IPSec/IKE-beleid voor site-to-site-VPN-verbindingen configureren
In dit artikel worden de stappen beschreven voor het configureren van een IPsec-/IKE-beleid voor site-naar-site-VPN-verbindingen (S2S) in Azure Stack Hub.
IPsec- en IKE-beleidsparameters voor VPN-gateways
De IPsec- en IKE-protocolstandaard ondersteunt een breed scala aan cryptografische algoritmen in verschillende combinaties. Zie IPsec/IKE-parameters om te zien welke parameters worden ondersteund in Azure Stack Hub, zodat u kunt voldoen aan uw nalevings- of beveiligingsvereisten.
Dit artikel bevat instructies voor het maken en configureren van een IPsec-/IKE-beleid en het toepassen op een nieuwe of bestaande verbinding.
Overwegingen
Houd rekening met de volgende belangrijke overwegingen bij het gebruik van dit beleid:
Het IPsec-/IKE-beleid werkt alleen op de Gateway-SKU's Standard en HighPerformance (op route gebaseerd).
U kunt slechts één beleidscombinatie opgeven voor een bepaalde verbinding.
U moet alle algoritmen en parameters opgeven voor zowel IKE (hoofdmodus) als IPsec (snelle modus). Gedeeltelijke beleidsspecificatie is niet toegestaan.
Raadpleeg de specificaties van de leverancier van uw VPN-apparaat om ervoor te zorgen dat het beleid wordt ondersteund op uw on-premises VPN-apparaten. Site-naar-site-verbindingen kunnen niet tot stand worden gebracht als het beleid niet compatibel is.
Vereisten
Zorg ervoor dat u voordat u begint over het volgende beschikt:
Een Azure-abonnement. Als u nog geen Azure-abonnement hebt, kunt u de voordelen van uw MSDN-abonnee activeren of u registreren voor een gratis account.
De Azure Resource Manager PowerShell-cmdlets. Zie PowerShell voor Azure Stack Hub installeren voor meer informatie over het installeren van de PowerShell-cmdlets.
Deel 1: IPsec-/IKE-beleid maken en instellen
In deze sectie worden de stappen beschreven die nodig zijn om het IPsec-/IKE-beleid voor een site-naar-site-VPN-verbinding te maken en bij te werken:
Maak een virtueel netwerk en een VPN-gateway.
Maak een lokale netwerkgateway voor cross-premises verbinding.
Maak een IPsec-/IKE-beleid met geselecteerde algoritmen en parameters.
Maak een IPSec-verbinding met het IPsec-/IKE-beleid.
Een IPsec-/IKE-beleid voor een bestaande verbinding toevoegen/bijwerken/verwijderen.
De instructies in dit artikel helpen u bij het instellen en configureren van IPsec-/IKE-beleid, zoals wordt weergegeven in de volgende afbeelding:
Deel 2: ondersteunde cryptografische algoritmen en belangrijke sterke punten
De volgende tabel bevat de ondersteunde cryptografische algoritmen en belangrijke sterke punten die kunnen worden geconfigureerd door Azure Stack Hub:
| IPsec/IKEv2 | Opties |
|---|---|
| IKEv2-versleuteling | AES256, AES192, AES128, DES3, DES |
| IKEv2-integriteit | SHA384, SHA256, SHA1, MD5 |
| DH-groep | ECP384, DHGroup14, DHGroup2, DHGroup1, ECP256*, DHGroup24* |
| IPsec-versleuteling | GCMAES256, GCMAES192, GCMAES128, AES256, AES192, AES128, DES3, DES, geen |
| IPsec-integriteit | GCMAES256, GCMAES192, GCMAES128, SHA256 |
| PFS-groep | PFS24, ECP384, ECP256, PFS2048, PFS2, PFS1, PFSMM, Geen |
| QM SA-levensduur | (Optioneel: standaardwaarden worden gebruikt als deze niet zijn opgegeven) Seconden (geheel getal; min. 300 /standaard 27000 seconden) KB (geheel getal; min. 1024/standaard 102400000 KB) |
| Verkeersselector | Op beleid gebaseerde verkeerskiezers worden niet ondersteund in Azure Stack Hub. |
Notitie
Als u de QM SA-levensduur te laag instelt, moet u onnodig opnieuw versleutelen, wat de prestaties kan verminderen.
* Deze parameters zijn alleen beschikbaar in builds 2002 en hoger.
