S2S VPN または VNet-to-VNet 接続の IPsec/IKE ポリシーを構成するConfigure IPsec/IKE policy for S2S VPN or VNet-to-VNet connections

この記事では、Resource Manager デプロイメント モデルと PowerShell を使用して、サイト間の VPN または VNet 間の接続の IPsec/IKE ポリシーを作成する手順について説明します。This article walks you through the steps to configure IPsec/IKE policy for Site-to-Site VPN or VNet-to-VNet connections using the Resource Manager deployment model and PowerShell.

Azure VPN ゲートウェイの IPsec/IKE ポリシーのパラメーターについてAbout IPsec and IKE policy parameters for Azure VPN gateways

IPsec/IKE 標準プロトコルは、幅広い暗号アルゴリズムをさまざまな組み合わせでサポートしています。IPsec and IKE protocol standard supports a wide range of cryptographic algorithms in various combinations. このプロトコルがクロスプレミスと VNet-to-VNet 接続でコンプライアンスまたはセキュリティ要件を満たすためにどのように役立つかについては、「About cryptographic requirements and Azure VPN gateways」(暗号化要件と Azure VPN Gateway について) を参照してください。Refer to About cryptographic requirements and Azure VPN gateways to see how this can help ensuring cross-premises and VNet-to-VNet connectivity satisfy your compliance or security requirements.

この記事では、IPsec/IKE ポリシーを作成して構成し、新規または既存の接続に適用する手順を示します。This article provides instructions to create and configure an IPsec/IKE policy and apply to a new or existing connection:

重要

  1. IPsec/IKE ポリシーは、次のゲートウェイ SKU でのみ機能する点に注意してください。Note that IPsec/IKE policy only works on the following gateway SKUs:
    • VpnGw1、VpnGw2、VpnGw3 (ルート ベース)VpnGw1, VpnGw2, VpnGw3 (route-based)
    • Standard および HighPerformance (ルート ベース)Standard and HighPerformance (route-based)
  2. ある特定の接続に対して指定できるポリシーの組み合わせは 1 つだけです。You can only specify one policy combination for a given connection.
  3. IKE (メイン モード) と IPsec (クイック モード) の両方について、すべてのアルゴリズムとパラメーターを指定する必要があります。You must specify all algorithms and parameters for both IKE (Main Mode) and IPsec (Quick Mode). ポリシーを部分的に指定することはできません。Partial policy specification is not allowed.
  4. オンプレミスの VPN デバイスでポリシーがサポートされることを、VPN デバイス ベンダーの仕様で確認してください。Consult with your VPN device vendor specifications to ensure the policy is supported on your on-premises VPN devices. ポリシーに対応していない場合、S2S または VNet-to-VNet 接続を確立することはできません。S2S or VNet-to-VNet connections cannot establish if the policies are incompatible.

パート 1 - IPsec/IKE ポリシーを作成して設定するためのワークフローPart 1 - Workflow to create and set IPsec/IKE policy

このセクションでは、S2S VPN または VNet-to-VNet 接続の IPsec/IKE ポリシーの作成と更新を行うためのワークローについて説明します。This section outlines the workflow to create and update IPsec/IKE policy on a S2S VPN or VNet-to-VNet connection:

  1. 仮想ネットワークと VPN ゲートウェイを作成するCreate a virtual network and a VPN gateway
  2. クロスプレミス接続用のローカル ネットワーク ゲートウェイ、または VNet-to-VNet 接続用の別の仮想ネットワーク ゲートウェイを作成するCreate a local network gateway for cross premises connection, or another virtual network and gateway for VNet-to-VNet connection
  3. 選択したアルゴリズムとパラメーターを使用して IPsec/IKE ポリシーを作成するCreate an IPsec/IKE policy with selected algorithms and parameters
  4. IPsec/IKE ポリシーを使用して接続 (IPsec または VNet2VNet) を作成するCreate a connection (IPsec or VNet2VNet) with the IPsec/IKE policy
  5. 既存の接続の IPsec/IKE ポリシーを追加/更新/削除するAdd/update/remove an IPsec/IKE policy for an existing connection

この記事では、次の図に示す IPsec/IKE ポリシーを設定して構成します。The instructions in this article helps you set up and configure IPsec/IKE policies as shown in the diagram:

ipsec-ike-policy

パート 2 - サポートされる暗号アルゴリズムとキーの強度Part 2 - Supported cryptographic algorithms & key strengths

以下の表は、サポートされている暗号アルゴリズムと、ユーザーが構成できるキーの強度を一覧にしたものです。The following table lists the supported cryptographic algorithms and key strengths configurable by the customers:

IPsec/IKEv2IPsec/IKEv2 オプションOptions
IKEv2 暗号化IKEv2 Encryption AES256、AES192、AES128、DES3、DESAES256, AES192, AES128, DES3, DES
IKEv2 整合性IKEv2 Integrity SHA384、SHA256、SHA1、MD5SHA384, SHA256, SHA1, MD5
DH グループDH Group DHGroup24、ECP384、ECP256、DHGroup14、DHGroup2048、DHGroup2、DHGroup1、なしDHGroup24, ECP384, ECP256, DHGroup14, DHGroup2048, DHGroup2, DHGroup1, None
IPsec 暗号化IPsec Encryption GCMAES256、GCMAES192、GCMAES128、AES256、AES192、AES128、DES3、DES、なしGCMAES256, GCMAES192, GCMAES128, AES256, AES192, AES128, DES3, DES, None
IPsec 整合性IPsec Integrity GCMASE256、GCMAES192、GCMAES128、SHA256、SHA1、MD5GCMASE256, GCMAES192, GCMAES128, SHA256, SHA1, MD5
PFS グループPFS Group PFS24、ECP384、ECP256、PFS2048、PFS2、PFS1、なしPFS24, ECP384, ECP256, PFS2048, PFS2, PFS1, None
QM SA の有効期間QM SA Lifetime (オプション: 指定されていない場合、既定値が使用されます)(Optional: default values are used if not specified)
秒 (整数: 最小 300/既定値 27,000 秒)Seconds (integer; min. 300/default 27000 seconds)
キロバイト数 (整数: 最小 1024/既定値 102,400,000 キロバイト)KBytes (integer; min. 1024/default 102400000 KBytes)
トラフィック セレクターTraffic Selector UsePolicyBasedTrafficSelectors** ($True/$False; Optional、指定されていない場合、既定値は $False)UsePolicyBasedTrafficSelectors** ($True/$False; Optional, default $False if not specified)

重要

  1. ご使用のオンプレミス VPN デバイスの構成は、Azure IPsec/IKE ポリシーで指定した次のアルゴリズムおよびパラメーターと一致している (または含んでいる) 必要があります。Your on-premises VPN device configuration must match or contain the following algorithms and parameters that you specify on the Azure IPsec/IKE policy:

    • IKE 暗号化アルゴリズム (メイン モード/フェーズ 1)IKE encryption algorithm (Main Mode / Phase 1)
    • IKE 整合性アルゴリズム (メイン モード/フェーズ 1)IKE integrity algorithm (Main Mode / Phase 1)
    • DH グループ (メイン モード/フェーズ 1)DH Group (Main Mode / Phase 1)
    • IPsec 暗号化アルゴリズム (クイック モード/フェーズ 2)IPsec encryption algorithm (Quick Mode / Phase 2)
    • IPsec 整合性アルゴリズム (クイック モード/フェーズ 2)IPsec integrity algorithm (Quick Mode / Phase 2)
    • PFS グループ (クイック モード/フェーズ 2)PFS Group (Quick Mode / Phase 2)
    • トラフィック セレクター (UsePolicyBasedTrafficSelectors が使用される場合)Traffic Selector (if UsePolicyBasedTrafficSelectors is used)
    • SA の有効期間は、ローカルの指定のみとなります。一致している必要はありません。The SA lifetimes are local specifications only, do not need to match.
  2. IPsec 暗号化アルゴリズム用として GCMAES を使用する場合は、IPsec 整合性に、同じ GCMAES アルゴリズムとキーの長さを選択する必要があります。たとえば、両方に GCMAES128 を使用するなどです。If GCMAES is used as for IPsec Encryption algorithm, you must select the same GCMAES algorithm and key length for IPsec Integrity; for example, using GCMAES128 for both

