Configurer la stratégie IPsec/IKE pour des connexions VPN S2S ou de réseau virtuel à réseau virtuelConfigure IPsec/IKE policy for S2S VPN or VNet-to-VNet connections

Cet article vous guide dans les étapes de configuration de la stratégie IPsec/IKE pour la connexion VPN de site à site ou la connexion de réseau virtuel à réseau virtuel à l’aide du modèle de déploiement Resource Manager et de PowerShell.This article walks you through the steps to configure IPsec/IKE policy for Site-to-Site VPN or VNet-to-VNet connections using the Resource Manager deployment model and PowerShell.

Notes

Cet article a été mis à jour pour tenir compte de l’utilisation du nouveau module Az d’Azure PowerShell.This article has been updated to use the new Azure PowerShell Az module. Vous pouvez toujours utiliser le module AzureRM, qui continue à recevoir des correctifs de bogues jusqu’à au moins décembre 2020.You can still use the AzureRM module, which will continue to receive bug fixes until at least December 2020. Pour en savoir plus sur le nouveau module Az et la compatibilité avec AzureRM, consultez Présentation du nouveau module Az d’Azure PowerShell.To learn more about the new Az module and AzureRM compatibility, see Introducing the new Azure PowerShell Az module. Pour des instructions d’installation du module Az, consultez Installer Azure PowerShell.For Az module installation instructions, see Install Azure PowerShell.

À propos des paramètres de stratégie IPsec et IKE pour les passerelles VPN AzureAbout IPsec and IKE policy parameters for Azure VPN gateways

La norme de protocole IPsec et IKE standard prend en charge un vaste éventail d’algorithmes de chiffrement dans différentes combinaisons.IPsec and IKE protocol standard supports a wide range of cryptographic algorithms in various combinations. Pour découvrir comment cela peut vous aider à vous assurer que la connectivité entre sites locaux et de réseau virtuel à réseau virtuel répond à vos besoins de conformité ou de sécurité, voir À propos des exigences de chiffrement et des passerelles VPN Azure.Refer to About cryptographic requirements and Azure VPN gateways to see how this can help ensuring cross-premises and VNet-to-VNet connectivity satisfy your compliance or security requirements.

Cet article fournit des instructions pour créer et configurer une stratégie IPsec/IKE et appliquer celle-ci à une connexion nouvelle ou existante :This article provides instructions to create and configure an IPsec/IKE policy and apply to a new or existing connection:

Important

  1. Notez que la stratégie IPsec/IKE fonctionne uniquement sur les références (SKU) de passerelle suivantes :Note that IPsec/IKE policy only works on the following gateway SKUs:
    • VpnGw1, VpnGw2, VpnGw3 (basée sur le routage)VpnGw1, VpnGw2, VpnGw3 (route-based)
    • Standard et HighPerformance (basée sur le routage)Standard and HighPerformance (route-based)
  2. Vous pouvez uniquement spécifier une combinaison de stratégie pour une connexion donnée.You can only specify one policy combination for a given connection.
  3. Vous devez spécifier tous les algorithmes et paramètres pour IKE (mode principal) et IPsec (mode rapide).You must specify all algorithms and parameters for both IKE (Main Mode) and IPsec (Quick Mode). Vous n’êtes pas en droit de spécifier de stratégie partielle.Partial policy specification is not allowed.
  4. Consulter les spécifications de votre fournisseur de périphérique VPN pour vous assurer que la stratégie est prise en charge sur vos périphériques VPN locaux.Consult with your VPN device vendor specifications to ensure the policy is supported on your on-premises VPN devices. Des connexions S2S ou de réseau virtuel à réseau virtuel ne peuvent pas être établies si les stratégies ne sont pas compatibles.S2S or VNet-to-VNet connections cannot establish if the policies are incompatible.

Partie 1 : flux de travail de la création et de la définition d’une stratégie IPsec/IKEPart 1 - Workflow to create and set IPsec/IKE policy

Cette section décrit le flux de travail de la création et de la mise à jour d’une stratégie IPsec/IKE sur une connexion VPN S2S ou de réseau virtuel à réseau virtuel :This section outlines the workflow to create and update IPsec/IKE policy on a S2S VPN or VNet-to-VNet connection:

  1. créer un réseau virtuel et une passerelle VPN ;Create a virtual network and a VPN gateway
  2. créer une passerelle de réseau local pour une connexion entre sites locaux, ou un autre réseau virtuel et une passerelle pour une connexion de réseau virtuel à réseau virtuel ;Create a local network gateway for cross premises connection, or another virtual network and gateway for VNet-to-VNet connection
  3. créer une stratégie IPsec/IKE avec des algorithmes et paramètres sélectionnés ;Create an IPsec/IKE policy with selected algorithms and parameters
  4. créer une connexion (IPsec ou VNet2VNet) avec la stratégie IPsec/IKE ;Create a connection (IPsec or VNet2VNet) with the IPsec/IKE policy
  5. ajouter/mettre à jour/supprimer une stratégie IPsec/IKE pour une connexion existante.Add/update/remove an IPsec/IKE policy for an existing connection

