Configurare criteri IPsec/IKE per connessioni VPN da sito a sito o da rete virtuale a rete virtualeConfigure IPsec/IKE policy for S2S VPN or VNet-to-VNet connections

Questo articolo illustra la procedura di configurazione dei criteri IPsec/IKE per connessioni VPN da sito a sito o da rete virtuale a rete virtuale tramite il modello di distribuzione Resource Manager e PowerShell.This article walks you through the steps to configure IPsec/IKE policy for Site-to-Site VPN or VNet-to-VNet connections using the Resource Manager deployment model and PowerShell.

Informazioni sui parametri dei criteri IPsec e IKE per gateway VPN di AzureAbout IPsec and IKE policy parameters for Azure VPN gateways

Lo standard di protocollo IPsec e IKE supporta un'ampia gamma di algoritmi di crittografia in varie combinazioni.IPsec and IKE protocol standard supports a wide range of cryptographic algorithms in various combinations. Vedere l'articolo About cryptographic requirements and Azure VPN gateways (Informazioni sui requisiti di crittografia e i gateway VPN di Azure) per informazioni su come questo può contribuire ad assicurare che la connettività cross-premise e da rete virtuale a rete virtuale soddisfi i requisiti di conformità o sicurezza.Refer to About cryptographic requirements and Azure VPN gateways to see how this can help ensuring cross-premises and VNet-to-VNet connectivity satisfy your compliance or security requirements.

Questo articolo fornisce istruzioni per creare e configurare un criterio IPsec/IKE e applicarlo a una connessione nuova o esistente:This article provides instructions to create and configure an IPsec/IKE policy and apply to a new or existing connection:

Importante

  1. Si noti che il criterio IPsec/IKE funziona solo sugli SKU di gateway seguenti:Note that IPsec/IKE policy only works on the following gateway SKUs:
    • VpnGw1, VpnGw2, VpnGw3 (basato su route)VpnGw1, VpnGw2, VpnGw3 (route-based)
    • Standard e HighPerformance (basato su route)Standard and HighPerformance (route-based)
  2. Per una determinata connessione è possibile specificare una sola combinazione di criteri.You can only specify one policy combination for a given connection.
  3. È necessario specificare tutti gli algoritmi e i parametri sia per IKE (modalità principale) che per IPsec (modalità rapida).You must specify all algorithms and parameters for both IKE (Main Mode) and IPsec (Quick Mode). Non è consentito specificare criteri parziali.Partial policy specification is not allowed.
  4. Consultare le specifiche del fornitore del dispositivo VPN per verificare che i criteri siano supportati dai dispositivi VPN locali.Consult with your VPN device vendor specifications to ensure the policy is supported on your on-premises VPN devices. Non è possibile stabilire connessioni da sito a sito o da rete virtuale a rete virtuale se i criteri non sono compatibili.S2S or VNet-to-VNet connections cannot establish if the policies are incompatible.

Parte 1: Flusso di lavoro per creare e impostare criteri IPsec/IKEPart 1 - Workflow to create and set IPsec/IKE policy

Questa sezione descrive il flusso di lavoro per creare e aggiornare i criteri IPsec/IKE per una connessione VPN da sito a sito o da rete virtuale a rete virtuale:This section outlines the workflow to create and update IPsec/IKE policy on a S2S VPN or VNet-to-VNet connection:

  1. Creare una rete virtuale e un gateway VPNCreate a virtual network and a VPN gateway
  2. Creare un gateway di rete locale per una connessione cross-premises o un'altra rete virtuale e gateway per una connessione da rete virtuale a rete virtualeCreate a local network gateway for cross premises connection, or another virtual network and gateway for VNet-to-VNet connection
  3. Creare un criterio IPsec/IKE con gli algoritmi e i parametri selezionatiCreate an IPsec/IKE policy with selected algorithms and parameters
  4. Creare una connessione (IPsec o da rete virtuale a rete virtuale) con il criterio IPsec/IKECreate a connection (IPsec or VNet2VNet) with the IPsec/IKE policy
  5. Aggiungere, aggiornare o rimuovere un criterio IPsec/IKE per una connessione esistenteAdd/update/remove an IPsec/IKE policy for an existing connection

Le istruzioni di questo articolo consentono di impostare e configurare criteri IPsec/IKE come illustrato nel diagramma:The instructions in this article helps you set up and configure IPsec/IKE policies as shown in the diagram:

ipsec-ike-policy

Parte 2: Algoritmi di crittografia supportati e vantaggi chiavePart 2 - Supported cryptographic algorithms & key strengths

La tabella seguente riporta l'elenco degli algoritmi di crittografia e dei tipi di attendibilità della chiave supportati e configurabili dai clienti:The following table lists the supported cryptographic algorithms and key strengths configurable by the customers:

IPsec/IKEv2IPsec/IKEv2 OpzioniOptions
Crittografia IKEv2IKEv2 Encryption AES256, AES192, AES128, DES3, DESAES256, AES192, AES128, DES3, DES
Integrità IKEv2IKEv2 Integrity SHA384, SHA256, SHA1, MD5SHA384, SHA256, SHA1, MD5
Gruppo DHDH Group DHGroup24, ECP384, ECP256, DHGroup14, DHGroup2048, DHGroup2, DHGroup1, NoneDHGroup24, ECP384, ECP256, DHGroup14, DHGroup2048, DHGroup2, DHGroup1, None
Crittografia IPsecIPsec Encryption GCMAES256, GCMAES192, GCMAES128, AES256, AES192, AES128, DES3, DES, NoneGCMAES256, GCMAES192, GCMAES128, AES256, AES192, AES128, DES3, DES, None
Integrità IPsecIPsec Integrity GCMASE256, GCMAES192, GCMAES128, SHA256, SHA1, MD5GCMASE256, GCMAES192, GCMAES128, SHA256, SHA1, MD5
Gruppo PFSPFS Group PFS24, ECP384, ECP256, PFS2048, PFS2, PFS1, NonePFS24, ECP384, ECP256, PFS2048, PFS2, PFS1, None
Durata associazione di sicurezza in modalità rapidaQM SA Lifetime (Facoltativo: se non diversamente specificato, vengono usati i valori predefiniti)(Optional: default values are used if not specified)
Secondi (intero; min. 300/valore predefinito di 27000 secondi)Seconds (integer; min. 300/default 27000 seconds)
Kilobyte (intero; min 1024/valore predefinito di 102400000 KB)KBytes (integer; min. 1024/default 102400000 KBytes)
Selettore di trafficoTraffic Selector UsePolicyBasedTrafficSelectors** ($True/$False; Optional, $False predefinito, se non diversamente specificato)UsePolicyBasedTrafficSelectors** ($True/$False; Optional, default $False if not specified)

Importante

  1. La configurazione del dispositivo VPN locale deve contenere o corrispondere agli algoritmi e ai parametri seguenti specificati nei criteri IPsec/IKE di Azure:Your on-premises VPN device configuration must match or contain the following algorithms and parameters that you specify on the Azure IPsec/IKE policy:

    • Algoritmo di crittografia IKE (modalità principale / fase 1)IKE encryption algorithm (Main Mode / Phase 1)
    • Algoritmo di integrità IKE (modalità principale / fase 1)IKE integrity algorithm (Main Mode / Phase 1)
    • Gruppo DH (modalità principale / fase 1)DH Group (Main Mode / Phase 1)
    • Algoritmo di crittografia IPsec (modalità rapida / fase 2)IPsec encryption algorithm (Quick Mode / Phase 2)
    • Algoritmo di integrità IPsec (modalità rapida / fase 2)IPsec integrity algorithm (Quick Mode / Phase 2)
    • Gruppo PFS (modalità rapida / fase 2)PFS Group (Quick Mode / Phase 2)
    • Selettore di traffico, se viene usato UsePolicyBasedTrafficSelectorsTraffic Selector (if UsePolicyBasedTrafficSelectors is used)
    • La durata delle associazioni di sicurezza è una specifica locale. Non è necessaria la corrispondenza.The SA lifetimes are local specifications only, do not need to match.
  2. Se GCMAES viene usato per l'algoritmo di crittografia IPsec, è necessario selezionare lo stesso algoritmo GCMAES e la stessa lunghezza della chiave per l'integrità IPsec, ad esempio, GCMAES128 per entrambiIf GCMAES is used as for IPsec Encryption algorithm, you must select the same GCMAES algorithm and key length for IPsec Integrity; for example, using GCMAES128 for both