  3. 上記の表では:In the table above:
    • IKEv2 はメイン モードまたはフェーズ 1 に対応していますIKEv2 corresponds to Main Mode or Phase 1
    • IPsec はクイック モードまたはフェーズ 2 に対応していますIPsec corresponds to Quick Mode or Phase 2
    • DH グループは、メイン モードまたはフェーズ 1 で使用される Diffie-Hellman グループを指定しますDH Group specifies the Diffie-Hellmen Group used in Main Mode or Phase 1
    • PFS グループは、クイック モードまたはフェーズ 2 で使用される Diffie-Hellman グループを指定しますPFS Group specified the Diffie-Hellmen Group used in Quick Mode or Phase 2
  4. Azure VPN ゲートウェイでは、IKEv2 メイン モード SA の有効期間が 28,800 秒に固定されますIKEv2 Main Mode SA lifetime is fixed at 28,800 seconds on the Azure VPN gateways
  5. 接続の "UsePolicyBasedTrafficSelectors" を $True に設定すると、Azure VPN ゲートウェイは、オンプレミスのポリシー ベースの VPN ファイアウォールに接続するように構成されます。Setting "UsePolicyBasedTrafficSelectors" to $True on a connection will configure the Azure VPN gateway to connect to policy-based VPN firewall on premises. PolicyBasedTrafficSelectors を有効にする場合は、オンプレミス ネットワーク (ローカル ネットワーク ゲートウェイ) プレフィックスと Azure Virtual Network プレフィックスのすべての組み合わせに対応するトラフィック セレクターが VPN デバイスに定義されている必要があります (any-to-any は不可)。If you enable PolicyBasedTrafficSelectors, you need to ensure your VPN device has the matching traffic selectors defined with all combinations of your on-premises network (local network gateway) prefixes to/from the Azure virtual network prefixes, instead of any-to-any. たとえば、オンプレミス ネットワークのプレフィックスが 10.1.0.0/16 と 10.2.0.0/16 で、仮想ネットワークのプレフィックスが 192.168.0.0/16 と 172.16.0.0/16 である場合、次のトラフィック セレクターを指定する必要があります。For example, if your on-premises network prefixes are 10.1.0.0/16 and 10.2.0.0/16, and your virtual network prefixes are 192.168.0.0/16 and 172.16.0.0/16, you need to specify the following traffic selectors:
    • 10.1.0.0/16 <====> 192.168.0.0/1610.1.0.0/16 <====> 192.168.0.0/16
    • 10.1.0.0/16 <====> 172.16.0.0/1610.1.0.0/16 <====> 172.16.0.0/16
    • 10.2.0.0/16 <====> 192.168.0.0/1610.2.0.0/16 <====> 192.168.0.0/16
    • 10.2.0.0/16 <====> 172.16.0.0/1610.2.0.0/16 <====> 172.16.0.0/16

ポリシー ベースのトラフィック セレクターの詳細については、複数のオンプレミスのポリシー ベース VPN デバイスへの接続に関する記事を参照してください。For more information regarding policy-based traffic selectors, see Connect multiple on-premises policy-based VPN devices.

以下の表は、カスタム ポリシーでサポートされている、対応する Diffie-Hellman グループを示したものです。The following table lists the corresponding Diffie-Hellman Groups supported by the custom policy:

Diffie-Hellman グループDiffie-Hellman Group DHGroupDHGroup PFSGroupPFSGroup キーの長さKey length
11 DHGroup1DHGroup1 PFS1PFS1 768 ビット MODP768-bit MODP
22 DHGroup2DHGroup2 PFS2PFS2 1024 ビット MODP1024-bit MODP
1414 DHGroup14DHGroup14
DHGroup2048DHGroup2048
PFS2048PFS2048 2048 ビット MODP2048-bit MODP
1919 ECP256ECP256 ECP256ECP256 256 ビット ECP256-bit ECP
2020 ECP384ECP384 ECP284ECP284 384 ビット ECP384-bit ECP
2424 DHGroup24DHGroup24 PFS24PFS24 2048 ビット MODP2048-bit MODP

詳細については、RFC3526RFC5114 を参照してください。Refer to RFC3526 and RFC5114 for more details.

パート 3 - IPsec/IKE ポリシーを使用して新しい S2S VPN 接続を作成するPart 3 - Create a new S2S VPN connection with IPsec/IKE policy

このセクションでは、IPsec/IKE ポリシーを使用して S2S VPN 接続を作成する手順について説明します。This section walks you through the steps of creating a S2S VPN connection with an IPsec/IKE policy. 以下の手順によって、次の図に示す接続が作成されます。The following steps create the connection as shown in the diagram:

s2s ポリシー

S2S VPN 接続を作成するための詳細な手順については、S2S VPN 接続の作成に関する記事をご覧ください。See Create a S2S VPN connection for more detailed step-by-step instructions for creating a S2S VPN connection.

開始する前にBefore you begin

  • Azure サブスクリプションを持っていることを確認します。Verify that you have an Azure subscription. Azure サブスクリプションをまだお持ちでない場合は、MSDN サブスクライバーの特典を有効にするか、無料アカウントにサインアップしてください。If you don't already have an Azure subscription, you can activate your MSDN subscriber benefits or sign up for a free account.
  • Azure Resource Manager PowerShell コマンドレットをインストールします。Install the Azure Resource Manager PowerShell cmdlets. PowerShell コマンドレットのインストールの詳細については、「Azure PowerShell の概要」を参照してください。See Overview of Azure PowerShell for more information about installing the PowerShell cmdlets.