Les instructions fournies dans cet article expliquent comment établir et configurer des stratégies IPsec/IKE comme indiqué dans le diagramme :The instructions in this article helps you set up and configure IPsec/IKE policies as shown in the diagram:

stratégie IPSec/IKE

Partie 2 : algorithmes de chiffrement pris en charge et avantages clésPart 2 - Supported cryptographic algorithms & key strengths

Le tableau suivant répertorie les algorithmes de chiffrement et les forces de clé pris en charge et configurables par les clients :The following table lists the supported cryptographic algorithms and key strengths configurable by the customers:

IPsec/IKEv2IPsec/IKEv2 OptionsOptions
Chiffrement IKEv2IKEv2 Encryption AES256, AES192, AES128, DES3, DESAES256, AES192, AES128, DES3, DES
Intégrité IKEv2IKEv2 Integrity SHA384, SHA256, SHA1, MD5SHA384, SHA256, SHA1, MD5
Groupe DHDH Group DHGroup24, ECP384, ECP256, DHGroup14, DHGroup2048, DHGroup2, DHGroup1, AucunDHGroup24, ECP384, ECP256, DHGroup14, DHGroup2048, DHGroup2, DHGroup1, None
Chiffrement IPsecIPsec Encryption GCMAES256, GCMAES192, GCMAES128, AES256, AES192, AES128, DES3, DES, AucunGCMAES256, GCMAES192, GCMAES128, AES256, AES192, AES128, DES3, DES, None
Intégrité IPsecIPsec Integrity GCMASE256, GCMAES192, GCMAES128, SHA256, SHA1, MD5GCMASE256, GCMAES192, GCMAES128, SHA256, SHA1, MD5
Groupe PFSPFS Group PFS24, ECP384, ECP256, PFS2048, PFS2, PFS1, AucunPFS24, ECP384, ECP256, PFS2048, PFS2, PFS1, None
Durée de vie de l’AS en mode rapideQM SA Lifetime (Facultatif : les valeurs par défaut sont utilisées si aucun valeur n’est indiquée)(Optional: default values are used if not specified)
Secondes (entier ; min 300 /par défaut 27 000 secondes)Seconds (integer; min. 300/default 27000 seconds)
Kilo-octets (entier ; min 1 024 /par défaut 102 400 000 Ko)KBytes (integer; min. 1024/default 102400000 KBytes)
Sélecteur de traficTraffic Selector UsePolicyBasedTrafficSelectors** ($True/$False ; facultatif, $False par défaut si aucune valeur n’est indiquée)UsePolicyBasedTrafficSelectors** ($True/$False; Optional, default $False if not specified)

Important

  1. La configuration de votre périphérique VPN local doit correspondre aux algorithmes et paramètres suivants spécifiés dans la stratégie IPsec/IKE Azure, ou les contenir :Your on-premises VPN device configuration must match or contain the following algorithms and parameters that you specify on the Azure IPsec/IKE policy:

    • Algorithme de chiffrement IKE (Mode principal / Phase 1)IKE encryption algorithm (Main Mode / Phase 1)
    • Algorithme d’intégrité IKE (Mode principal / Phase 1)IKE integrity algorithm (Main Mode / Phase 1)
    • Groupe DH (Mode principal / Phase 1)DH Group (Main Mode / Phase 1)
    • Algorithme de chiffrement IPsec (Mode rapide / Phase 2)IPsec encryption algorithm (Quick Mode / Phase 2)
    • Algorithme d’intégrité IPsec (Mode rapide / Phase 2)IPsec integrity algorithm (Quick Mode / Phase 2)
    • Groupe PFS (Mode rapide / Phase 2)PFS Group (Quick Mode / Phase 2)
    • Sélecteur de trafic (si UsePolicyBasedTrafficSelectors est utilisé)Traffic Selector (if UsePolicyBasedTrafficSelectors is used)
    • Les durées de vie de l’AS sont uniquement des spécifications locales, elles n’ont pas besoin de correspondre.The SA lifetimes are local specifications only, do not need to match.
  2. Si GCMAES est utilisé pour l’algorithme de chiffrement IPsec, vous devez sélectionner le même algorithme GCMAES et la même longueur de clé pour l’intégrité IPsec ; par exemple, GCMAES128 pour les deuxIf GCMAES is used as for IPsec Encryption algorithm, you must select the same GCMAES algorithm and key length for IPsec Integrity; for example, using GCMAES128 for both

