IPSec/IKE-beleid voor site-to-site-VPN-verbindingen configurerenConfigure IPsec/IKE policy for site-to-site VPN connections

In dit artikel worden de stappen beschreven voor het configureren van een IPsec/IKE-beleid voor VPN-verbindingen tussen sites in Azure Stack hub.This article walks through the steps to configure an IPsec/IKE policy for site-to-site (S2S) VPN connections in Azure Stack Hub.

Notitie

U moet Azure Stack hub versie 1809 of hoger uitvoeren om deze functie te kunnen gebruiken.You must be running Azure Stack Hub build 1809 or later to use this feature. Als u momenteel een build van vóór 1809 uitvoert, werkt u uw Azure Stack hub-systeem bij naar de nieuwste versie voordat u verdergaat met de stappen in dit artikel.If you're currently running a build prior to 1809, update your Azure Stack Hub system to the latest build before proceeding with the steps in this article.

IPsec-en IKE-beleids parameters voor VPN-gatewaysIPsec and IKE policy parameters for VPN gateways

Het IPsec-en IKE-protocol standaard ondersteunt een breed scala aan cryptografische algoritmen in verschillende combi Naties.The IPsec and IKE protocol standard supports a wide range of cryptographic algorithms in various combinations. Zie IPSec/IKE-para metersom te zien welke para meters worden ondersteund in azure stack hub, zodat u kunt voldoen aan uw nalevings-of beveiligings vereisten.To see which parameters are supported in Azure Stack Hub so you can satisfy your compliance or security requirements, see IPsec/IKE parameters.

Dit artikel bevat instructies voor het maken en configureren van een IPsec/IKE-beleid en het Toep assen op een nieuwe of bestaande verbinding.This article provides instructions on how to create and configure an IPsec/IKE policy and apply it to a new or existing connection.

OverwegingenConsiderations

Houd rekening met de volgende belang rijke overwegingen bij het gebruik van deze beleids regels:Note the following important considerations when using these policies:

  • Het IPsec/IKE-beleid werkt alleen op de standaard -en High Performance -gateway-sku's (op route basis).The IPsec/IKE policy only works on the Standard and HighPerformance (route-based) gateway SKUs.

  • U kunt slechts één beleids combinatie voor een bepaalde verbinding opgeven.You can only specify one policy combination for a given connection.

  • U moet alle algoritmen en para meters opgeven voor zowel IKE (hoofd modus) als IPsec (snelle modus).You must specify all algorithms and parameters for both IKE (Main Mode) and IPsec (Quick Mode). Gedeeltelijke beleidsspecificatie is niet toegestaan.Partial policy specification is not allowed.

  • Neem contact op met de specificaties van de leverancier van uw VPN-apparaat om ervoor te zorgen dat het beleid wordt ondersteund op uw on-premises VPN-apparaten.Consult with your VPN device vendor specifications to ensure the policy is supported on your on-premises VPN devices. Site-naar-site-verbindingen kunnen niet tot stand worden gebracht als het beleid niet compatibel is.Site-to-site connections cannot be established if the policies are incompatible.

VereistenPrerequisites

Zorg ervoor dat u voordat u begint over het volgende beschikt:Before you begin, make sure you have the following prerequisites:

Deel 1: IPsec/IKE-beleid maken en instellenPart 1 - Create and set IPsec/IKE policy

In deze sectie worden de stappen beschreven die nodig zijn om het IPsec/IKE-beleid te maken en bij te werken op een site-naar-site-VPN-verbinding:This section describes the steps required to create and update the IPsec/IKE policy on a site-to-site VPN connection:

  1. Maak een virtueel netwerk en een VPN-gateway.Create a virtual network and a VPN gateway.

  2. Maak een lokale netwerk gateway voor cross-premises verbinding.Create a local network gateway for cross-premises connection.

  3. Maak een IPsec/IKE-beleid met geselecteerde algoritmen en para meters.Create an IPsec/IKE policy with selected algorithms and parameters.

  4. Maak een IPSec-verbinding met het IPsec/IKE-beleid.Create an IPSec connection with the IPsec/IKE policy.

  5. Een IPsec/IKE-beleid voor een bestaande verbinding toevoegen/bijwerken/verwijderen.Add/update/remove an IPsec/IKE policy for an existing connection.