手順 1 - 仮想ネットワーク、VPN ゲートウェイ、およびローカル ネットワーク ゲートウェイを作成するStep 1 - Create the virtual network, VPN gateway, and local network gateway

1.変数を宣言する1. Declare your variables

この練習では、最初に変数を宣言します。For this exercise, we start by declaring our variables. 運用環境の場合、実際の値を使用します。Be sure to replace the values with your own when configuring for production.

$Sub1          = "<YourSubscriptionName>"
$RG1           = "TestPolicyRG1"
$Location1     = "East US 2"
$VNetName1     = "TestVNet1"
$FESubName1    = "FrontEnd"
$BESubName1    = "Backend"
$GWSubName1    = "GatewaySubnet"
$VNetPrefix11  = "10.11.0.0/16"
$VNetPrefix12  = "10.12.0.0/16"
$FESubPrefix1  = "10.11.0.0/24"
$BESubPrefix1  = "10.12.0.0/24"
$GWSubPrefix1  = "10.12.255.0/27"
$DNS1          = "8.8.8.8"
$GWName1       = "VNet1GW"
$GW1IPName1    = "VNet1GWIP1"
$GW1IPconf1    = "gw1ipconf1"
$Connection16  = "VNet1toSite6"

$LNGName6      = "Site6"
$LNGPrefix61   = "10.61.0.0/16"
$LNGPrefix62   = "10.62.0.0/16"
$LNGIP6        = "131.107.72.22"

2.サブスクリプションに接続して新しいリソース グループを作成する2. Connect to your subscription and create a new resource group

リソース マネージャー コマンドレットを使用するように PowerShell モードを切り替えてください。Make sure you switch to PowerShell mode to use the Resource Manager cmdlets. 詳細については、「 リソース マネージャーでの Windows PowerShell の使用」を参照してください。For more information, see Using Windows PowerShell with Resource Manager.

PowerShell コンソールを開き、アカウントに接続します。Open your PowerShell console and connect to your account. 接続するには、次のサンプルを参照してください。Use the following sample to help you connect:

Connect-AzureRmAccount
Select-AzureRmSubscription -SubscriptionName $Sub1
New-AzureRmResourceGroup -Name $RG1 -Location $Location1

手順 3.仮想ネットワーク、VPN ゲートウェイ、およびローカル ネットワーク ゲートウェイを作成する3. Create the virtual network, VPN gateway, and local network gateway

次の例は、3 つのサブネットを持つ仮想ネットワーク TestVNet1 と VPN ゲートウェイを作成します。The following sample creates the virtual network, TestVNet1, with three subnets, and the VPN gateway. 値を代入するときは、ゲートウェイの名前を必ず GatewaySubnet にすることが重要です。When substituting values, it's important that you always name your gateway subnet specifically GatewaySubnet. 別の名前にすると、ゲートウェイの作成は失敗します。If you name it something else, your gateway creation fails.

$fesub1 = New-AzureRmVirtualNetworkSubnetConfig -Name $FESubName1 -AddressPrefix $FESubPrefix1
$besub1 = New-AzureRmVirtualNetworkSubnetConfig -Name $BESubName1 -AddressPrefix $BESubPrefix1
$gwsub1 = New-AzureRmVirtualNetworkSubnetConfig -Name $GWSubName1 -AddressPrefix $GWSubPrefix1

New-AzureRmVirtualNetwork -Name $VNetName1 -ResourceGroupName $RG1 -Location $Location1 -AddressPrefix $VNetPrefix11,$VNetPrefix12 -Subnet $fesub1,$besub1,$gwsub1

$gw1pip1    = New-AzureRmPublicIpAddress -Name $GW1IPName1 -ResourceGroupName $RG1 -Location $Location1 -AllocationMethod Dynamic
$vnet1      = Get-AzureRmVirtualNetwork -Name $VNetName1 -ResourceGroupName $RG1
$subnet1    = Get-AzureRmVirtualNetworkSubnetConfig -Name "GatewaySubnet" -VirtualNetwork $vnet1
$gw1ipconf1 = New-AzureRmVirtualNetworkGatewayIpConfig -Name $GW1IPconf1 -Subnet $subnet1 -PublicIpAddress $gw1pip1

New-AzureRmVirtualNetworkGateway -Name $GWName1 -ResourceGroupName $RG1 -Location $Location1 -IpConfigurations $gw1ipconf1 -GatewayType Vpn -VpnType RouteBased -GatewaySku VpnGw1

New-AzureRmLocalNetworkGateway -Name $LNGName6 -ResourceGroupName $RG1 -Location $Location1 -GatewayIpAddress $LNGIP6 -AddressPrefix $LNGPrefix61,$LNGPrefix62

