Konfigurowanie zasad protokołu IPsec/IKE dla połączeń międzylokacyjnej sieci VPNConfigure IPsec/IKE policy for site-to-site VPN connections

  • Czas czytania: 8 min

W tym artykule omówiono procedurę konfigurowania zasad protokołu IPsec/IKE dla połączeń sieci VPN typu lokacja-lokacja (S2S) w centrum Azure Stack.This article walks through the steps to configure an IPsec/IKE policy for site-to-site (S2S) VPN connections in Azure Stack Hub.

Uwaga

Aby użyć tej funkcji, musisz mieć uruchomioną Azure Stack Hub Build 1809 lub nowszą.You must be running Azure Stack Hub build 1809 or later to use this feature. Jeśli obecnie jest uruchomiona kompilacja wcześniejsza niż 1809, przed wykonaniem kroków opisanych w tym artykule Zaktualizuj system Azure Stack Hub do najnowszej kompilacji.If you're currently running a build prior to 1809, update your Azure Stack Hub system to the latest build before proceeding with the steps in this article.

Parametry zasad protokołu IPsec i IKE dla bram sieci VPNIPsec and IKE policy parameters for VPN gateways

Standard protokołu IPsec i IKE obsługuje szeroką gamę algorytmów kryptograficznych w różnych kombinacjach.The IPsec and IKE protocol standard supports a wide range of cryptographic algorithms in various combinations. Aby sprawdzić, które parametry są obsługiwane w centrum Azure Stack, aby spełnić wymagania dotyczące zgodności lub zabezpieczeń, zobacz Parametry protokołu IPSec/IKE.To see which parameters are supported in Azure Stack Hub so you can satisfy your compliance or security requirements, see IPsec/IKE parameters.

Ten artykuł zawiera instrukcje dotyczące tworzenia i konfigurowania zasad protokołu IPsec/IKE i stosowania ich do nowego lub istniejącego połączenia.This article provides instructions on how to create and configure an IPsec/IKE policy and apply it to a new or existing connection.

Zagadnienia do rozważeniaConsiderations

Należy pamiętać o następujących kwestiach dotyczących używania tych zasad:Note the following important considerations when using these policies:

  • Zasady protokołu IPsec/IKE działają tylko w przypadku jednostek SKU bramy standardowej i HighPerformance (opartej na trasach).The IPsec/IKE policy only works on the Standard and HighPerformance (route-based) gateway SKUs.

  • Można określić tylko jedną kombinację zasad dla danego połączenia.You can only specify one policy combination for a given connection.

  • Należy określić wszystkie algorytmy i parametry dla IKE (tryb główny) i IPsec (tryb szybki).You must specify all algorithms and parameters for both IKE (Main Mode) and IPsec (Quick Mode). Określenie zasad częściowych nie jest dozwolone.Partial policy specification is not allowed.

  • Zapoznaj się z wymaganiami dostawcy urządzeń sieci VPN, aby upewnić się, że zasady są obsługiwane na lokalnych urządzeniach sieci VPN.Consult with your VPN device vendor specifications to ensure the policy is supported on your on-premises VPN devices. Nie można nawiązać połączenia lokacja-lokacja, jeśli zasady są niezgodne.Site-to-site connections cannot be established if the policies are incompatible.

Wymagania wstępnePrerequisites

Przed rozpoczęciem upewnij się, że masz następujące wymagania wstępne:Before you begin, make sure you have the following prerequisites:

Część 1 — Tworzenie i Ustawianie zasad protokołu IPsec/IKEPart 1 - Create and set IPsec/IKE policy

W tej sekcji opisano kroki wymagane do utworzenia i zaktualizowania zasad protokołu IPsec/IKE w połączeniu sieci VPN typu lokacja-lokacja:This section describes the steps required to create and update the IPsec/IKE policy on a site-to-site VPN connection:

  1. Tworzenie sieci wirtualnej i bramy sieci VPN.Create a virtual network and a VPN gateway.

  2. Utwórz bramę sieci lokalnej dla połączenia między lokalizacjami.Create a local network gateway for cross-premises connection.

  3. Utwórz zasady protokołu IPsec/IKE z wybranymi algorytmami i parametrami.Create an IPsec/IKE policy with selected algorithms and parameters.

  4. Utwórz połączenie IPSec z zasadami protokołu IPsec/IKE.Create an IPSec connection with the IPsec/IKE policy.

  5. Dodawanie/aktualizowanie/usuwanie zasad protokołu IPsec/IKE dla istniejącego połączenia.Add/update/remove an IPsec/IKE policy for an existing connection.

Instrukcje zawarte w tym artykule ułatwiają konfigurowanie i Konfigurowanie zasad protokołu IPsec/IKE, jak pokazano na poniższej ilustracji:The instructions in this article help you set up and configure IPsec/IKE policies, as shown in the following figure:

Konfigurowanie i Konfigurowanie zasad protokołu IPsec/IKE

Część 2 — Obsługiwane algorytmy kryptograficzne i siły kluczaPart 2 - Supported cryptographic algorithms and key strengths

W poniższej tabeli wymieniono obsługiwane algorytmy kryptograficzne i siły klucza konfigurowalne przez Azure Stack Hub:The following table lists the supported cryptographic algorithms and key strengths configurable by Azure Stack Hub:

IPsec/IKEv2IPsec/IKEv2 OpcjeOptions
Szyfrowanie IKEv2IKEv2 Encryption AES256, AES192, AES128, DES3, DESAES256, AES192, AES128, DES3, DES
Integralność IKEv2IKEv2 Integrity SHA384, SHA256, SHA1, MD5SHA384, SHA256, SHA1, MD5
Grupa DHDH Group ECP384, DHGroup14, DHGroup2, DHGroup1, ECP256 , DHGroup24ECP384, DHGroup14, DHGroup2, DHGroup1, ECP256 , DHGroup24
Szyfrowanie IPsecIPsec Encryption GCMAES256, GCMAES192, GCMAES128, AES256, AES192, AES128, DES3, DES, BrakGCMAES256, GCMAES192, GCMAES128, AES256, AES192, AES128, DES3, DES, None
Integralność IPsecIPsec Integrity GCMAES256, GCMAES192, GCMAES128GCMAES256, GCMAES192, GCMAES128
Grupa PFSPFS Group PFS24, ECP384, ECP256, PFS2048, PFS2, PFS1, PFSMM, brakPFS24, ECP384, ECP256, PFS2048, PFS2, PFS1, PFSMM, None
Okres istnienia skojarzeń zabezpieczeń QMQM SA Lifetime (Opcjonalnie: wartości domyślne są używane, jeśli nie zostaną określone)(Optional: default values are used if not specified)
Sekundy (liczba całkowita; min. 300/wartość domyślna 27 000 sekund)Seconds (integer; min. 300/default 27000 seconds)
KB (liczba całkowita; min. 1024/wartość domyślna to 102 400 000 KB)KBytes (integer; min. 1024/default 102400000 KBytes)
Selektor ruchuTraffic Selector Selektory ruchu oparte na zasadach nie są obsługiwane w centrum Azure Stack.Policy-based Traffic Selectors are not supported in Azure Stack Hub.

* Te parametry są dostępne tylko w kompilacjach 2002 i nowszych.* These parameters are only available in builds 2002 and above.

  • Konfiguracja lokalnego urządzenia sieci VPN musi być zgodna z następującymi algorytmami (lub je zawierać) oraz z następującymi parametrami określonymi w zasadach protokołu IPsec/IKE platformy Azure (lub je zawierać):Your on-premises VPN device configuration must match or contain the following algorithms and parameters that you specify on the Azure IPsec/IKE policy:

    • Algorytm szyfrowania IKE (tryb główny/faza 1).IKE encryption algorithm (Main Mode/Phase 1).
    • Algorytm integralności IKE (tryb główny/faza 1).IKE integrity algorithm (Main Mode/Phase 1).
    • Grupa DH (tryb główny/faza 1).DH Group (Main Mode/Phase 1).
    • Algorytm szyfrowania IPsec (tryb szybki/faza 2).IPsec encryption algorithm (Quick Mode/Phase 2).
    • Algorytm integralności protokołu IPsec (tryb szybki/faza 2).IPsec integrity algorithm (Quick Mode/Phase 2).
    • Grupa PFS (tryb szybki/faza 2).PFS Group (Quick Mode/Phase 2).
    • Okresy istnienia skojarzenia zabezpieczeń są tylko specyfikacjami lokalnymi i nie muszą być zgodne.The SA lifetimes are local specifications only and do not need to match.

  • Jeśli GCMAES jest używany jako algorytm szyfrowania IPsec, należy wybrać ten sam algorytm GCMAES i długość klucza dla integralności protokołu IPsec. na przykład przy użyciu GCMAES128 dla obu.If GCMAES is used as the IPsec encryption algorithm, you must select the same GCMAES algorithm and key length for IPsec integrity; for example, using GCMAES128 for both.

  • W powyższej tabeli:In the preceding table:

    • Protokół IKEv2 odpowiada trybowi głównemu lub fazie 1.IKEv2 corresponds to Main Mode or Phase 1.
    • Protokół IPsec odnosi się do trybu szybkiego lub fazy 2.IPsec corresponds to Quick Mode or Phase 2.
    • Grupa DH określa grupę Diffie-Hellmen używaną w trybie głównym lub w fazie 1.DH Group specifies the Diffie-Hellmen Group used in Main Mode or Phase 1.
    • Grupa PFS określa grupę Diffie-Hellmen używaną w trybie szybkim lub fazie 2.PFS Group specifies the Diffie-Hellmen Group used in Quick Mode or Phase 2.

  • Okres istnienia skojarzenia zabezpieczeń trybu głównego protokołu IKEv2 jest ustalony na 28 800 sekund na bramach sieci VPN Azure Stack Hub.IKEv2 Main Mode SA lifetime is fixed at 28,800 seconds on the Azure Stack Hub VPN gateways.

Poniższa tabela zawiera listę odpowiednich grup Diffie-Hellman obsługiwanych przez zasady niestandardowe:The following table lists the corresponding Diffie-Hellman Groups supported by the custom policy:

Grupa Diffie’ego-HellmanaDiffie-Hellman Group DHGroupDHGroup PFSGroupPFSGroup Długość kluczaKey length
11 DHGroup1DHGroup1 PFS1PFS1 MODP, 768-bitowy768-bit MODP
22 DHGroup2DHGroup2 PFS2PFS2 MODP, 1024-bitowy1024-bit MODP
1414 DHGroup14DHGroup14
DHGroup2048DHGroup2048		 PFS2048PFS2048 MODP, 2048-bitowy2048-bit MODP
1919 ECP256ECP256* ECP256ECP256 ECP, 256-bitowy256-bit ECP
2020 ECP384ECP384 ECP384ECP384 ECP, 384-bitowy384-bit ECP
2424 DHGroup24DHGroup24* PFS24PFS24 MODP, 2048-bitowy2048-bit MODP

* Te parametry są dostępne tylko w kompilacjach 2002 i nowszych.* These parameters are only available in builds 2002 and above.

Aby uzyskać więcej informacji, zobacz RFC3526 i RFC5114.For more information, see RFC3526 and RFC5114.

Część 3 — Tworzenie nowego połączenia sieci VPN typu lokacja-lokacja przy użyciu zasad protokołu IPsec/IKEPart 3 - Create a new site-to-site VPN connection with IPsec/IKE policy

W tej sekcji omówiono procedurę tworzenia połączenia sieci VPN typu lokacja-lokacja z zasadami protokołu IPsec/IKE.This section walks through the steps to create a site-to-site VPN connection with an IPsec/IKE policy. Poniższe kroki tworzą połączenie, jak pokazano na poniższym rysunku:The following steps create the connection, as shown in the following figure:

lokacja-lokacja — zasady

Aby uzyskać bardziej szczegółowe instrukcje krok po kroku dotyczące tworzenia połączenia sieci VPN typu lokacja-lokacja, zobacz Tworzenie połączenia sieci VPN typu lokacja-lokacja.For more detailed step-by-step instructions for creating a site-to-site VPN connection, see Create a site-to-site VPN connection.

Krok 1. Tworzenie sieci wirtualnej, bramy sieci VPN i bramy sieci lokalnejStep 1 - Create the virtual network, VPN gateway, and local network gateway

1. Zadeklaruj zmienne1. Declare variables

W tym ćwiczeniu Zacznij od zadeklarowania następujących zmiennych.For this exercise, start by declaring the following variables. Pamiętaj, aby zastąpić symbole zastępcze własnymi wartościami podczas konfigurowania dla środowiska produkcyjnego:Be sure to replace the placeholders with your own values when configuring for production:

$Sub1 = "<YourSubscriptionName>"
$RG1 = "TestPolicyRG1"
$Location1 = "East US 2"
$VNetName1 = "TestVNet1"
$FESubName1 = "FrontEnd"
$BESubName1 = "Backend"
$GWSubName1 = "GatewaySubnet"
$VNetPrefix11 = "10.11.0.0/16"
$VNetPrefix12 = "10.12.0.0/16"
$FESubPrefix1 = "10.11.0.0/24"
$BESubPrefix1 = "10.12.0.0/24"
$GWSubPrefix1 = "10.12.255.0/27"
$DNS1 = "8.8.8.8"
$GWName1 = "VNet1GW"
$GW1IPName1 = "VNet1GWIP1"
$GW1IPconf1 = "gw1ipconf1"
$Connection16 = "VNet1toSite6"
$LNGName6 = "Site6"
$LNGPrefix61 = "10.61.0.0/16"
$LNGPrefix62 = "10.62.0.0/16"
$LNGIP6 = "131.107.72.22"

2. Połącz się z subskrypcją i Utwórz nową grupę zasobów2. Connect to your subscription and create a new resource group

Upewnij się, że program PowerShell został przełączony do trybu umożliwiającego korzystanie z poleceń cmdlet usługi Resource Manager.Make sure you switch to PowerShell mode to use the Resource Manager cmdlets. Aby uzyskać więcej informacji, zobacz nawiązywanie połączenia z centrum Azure Stack przy użyciu programu PowerShell jako użytkownika.For more information, see Connect to Azure Stack Hub with PowerShell as a user.

Otwórz konsolę programu PowerShell i nawiąż połączenie z Twoim kontem. na przykład:Open your PowerShell console and connect to your account; for example:

Connect-AzAccount
Select-AzSubscription -SubscriptionName $Sub1
New-AzResourceGroup -Name $RG1 -Location $Location1

3. Utwórz sieć wirtualną, bramę sieci VPN i bramę sieci lokalnej.3. Create the virtual network, VPN gateway, and local network gateway

Poniższy przykład tworzy sieć wirtualną, sieci testvnet1 oraz trzy podsieci i bramę sieci VPN.The following example creates the virtual network, TestVNet1, along with three subnets and the VPN gateway. W przypadku podstawiania wartości ważne jest, aby dokładnie nazwać podsieć bramy GatewaySubnet.When substituting values, it's important that you specifically name your gateway subnet GatewaySubnet. W przypadku nadania jej innej nazwy proces tworzenia bramy zakończy się niepowodzeniem.If you name it something else, your gateway creation fails.

$fesub1 = New-AzVirtualNetworkSubnetConfig -Name $FESubName1 -AddressPrefix $FESubPrefix1
$besub1 = New-AzVirtualNetworkSubnetConfig -Name $BESubName1 -AddressPrefix $BESubPrefix1
$gwsub1 = New-AzVirtualNetworkSubnetConfig -Name $GWSubName1 -AddressPrefix $GWSubPrefix1

New-AzVirtualNetwork -Name $VNetName1 -ResourceGroupName $RG1 -Location $Location1 -AddressPrefix $VNetPrefix11,$VNetPrefix12 -Subnet $fesub1,$besub1,$gwsub1

$gw1pip1 = New-AzPublicIpAddress -Name $GW1IPName1 -ResourceGroupName $RG1 -Location $Location1 -AllocationMethod Dynamic

$vnet1 = Get-AzVirtualNetwork -Name $VNetName1 -ResourceGroupName $RG1

$subnet1 = Get-AzVirtualNetworkSubnetConfig -Name "GatewaySubnet" `
-VirtualNetwork $vnet1

$gw1ipconf1 = New-AzVirtualNetworkGatewayIpConfig -Name $GW1IPconf1 `
-Subnet $subnet1 -PublicIpAddress $gw1pip1

New-AzVirtualNetworkGateway -Name $GWName1 -ResourceGroupName $RG1 `
-Location $Location1 -IpConfigurations $gw1ipconf1 -GatewayType Vpn `
-VpnType RouteBased -GatewaySku VpnGw1

New-AzLocalNetworkGateway -Name $LNGName6 -ResourceGroupName $RG1 `
-Location $Location1 -GatewayIpAddress $LNGIP6 -AddressPrefix `
$LNGPrefix61,$LNGPrefix62

Krok 2. Tworzenie połączenia sieci VPN typu lokacja-lokacja przy użyciu zasad protokołu IPsec/IKEStep 2 - Create a site-to-site VPN connection with an IPsec/IKE policy

1. Tworzenie zasad protokołu IPsec/IKE1. Create an IPsec/IKE policy

Ten przykładowy skrypt tworzy zasady protokołu IPsec/IKE z następującymi algorytmami i parametrami:This sample script creates an IPsec/IKE policy with the following algorithms and parameters:

  • IKEv2: AES128, SHA1, DHGroup14IKEv2: AES128, SHA1, DHGroup14
  • IPsec: AES256, SHA256, None, okres istnienia SA 14400 sekund i 102400000KBIPsec: AES256, SHA256, none, SA Lifetime 14400 seconds, and 102400000KB
$ipsecpolicy6 = New-AzIpsecPolicy -IkeEncryption AES128 -IkeIntegrity SHA1 -DhGroup DHGroup14 -IpsecEncryption AES256 -IpsecIntegrity SHA256 -PfsGroup none -SALifeTimeSeconds 14400 -SADataSizeKilobytes 102400000

Jeśli używasz GCMAES dla protokołu IPsec, należy użyć tego samego algorytmu GCMAES i długości klucza dla szyfrowania i integralności protokołu IPsec.If you use GCMAES for IPsec, you must use the same GCMAES algorithm and key length for both IPsec encryption and integrity.

2. Utwórz połączenie sieci VPN typu lokacja-lokacja za pomocą zasad protokołu IPsec/IKE2. Create the site-to-site VPN connection with the IPsec/IKE policy

Utwórz połączenie sieci VPN typu lokacja-lokacja i Zastosuj utworzone wcześniej zasady protokołu IPsec/IKE:Create a site-to-site VPN connection and apply the IPsec/IKE policy you created previously:

$vnet1gw = Get-AzVirtualNetworkGateway -Name $GWName1 -ResourceGroupName $RG1
$lng6 = Get-AzLocalNetworkGateway -Name $LNGName6 -ResourceGroupName $RG1

New-AzVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1 -VirtualNetworkGateway1 $vnet1gw -LocalNetworkGateway2 $lng6 -Location $Location1 -ConnectionType IPsec -IpsecPolicies $ipsecpolicy6 -SharedKey 'Azs123'

Ważne

Po określeniu zasad protokołu IPsec/IKE w ramach połączenia Brama sieci VPN platformy Azure wysyła lub akceptuje propozycję protokołu IPsec/IKE z określonymi algorytmami kryptograficznymi i silnymi kluczami w tym konkretnym połączeniu.Once an IPsec/IKE policy is specified on a connection, the Azure VPN gateway only sends or accepts the IPsec/IKE proposal with specified cryptographic algorithms and key strengths on that particular connection. Upewnij się, że lokalne urządzenie sieci VPN do połączenia używa lub akceptuje dokładną kombinację zasad, w przeciwnym razie nie można nawiązać tunelu sieci VPN typu lokacja-lokacja.Make sure your on-premises VPN device for the connection uses or accepts the exact policy combination, otherwise the site-to-site VPN tunnel cannot be established.

Część 4 — aktualizowanie zasad protokołu IPsec/IKE dla połączeniaPart 4 - Update IPsec/IKE policy for a connection

W poprzedniej sekcji pokazano, jak zarządzać zasadami IPsec/IKE dla istniejącego połączenia lokacja-lokacja.The previous section showed how to manage IPsec/IKE policy for an existing site-to-site connection. W tej sekcji omówiono następujące operacje dotyczące połączenia:This section walks through the following operations on a connection:

  • Pokaż zasady protokołu IPsec/IKE połączenia.Show the IPsec/IKE policy of a connection.
  • Dodaj lub zaktualizuj zasady protokołu IPsec/IKE do połączenia.Add or update the IPsec/IKE policy to a connection.
  • Usuń zasady protokołu IPsec/IKE z połączenia.Remove the IPsec/IKE policy from a connection.

Uwaga

Zasady protokołu IPsec/IKE są obsługiwane tylko w przypadku bram sieci VPN opartych na trasach standardowych i HighPerformance .IPsec/IKE policy is supported on Standard and HighPerformance route-based VPN gateways only. Nie działa on w podstawowej jednostce SKU bramy.It does not work on the Basic gateway SKU.

1. Pokaż zasady protokołu IPsec/IKE połączenia1. Show the IPsec/IKE policy of a connection

Poniższy przykład przedstawia sposób pobierania zasad protokołu IPsec/IKE skonfigurowanych w ramach połączenia.The following example shows how to get the IPsec/IKE policy configured on a connection. Skrypty również kontynuują pracę z poprzednimi ćwiczeniami.The scripts also continue from the previous exercises.

$RG1 = "TestPolicyRG1"
$Connection16 = "VNet1toSite6"
$connection6 = Get-AzVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1
$connection6.IpsecPolicies

Ostatnie polecenie wyświetla listę bieżących zasad protokołu IPsec/IKE skonfigurowanych dla połączenia (jeśli istnieją).The last command lists the current IPsec/IKE policy configured on the connection, if any. Poniższy przykład to przykładowe dane wyjściowe dla połączenia:The following example is a sample output for the connection:

SALifeTimeSeconds : 14400
SADataSizeKilobytes : 102400000
IpsecEncryption : AES256
IpsecIntegrity : SHA256
IkeEncryption : AES128
IkeIntegrity : SHA1
DhGroup : DHGroup14
PfsGroup : None

Jeśli nie ma skonfigurowanych zasad protokołu IPsec/IKE, polecenie $connection6.policy Pobiera pusty zwrot.If there's no IPsec/IKE policy configured, the command $connection6.policy gets an empty return. Nie oznacza to, że protokół IPsec/IKE nie jest skonfigurowany do połączenia; oznacza to, że nie ma niestandardowych zasad protokołu IPsec/IKE.It does not mean that IPsec/IKE isn't configured on the connection; it means there's no custom IPsec/IKE policy. Rzeczywiste połączenie używa zasad domyślnych negocjowanych między lokalnym urządzeniem sieci VPN i bramą sieci VPN platformy Azure.The actual connection uses the default policy negotiated between your on-premises VPN device and the Azure VPN gateway.

2. Dodaj lub zaktualizuj zasady protokołu IPsec/IKE dla połączenia2. Add or update an IPsec/IKE policy for a connection

Kroki umożliwiające dodanie nowych zasad lub zaktualizowanie istniejących zasad w połączeniu są takie same: Utwórz nowe zasady, a następnie Zastosuj nowe zasady do połączenia:The steps to add a new policy or update an existing policy on a connection are the same: create a new policy, then apply the new policy to the connection:

$RG1 = "TestPolicyRG1"
$Connection16 = "VNet1toSite6"
$connection6 = Get-AzVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1

$newpolicy6 = New-AzIpsecPolicy -IkeEncryption AES128 -IkeIntegrity SHA1 -DhGroup DHGroup14 -IpsecEncryption AES256 -IpsecIntegrity SHA256 -PfsGroup None -SALifeTimeSeconds 14400 -SADataSizeKilobytes 102400000

$connection6.SharedKey = "AzS123"

Set-AzVirtualNetworkGatewayConnection -VirtualNetworkGatewayConnection $connection6 -IpsecPolicies $newpolicy6

Możesz ponownie uzyskać połączenie, aby sprawdzić, czy zasady zostały zaktualizowane:You can get the connection again to check if the policy is updated:

$connection6 = Get-AzVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1
$connection6.IpsecPolicies

Dane wyjściowe powinny być widoczne z ostatniego wiersza, jak pokazano w następującym przykładzie:You should see the output from the last line, as shown in the following example:

SALifeTimeSeconds : 14400
SADataSizeKilobytes : 102400000
IpsecEncryption : AES256
IpsecIntegrity : SHA256
IkeEncryption : AES128
IkeIntegrity : SHA1
DhGroup : DHGroup14
PfsGroup : None

3. Usuń zasady protokołu IPsec/IKE z połączenia3. Remove an IPsec/IKE policy from a connection

Po usunięciu zasad niestandardowych z połączenia usługa Azure VPN Gateway wraca do domyślnej propozycji protokołu IPSec/IKEi ponownie negocjuje z lokalnym urządzeniem sieci VPN.After you remove the custom policy from a connection, the Azure VPN gateway reverts to the default IPsec/IKE proposal, and renegotiates with your on-premises VPN device.

$RG1 = "TestPolicyRG1"
$Connection16 = "VNet1toSite6"
$connection6 = Get-AzVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1
$connection6.SharedKey = "AzS123"
$currentpolicy = $connection6.IpsecPolicies[0]
$connection6.IpsecPolicies.Remove($currentpolicy)

Set-AzVirtualNetworkGatewayConnection -VirtualNetworkGatewayConnection $connection6

Możesz użyć tego samego skryptu, aby sprawdzić, czy zasady zostały usunięte z połączenia.You can use the same script to check if the policy has been removed from the connection.

Następne krokiNext steps