  3. Nella tabella precedente:In the table above:
    • IKEv2 corrisponde alla modalità principale / fase 1IKEv2 corresponds to Main Mode or Phase 1
    • IPsec corrisponde alla modalità rapida / fase 2IPsec corresponds to Quick Mode or Phase 2
    • Gruppo DH specifica il gruppo Diffie-Hellman usato in modalità principale o fase 1DH Group specifies the Diffie-Hellmen Group used in Main Mode or Phase 1
    • Gruppo PFS specifica il gruppo Diffie-Hellman usato in modalità rapida o fase 2PFS Group specified the Diffie-Hellmen Group used in Quick Mode or Phase 2
  4. Nei gateway VPN di Azure la durata dell'associazione di sicurezza IKEv2 (modalità principale) è fissata a 28800 secondiIKEv2 Main Mode SA lifetime is fixed at 28,800 seconds on the Azure VPN gateways
  5. Impostando "UsePolicyBasedTrafficSelectors" su $True per una connessione, si configura il gateway VPN di Azure per la connessione al firewall VPN locale basato su criteri.Setting "UsePolicyBasedTrafficSelectors" to $True on a connection will configure the Azure VPN gateway to connect to policy-based VPN firewall on premises. Se si abilita PolicyBasedTrafficSelectors, è necessario verificare che i selettori di traffico corrispondenti siano definiti nel dispositivo VPN con tutte le combinazioni dei prefissi della rete locale (gateway di rete locale) da/verso i prefissi della rete virtuale di Azure, anziché any-to-any.If you enable PolicyBasedTrafficSelectors, you need to ensure your VPN device has the matching traffic selectors defined with all combinations of your on-premises network (local network gateway) prefixes to/from the Azure virtual network prefixes, instead of any-to-any. Se i prefissi della rete locale sono 10.1.0.0/16 e 10.2.0.0/16 e i prefissi della rete virtuale sono 192.168.0.0/16 e 172.16.0.0/16, ad esempio, è necessario specificare i selettori di traffico seguenti:For example, if your on-premises network prefixes are 10.1.0.0/16 and 10.2.0.0/16, and your virtual network prefixes are 192.168.0.0/16 and 172.16.0.0/16, you need to specify the following traffic selectors:
    • 10.1.0.0/16 <====> 192.168.0.0/1610.1.0.0/16 <====> 192.168.0.0/16
    • 10.1.0.0/16 <====> 172.16.0.0/1610.1.0.0/16 <====> 172.16.0.0/16
    • 10.2.0.0/16 <====> 192.168.0.0/1610.2.0.0/16 <====> 192.168.0.0/16
    • 10.2.0.0/16 <====> 172.16.0.0/1610.2.0.0/16 <====> 172.16.0.0/16

Per altre informazioni sui selettori di traffico basati su criteri, vedere Connettere più dispositivi VPN basati su criteri locali.For more information regarding policy-based traffic selectors, see Connect multiple on-premises policy-based VPN devices.

La tabella seguente elenca i gruppi di Diffie-Hellman corrispondenti supportati dal criterio personalizzato:The following table lists the corresponding Diffie-Hellman Groups supported by the custom policy:

Gruppo Diffie-HellmanDiffie-Hellman Group DHGroupDHGroup PFSGroupPFSGroup Lunghezza chiaveKey length
11 DHGroup1DHGroup1 PFS1PFS1 MODP a 768 bit768-bit MODP
22 DHGroup2DHGroup2 PFS2PFS2 MODP a 1024 bit1024-bit MODP
1414 DHGroup14DHGroup14
DHGroup2048DHGroup2048
PFS2048PFS2048 MODP a 2048 bit2048-bit MODP
1919 ECP256ECP256 ECP256ECP256 ECP a 256 bit256-bit ECP
2020 ECP384ECP384 ECP284ECP284 ECP a 384 bit384-bit ECP
2424 DHGroup24DHGroup24 PFS24PFS24 MODP a 2048 bit2048-bit MODP

Per altre informazioni, vedere RFC3526 e RFC5114.Refer to RFC3526 and RFC5114 for more details.

Parte 3: Creare una nuova connessione VPN da sito a sito con criteri IPsec/IKEPart 3 - Create a new S2S VPN connection with IPsec/IKE policy

Questa sezione illustra i passaggi per la creazione di una connessione VPN da sito a sito con un criterio IPsec/IKE.This section walks you through the steps of creating a S2S VPN connection with an IPsec/IKE policy. La procedura seguente crea la connessione illustrata nel diagramma:The following steps create the connection as shown in the diagram:

s2s-policy

Per altre istruzioni dettagliate per la creazione di una connessione VPN da sito a sito, vedere Creare una connessione VPN da sito a sito.See Create a S2S VPN connection for more detailed step-by-step instructions for creating a S2S VPN connection.

Prima di iniziareBefore you begin

Passaggio 1: Creare la rete virtuale, il gateway VPN e il gateway di rete localeStep 1 - Create the virtual network, VPN gateway, and local network gateway

1. Dichiarare le variabili1. Declare your variables

Per questo esercizio, si inizierà dichiarando le variabili.For this exercise, we start by declaring our variables. Assicurarsi di sostituire i valori con quelli reali durante la configurazione per la produzione.Be sure to replace the values with your own when configuring for production.

$Sub1          = "<YourSubscriptionName>"
$RG1           = "TestPolicyRG1"
$Location1     = "East US 2"
$VNetName1     = "TestVNet1"
$FESubName1    = "FrontEnd"
$BESubName1    = "Backend"
$GWSubName1    = "GatewaySubnet"
$VNetPrefix11  = "10.11.0.0/16"
$VNetPrefix12  = "10.12.0.0/16"
$FESubPrefix1  = "10.11.0.0/24"
$BESubPrefix1  = "10.12.0.0/24"
$GWSubPrefix1  = "10.12.255.0/27"
$DNS1          = "8.8.8.8"
$GWName1       = "VNet1GW"
$GW1IPName1    = "VNet1GWIP1"
$GW1IPconf1    = "gw1ipconf1"
$Connection16  = "VNet1toSite6"

$LNGName6      = "Site6"
$LNGPrefix61   = "10.61.0.0/16"
$LNGPrefix62   = "10.62.0.0/16"
$LNGIP6        = "131.107.72.22"

2. Connettersi alla sottoscrizione e creare un nuovo gruppo di risorse2. Connect to your subscription and create a new resource group

Verificare di passare alla modalità PowerShell per usare i cmdlet di Gestione risorse.Make sure you switch to PowerShell mode to use the Resource Manager cmdlets. Per altre informazioni, vedere Uso di Windows PowerShell con Gestione risorse.For more information, see Using Windows PowerShell with Resource Manager.

Aprire la console di PowerShell e connettersi al proprio account.Open your PowerShell console and connect to your account. Per connettersi, usare l'esempio seguente:Use the following sample to help you connect:

Login-AzureRmAccount
Select-AzureRmSubscription -SubscriptionName $Sub1
New-AzureRmResourceGroup -Name $RG1 -Location $Location1

3. Creare la rete virtuale, il gateway VPN e il gateway di rete locale3. Create the virtual network, VPN gateway, and local network gateway

L'esempio seguente crea la rete virtuale, TestVNet1 con tre subnet e il gateway VPN.The following sample creates the virtual network, TestVNet1, with three subnets, and the VPN gateway. Quando si sostituiscono i valori, è importante che la subnet gateway venga denominata sempre esattamente GatewaySubnet.When substituting values, it's important that you always name your gateway subnet specifically GatewaySubnet. Se si assegnano altri nomi, la creazione del gateway ha esito negativo.If you name it something else, your gateway creation fails.

$fesub1 = New-AzureRmVirtualNetworkSubnetConfig -Name $FESubName1 -AddressPrefix $FESubPrefix1
$besub1 = New-AzureRmVirtualNetworkSubnetConfig -Name $BESubName1 -AddressPrefix $BESubPrefix1
$gwsub1 = New-AzureRmVirtualNetworkSubnetConfig -Name $GWSubName1 -AddressPrefix $GWSubPrefix1

New-AzureRmVirtualNetwork -Name $VNetName1 -ResourceGroupName $RG1 -Location $Location1 -AddressPrefix $VNetPrefix11,$VNetPrefix12 -Subnet $fesub1,$besub1,$gwsub1

$gw1pip1    = New-AzureRmPublicIpAddress -Name $GW1IPName1 -ResourceGroupName $RG1 -Location $Location1 -AllocationMethod Dynamic
$vnet1      = Get-AzureRmVirtualNetwork -Name $VNetName1 -ResourceGroupName $RG1
$subnet1    = Get-AzureRmVirtualNetworkSubnetConfig -Name "GatewaySubnet" -VirtualNetwork $vnet1
$gw1ipconf1 = New-AzureRmVirtualNetworkGatewayIpConfig -Name $GW1IPconf1 -Subnet $subnet1 -PublicIpAddress $gw1pip1

New-AzureRmVirtualNetworkGateway -Name $GWName1 -ResourceGroupName $RG1 -Location $Location1 -IpConfigurations $gw1ipconf1 -GatewayType Vpn -VpnType RouteBased -GatewaySku VpnGw1

New-AzureRmLocalNetworkGateway -Name $LNGName6 -ResourceGroupName $RG1 -Location $Location1 -GatewayIpAddress $LNGIP6 -AddressPrefix $LNGPrefix61,$LNGPrefix62

Passaggio 2: Creare una connessione VPN da sito a sito con un criterio IPsec/IKEStep 2 - Create a S2S VPN connection with an IPsec/IKE policy

1. Creare un criterio IPsec/IKE1. Create an IPsec/IKE policy

Lo script di esempio che segue crea un criterio IPsec/IKE con gli algoritmi e i parametri seguenti:The following sample script creates an IPsec/IKE policy with the following algorithms and parameters:

  • IKEv2: AES256, SHA384, DHGroup24IKEv2: AES256, SHA384, DHGroup24
  • IPsec: AES256, SHA256, PFS nessuno, durata dell'associazione di sicurezza 7200 secondi e 102400000 KBIPsec: AES256, SHA256, PFS None, SA Lifetime 7200 seconds & 102400000KB
$ipsecpolicy6 = New-AzureRmIpsecPolicy -IkeEncryption AES256 -IkeIntegrity SHA384 -DhGroup DHGroup24 -IpsecEncryption AES256 -IpsecIntegrity SHA256 -PfsGroup None -SALifeTimeSeconds 7200 -SADataSizeKilobytes 102400000

Se si usa GCMAES per IPsec, è necessario usare lo stesso algoritmo e la stessa lunghezza della chiave GCMAES per la crittografia e l'integrità IPsec, ad esempio:If you use GCMAES for IPsec, you must use the same GCMAES algorithm and key length for both IPsec encryption and integrity, for example:

  • IKEv2: AES256, SHA384, DHGroup24IKEv2: AES256, SHA384, DHGroup24
  • IPsec: GCMAES256, GCMAES256, PFS nessuno, durata dell'associazione di sicurezza SA 7200 secondi e 102400000 KBIPsec: GCMAES256, GCMAES256, PFS None, SA Lifetime 7200 seconds & 102400000KB
$ipsecpolicy6 = New-AzureRmIpsecPolicy -IkeEncryption AES256 -IkeIntegrity SHA384 -DhGroup DHGroup24 -IpsecEncryption GCMAES256 -IpsecIntegrity GCMAES256 -PfsGroup None -SALifeTimeSeconds 7200 -SADataSizeKilobytes 102400000

2. Creare la connessione VPN da sito a sito con i criteri IPsec/IKE2. Create the S2S VPN connection with the IPsec/IKE policy

Creare una connessione VPN da sito a sito e applicare il criterio IPsec/IKE creato in precedenza.Create an S2S VPN connection and apply the IPsec/IKE policy created earlier.

$vnet1gw = Get-AzureRmVirtualNetworkGateway -Name $GWName1  -ResourceGroupName $RG1
$lng6 = Get-AzureRmLocalNetworkGateway  -Name $LNGName6 -ResourceGroupName $RG1

New-AzureRmVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1 -VirtualNetworkGateway1 $vnet1gw -LocalNetworkGateway2 $lng6 -Location $Location1 -ConnectionType IPsec -IpsecPolicies $ipsecpolicy6 -SharedKey 'AzureA1b2C3'

È possibile aggiungere facoltativamente "-UsePolicyBasedTrafficSelectors $True" al cmdlet di creazione della connessione per abilitare il gateway VPN di Azure per la connessione a dispositivi VPN basati su criteri locali, come descritto sopra.You can optionally add "-UsePolicyBasedTrafficSelectors $True" to the create connection cmdlet to enable Azure VPN gateway to connect to policy-based VPN devices on premises, as described above.

Importante

Dopo aver specificato un criterio IPsec/IKE per una connessione, il gateway VPN di Azure invierà o accetterà la proposta IPsec/IKE con gli algoritmi di crittografia e i principali vantaggi specificati per una particolare connessione.Once an IPsec/IKE policy is specified on a connection, the Azure VPN gateway will only send or accept the IPsec/IKE proposal with specified cryptographic algorithms and key strengths on that particular connection. Assicurarsi che il dispositivo VPN locale per la connessione usi o accetti l'esatta combinazione di criteri. In caso contrario, il tunnel VPN da sito a sito non verrà stabilito.Make sure your on-premises VPN device for the connection uses or accepts the exact policy combination, otherwise the S2S VPN tunnel will not establish.

Parte 4: Creare una nuova connessione da rete virtuale a rete virtuale con criteri IPsec/IKEPart 4 - Create a new VNet-to-VNet connection with IPsec/IKE policy

La procedura di creazione di una connessione da rete virtuale a rete virtuale con un criterio IPsec/IKE è simile a quella di una connessione VPN da sito a sito.The steps of creating a VNet-to-VNet connection with an IPsec/IKE policy are similar to that of a S2S VPN connection. Gli script di esempio seguenti creano la connessione come illustrato nel diagramma:The following sample scripts create the connection as shown in the diagram:

v2v-policy

Per la procedura dettagliata di creazione di una connessione da rete virtuale a rete virtuale, vedere Creare una connessione tra reti virtuali .See Create a VNet-to-VNet connection for more detailed steps for creating a VNet-to-VNet connection. È necessario completare la Parte 3 per creare e configurare TestVNet1 e il gateway VPN.You must complete Part 3 to create and configure TestVNet1 and the VPN Gateway.