手順 2 - IPsec/IKE ポリシーを使用して S2S VPN 接続を作成するStep 2 - Create a S2S VPN connection with an IPsec/IKE policy

1.IPsec/IKE ポリシーの作成1. Create an IPsec/IKE policy

次のサンプル スクリプトは、次のアルゴリズムとパラメーターを使用して IPsec/IKE ポリシーを作成します。The following sample script creates an IPsec/IKE policy with the following algorithms and parameters:

  • IKEv2: AES256、SHA384、DHGroup24IKEv2: AES256, SHA384, DHGroup24
  • IPsec: AES256、SHA256、PFS なし、SA の有効期間 14,400 秒および 102,400,000 KBIPsec: AES256, SHA256, PFS None, SA Lifetime 14400 seconds & 102400000KB
$ipsecpolicy6 = New-AzureRmIpsecPolicy -IkeEncryption AES256 -IkeIntegrity SHA384 -DhGroup DHGroup24 -IpsecEncryption AES256 -IpsecIntegrity SHA256 -PfsGroup None -SALifeTimeSeconds 14400 -SADataSizeKilobytes 102400000

IPsec に GCMAES を使用する場合、IPsec 暗号化と整合性の両方で同じ GCMAES アルゴリズムとキーの長さを使用する必要があります。If you use GCMAES for IPsec, you must use the same GCMAES algorithm and key length for both IPsec encryption and integrity. 上記の例では、GCMAES256 を使用した場合、該当するパラメーターは "-IpsecEncryption GCMAES256 -IpsecIntegrity GCMAES256" になります。For example above, the corresponding parameters will be "-IpsecEncryption GCMAES256 -IpsecIntegrity GCMAES256" when using GCMAES256.

2.IPsec/IKE ポリシーを使用して S2S VPN 接続を作成する2. Create the S2S VPN connection with the IPsec/IKE policy

S2S VPN 接続を作成し、上記で作成した IPsec/IKE ポリシーを適用します。Create an S2S VPN connection and apply the IPsec/IKE policy created earlier.

$vnet1gw = Get-AzureRmVirtualNetworkGateway -Name $GWName1  -ResourceGroupName $RG1
$lng6 = Get-AzureRmLocalNetworkGateway  -Name $LNGName6 -ResourceGroupName $RG1

New-AzureRmVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1 -VirtualNetworkGateway1 $vnet1gw -LocalNetworkGateway2 $lng6 -Location $Location1 -ConnectionType IPsec -IpsecPolicies $ipsecpolicy6 -SharedKey 'AzureA1b2C3'

必要に応じて、接続作成コマンドレットに "-UsePolicyBasedTrafficSelectors $True" を追加して、Azure VPN ゲートウェイがオンプレミスのポリシー ベースの VPN デバイスに接続できるようにすることができます (前述の説明を参照してください)。You can optionally add "-UsePolicyBasedTrafficSelectors $True" to the create connection cmdlet to enable Azure VPN gateway to connect to policy-based VPN devices on premises, as described above.

重要

接続に IPsec/IKE ポリシーを指定すると、Azure VPN ゲートウェイは、その特定の接続に対して指定された暗号アルゴリズムとキーの強度を使用する IPsec/IKE 提案のみを送受信します。Once an IPsec/IKE policy is specified on a connection, the Azure VPN gateway will only send or accept the IPsec/IKE proposal with specified cryptographic algorithms and key strengths on that particular connection. 接続するオンプレミスの VPN デバイスが、ポリシーの完全な組み合わせを使用するか受け入れることを確認する必要があります。それ以外の場合、S2S VPN トンネルは確立されません。Make sure your on-premises VPN device for the connection uses or accepts the exact policy combination, otherwise the S2S VPN tunnel will not establish.

パート 4 - IPsec/IKE ポリシーを使用して新しい VNet-to-VNet 接続を作成するPart 4 - Create a new VNet-to-VNet connection with IPsec/IKE policy

IPsec/IKE ポリシーを使用した VNet-to-VNet 接続の作成手順は、S2S VPN 接続の作成手順に似ています。The steps of creating a VNet-to-VNet connection with an IPsec/IKE policy are similar to that of a S2S VPN connection. 以下のサンプル スクリプトは、次の図に示す接続を作成します。The following sample scripts create the connection as shown in the diagram:

v2v ポリシー

VNet 間の接続を作成するための詳細な手順については、VNet-to-VNet 接続の作成に関する記事を参照してください。See Create a VNet-to-VNet connection for more detailed steps for creating a VNet-to-VNet connection. TestVNet1 と VPN Gateway を作成して構成するには、パート 3 の手順を完了している必要があります。You must complete Part 3 to create and configure TestVNet1 and the VPN Gateway.