De instructies in dit artikel helpen u bij het instellen en configureren van IPsec/IKE-beleid, zoals wordt weer gegeven in de volgende afbeelding:The instructions in this article help you set up and configure IPsec/IKE policies, as shown in the following figure:

IPsec/IKE-beleid instellen en configureren

Deel 2: ondersteunde cryptografische algoritmen en sleutel sterktenPart 2 - Supported cryptographic algorithms and key strengths

De volgende tabel bevat de ondersteunde cryptografische algoritmen en sleutel sterktes die kunnen worden geconfigureerd door Azure Stack hub:The following table lists the supported cryptographic algorithms and key strengths configurable by Azure Stack Hub:

IPsec/IKEv2IPsec/IKEv2 OptiesOptions
IKEv2-versleutelingIKEv2 Encryption AES256, AES192, AES128, DES3, DESAES256, AES192, AES128, DES3, DES
IKEv2-integriteitIKEv2 Integrity SHA384, SHA256, SHA1, MD5SHA384, SHA256, SHA1, MD5
DH-groepDH Group ECP384, DHGroup14, DHGroup2, DHGroup1, ECP256 , DHGroup24ECP384, DHGroup14, DHGroup2, DHGroup1, ECP256 , DHGroup24
IPsec-versleutelingIPsec Encryption GCMAES256, GCMAES192, GCMAES128, AES256, AES192, AES128, DES3, DES, geenGCMAES256, GCMAES192, GCMAES128, AES256, AES192, AES128, DES3, DES, None
IPsec-integriteitIPsec Integrity GCMAES256, GCMAES192, GCMAES128GCMAES256, GCMAES192, GCMAES128
PFS-groepPFS Group PFS24, ECP384, ECP256, PFS2048, PFS2, PFS1, PFSMM, geenPFS24, ECP384, ECP256, PFS2048, PFS2, PFS1, PFSMM, None
QM SA-levensduurQM SA Lifetime (Optioneel: de standaard waarden worden gebruikt als er geen waarde is opgegeven)(Optional: default values are used if not specified)
Seconden (geheel getal; min. 300 /standaard 27000 seconden)Seconds (integer; min. 300/default 27000 seconds)
KB (geheel getal; min. 1024/standaard 102400000 KB)KBytes (integer; min. 1024/default 102400000 KBytes)
VerkeersselectorTraffic Selector Op beleid gebaseerde verkeers selecties worden niet ondersteund in Azure Stack hub.Policy-based Traffic Selectors are not supported in Azure Stack Hub.

* Deze para meters zijn alleen beschikbaar in builds 2002 en hoger.* These parameters are only available in builds 2002 and above.

  • De configuratie van uw on-premises VPN-apparaat moet overeenkomen met of de volgende algoritmen en parameters bevatten die u in het Azure IPsec/IKE-beleid opgeeft:Your on-premises VPN device configuration must match or contain the following algorithms and parameters that you specify on the Azure IPsec/IKE policy:

    • IKE-versleutelings algoritme (hoofd modus/fase 1).IKE encryption algorithm (Main Mode/Phase 1).
    • IKE-integriteits algoritme (hoofd modus/fase 1).IKE integrity algorithm (Main Mode/Phase 1).
    • DH-groep (hoofd modus/fase 1).DH Group (Main Mode/Phase 1).
    • IPsec-versleutelings algoritme (snelle modus/fase 2).IPsec encryption algorithm (Quick Mode/Phase 2).
    • IPsec-integriteits algoritme (snelle modus/fase 2).IPsec integrity algorithm (Quick Mode/Phase 2).
    • PFS-groep (snelle modus/fase 2).PFS Group (Quick Mode/Phase 2).
    • De SA-levens duur is alleen lokale specificaties en hoeft niet overeen te komen.The SA lifetimes are local specifications only and do not need to match.
  • Als GCMAES wordt gebruikt als IPsec-versleutelings algoritme, moet u dezelfde GCMAES-algoritme en sleutel lengte voor IPsec-integriteit selecteren. u kunt bijvoorbeeld GCMAES128 gebruiken voor beide.If GCMAES is used as the IPsec encryption algorithm, you must select the same GCMAES algorithm and key length for IPsec integrity; for example, using GCMAES128 for both.

  • In de voor gaande tabel:In the preceding table:

    • IKEv2 komt overeen met de hoofd modus of fase 1.IKEv2 corresponds to Main Mode or Phase 1.
    • IPsec komt overeen met snelle modus of fase 2.IPsec corresponds to Quick Mode or Phase 2.
    • DH-groep Hiermee geeft u de Diffie-Hellmen groep op die wordt gebruikt in de hoofd modus of fase 1.DH Group specifies the Diffie-Hellmen Group used in Main Mode or Phase 1.
    • PFS-groep specificeert de Diffie-Hellmen groep die wordt gebruikt in de snelle modus of fase 2.PFS Group specifies the Diffie-Hellmen Group used in Quick Mode or Phase 2.
  • De levens duur van de SA-hoofd modus van IKEv2 is 28.800 seconden per Azure Stack hub VPN-gateways.IKEv2 Main Mode SA lifetime is fixed at 28,800 seconds on the Azure Stack Hub VPN gateways.

De volgende tabel bevat de overeenkomende Diffie-Hellman groepen die worden ondersteund door het aangepaste beleid:The following table lists the corresponding Diffie-Hellman Groups supported by the custom policy:

Diffie-Hellman-groepDiffie-Hellman Group DHGroupDHGroup PFSGroupPFSGroup SleutellengteKey length
11 DHGroup1DHGroup1 PFS1PFS1 768-bits MODP768-bit MODP
22 DHGroup2DHGroup2 PFS2PFS2 1024-bits MODP1024-bit MODP
1414 DHGroup14DHGroup14
DHGroup2048DHGroup2048
PFS2048PFS2048 2048-bits MODP2048-bit MODP
1919 ECP256ECP256* ECP256ECP256 256-bits ECP256-bit ECP
2020 ECP384ECP384 ECP384ECP384 384-bits ECP384-bit ECP
2424 DHGroup24DHGroup24* PFS24PFS24 2048-bits MODP2048-bit MODP

* Deze para meters zijn alleen beschikbaar in builds 2002 en hoger.* These parameters are only available in builds 2002 and above.

Zie RFC3526 en RFC5114 voor meer informatie.For more information, see RFC3526 and RFC5114.

Deel 3: een nieuwe site-naar-site-VPN-verbinding maken met het IPsec/IKE-beleidPart 3 - Create a new site-to-site VPN connection with IPsec/IKE policy

In deze sectie worden de stappen beschreven voor het maken van een site-naar-site-VPN-verbinding met een IPsec/IKE-beleid.This section walks through the steps to create a site-to-site VPN connection with an IPsec/IKE policy. Met de volgende stappen maakt u de verbinding, zoals wordt weer gegeven in de volgende afbeelding:The following steps create the connection, as shown in the following figure:

site-naar-site-beleid

Zie een site-naar-site-VPN-verbinding makenvoor meer gedetailleerde stapsgewijze instructies voor het maken van een site-naar-site-VPN-verbinding.For more detailed step-by-step instructions for creating a site-to-site VPN connection, see Create a site-to-site VPN connection.

Stap 1: het virtuele netwerk, de VPN-gateway en de lokale netwerk gateway makenStep 1 - Create the virtual network, VPN gateway, and local network gateway

1. Declareer variabelen1. Declare variables

Voor deze oefening begint u met het declareren van de volgende variabelen.For this exercise, start by declaring the following variables. Zorg ervoor dat u de tijdelijke aanduidingen vervangt door uw eigen waarden bij het configureren voor productie:Be sure to replace the placeholders with your own values when configuring for production:

$Sub1 = "<YourSubscriptionName>"
$RG1 = "TestPolicyRG1"
$Location1 = "East US 2"
$VNetName1 = "TestVNet1"
$FESubName1 = "FrontEnd"
$BESubName1 = "Backend"
$GWSubName1 = "GatewaySubnet"
$VNetPrefix11 = "10.11.0.0/16"
$VNetPrefix12 = "10.12.0.0/16"
$FESubPrefix1 = "10.11.0.0/24"
$BESubPrefix1 = "10.12.0.0/24"
$GWSubPrefix1 = "10.12.255.0/27"
$DNS1 = "8.8.8.8"
$GWName1 = "VNet1GW"
$GW1IPName1 = "VNet1GWIP1"
$GW1IPconf1 = "gw1ipconf1"
$Connection16 = "VNet1toSite6"
$LNGName6 = "Site6"
$LNGPrefix61 = "10.61.0.0/16"
$LNGPrefix62 = "10.62.0.0/16"
$LNGIP6 = "131.107.72.22"

2. Maak verbinding met uw abonnement en maak een nieuwe resource groep2. Connect to your subscription and create a new resource group

Zorg ervoor dat u overschakelt naar de PowerShell-modus als u de Resource Manager-cmdlets wilt gebruiken.Make sure you switch to PowerShell mode to use the Resource Manager cmdlets. Zie verbinding maken met Azure stack hub met Power shell als gebruikervoor meer informatie.For more information, see Connect to Azure Stack Hub with PowerShell as a user.

Open de Power shell-console en maak verbinding met uw account. bijvoorbeeld:Open your PowerShell console and connect to your account; for example:

Connect-AzAccount
Select-AzSubscription -SubscriptionName $Sub1
New-AzResourceGroup -Name $RG1 -Location $Location1

3. het virtuele netwerk, de VPN-gateway en de lokale netwerk gateway maken3. Create the virtual network, VPN gateway, and local network gateway

In het volgende voor beeld wordt het virtuele netwerk, TestVNet1, samen met drie subnetten en de VPN-gateway gemaakt.The following example creates the virtual network, TestVNet1, along with three subnets and the VPN gateway. Bij het vervangen van waarden is het belang rijk dat u de naam van het gateway-subnet GatewaySubnet.When substituting values, it's important that you specifically name your gateway subnet GatewaySubnet. Als u een andere naam kiest, mislukt het maken van de gateway.If you name it something else, your gateway creation fails.

$fesub1 = New-AzVirtualNetworkSubnetConfig -Name $FESubName1 -AddressPrefix $FESubPrefix1
$besub1 = New-AzVirtualNetworkSubnetConfig -Name $BESubName1 -AddressPrefix $BESubPrefix1
$gwsub1 = New-AzVirtualNetworkSubnetConfig -Name $GWSubName1 -AddressPrefix $GWSubPrefix1

New-AzVirtualNetwork -Name $VNetName1 -ResourceGroupName $RG1 -Location $Location1 -AddressPrefix $VNetPrefix11,$VNetPrefix12 -Subnet $fesub1,$besub1,$gwsub1

$gw1pip1 = New-AzPublicIpAddress -Name $GW1IPName1 -ResourceGroupName $RG1 -Location $Location1 -AllocationMethod Dynamic

$vnet1 = Get-AzVirtualNetwork -Name $VNetName1 -ResourceGroupName $RG1

$subnet1 = Get-AzVirtualNetworkSubnetConfig -Name "GatewaySubnet" `
-VirtualNetwork $vnet1

$gw1ipconf1 = New-AzVirtualNetworkGatewayIpConfig -Name $GW1IPconf1 `
-Subnet $subnet1 -PublicIpAddress $gw1pip1

New-AzVirtualNetworkGateway -Name $GWName1 -ResourceGroupName $RG1 `
-Location $Location1 -IpConfigurations $gw1ipconf1 -GatewayType Vpn `
-VpnType RouteBased -GatewaySku VpnGw1

New-AzLocalNetworkGateway -Name $LNGName6 -ResourceGroupName $RG1 `
-Location $Location1 -GatewayIpAddress $LNGIP6 -AddressPrefix `
$LNGPrefix61,$LNGPrefix62

Stap 2: een site-naar-site-VPN-verbinding maken met een IPsec/IKE-beleidStep 2 - Create a site-to-site VPN connection with an IPsec/IKE policy

1. een IPsec/IKE-beleid maken1. Create an IPsec/IKE policy

Met dit voorbeeld script maakt u een IPsec/IKE-beleid met de volgende algoritmen en para meters:This sample script creates an IPsec/IKE policy with the following algorithms and parameters:

  • IKEv2: AES128, SHA1, DHGroup14IKEv2: AES128, SHA1, DHGroup14
  • IPsec: AES256, SHA256, geen, levens duur van SA 14400 seconden en 102400000KBIPsec: AES256, SHA256, none, SA Lifetime 14400 seconds, and 102400000KB
$ipsecpolicy6 = New-AzIpsecPolicy -IkeEncryption AES128 -IkeIntegrity SHA1 -DhGroup DHGroup14 -IpsecEncryption AES256 -IpsecIntegrity SHA256 -PfsGroup none -SALifeTimeSeconds 14400 -SADataSizeKilobytes 102400000

Als u GCMAES voor IPsec gebruikt, moet u hetzelfde GCMAES-algoritme en dezelfde sleutel lengte gebruiken voor IPsec-versleuteling en-integriteit.If you use GCMAES for IPsec, you must use the same GCMAES algorithm and key length for both IPsec encryption and integrity.

2. Maak de site-naar-site-VPN-verbinding met het IPsec/IKE-beleid2. Create the site-to-site VPN connection with the IPsec/IKE policy

Maak een site-naar-site-VPN-verbinding en pas het IPsec/IKE-beleid toe dat u eerder hebt gemaakt:Create a site-to-site VPN connection and apply the IPsec/IKE policy you created previously:

$vnet1gw = Get-AzVirtualNetworkGateway -Name $GWName1 -ResourceGroupName $RG1
$lng6 = Get-AzLocalNetworkGateway -Name $LNGName6 -ResourceGroupName $RG1

New-AzVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1 -VirtualNetworkGateway1 $vnet1gw -LocalNetworkGateway2 $lng6 -Location $Location1 -ConnectionType IPsec -IpsecPolicies $ipsecpolicy6 -SharedKey 'Azs123'

Belangrijk

Zodra een IPsec/IKE-beleid is opgegeven voor een verbinding, verzendt of accepteert de Azure VPN-gateway alleen het IPsec/IKE-voor stel met de opgegeven cryptografische algoritmen en sleutel sterkten op die specifieke verbinding.Once an IPsec/IKE policy is specified on a connection, the Azure VPN gateway only sends or accepts the IPsec/IKE proposal with specified cryptographic algorithms and key strengths on that particular connection. Zorg ervoor dat uw on-premises VPN-apparaat voor de verbinding de exacte beleids combinatie gebruikt of accepteert, anders kan de site-naar-site VPN-tunnel niet tot stand worden gebracht.Make sure your on-premises VPN device for the connection uses or accepts the exact policy combination, otherwise the site-to-site VPN tunnel cannot be established.

Deel 4-IPsec/IKE-beleid voor een verbinding bijwerkenPart 4 - Update IPsec/IKE policy for a connection

In de vorige sectie is gebleken hoe u IPsec/IKE-beleid beheert voor een bestaande site-naar-site-verbinding.The previous section showed how to manage IPsec/IKE policy for an existing site-to-site connection. In deze sectie worden de volgende bewerkingen uitgevoerd op een verbinding:This section walks through the following operations on a connection:

  • Het IPsec/IKE-beleid van een verbinding weer geven.Show the IPsec/IKE policy of a connection.
  • Voeg het IPsec/IKE-beleid toe of werk het toe aan een verbinding.Add or update the IPsec/IKE policy to a connection.
  • Verwijder het IPsec/IKE-beleid uit een verbinding.Remove the IPsec/IKE policy from a connection.

Notitie

IPsec/IKE-beleid wordt alleen ondersteund op standaard en High Performance VPN-gateways op basis van route ring.IPsec/IKE policy is supported on Standard and HighPerformance route-based VPN gateways only. Het werkt niet op de Basic gateway-SKU.It does not work on the Basic gateway SKU.

1. het IPsec/IKE-beleid van een verbinding weer geven1. Show the IPsec/IKE policy of a connection

In het volgende voor beeld ziet u hoe u het IPsec/IKE-beleid kunt ophalen dat is geconfigureerd voor een verbinding.The following example shows how to get the IPsec/IKE policy configured on a connection. De scripts worden ook door lopen van de vorige oefeningen.The scripts also continue from the previous exercises.

$RG1 = "TestPolicyRG1"
$Connection16 = "VNet1toSite6"
$connection6 = Get-AzVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1
$connection6.IpsecPolicies

Met de laatste opdracht wordt een lijst weer gegeven met het huidige IPsec/IKE-beleid dat is geconfigureerd op de verbinding, indien aanwezig.The last command lists the current IPsec/IKE policy configured on the connection, if any. Het volgende voor beeld is een voor beeld van een uitvoer voor de verbinding:The following example is a sample output for the connection:

SALifeTimeSeconds : 14400
SADataSizeKilobytes : 102400000
IpsecEncryption : AES256
IpsecIntegrity : SHA256
IkeEncryption : AES128
IkeIntegrity : SHA1
DhGroup : DHGroup14
PfsGroup : None

Als er geen IPsec/IKE-beleid is geconfigureerd, haalt de opdracht $connection6.policy een lege retour waarde op.If there's no IPsec/IKE policy configured, the command $connection6.policy gets an empty return. Dit betekent niet dat IPsec/IKE niet is geconfigureerd op de verbinding. Dit betekent dat er geen aangepast IPsec/IKE-beleid is.It does not mean that IPsec/IKE isn't configured on the connection; it means there's no custom IPsec/IKE policy. De werkelijke verbinding maakt gebruik van het standaard beleid dat wordt onderhandeld tussen uw on-premises VPN-apparaat en de Azure VPN-gateway.The actual connection uses the default policy negotiated between your on-premises VPN device and the Azure VPN gateway.

2. een IPsec/IKE-beleid voor een verbinding toevoegen of bijwerken2. Add or update an IPsec/IKE policy for a connection

De stappen voor het toevoegen van een nieuw beleid of het bijwerken van een bestaand beleid op een verbinding zijn hetzelfde: Maak een nieuw beleid en pas het nieuwe beleid toe op de verbinding:The steps to add a new policy or update an existing policy on a connection are the same: create a new policy, then apply the new policy to the connection:

$RG1 = "TestPolicyRG1"
$Connection16 = "VNet1toSite6"
$connection6 = Get-AzVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1

$newpolicy6 = New-AzIpsecPolicy -IkeEncryption AES128 -IkeIntegrity SHA1 -DhGroup DHGroup14 -IpsecEncryption AES256 -IpsecIntegrity SHA256 -PfsGroup None -SALifeTimeSeconds 14400 -SADataSizeKilobytes 102400000

$connection6.SharedKey = "AzS123"

Set-AzVirtualNetworkGatewayConnection -VirtualNetworkGatewayConnection $connection6 -IpsecPolicies $newpolicy6

U kunt de verbinding opnieuw verkrijgen om te controleren of het beleid is bijgewerkt:You can get the connection again to check if the policy is updated:

$connection6 = Get-AzVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1
$connection6.IpsecPolicies

U ziet de uitvoer van de laatste regel, zoals wordt weer gegeven in het volgende voor beeld:You should see the output from the last line, as shown in the following example:

SALifeTimeSeconds : 14400
SADataSizeKilobytes : 102400000
IpsecEncryption : AES256
IpsecIntegrity : SHA256
IkeEncryption : AES128
IkeIntegrity : SHA1
DhGroup : DHGroup14
PfsGroup : None

3. een IPsec/IKE-beleid uit een verbinding verwijderen3. Remove an IPsec/IKE policy from a connection

Nadat u het aangepaste beleid van een verbinding hebt verwijderd, wordt de Azure VPN-gateway teruggezet naar het standaard-IPSec/IKE-voor stelen wordt opnieuw onderhandeld met uw on-PREMISES VPN-apparaat.After you remove the custom policy from a connection, the Azure VPN gateway reverts to the default IPsec/IKE proposal, and renegotiates with your on-premises VPN device.

$RG1 = "TestPolicyRG1"
$Connection16 = "VNet1toSite6"
$connection6 = Get-AzVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1
$connection6.SharedKey = "AzS123"
$currentpolicy = $connection6.IpsecPolicies[0]
$connection6.IpsecPolicies.Remove($currentpolicy)

Set-AzVirtualNetworkGatewayConnection -VirtualNetworkGatewayConnection $connection6

U kunt hetzelfde script gebruiken om te controleren of het beleid is verwijderd uit de verbinding.You can use the same script to check if the policy has been removed from the connection.

Volgende stappenNext steps