Passaggio 1: Creare la seconda rete virtuale e un gateway VPNStep 1 - Create the second virtual network and VPN gateway

1. Dichiarare le variabili1. Declare your variables

Sostituire i valori con quelli desiderati per la propria configurazione.Be sure to replace the values with the ones that you want to use for your configuration.

$RG2          = "TestPolicyRG2"
$Location2    = "East US 2"
$VNetName2    = "TestVNet2"
$FESubName2   = "FrontEnd"
$BESubName2   = "Backend"
$GWSubName2   = "GatewaySubnet"
$VNetPrefix21 = "10.21.0.0/16"
$VNetPrefix22 = "10.22.0.0/16"
$FESubPrefix2 = "10.21.0.0/24"
$BESubPrefix2 = "10.22.0.0/24"
$GWSubPrefix2 = "10.22.255.0/27"
$DNS2         = "8.8.8.8"
$GWName2      = "VNet2GW"
$GW2IPName1   = "VNet2GWIP1"
$GW2IPconf1   = "gw2ipconf1"
$Connection21 = "VNet2toVNet1"
$Connection12 = "VNet1toVNet2"

2. Creare la seconda rete virtuale e un gateway VPN nel nuovo gruppo di risorse2. Create the second virtual network and VPN gateway in the new resource group

New-AzureRmResourceGroup -Name $RG2 -Location $Location2

$fesub2 = New-AzureRmVirtualNetworkSubnetConfig -Name $FESubName2 -AddressPrefix $FESubPrefix2
$besub2 = New-AzureRmVirtualNetworkSubnetConfig -Name $BESubName2 -AddressPrefix $BESubPrefix2
$gwsub2 = New-AzureRmVirtualNetworkSubnetConfig -Name $GWSubName2 -AddressPrefix $GWSubPrefix2

New-AzureRmVirtualNetwork -Name $VNetName2 -ResourceGroupName $RG2 -Location $Location2 -AddressPrefix $VNetPrefix21,$VNetPrefix22 -Subnet $fesub2,$besub2,$gwsub2

$gw2pip1    = New-AzureRmPublicIpAddress -Name $GW2IPName1 -ResourceGroupName $RG2 -Location $Location2 -AllocationMethod Dynamic
$vnet2      = Get-AzureRmVirtualNetwork -Name $VNetName2 -ResourceGroupName $RG2
$subnet2    = Get-AzureRmVirtualNetworkSubnetConfig -Name "GatewaySubnet" -VirtualNetwork $vnet2
$gw2ipconf1 = New-AzureRmVirtualNetworkGatewayIpConfig -Name $GW2IPconf1 -Subnet $subnet2 -PublicIpAddress $gw2pip1

New-AzureRmVirtualNetworkGateway -Name $GWName2 -ResourceGroupName $RG2 -Location $Location2 -IpConfigurations $gw2ipconf1 -GatewayType Vpn -VpnType RouteBased -GatewaySku HighPerformance

Passaggio 2: Creare una connessione da rete virtuale a rete virtuale con il criterio IPsec/IKEStep 2 - Create a VNet-toVNet connection with the IPsec/IKE policy

Come per la connessione VPN da sito a sito, creare un criterio IPsec/IKE e quindi applicare i criteri alla nuova connessione.Similar to the S2S VPN connection, create an IPsec/IKE policy then apply to policy to the new connection.

1. Creare un criterio IPsec/IKE1. Create an IPsec/IKE policy

Lo script di esempio seguente crea un criterio IPsec/IKE diverso con gli algoritmi e i parametri seguenti:The following sample script creates a different IPsec/IKE policy with the following algorithms and parameters:

  • IKEv2: AES128, SHA1, DHGroup14IKEv2: AES128, SHA1, DHGroup14
  • IPsec: GCMAES128, GCMAES128, PFS14, durata dell'associazione di sicurezza 7200 secondi e 4096 KBIPsec: GCMAES128, GCMAES128, PFS14, SA Lifetime 7200 seconds & 4096KB
$ipsecpolicy2 = New-AzureRmIpsecPolicy -IkeEncryption AES128 -IkeIntegrity SHA1 -DhGroup DHGroup14 -IpsecEncryption GCMAES128 -IpsecIntegrity GCMAES128 -PfsGroup PFS14 -SALifeTimeSeconds 7200 -SADataSizeKilobytes 4096

2. Creare connessioni da rete virtuale a rete virtuale con criteri IPsec/IKE2. Create VNet-to-VNet connections with the IPsec/IKE policy

Creare una connessione da rete virtuale a rete virtuale e applicare il criterio IPsec/IKE creato.Create a VNet-to-VNet connection and apply the IPsec/IKE policy you created. In questo esempio entrambi i gateway sono nella stessa sottoscrizione.In this example, both gateways are in the same subscription. È possibile creare e configurare entrambe le connessioni con lo stesso criterio IPsec/IKE nella stessa sessione di PowerShell.So it is possible to create and configure both connections with the same IPsec/IKE policy in the same PowerShell session.