De configuratie van uw on-premises VPN-apparaat moet overeenkomen met of de volgende algoritmen en parameters bevatten die u in het Azure IPsec/IKE-beleid opgeeft:
- IKE-versleutelingsalgoritmen (hoofdmodus/fase 1).
- IKE-integriteitsalgoritmen (hoofdmodus/fase 1).
- DH-groep (hoofdmodus/fase 1).
- IPsec-versleutelingsalgoritmen (snelle modus/fase 2).
- IPsec-integriteitsalgoritmen (snelle modus/fase 2).
- PFS-groep (snelle modus/fase 2).
- De SA-levensduur is alleen lokaal en hoeft niet overeen te komen.
Als GCMAES wordt gebruikt als IPsec-versleutelingsalgoritmen, moet u hetzelfde GCMAES-algoritme en dezelfde sleutellengte selecteren voor IPsec-integriteit; bijvoorbeeld GCMAES128 gebruiken voor beide.
In de voorgaande tabel:
- IKEv2 komt overeen met de hoofdmodus of fase 1.
- IPsec komt overeen met snelle modus of fase 2.
- DH-groep geeft de Diffie-Hellmen groep die wordt gebruikt in de hoofdmodus of fase 1.
- PFS-groep geeft de Diffie-Hellmen groep die wordt gebruikt in de snelle modus of fase 2.
De SA-levensduur van IKEv2 Main Mode is vastgesteld op 28.800 seconden op de Azure Stack Hub VPN-gateways.
De volgende tabel bevat de bijbehorende Diffie-Hellman groepen die worden ondersteund door het aangepaste beleid:
| Diffie-Hellman-groep | DHGroup | PFSGroup | Sleutellengte |
|---|---|---|---|
| 1 | DHGroup1 | PFS1 | 768-bits MODP |
| 2 | DHGroup2 | PFS2 | 1024-bits MODP |
| 14 | DHGroup14 DHGroup2048 |
PFS2048 | 2048-bits MODP |
| 19 | ECP256* | ECP256 | 256-bits ECP |
| 20 | ECP384 | ECP384 | 384-bits ECP |
| 24 | DHGroup24* | PFS24 | 2048-bits MODP |
* Deze parameters zijn alleen beschikbaar in builds 2002 en hoger.
Zie RFC3526 en RFC5114 voor meer informatie.
Deel 3: Een nieuwe site-naar-site-VPN-verbinding maken met IPsec/IKE-beleid
In deze sectie worden de stappen beschreven voor het maken van een site-naar-site-VPN-verbinding met een IPsec-/IKE-beleid. Met de volgende stappen maakt u de verbinding, zoals wordt weergegeven in de volgende afbeelding:
Zie Een site-naar-site-VPN-verbinding maken voor meer gedetailleerde stapsgewijze instructies voor het maken van een site-naar-site-VPN-verbinding.
Stap 1: het virtuele netwerk, de VPN-gateway en de lokale netwerkgateway maken
1. Variabelen declareren
Voor deze oefening begint u met het declareren van de volgende variabelen. Zorg ervoor dat u de tijdelijke aanduidingen vervangt door uw eigen waarden bij het configureren voor productie:
$Sub1 = "<YourSubscriptionName>"
$RG1 = "TestPolicyRG1"
$Location1 = "East US 2"
$VNetName1 = "TestVNet1"
$FESubName1 = "FrontEnd"
$BESubName1 = "Backend"
$GWSubName1 = "GatewaySubnet"
$VNetPrefix11 = "10.11.0.0/16"
$VNetPrefix12 = "10.12.0.0/16"
$FESubPrefix1 = "10.11.0.0/24"
$BESubPrefix1 = "10.12.0.0/24"
$GWSubPrefix1 = "10.12.255.0/27"
$DNS1 = "8.8.8.8"
$GWName1 = "VNet1GW"
$GW1IPName1 = "VNet1GWIP1"
$GW1IPconf1 = "gw1ipconf1"
$Connection16 = "VNet1toSite6"
$LNGName6 = "Site6"
$LNGPrefix61 = "10.61.0.0/16"
$LNGPrefix62 = "10.62.0.0/16"
$LNGIP6 = "131.107.72.22"
2. Maak verbinding met uw abonnement en maak een nieuwe resourcegroep
Zorg ervoor dat u overschakelt naar de PowerShell-modus als u de Resource Manager-cmdlets wilt gebruiken. Zie Verbinding maken met Azure Stack Hub met PowerShell als gebruiker voor meer informatie.