  3. Dans le tableau ci-dessus :In the table above:

    • IKEv2 correspond au Mode principal ou à la Phase 1IKEv2 corresponds to Main Mode or Phase 1
    • IPsec correspond au Mode rapide ou à la Phase 2IPsec corresponds to Quick Mode or Phase 2
    • Groupe DH spécifie le groupe Diffie-Hellmen utilisé dans le Mode principal ou à la Phase 1DH Group specifies the Diffie-Hellmen Group used in Main Mode or Phase 1
    • Groupe PFS spécifie le groupe Diffie-Hellmen utilisé dans le Mode rapide ou à la Phase 2PFS Group specified the Diffie-Hellmen Group used in Quick Mode or Phase 2
  4. La durée de vie de l’AS en mode principal IKEv2 est fixée à 28 800 secondes pour les passerelles VPN AzureIKEv2 Main Mode SA lifetime is fixed at 28,800 seconds on the Azure VPN gateways

  5. La définition du paramètre « UsePolicyBasedTrafficSelectors » sur $True sur une connexion a pour effet de configurer la passerelle VPN Azure pour se connecter à un pare-feu VPN basé sur une stratégie en local.Setting "UsePolicyBasedTrafficSelectors" to $True on a connection will configure the Azure VPN gateway to connect to policy-based VPN firewall on premises. Si vous activez UsePolicyBasedTrafficSelectors, vous devez vous assurer que votre périphérique VPN dispose des sélecteurs de trafic correspondant définis avec toutes les combinaisons de préfixes de réseau local (passerelle réseau locale) à destination et à partir des préfixes du réseau virtuel Azure, plutôt que de manière indifférenciée.If you enable PolicyBasedTrafficSelectors, you need to ensure your VPN device has the matching traffic selectors defined with all combinations of your on-premises network (local network gateway) prefixes to/from the Azure virtual network prefixes, instead of any-to-any. Par exemple, si les préfixes de votre réseau local sont 10.1.0.0/16 et 10.2.0.0/16 et si les préfixes de votre réseau virtuel sont 192.168.0.0/16 et 172.16.0.0/16, vous devez spécifier les sélecteurs de trafic suivants :For example, if your on-premises network prefixes are 10.1.0.0/16 and 10.2.0.0/16, and your virtual network prefixes are 192.168.0.0/16 and 172.16.0.0/16, you need to specify the following traffic selectors:

    • 10.1.0.0/16 <====> 192.168.0.0/1610.1.0.0/16 <====> 192.168.0.0/16
    • 10.1.0.0/16 <====> 172.16.0.0/1610.1.0.0/16 <====> 172.16.0.0/16
    • 10.2.0.0/16 <====> 192.168.0.0/1610.2.0.0/16 <====> 192.168.0.0/16
    • 10.2.0.0/16 <====> 172.16.0.0/1610.2.0.0/16 <====> 172.16.0.0/16

Pour plus d’informations sur les sélecteurs de trafic basés sur une stratégie, voir Connecter plusieurs périphériques VPN basés sur une stratégie locale.For more information regarding policy-based traffic selectors, see Connect multiple on-premises policy-based VPN devices.

Le tableau suivant répertorie les groupes Diffie-Hellman correspondants pris en charge par la stratégie personnalisée :The following table lists the corresponding Diffie-Hellman Groups supported by the custom policy:

Groupe Diffie-HellmanDiffie-Hellman Group DHGroupDHGroup PFSGroupPFSGroup Longueur de cléKey length
11 DHGroup1DHGroup1 PFS1PFS1 MODP 768 bits768-bit MODP
22 DHGroup2DHGroup2 PFS2PFS2 MODP 1 024 bits1024-bit MODP
1414 DHGroup14DHGroup14
DHGroup2048DHGroup2048
PFS2048PFS2048 MODP 2 048 bits2048-bit MODP
1919 ECP256ECP256 ECP256ECP256 ECP 256 bits256-bit ECP
2020 ECP384ECP384 ECP284ECP284 ECP 384 bits384-bit ECP
2424 DHGroup24DHGroup24 PFS24PFS24 MODP 2 048 bits2048-bit MODP

Reportez-vous à RFC3526 et RFC5114 pour plus d’informations.Refer to RFC3526 and RFC5114 for more details.

Partie 3 : création d’une connexion VPN S2S avec une stratégie IPsec/IKEPart 3 - Create a new S2S VPN connection with IPsec/IKE policy

Cette section vous guide tout au long des étapes de création d’une connexion VPN S2S avec une stratégie IPsec/IKE.This section walks you through the steps of creating a S2S VPN connection with an IPsec/IKE policy. Les étapes suivantes créent la connexion comme indiqué dans le diagramme :The following steps create the connection as shown in the diagram:

stratégie S2S

Pour des instructions détaillées concernant la création d’une connexion VPN S2S, voir Créer une connexion VPN S2S.See Create a S2S VPN connection for more detailed step-by-step instructions for creating a S2S VPN connection.