$vnet1gw = Get-AzureRmVirtualNetworkGateway -Name $GWName1  -ResourceGroupName $RG1
$vnet2gw = Get-AzureRmVirtualNetworkGateway -Name $GWName2  -ResourceGroupName $RG2

New-AzureRmVirtualNetworkGatewayConnection -Name $Connection12 -ResourceGroupName $RG1 -VirtualNetworkGateway1 $vnet1gw -VirtualNetworkGateway2 $vnet2gw -Location $Location1 -ConnectionType Vnet2Vnet -IpsecPolicies $ipsecpolicy2 -SharedKey 'AzureA1b2C3'

New-AzureRmVirtualNetworkGatewayConnection -Name $Connection21 -ResourceGroupName $RG2 -VirtualNetworkGateway1 $vnet2gw -VirtualNetworkGateway2 $vnet1gw -Location $Location2 -ConnectionType Vnet2Vnet -IpsecPolicies $ipsecpolicy2 -SharedKey 'AzureA1b2C3'

Importante

Dopo aver specificato un criterio IPsec/IKE per una connessione, il gateway VPN di Azure invierà o accetterà la proposta IPsec/IKE con gli algoritmi di crittografia e i principali vantaggi specificati per una particolare connessione.Once an IPsec/IKE policy is specified on a connection, the Azure VPN gateway will only send or accept the IPsec/IKE proposal with specified cryptographic algorithms and key strengths on that particular connection. Assicurarsi che i criteri IPsec per entrambe le connessioni siano gli stessi. In caso contrario, la connessione da rete virtuale a rete virtuale non verrà stabilita.Make sure the IPsec policies for both connections are the same, otherwise the VNet-to-VNet connection will not establish.

Dopo aver completato questi passaggi, la connessione verrà stabilita in pochi minuti e si avrà la topologia di rete seguente, come illustrato all'inizio:After completing these steps, the connection is established in a few minutes, and you will have the following network topology as shown in the beginning:

ipsec-ike-policy

Parte 5: Aggiornare i criteri IPsec/IKE per una connessionePart 5 - Update IPsec/IKE policy for a connection

L'ultima sezione illustra come gestire criteri IPsec/IKE per una connessione da sito a sito o da rete virtuale a rete virtuale esistente.The last section shows you how to manage IPsec/IKE policy for an existing S2S or VNet-to-VNet connection. La procedura descritta di seguito illustra le operazioni seguenti su una connessione:The exercise below walks you through the following operations on a connection:

  1. Mostrare il criterio IPsec/IKE di una connessioneShow the IPsec/IKE policy of a connection
  2. Aggiungere o aggiornare il criterio IPsec/IKE per una connessioneAdd or update the IPsec/IKE policy to a connection
  3. Rimuovere il criterio IPsec/IKE da una connessioneRemove the IPsec/IKE policy from a connection

Gli stessi passaggi si applicano sia alle connessioni da sito a sito sia alle connessioni da rete virtuale a rete virtuale.The same steps apply to both S2S and VNet-to-VNet connections.

Importante

Il criterio IPsec/IKE è supportato solo nei gateway VPN Standard e Prestazioni elevate basati su route di Azure.IPsec/IKE policy is supported on Standard and HighPerformance route-based VPN gateways only. Non funziona sullo SKU per il gateway Basic o il gateway VPN basato su criteri.It does not work on the Basic gateway SKU or the policy-based VPN gateway.

1. Mostrare il criterio IPsec/IKE di una connessione1. Show the IPsec/IKE policy of a connection

L'esempio seguente illustra come ottenere il criterio IPsec/IKE configurato su una connessione.The following example shows how to get the IPsec/IKE policy configured on a connection. Gli script continuano dagli esercizi precedenti.The scripts also continue from the exercises above.

$RG1          = "TestPolicyRG1"
$Connection16 = "VNet1toSite6"
$connection6  = Get-AzureRmVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1
$connection6.IpsecPolicies

L'ultimo comando elenca i criteri IPsec/IKE correnti configurati per la connessione, se esistenti.The last command lists the current IPsec/IKE policy configured on the connection, if there is any. L'output di esempio seguente si riferisce alla connessione:The following sample output is for the connection:

SALifeTimeSeconds   : 3600
SADataSizeKilobytes : 2048
IpsecEncryption     : AES256
IpsecIntegrity      : SHA256
IkeEncryption       : AES256
IkeIntegrity        : SHA384
DhGroup             : DHGroup24
PfsGroup            : PFS24

Se non c'è alcun criterio IPsec/IKE configurato, il comando (PS> $connection6.policy) non restituisce nulla.If there is no IPsec/IKE policy configured, the command (PS> $connection6.policy) gets an empty return. Ciò non significa che IPsec/IKE non sia configurato per la connessione, ma che non c'è alcun criterio IPsec/IKE personalizzato.It does not mean IPsec/IKE is not configured on the connection, but that there is no custom IPsec/IKE policy. La connessione effettiva usa il criterio predefinito negoziato tra il dispositivo VPN locale e il gateway VPN di Azure.The actual connection uses the default policy negotiated between your on-premises VPN device and the Azure VPN gateway.

2. Aggiungere o aggiornare un criterio IPsec/IKE per una connessione2. Add or update an IPsec/IKE policy for a connection

La procedura per aggiungere un nuovo criterio o aggiornare un criterio esistente per una connessione è la stessa: creare un nuovo criterio, quindi applicare il nuovo criterio alla connessione.The steps to add a new policy or update an existing policy on a connection are the same: create a new policy then apply the new policy to the connection.

$RG1          = "TestPolicyRG1"
$Connection16 = "VNet1toSite6"
$connection6  = Get-AzureRmVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1

$newpolicy6   = New-AzureRmIpsecPolicy -IkeEncryption AES128 -IkeIntegrity SHA1 -DhGroup DHGroup14 -IpsecEncryption GCMAES128 -IpsecIntegrity GCMAES128 -PfsGroup None -SALifeTimeSeconds 3600 -SADataSizeKilobytes 2048

Set-AzureRmVirtualNetworkGatewayConnection -VirtualNetworkGatewayConnection $connection6 -IpsecPolicies $newpolicy6

Per abilitare "UsePolicyBasedTrafficSelectors" quando ci si connette a un dispositivo VPN basato su criteri locale, aggiungere il parametro "-UsePolicyBaseTrafficSelectors" al cmdlet o impostarlo su $False per disabilitare l'opzione:To enable "UsePolicyBasedTrafficSelectors" when connecting to an on-premises policy-based VPN device, add the "-UsePolicyBaseTrafficSelectors" parameter to the cmdlet, or set it to $False to disable the option:

Set-AzureRmVirtualNetworkGatewayConnection -VirtualNetworkGatewayConnection $connection6 -IpsecPolicies $newpolicy6 -UsePolicyBasedTrafficSelectors $True

È possibile ottenere di nuovo la connessione per verificare se i criteri sono aggiornati.You can get the connection again to check if the policy is updated.

$connection6  = Get-AzureRmVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1
$connection6.IpsecPolicies

Verrà visualizzato l'output dell'ultima riga, come illustrato nell'esempio seguente:You should see the output from the last line, as shown in the following example:

SALifeTimeSeconds   : 3600
SADataSizeKilobytes : 2048
IpsecEncryption     : GCMAES128
IpsecIntegrity      : GCMAES128
IkeEncryption       : AES128
IkeIntegrity        : SHA1
DhGroup             : DHGroup14--
PfsGroup            : None

3. Rimuovere un criterio IPsec/IKE da una connessione3. Remove an IPsec/IKE policy from a connection

Dopo la rimozione dei criteri personalizzati da una connessione, il gateway VPN di Azure ripristina l'elenco predefinito delle proposte IPsec/IKE e rinegozia l'handshake IKE con il dispositivo VPN locale.Once you remove the custom policy from a connection, the Azure VPN gateway reverts back to the default list of IPsec/IKE proposals and renegotiates again with your on-premises VPN device.

$RG1           = "TestPolicyRG1"
$Connection16  = "VNet1toSite6"
$connection6   = Get-AzureRmVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1

$currentpolicy = $connection6.IpsecPolicies[0]
$connection6.IpsecPolicies.Remove($currentpolicy)

Set-AzureRmVirtualNetworkGatewayConnection -VirtualNetworkGatewayConnection $connection6

È possibile usare lo stesso script per verificare se il criterio è stato rimosso dalla connessione.You can use the same script to check if the policy has been removed from the connection.

Passaggi successiviNext steps

Per altri dettagli sui selettori di traffico basati su criteri, vedere l'articolo su come connettere più dispositivi VPN basati su criteri locali.See Connect multiple on-premises policy-based VPN devices for more details regarding policy-based traffic selectors.

Dopo aver completato la connessione, è possibile aggiungere macchine virtuali alle reti virtuali.Once your connection is complete, you can add virtual machines to your virtual networks. Per i passaggi, vedere Creare la prima macchina virtuale .See Create a Virtual Machine for steps.