手順 1 - 2 つ目の仮想ネットワークと VPN ゲートウェイを作成するStep 1 - Create the second virtual network and VPN gateway

1.変数を宣言する1. Declare your variables

値は実際の構成で使用する値に置換します。Be sure to replace the values with the ones that you want to use for your configuration.

$RG2          = "TestPolicyRG2"
$Location2    = "East US 2"
$VNetName2    = "TestVNet2"
$FESubName2   = "FrontEnd"
$BESubName2   = "Backend"
$GWSubName2   = "GatewaySubnet"
$VNetPrefix21 = "10.21.0.0/16"
$VNetPrefix22 = "10.22.0.0/16"
$FESubPrefix2 = "10.21.0.0/24"
$BESubPrefix2 = "10.22.0.0/24"
$GWSubPrefix2 = "10.22.255.0/27"
$DNS2         = "8.8.8.8"
$GWName2      = "VNet2GW"
$GW2IPName1   = "VNet2GWIP1"
$GW2IPconf1   = "gw2ipconf1"
$Connection21 = "VNet2toVNet1"
$Connection12 = "VNet1toVNet2"

2.新しいリソース グループに 2 つ目の仮想ネットワークと VPN ゲートウェイを作成する2. Create the second virtual network and VPN gateway in the new resource group

New-AzureRmResourceGroup -Name $RG2 -Location $Location2

$fesub2 = New-AzureRmVirtualNetworkSubnetConfig -Name $FESubName2 -AddressPrefix $FESubPrefix2
$besub2 = New-AzureRmVirtualNetworkSubnetConfig -Name $BESubName2 -AddressPrefix $BESubPrefix2
$gwsub2 = New-AzureRmVirtualNetworkSubnetConfig -Name $GWSubName2 -AddressPrefix $GWSubPrefix2

New-AzureRmVirtualNetwork -Name $VNetName2 -ResourceGroupName $RG2 -Location $Location2 -AddressPrefix $VNetPrefix21,$VNetPrefix22 -Subnet $fesub2,$besub2,$gwsub2

$gw2pip1    = New-AzureRmPublicIpAddress -Name $GW2IPName1 -ResourceGroupName $RG2 -Location $Location2 -AllocationMethod Dynamic
$vnet2      = Get-AzureRmVirtualNetwork -Name $VNetName2 -ResourceGroupName $RG2
$subnet2    = Get-AzureRmVirtualNetworkSubnetConfig -Name "GatewaySubnet" -VirtualNetwork $vnet2
$gw2ipconf1 = New-AzureRmVirtualNetworkGatewayIpConfig -Name $GW2IPconf1 -Subnet $subnet2 -PublicIpAddress $gw2pip1

New-AzureRmVirtualNetworkGateway -Name $GWName2 -ResourceGroupName $RG2 -Location $Location2 -IpConfigurations $gw2ipconf1 -GatewayType Vpn -VpnType RouteBased -GatewaySku HighPerformance

手順 2 - IPsec/IKE ポリシーを使用して VNet 間の接続を作成するStep 2 - Create a VNet-toVNet connection with the IPsec/IKE policy

S2S VPN 接続と同じように、IPsec/IKE ポリシーを作成し、新しい接続にポリシーを適用します。Similar to the S2S VPN connection, create an IPsec/IKE policy then apply to policy to the new connection.

1.IPsec/IKE ポリシーの作成1. Create an IPsec/IKE policy

次のサンプル スクリプトは、次のアルゴリズムとパラメーターを使用して別の IPsec/IKE ポリシーを作成します。The following sample script creates a different IPsec/IKE policy with the following algorithms and parameters:

  • IKEv2: AES128、SHA1、DHGroup14IKEv2: AES128, SHA1, DHGroup14
  • IPsec: GCMAES128、GCMAES128、PFS14、SA の有効期間 14,400 秒および 102,400,000 KBIPsec: GCMAES128, GCMAES128, PFS14, SA Lifetime 14400 seconds & 102400000KB
$ipsecpolicy2 = New-AzureRmIpsecPolicy -IkeEncryption AES128 -IkeIntegrity SHA1 -DhGroup DHGroup14 -IpsecEncryption GCMAES128 -IpsecIntegrity GCMAES128 -PfsGroup PFS14 -SALifeTimeSeconds 14400 -SADataSizeKilobytes 102400000

2.IPsec/IKE ポリシーを使用して、VNet-to-VNet 接続を作成する2. Create VNet-to-VNet connections with the IPsec/IKE policy

VNet 間の接続を作成し、作成済みの IPsec/IKE ポリシーを適用します。Create a VNet-to-VNet connection and apply the IPsec/IKE policy you created. この例では、両方のゲートウェイが同じサブスクリプションにあります。In this example, both gateways are in the same subscription. このため、両方の接続を、同じ PowerShell セッションで同じ IPsec/IKE ポリシーを使用して、作成して構成することができます。So it is possible to create and configure both connections with the same IPsec/IKE policy in the same PowerShell session.

$vnet1gw = Get-AzureRmVirtualNetworkGateway -Name $GWName1  -ResourceGroupName $RG1
$vnet2gw = Get-AzureRmVirtualNetworkGateway -Name $GWName2  -ResourceGroupName $RG2

New-AzureRmVirtualNetworkGatewayConnection -Name $Connection12 -ResourceGroupName $RG1 -VirtualNetworkGateway1 $vnet1gw -VirtualNetworkGateway2 $vnet2gw -Location $Location1 -ConnectionType Vnet2Vnet -IpsecPolicies $ipsecpolicy2 -SharedKey 'AzureA1b2C3'

New-AzureRmVirtualNetworkGatewayConnection -Name $Connection21 -ResourceGroupName $RG2 -VirtualNetworkGateway1 $vnet2gw -VirtualNetworkGateway2 $vnet1gw -Location $Location2 -ConnectionType Vnet2Vnet -IpsecPolicies $ipsecpolicy2 -SharedKey 'AzureA1b2C3'

重要

接続に IPsec/IKE ポリシーを指定すると、Azure VPN ゲートウェイは、その特定の接続に対して指定された暗号アルゴリズムとキーの強度を使用する IPsec/IKE 提案のみを送受信します。Once an IPsec/IKE policy is specified on a connection, the Azure VPN gateway will only send or accept the IPsec/IKE proposal with specified cryptographic algorithms and key strengths on that particular connection. 両方の接続の IPsec ポリシーが同じであることを確認してください。それ以外の場合、VNet 間の接続は確立されません。Make sure the IPsec policies for both connections are the same, otherwise the VNet-to-VNet connection will not establish.

これらの手順を完了すると、数分後に接続が確立され、この記事で最初に示した次のネットワーク トポロジが設定されます。After completing these steps, the connection is established in a few minutes, and you will have the following network topology as shown in the beginning:

ipsec-ike-policy

パート 5 - 接続の IPsec/IKE ポリシーを更新するPart 5 - Update IPsec/IKE policy for a connection

最後のセクションでは、既存の S2S または VNet 間接続の IPsec/IKE ポリシーを管理する方法を示します。The last section shows you how to manage IPsec/IKE policy for an existing S2S or VNet-to-VNet connection. ここでは、接続に対して次の操作を行います。The exercise below walks you through the following operations on a connection:

  1. 接続の IPsec/IKE ポリシーを表示するShow the IPsec/IKE policy of a connection
  2. 接続に IPsec/IKE ポリシーを追加する、またはポリシーを更新するAdd or update the IPsec/IKE policy to a connection
  3. 接続から IPsec/IKE ポリシーを削除するRemove the IPsec/IKE policy from a connection

S2S 接続と VNet-to-VNet 接続の両方に同じ手順が適用されます。The same steps apply to both S2S and VNet-to-VNet connections.

重要

IPsec/IKE ポリシーは、"Standard" および "HighPerformance" のルート ベースの VPN ゲートウェイでのみサポートされています。IPsec/IKE policy is supported on Standard and HighPerformance route-based VPN gateways only. Basic ゲートウェイ SKU またはポリシー ベースの VPN ゲートウェイでは機能しません。It does not work on the Basic gateway SKU or the policy-based VPN gateway.

1.接続の IPsec/IKE ポリシーを表示する1. Show the IPsec/IKE policy of a connection

次の例は、接続に構成されている IPsec/IKE ポリシーを取得する方法を示しています。The following example shows how to get the IPsec/IKE policy configured on a connection. これらのスクリプトは、ここまでの手順の続きでもあります。The scripts also continue from the exercises above.

$RG1          = "TestPolicyRG1"
$Connection16 = "VNet1toSite6"
$connection6  = Get-AzureRmVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1
$connection6.IpsecPolicies

最後のコマンドによって、接続に構成されている現在の IPsec/IKE ポリシーが表示されます (ポリシーが存在する場合)。The last command lists the current IPsec/IKE policy configured on the connection, if there is any. 以下は、接続の出力サンプルです。The following is a sample output for the connection:

SALifeTimeSeconds   : 14400
SADataSizeKilobytes : 102400000
IpsecEncryption     : AES256
IpsecIntegrity      : SHA256
IkeEncryption       : AES256
IkeIntegrity        : SHA384
DhGroup             : DHGroup24
PfsGroup            : PFS24

IPsec/IKE ポリシーが構成されていない場合、コマンド (PS> $connection6.policy) は何も返しません。If there is no IPsec/IKE policy configured, the command (PS> $connection6.policy) gets an empty return. これは、接続に IPsec/IKE が構成されていないという意味ではなく、カスタム IPsec/IKE ポリシーがないことを意味します。It does not mean IPsec/IKE is not configured on the connection, but that there is no custom IPsec/IKE policy. 実際の接続では、オンプレミスの VPN デバイスと Azure VPN ゲートウェイの間でネゴシエートされる既定のポリシーが使用されます。The actual connection uses the default policy negotiated between your on-premises VPN device and the Azure VPN gateway.

2.IPsec/IKE ポリシーを接続に追加するか、ポリシーを更新する2. Add or update an IPsec/IKE policy for a connection

接続に新しいポリシーを追加する手順と既存のポリシーを更新する手順は同じです。つまり、新しいポリシーを作成した後、新しいポリシーを接続に適用します。The steps to add a new policy or update an existing policy on a connection are the same: create a new policy then apply the new policy to the connection.

$RG1          = "TestPolicyRG1"
$Connection16 = "VNet1toSite6"
$connection6  = Get-AzureRmVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1

$newpolicy6   = New-AzureRmIpsecPolicy -IkeEncryption AES128 -IkeIntegrity SHA1 -DhGroup DHGroup14 -IpsecEncryption AES256 -IpsecIntegrity SHA256 -PfsGroup None -SALifeTimeSeconds 14400 -SADataSizeKilobytes 102400000

Set-AzureRmVirtualNetworkGatewayConnection -VirtualNetworkGatewayConnection $connection6 -IpsecPolicies $newpolicy6

"UsePolicyBasedTrafficSelectors" を有効にしてオンプレミスのポリシー ベースの VPN デバイスに接続するには、"-UsePolicyBaseTrafficSelectors" パラメーターをコマンドレットに追加するか、$False を設定してこのオプションを無効にします。To enable "UsePolicyBasedTrafficSelectors" when connecting to an on-premises policy-based VPN device, add the "-UsePolicyBaseTrafficSelectors" parameter to the cmdlet, or set it to $False to disable the option:

Set-AzureRmVirtualNetworkGatewayConnection -VirtualNetworkGatewayConnection $connection6 -IpsecPolicies $newpolicy6 -UsePolicyBasedTrafficSelectors $True

接続をもう一度取得して、ポリシーが更新されていることを確認できます。You can get the connection again to check if the policy is updated.

$connection6  = Get-AzureRmVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1
$connection6.IpsecPolicies

最後の行によって、次の例のような出力が表示されます。You should see the output from the last line, as shown in the following example:

SALifeTimeSeconds   : 14400
SADataSizeKilobytes : 102400000
IpsecEncryption     : AES256
IpsecIntegrity      : SHA256
IkeEncryption       : AES128
IkeIntegrity        : SHA1
DhGroup             : DHGroup14
PfsGroup            : None

手順 3.接続から IPsec/IKE ポリシーを削除する3. Remove an IPsec/IKE policy from a connection

接続からカスタム ポリシーが削除されると、Azure VPN ゲートウェイは IPsec/IKE 提案の既定のリストに戻り、オンプレミスの VPN デバイスとの再ネゴシエーションを再び実行します。Once you remove the custom policy from a connection, the Azure VPN gateway reverts back to the default list of IPsec/IKE proposals and renegotiates again with your on-premises VPN device.

$RG1           = "TestPolicyRG1"
$Connection16  = "VNet1toSite6"
$connection6   = Get-AzureRmVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1

$currentpolicy = $connection6.IpsecPolicies[0]
$connection6.IpsecPolicies.Remove($currentpolicy)

Set-AzureRmVirtualNetworkGatewayConnection -VirtualNetworkGatewayConnection $connection6

同じスクリプトを使用して、接続からポリシーが削除されたかどうかを確認できます。You can use the same script to check if the policy has been removed from the connection.

次の手順Next steps

ポリシー ベースのトラフィック セレクターの詳細については、複数のオンプレミスのポリシー ベースの VPN デバイスへの接続に関する記事を参照してください。See Connect multiple on-premises policy-based VPN devices for more details regarding policy-based traffic selectors.

接続が完成したら、仮想ネットワークに仮想マシンを追加することができます。Once your connection is complete, you can add virtual machines to your virtual networks. 手順については、 仮想マシンの作成 に関するページを参照してください。See Create a Virtual Machine for steps.