Avant de commencerBefore you begin

  • Assurez-vous de disposer d’un abonnement Azure.Verify that you have an Azure subscription. Si vous ne disposez pas déjà d’un abonnement Azure, vous pouvez activer vos avantages abonnés MSDN ou créer un compte gratuit.If you don't already have an Azure subscription, you can activate your MSDN subscriber benefits or sign up for a free account.
  • Installez les applets de commande PowerShell Azure Resource Manager.Install the Azure Resource Manager PowerShell cmdlets. Consultez Présentation d’Azure PowerShell pour plus d’informations sur l’installation des applets de commande PowerShell.See Overview of Azure PowerShell for more information about installing the PowerShell cmdlets.

Étape 1 : création du réseau virtuel, de la passerelle VPN et de la passerelle de réseau localStep 1 - Create the virtual network, VPN gateway, and local network gateway

1. Déclarer vos variables1. Declare your variables

Dans cet exercice, nous allons commencer par déclarer les variables.For this exercise, we start by declaring our variables. Veillez à les remplacer par vos valeurs lors de la configuration dans un contexte de production.Be sure to replace the values with your own when configuring for production.

$Sub1          = "<YourSubscriptionName>"
$RG1           = "TestPolicyRG1"
$Location1     = "East US 2"
$VNetName1     = "TestVNet1"
$FESubName1    = "FrontEnd"
$BESubName1    = "Backend"
$GWSubName1    = "GatewaySubnet"
$VNetPrefix11  = "10.11.0.0/16"
$VNetPrefix12  = "10.12.0.0/16"
$FESubPrefix1  = "10.11.0.0/24"
$BESubPrefix1  = "10.12.0.0/24"
$GWSubPrefix1  = "10.12.255.0/27"
$DNS1          = "8.8.8.8"
$GWName1       = "VNet1GW"
$GW1IPName1    = "VNet1GWIP1"
$GW1IPconf1    = "gw1ipconf1"
$Connection16  = "VNet1toSite6"

$LNGName6      = "Site6"
$LNGPrefix61   = "10.61.0.0/16"
$LNGPrefix62   = "10.62.0.0/16"
$LNGIP6        = "131.107.72.22"

2. Se connecter à votre abonnement et créer un groupe de ressources2. Connect to your subscription and create a new resource group

Pour utiliser les applets de commande Resource Manager, passez au mode PowerShell.Make sure you switch to PowerShell mode to use the Resource Manager cmdlets. Pour plus d’informations, consultez la page Utilisation de Windows PowerShell avec Resource Manager.For more information, see Using Windows PowerShell with Resource Manager.

Ouvrez la console PowerShell et connectez-vous à votre compte.Open your PowerShell console and connect to your account. Utilisez l’exemple suivant pour faciliter votre connexion :Use the following sample to help you connect:

Connect-AzAccount
Select-AzSubscription -SubscriptionName $Sub1
New-AzResourceGroup -Name $RG1 -Location $Location1

3. Créer le réseau virtuel, la passerelle VPN et la passerelle de réseau local3. Create the virtual network, VPN gateway, and local network gateway

L’exemple suivant crée le réseau virtuel, TestVNet1, avec trois sous-réseaux et la passerelle VPN.The following sample creates the virtual network, TestVNet1, with three subnets, and the VPN gateway. Lorsque vous remplacez les valeurs, pensez à toujours nommer votre sous-réseau de passerelle « GatewaySubnet ».When substituting values, it's important that you always name your gateway subnet specifically GatewaySubnet. Si vous le nommez autrement, la création de votre passerelle échoue.If you name it something else, your gateway creation fails.

$fesub1 = New-AzVirtualNetworkSubnetConfig -Name $FESubName1 -AddressPrefix $FESubPrefix1
$besub1 = New-AzVirtualNetworkSubnetConfig -Name $BESubName1 -AddressPrefix $BESubPrefix1
$gwsub1 = New-AzVirtualNetworkSubnetConfig -Name $GWSubName1 -AddressPrefix $GWSubPrefix1

New-AzVirtualNetwork -Name $VNetName1 -ResourceGroupName $RG1 -Location $Location1 -AddressPrefix $VNetPrefix11,$VNetPrefix12 -Subnet $fesub1,$besub1,$gwsub1

$gw1pip1    = New-AzPublicIpAddress -Name $GW1IPName1 -ResourceGroupName $RG1 -Location $Location1 -AllocationMethod Dynamic
$vnet1      = Get-AzVirtualNetwork -Name $VNetName1 -ResourceGroupName $RG1
$subnet1    = Get-AzVirtualNetworkSubnetConfig -Name "GatewaySubnet" -VirtualNetwork $vnet1
$gw1ipconf1 = New-AzVirtualNetworkGatewayIpConfig -Name $GW1IPconf1 -Subnet $subnet1 -PublicIpAddress $gw1pip1