Open uw PowerShell-console en maak verbinding met uw account. bijvoorbeeld:
Connect-AzAccount
Select-AzSubscription -SubscriptionName $Sub1
New-AzResourceGroup -Name $RG1 -Location $Location1
3. Het virtuele netwerk, de VPN-gateway en de lokale netwerkgateway maken
In het volgende voorbeeld wordt het virtuele netwerk TestVNet1 gemaakt, samen met drie subnetten en de VPN-gateway. Bij het vervangen van waarden is het belangrijk dat u het gatewaysubnet GatewaySubnet specifiek noemt. Als u een andere naam kiest, mislukt het maken van de gateway.
$fesub1 = New-AzVirtualNetworkSubnetConfig -Name $FESubName1 -AddressPrefix $FESubPrefix1
$besub1 = New-AzVirtualNetworkSubnetConfig -Name $BESubName1 -AddressPrefix $BESubPrefix1
$gwsub1 = New-AzVirtualNetworkSubnetConfig -Name $GWSubName1 -AddressPrefix $GWSubPrefix1
New-AzVirtualNetwork -Name $VNetName1 -ResourceGroupName $RG1 -Location $Location1 -AddressPrefix $VNetPrefix11,$VNetPrefix12 -Subnet $fesub1,$besub1,$gwsub1
$gw1pip1 = New-AzPublicIpAddress -Name $GW1IPName1 -ResourceGroupName $RG1 -Location $Location1 -AllocationMethod Dynamic
$vnet1 = Get-AzVirtualNetwork -Name $VNetName1 -ResourceGroupName $RG1
$subnet1 = Get-AzVirtualNetworkSubnetConfig -Name "GatewaySubnet" `
-VirtualNetwork $vnet1
$gw1ipconf1 = New-AzVirtualNetworkGatewayIpConfig -Name $GW1IPconf1 `
-Subnet $subnet1 -PublicIpAddress $gw1pip1
New-AzVirtualNetworkGateway -Name $GWName1 -ResourceGroupName $RG1 `
-Location $Location1 -IpConfigurations $gw1ipconf1 -GatewayType Vpn `
-VpnType RouteBased -GatewaySku VpnGw1
New-AzLocalNetworkGateway -Name $LNGName6 -ResourceGroupName $RG1 `
-Location $Location1 -GatewayIpAddress $LNGIP6 -AddressPrefix `
$LNGPrefix61,$LNGPrefix62
Stap 2: een site-naar-site-VPN-verbinding maken met een IPsec-/IKE-beleid
1. Een IPsec-/IKE-beleid maken
Met dit voorbeeldscript wordt een IPsec-/IKE-beleid gemaakt met de volgende algoritmen en parameters:
- IKEv2: AES128, SHA1, DHGroup14
- IPsec: AES256, SHA256, geen, SA-levensduur 14400 seconden en 102400000 kB
$ipsecpolicy6 = New-AzIpsecPolicy -IkeEncryption AES128 -IkeIntegrity SHA1 -DhGroup DHGroup14 -IpsecEncryption AES256 -IpsecIntegrity SHA256 -PfsGroup none -SALifeTimeSeconds 14400 -SADataSizeKilobytes 102400000
Als u GCMAES voor IPsec gebruikt, moet u hetzelfde GCMAES-algoritme en dezelfde sleutellengte gebruiken voor zowel IPsec-versleuteling als integriteit.
2. Maak de site-naar-site-VPN-verbinding met het IPsec-/IKE-beleid
Maak een site-naar-site-VPN-verbinding en pas het IPsec/IKE-beleid toe dat u eerder hebt gemaakt:
$vnet1gw = Get-AzVirtualNetworkGateway -Name $GWName1 -ResourceGroupName $RG1
$lng6 = Get-AzLocalNetworkGateway -Name $LNGName6 -ResourceGroupName $RG1
New-AzVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1 -VirtualNetworkGateway1 $vnet1gw -LocalNetworkGateway2 $lng6 -Location $Location1 -ConnectionType IPsec -IpsecPolicies $ipsecpolicy6 -SharedKey 'Azs123'
Belangrijk
Zodra een IPsec-/IKE-beleid is opgegeven voor een verbinding, verzendt of accepteert de Azure VPN-gateway alleen het IPsec-/IKE-voorstel met opgegeven cryptografische algoritmen en belangrijke sterke punten voor die specifieke verbinding. Zorg ervoor dat uw on-premises VPN-apparaat voor de verbinding de exacte beleidscombinatie gebruikt of accepteert, anders kan de site-naar-site-VPN-tunnel niet tot stand worden gebracht.
