or the policy-based VPN gateway.

1. Mostrar la directiva de IPsec o IKE de una conexión1. Show the IPsec/IKE policy of a connection

En el ejemplo siguiente se muestra cómo obtener la directiva de IPsec o IKE configurada en una conexión.The following example shows how to get the IPsec/IKE policy configured on a connection. Los scripts son una continuación de los ejercicios anteriores.The scripts also continue from the exercises above.

$RG1          = "TestPolicyRG1"
$Connection16 = "VNet1toSite6"
$connection6  = Get-AzVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1
$connection6.IpsecPolicies

El último comando muestra la directiva de IPsec o IKE actual configurada en la conexión, si existe.The last command lists the current IPsec/IKE policy configured on the connection, if there is any. La siguiente es una salida de ejemplo para la conexión:The following is a sample output for the connection:

SALifeTimeSeconds   : 14400
SADataSizeKilobytes : 102400000
IpsecEncryption     : AES256
IpsecIntegrity      : SHA256
IkeEncryption       : AES256
IkeIntegrity        : SHA384
DhGroup             : DHGroup24
PfsGroup            : PFS24

Si no hay ninguna directiva de IPsec o IKE configurada, el comando (PS> $connection6.policy) obtiene un valor devuelto vacío.If there is no IPsec/IKE policy configured, the command (PS> $connection6.policy) gets an empty return. Esto no significa que IPsec o IKE no esté configurado en la conexión, sino que no hay ninguna directiva de IPsec o IKE personalizada.It does not mean IPsec/IKE is not configured on the connection, but that there is no custom IPsec/IKE policy. La conexión real usa la directiva predeterminada que se negocia entre el dispositivo VPN local y Azure VPN Gateway.The actual connection uses the default policy negotiated between your on-premises VPN device and the Azure VPN gateway.

2. Agregar o actualizar una directiva de IPsec o IKE para una conexión2. Add or update an IPsec/IKE policy for a connection

Los pasos para agregar una nueva directiva o actualizar una directiva existente en una conexión son los mismos: crear una directiva y, después, aplicar la nueva directiva a la conexión.The steps to add a new policy or update an existing policy on a connection are the same: create a new policy then apply the new policy to the connection.

$RG1          = "TestPolicyRG1"
$Connection16 = "VNet1toSite6"
$connection6  = Get-AzVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1

$newpolicy6   = New-AzIpsecPolicy -IkeEncryption AES128 -IkeIntegrity SHA1 -DhGroup DHGroup14 -IpsecEncryption AES256 -IpsecIntegrity SHA256 -PfsGroup None -SALifeTimeSeconds 14400 -SADataSizeKilobytes 102400000

Set-AzVirtualNetworkGatewayConnection -VirtualNetworkGatewayConnection $connection6 -IpsecPolicies $newpolicy6

Para habilitar "UsePolicyBasedTrafficSelectors" al conectarse a un dispositivo VPN local basado en directivas, agregue el parámetro "-UsePolicyBaseTrafficSelectors" al cmdlet o establézcalo en $False para deshabilitar la opción:To enable "UsePolicyBasedTrafficSelectors" when connecting to an on-premises policy-based VPN device, add the "-UsePolicyBaseTrafficSelectors" parameter to the cmdlet, or set it to $False to disable the option:

Set-AzVirtualNetworkGatewayConnection -VirtualNetworkGatewayConnection $connection6 -IpsecPolicies $newpolicy6 -UsePolicyBasedTrafficSelectors $True

Puede obtener la conexión de nuevo para comprobar si la directiva está actualizada.You can get the connection again to check if the policy is updated.

$connection6  = Get-AzVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1
$connection6.IpsecPolicies

Debería ver la salida de la última línea tal como se muestra en el ejemplo siguiente:You should see the output from the last line, as shown in the following example:

SALifeTimeSeconds   : 14400
SADataSizeKilobytes : 102400000
IpsecEncryption     : AES256
IpsecIntegrity      : SHA256
IkeEncryption       : AES128
IkeIntegrity        : SHA1
DhGroup             : DHGroup14
PfsGroup            : None

3. Eliminar una directiva de IPsec o IKE de una conexión3. Remove an IPsec/IKE policy from a connection

Una vez que se quite la directiva personalizada de una conexión, Azure VPN Gateway vuelve a la lista predeterminada de propuestas de IPsec o IKE y vuelve a negociar con el dispositivo VPN local.Once you remove the custom policy from a connection, the Azure VPN gateway reverts back to the default list of IPsec/IKE proposals and renegotiates again with your on-premises VPN device.

$RG1           = "TestPolicyRG1"
$Connection16  = "VNet1toSite6"
$connection6   = Get-AzVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1

$currentpolicy = $connection6.IpsecPolicies[0]
$connection6.IpsecPolicies.Remove($currentpolicy)

Set-AzVirtualNetworkGatewayConnection -VirtualNetworkGatewayConnection $connection6

Puede usar el mismo script para comprobar si la directiva se ha quitado de la conexión.You can use the same script to check if the policy has been removed from the connection.

Pasos siguientesNext steps

Para obtener información sobre los selectores de tráfico basados en directivas, vea Connect multiple on-premises policy-based VPN devices (Conectar varios dispositivos VPN basados en directivas locales).See Connect multiple on-premises policy-based VPN devices for more details regarding policy-based traffic selectors.

Una vez completada la conexión, puede agregar máquinas virtuales a las redes virtuales.Once your connection is complete, you can add virtual machines to your virtual networks. Consulte Creación de una máquina virtual que ejecuta Windows en el Portal de Azure para ver los pasos.See Create a Virtual Machine for steps.