New-AzVirtualNetworkGateway -Name $GWName1 -ResourceGroupName $RG1 -Location $Location1 -IpConfigurations $gw1ipconf1 -GatewayType Vpn -VpnType RouteBased -GatewaySku VpnGw1

New-AzLocalNetworkGateway -Name $LNGName6 -ResourceGroupName $RG1 -Location $Location1 -GatewayIpAddress $LNGIP6 -AddressPrefix $LNGPrefix61,$LNGPrefix62

Étape 2 : création d’une connexion VPN S2S avec une stratégie IPsec/IKEStep 2 - Create a S2S VPN connection with an IPsec/IKE policy

1. Créez une stratégie IPsec/IKE.1. Create an IPsec/IKE policy

L’exemple de script ci-dessous crée une stratégie IPsec/IKE avec les paramètres et les algorithmes suivants :The following sample script creates an IPsec/IKE policy with the following algorithms and parameters:

  • IKEv2 : AES256, SHA384, DHGroup24IKEv2: AES256, SHA384, DHGroup24
  • IPsec : AES256, SHA256, PFS None, SA Lifetime 14400 seconds & 102400000KBIPsec: AES256, SHA256, PFS None, SA Lifetime 14400 seconds & 102400000KB
$ipsecpolicy6 = New-AzIpsecPolicy -IkeEncryption AES256 -IkeIntegrity SHA384 -DhGroup DHGroup24 -IpsecEncryption AES256 -IpsecIntegrity SHA256 -PfsGroup None -SALifeTimeSeconds 14400 -SADataSizeKilobytes 102400000

Si vous utilisez des algorithmes GCMAES pour IPsec, vous devez utiliser les mêmes algorithme GCMAES et longueur de clé pour le chiffrement IPsec et l’intégrité IPsec.If you use GCMAES for IPsec, you must use the same GCMAES algorithm and key length for both IPsec encryption and integrity. Ainsi, dans l’exemple ci-dessus, les paramètres correspondants seront « -IpsecEncryption GCMAES256 - IpsecIntegrity GCMAES256 » en cas d’utilisation de GCMAES256.For example above, the corresponding parameters will be "-IpsecEncryption GCMAES256 -IpsecIntegrity GCMAES256" when using GCMAES256.

2. Créer la connexion VPN S2S avec la stratégie IPsec/IKE2. Create the S2S VPN connection with the IPsec/IKE policy

Créer une connexion VPN S2S et appliquer la stratégie IPsec/IKE créée précédemment.Create an S2S VPN connection and apply the IPsec/IKE policy created earlier.

$vnet1gw = Get-AzVirtualNetworkGateway -Name $GWName1  -ResourceGroupName $RG1
$lng6 = Get-AzLocalNetworkGateway  -Name $LNGName6 -ResourceGroupName $RG1

New-AzVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1 -VirtualNetworkGateway1 $vnet1gw -LocalNetworkGateway2 $lng6 -Location $Location1 -ConnectionType IPsec -IpsecPolicies $ipsecpolicy6 -SharedKey 'AzureA1b2C3'

Vous pouvez éventuellement ajouter « -UsePolicyBasedTrafficSelectors $True » à l’applet de commande créant la connexion afin de permettre à la passerelle VPN Azure de se connecter à des périphériques VPN basés sur une stratégie en local, comme décrit ci-dessus.You can optionally add "-UsePolicyBasedTrafficSelectors $True" to the create connection cmdlet to enable Azure VPN gateway to connect to policy-based VPN devices on premises, as described above.

Important

Une fois qu’une stratégie IPsec/IKE est spécifiée sur une connexion, la passerelle VPN Azure ne fait qu’envoyer ou accepter la proposition IPsec/IKE avec les algorithmes de chiffrement et puissances de clé spécifiés sur cette connexion particulière.Once an IPsec/IKE policy is specified on a connection, the Azure VPN gateway will only send or accept the IPsec/IKE proposal with specified cryptographic algorithms and key strengths on that particular connection. Assurez-vous que votre périphérique VPN local pour la connexion utilise ou accepte la combinaison de stratégies exacte. À défaut, le tunnel VPN S2S ne peut pas être établi.Make sure your on-premises VPN device for the connection uses or accepts the exact policy combination, otherwise the S2S VPN tunnel will not establish.

Partie 4 : création d’une connexion de réseau virtuel à réseau virtuel avec une stratégie IPsec/IKEPart 4 - Create a new VNet-to-VNet connection with IPsec/IKE policy

Les étapes de création d’une connexion de réseau virtuel à réseau virtuel avec une stratégie IPsec/IKE sont similaires à celles d’une connexion VPN S2S.The steps of creating a VNet-to-VNet connection with an IPsec/IKE policy are similar to that of a S2S VPN connection. Les exemples de scripts ci-dessous créent la connexion comme illustré dans le diagramme :The following sample scripts create the connection as shown in the diagram:

Stratégie de réseau virtuel à réseau virtuel

Pour plus d’informations sur les étapes de création d’une connexion de réseau virtuel à réseau virtuel, voir Créer une connexion de réseau virtuel à réseau virtuel.See Create a VNet-to-VNet connection for more detailed steps for creating a VNet-to-VNet connection. Pour créer et configurer TestVNet1 et la passerelle VPN, vous devez procéder de la manière décrite dans la Partie 3.You must complete Part 3 to create and configure TestVNet1 and the VPN Gateway.

Étape 1 : création du deuxième réseau virtuel et de la passerelle VPNStep 1 - Create the second virtual network and VPN gateway

1. Déclarer vos variables1. Declare your variables

Veillez à remplacer les valeurs par celles que vous souhaitez utiliser pour votre configuration.Be sure to replace the values with the ones that you want to use for your configuration.

$RG2          = "TestPolicyRG2"
$Location2    = "East US 2"
$VNetName2    = "TestVNet2"
$FESubName2   = "FrontEnd"
$BESubName2   = "Backend"
$GWSubName2   = "GatewaySubnet"
$VNetPrefix21 = "10.21.0.0/16"
$VNetPrefix22 = "10.22.0.0/16"
$FESubPrefix2 = "10.21.0.0/24"
$BESubPrefix2 = "10.22.0.0/24"
$GWSubPrefix2 = "10.22.255.0/27"
$DNS2         = "8.8.8.8"
$GWName2      = "VNet2GW"
$GW2IPName1   = "VNet2GWIP1"
$GW2IPconf1   = "gw2ipconf1"
$Connection21 = "VNet2toVNet1"
$Connection12 = "VNet1toVNet2"

2. Créer le deuxième réseau virtuel et la passerelle VPN dans le nouveau groupe de ressources2. Create the second virtual network and VPN gateway in the new resource group

New-AzResourceGroup -Name $RG2 -Location $Location2

$fesub2 = New-AzVirtualNetworkSubnetConfig -Name $FESubName2 -AddressPrefix $FESubPrefix2
$besub2 = New-AzVirtualNetworkSubnetConfig -Name $BESubName2 -AddressPrefix $BESubPrefix2
$gwsub2 = New-AzVirtualNetworkSubnetConfig -Name $GWSubName2 -AddressPrefix $GWSubPrefix2

New-AzVirtualNetwork -Name $VNetName2 -ResourceGroupName $RG2 -Location $Location2 -AddressPrefix $VNetPrefix21,$VNetPrefix22 -Subnet $fesub2,$besub2,$gwsub2

$gw2pip1    = New-AzPublicIpAddress -Name $GW2IPName1 -ResourceGroupName $RG2 -Location $Location2 -AllocationMethod Dynamic
$vnet2      = Get-AzVirtualNetwork -Name $VNetName2 -ResourceGroupName $RG2
$subnet2    = Get-AzVirtualNetworkSubnetConfig -Name "GatewaySubnet" -VirtualNetwork $vnet2
$gw2ipconf1 = New-AzVirtualNetworkGatewayIpConfig -Name $GW2IPconf1 -Subnet $subnet2 -PublicIpAddress $gw2pip1

New-AzVirtualNetworkGateway -Name $GWName2 -ResourceGroupName $RG2 -Location $Location2 -IpConfigurations $gw2ipconf1 -GatewayType Vpn -VpnType RouteBased -GatewaySku HighPerformance

Étape 2 : création d’une connexion de réseau virtuel à réseau virtuel avec la stratégie IPsec/IKEStep 2 - Create a VNet-toVNet connection with the IPsec/IKE policy

Comme pour la connexion VPN S2S, créez une stratégie IPsec/IKE, puis appliquez-la à la nouvelle connexion.Similar to the S2S VPN connection, create an IPsec/IKE policy then apply to policy to the new connection.

1. Créez une stratégie IPsec/IKE.1. Create an IPsec/IKE policy

L’exemple de script ci-dessous crée une stratégie IPsec/IKE différente avec les algorithmes et paramètres suivants :The following sample script creates a different IPsec/IKE policy with the following algorithms and parameters:

  • IKEv2 : AES128, SHA1, DHGroup14IKEv2: AES128, SHA1, DHGroup14
  • IPsec : GCMAES128, GCMAES128, PFS14, SA Lifetime 14400 seconds & 102400000KBIPsec: GCMAES128, GCMAES128, PFS14, SA Lifetime 14400 seconds & 102400000KB
$ipsecpolicy2 = New-AzIpsecPolicy -IkeEncryption AES128 -IkeIntegrity SHA1 -DhGroup DHGroup14 -IpsecEncryption GCMAES128 -IpsecIntegrity GCMAES128 -PfsGroup PFS14 -SALifeTimeSeconds 14400 -SADataSizeKilobytes 102400000

2. Créer des connexions de réseau virtuel à réseau virtuel avec la stratégie IPsec/IKE2. Create VNet-to-VNet connections with the IPsec/IKE policy

Créez une connexion de réseau virtuel à réseau virtuel, et appliquez la stratégie IPsec/IKE créée.Create a VNet-to-VNet connection and apply the IPsec/IKE policy you created. Dans cet exemple, les deux passerelles sont dans le même abonnement.In this example, both gateways are in the same subscription. Il est donc possible de créer et configurer les deux connexions avec la même stratégie IPsec/IKE dans la même session PowerShell.So it is possible to create and configure both connections with the same IPsec/IKE policy in the same PowerShell session.

$vnet1gw = Get-AzVirtualNetworkGateway -Name $GWName1  -ResourceGroupName $RG1
$vnet2gw = Get-AzVirtualNetworkGateway -Name $GWName2  -ResourceGroupName $RG2

New-AzVirtualNetworkGatewayConnection -Name $Connection12 -ResourceGroupName $RG1 -VirtualNetworkGateway1 $vnet1gw -VirtualNetworkGateway2 $vnet2gw -Location $Location1 -ConnectionType Vnet2Vnet -IpsecPolicies $ipsecpolicy2 -SharedKey 'AzureA1b2C3'

New-AzVirtualNetworkGatewayConnection -Name $Connection21 -ResourceGroupName $RG2 -VirtualNetworkGateway1 $vnet2gw -VirtualNetworkGateway2 $vnet1gw -Location $Location2 -ConnectionType Vnet2Vnet -IpsecPolicies $ipsecpolicy2 -SharedKey 'AzureA1b2C3'

Important

Une fois qu’une stratégie IPsec/IKE est spécifiée sur une connexion, la passerelle VPN Azure ne fait qu’envoyer ou accepter la proposition IPsec/IKE avec les algorithmes de chiffrement et puissances de clé spécifiés sur cette connexion particulière.Once an IPsec/IKE policy is specified on a connection, the Azure VPN gateway will only send or accept the IPsec/IKE proposal with specified cryptographic algorithms and key strengths on that particular connection. Assurez-vous que les stratégies IPsec pour les deux connexions sont identiques. À défaut, la connexion de réseau virtuel à réseau virtuel ne peut pas être établie.Make sure the IPsec policies for both connections are the same, otherwise the VNet-to-VNet connection will not establish.

Une fois ces étapes accomplies, la connexion est établie en quelques minutes et vous disposez de la topologie de réseau suivante, comme indiqué au début :After completing these steps, the connection is established in a few minutes, and you will have the following network topology as shown in the beginning:

stratégie IPSec/IKE

Partie 5 : mise à jour de la stratégie IPsec/IKE pour une connexionPart 5 - Update IPsec/IKE policy for a connection

La dernière section présente la gestion de la stratégie IPsec/IKE pour une connexion S2S ou de réseau virtuel à réseau virtuel existante.The last section shows you how to manage IPsec/IKE policy for an existing S2S or VNet-to-VNet connection. L’exercice ci-dessous vous guide dans les opérations suivantes sur une connexion :The exercise below walks you through the following operations on a connection:

  1. Afficher la stratégie IPsec/IKE d’une connexionShow the IPsec/IKE policy of a connection
  2. Ajouter la stratégie IPsec/IKE à une connexion ou la mettre à jourAdd or update the IPsec/IKE policy to a connection
  3. Supprimer la stratégie IPsec/IKE d’une connexionRemove the IPsec/IKE policy from a connection

Les mêmes étapes s’appliquent aux connexions S2S et de réseau virtuel à réseau virtuel.The same steps apply to both S2S and VNet-to-VNet connections.

Important

Une stratégie IPsec/IKE est prise en charge uniquement sur des passerelles VPN Standard et HighPerformance basées sur itinéraires.IPsec/IKE policy is supported on Standard and HighPerformance route-based VPN gateways only. Elle ne fonctionne pas sur la référence (SKU) de passerelle de base ou la passerelle VPN basée sur une stratégie.It does not work on the Basic gateway SKU or the policy-based VPN gateway.

1. Afficher la stratégie IPsec/IKE d’une connexion1. Show the IPsec/IKE policy of a connection

L’exemple suivant montre comment configurer la stratégie IPsec/IKE sur une connexion.The following example shows how to get the IPsec/IKE policy configured on a connection. Les scripts des exercices précédents continuent également.The scripts also continue from the exercises above.

$RG1          = "TestPolicyRG1"
$Connection16 = "VNet1toSite6"
$connection6  = Get-AzVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1
$connection6.IpsecPolicies

La dernière commande affiche la stratégie IPsec/IKE actuelle éventuelle configurée sur la connexion.The last command lists the current IPsec/IKE policy configured on the connection, if there is any. Voici un exemple de sortie pour la connexion :The following is a sample output for the connection:

SALifeTimeSeconds   : 14400
SADataSizeKilobytes : 102400000
IpsecEncryption     : AES256
IpsecIntegrity      : SHA256
IkeEncryption       : AES256
IkeIntegrity        : SHA384
DhGroup             : DHGroup24
PfsGroup            : PFS24

S’il n’existe pas de stratégie IPsec/IKE configurée, la commande (PS>$connection6.policy) reçoit un retour vide.If there is no IPsec/IKE policy configured, the command (PS> $connection6.policy) gets an empty return. Cela ne signifie pas qu’une stratégie IPsec/IKE n’est pas configurée sur la connexion, mais qu’il n’existe pas de stratégie IPsec/IKE personnalisée.It does not mean IPsec/IKE is not configured on the connection, but that there is no custom IPsec/IKE policy. La connexion réelle utilise la stratégie par défaut négociée entre votre périphérique VPN local et la passerelle VPN Azure.The actual connection uses the default policy negotiated between your on-premises VPN device and the Azure VPN gateway.

2. Ajouter ou mettre à jour une stratégie IPsec/IKE pour une connexion2. Add or update an IPsec/IKE policy for a connection

Les étapes d’ajout ou de mise à jour d’une stratégie sur une connexion sont identiques : créer une stratégie, puis l’appliquer à la connexion.The steps to add a new policy or update an existing policy on a connection are the same: create a new policy then apply the new policy to the connection.

$RG1          = "TestPolicyRG1"
$Connection16 = "VNet1toSite6"
$connection6  = Get-AzVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1

$newpolicy6   = New-AzIpsecPolicy -IkeEncryption AES128 -IkeIntegrity SHA1 -DhGroup DHGroup14 -IpsecEncryption AES256 -IpsecIntegrity SHA256 -PfsGroup None -SALifeTimeSeconds 14400 -SADataSizeKilobytes 102400000

Set-AzVirtualNetworkGatewayConnection -VirtualNetworkGatewayConnection $connection6 -IpsecPolicies $newpolicy6

Pour activer « UsePolicyBasedTrafficSelectors » lors de la connexion à un périphérique VPN local basé sur une stratégie, ajoutez le paramètre « -UsePolicyBaseTrafficSelectors » à l’applet de commande, ou définissez-le sur $False pour désactiver l’option :To enable "UsePolicyBasedTrafficSelectors" when connecting to an on-premises policy-based VPN device, add the "-UsePolicyBaseTrafficSelectors" parameter to the cmdlet, or set it to $False to disable the option:

Set-AzVirtualNetworkGatewayConnection -VirtualNetworkGatewayConnection $connection6 -IpsecPolicies $newpolicy6 -UsePolicyBasedTrafficSelectors $True

Vous pouvez obtenir de nouveau la connexion pour vérifier si la stratégie est mise à jour.You can get the connection again to check if the policy is updated.

$connection6  = Get-AzVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1
$connection6.IpsecPolicies

La sortie de la dernière ligne devrait être celle illustrée dans l’exemple suivant :You should see the output from the last line, as shown in the following example:

SALifeTimeSeconds   : 14400
SADataSizeKilobytes : 102400000
IpsecEncryption     : AES256
IpsecIntegrity      : SHA256
IkeEncryption       : AES128
IkeIntegrity        : SHA1
DhGroup             : DHGroup14
PfsGroup            : None

3. Supprimer une stratégie IPsec/IKE d’une connexion3. Remove an IPsec/IKE policy from a connection

Après que vous avez supprimé la stratégie personnalisée d’une connexion, la passerelle VPN Azure revient à la liste par défaut des propositions IPsec/IKE et relance la négociation avec votre périphérique VPN local.Once you remove the custom policy from a connection, the Azure VPN gateway reverts back to the default list of IPsec/IKE proposals and renegotiates again with your on-premises VPN device.

$RG1           = "TestPolicyRG1"
$Connection16  = "VNet1toSite6"
$connection6   = Get-AzVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1

$currentpolicy = $connection6.IpsecPolicies[0]
$connection6.IpsecPolicies.Remove($currentpolicy)

Set-AzVirtualNetworkGatewayConnection -VirtualNetworkGatewayConnection $connection6

Vous pouvez utiliser ce script pour vérifier si la stratégie a été supprimée de la connexion.You can use the same script to check if the policy has been removed from the connection.

Étapes suivantesNext steps

Pour plus d’informations sur les sélecteurs de trafic basés sur une stratégie, voir Connecter plusieurs périphériques VPN basés sur un stratégie locale.See Connect multiple on-premises policy-based VPN devices for more details regarding policy-based traffic selectors.

Une fois la connexion achevée, vous pouvez ajouter des machines virtuelles à vos réseaux virtuels.Once your connection is complete, you can add virtual machines to your virtual networks. Consultez Création d’une machine virtuelle pour connaître les différentes étapes.See Create a Virtual Machine for steps.