Deel 4: IPsec-/IKE-beleid voor een verbinding bijwerken
In de vorige sectie is beschreven hoe u IPsec-/IKE-beleid beheert voor een bestaande site-naar-site-verbinding. In deze sectie worden de volgende bewerkingen voor een verbinding beschreven:
- Het IPsec-/IKE-beleid van een verbinding weergeven.
- Het IPsec-/IKE-beleid toevoegen aan of bijwerken naar een verbinding.
- Verwijder het IPsec-/IKE-beleid uit een verbinding.
Notitie
IPsec-/IKE-beleid wordt alleen ondersteund op Standard - en HighPerformance-vpn-gateways op basis van routes. Het werkt niet op de Basic-gateway-SKU .
1. Het IPsec-/IKE-beleid van een verbinding weergeven
In het volgende voorbeeld ziet u hoe u het IPsec-/IKE-beleid kunt configureren voor een verbinding. De scripts gaan ook verder van de vorige oefeningen.
$RG1 = "TestPolicyRG1"
$Connection16 = "VNet1toSite6"
$connection6 = Get-AzVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1
$connection6.IpsecPolicies
Met de laatste opdracht wordt het huidige IPsec-/IKE-beleid weergegeven dat is geconfigureerd voor de verbinding, indien van toepassing. Het volgende voorbeeld is een voorbeelduitvoer voor de verbinding:
SALifeTimeSeconds : 14400
SADataSizeKilobytes : 102400000
IpsecEncryption : AES256
IpsecIntegrity : SHA256
IkeEncryption : AES128
IkeIntegrity : SHA1
DhGroup : DHGroup14
PfsGroup : None
Als er geen IPsec-/IKE-beleid is geconfigureerd, krijgt de opdracht $connection6.policy een leeg resultaat. Dit betekent niet dat IPsec/IKE niet is geconfigureerd voor de verbinding; dit betekent dat er geen aangepast IPsec-/IKE-beleid is. De werkelijke verbinding maakt gebruik van het standaardbeleid dat is onderhandeld tussen uw on-premises VPN-apparaat en de Azure VPN-gateway.
2. Een IPsec-/IKE-beleid voor een verbinding toevoegen of bijwerken
De stappen voor het toevoegen van een nieuw beleid of het bijwerken van een bestaand beleid voor een verbinding zijn hetzelfde: maak een nieuw beleid en pas het nieuwe beleid vervolgens toe op de verbinding:
$RG1 = "TestPolicyRG1"
$Connection16 = "VNet1toSite6"
$connection6 = Get-AzVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1
$newpolicy6 = New-AzIpsecPolicy -IkeEncryption AES128 -IkeIntegrity SHA1 -DhGroup DHGroup14 -IpsecEncryption AES256 -IpsecIntegrity SHA256 -PfsGroup None -SALifeTimeSeconds 14400 -SADataSizeKilobytes 102400000
$connection6.SharedKey = "AzS123"
Set-AzVirtualNetworkGatewayConnection -VirtualNetworkGatewayConnection $connection6 -IpsecPolicies $newpolicy6
U kunt de verbinding opnieuw ophalen om te controleren of het beleid is bijgewerkt:
$connection6 = Get-AzVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1
$connection6.IpsecPolicies
U ziet de uitvoer van de laatste regel, zoals wordt weergegeven in het volgende voorbeeld:
SALifeTimeSeconds : 14400
SADataSizeKilobytes : 102400000
IpsecEncryption : AES256
IpsecIntegrity : SHA256
IkeEncryption : AES128
IkeIntegrity : SHA1
DhGroup : DHGroup14
PfsGroup : None
3. Een IPsec-/IKE-beleid verwijderen uit een verbinding
Nadat u het aangepaste beleid uit een verbinding hebt verwijderd, keert de Azure VPN-gateway terug naar het standaard IPsec-/IKE-voorstel en wordt opnieuw onderhandeld met uw on-premises VPN-apparaat.
$RG1 = "TestPolicyRG1"
$Connection16 = "VNet1toSite6"
$connection6 = Get-AzVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1
$connection6.SharedKey = "AzS123"
$currentpolicy = $connection6.IpsecPolicies[0]
$connection6.IpsecPolicies.Remove($currentpolicy)
Set-AzVirtualNetworkGatewayConnection -VirtualNetworkGatewayConnection $connection6
U kunt hetzelfde script gebruiken om te controleren of het beleid uit de verbinding is verwijderd.
Volgende stappen
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor