Configure a política IPsec/IKE para conexões VPN site a siteConfigure IPsec/IKE policy for site-to-site VPN connections

Este artigo percorre as etapas para configurar uma política de IPsec/IKE para conexões VPN site a site (S2S) no Hub Azure Stack.This article walks through the steps to configure an IPsec/IKE policy for site-to-site (S2S) VPN connections in Azure Stack Hub.

Observação

Você deve estar executando Azure Stack o Build do Hub 1809 ou posterior para usar esse recurso.You must be running Azure Stack Hub build 1809 or later to use this feature. Se você estiver executando uma compilação anterior à 1809, atualize seu sistema de Hub de Azure Stack para a compilação mais recente antes de prosseguir com as etapas neste artigo.If you're currently running a build prior to 1809, update your Azure Stack Hub system to the latest build before proceeding with the steps in this article.

Parâmetros de política IPsec e IKE para gateways de VPNIPsec and IKE policy parameters for VPN gateways

O padrão de protocolo IKE e IPsec oferece suporte a uma ampla variedade de algoritmos criptográficos em várias combinações.The IPsec and IKE protocol standard supports a wide range of cryptographic algorithms in various combinations. Para ver quais parâmetros têm suporte no Hub Azure Stack para que você possa atender aos seus requisitos de conformidade ou de segurança, consulte parâmetros de IPSec/IKE.To see which parameters are supported in Azure Stack Hub so you can satisfy your compliance or security requirements, see IPsec/IKE parameters.

Este artigo fornece instruções sobre como criar e configurar uma política de IPsec/IKE e aplicá-la a uma conexão nova ou existente.This article provides instructions on how to create and configure an IPsec/IKE policy and apply it to a new or existing connection.

ConsideraçõesConsiderations

Observe as seguintes considerações importantes ao usar essas políticas:Note the following important considerations when using these policies:

  • A política de IPsec/IKE só funciona nos SKUs de gateway Standard e HighPerformance (baseado em rota).The IPsec/IKE policy only works on the Standard and HighPerformance (route-based) gateway SKUs.

  • Você só pode especificar uma combinação de políticas para uma determinada conexão.You can only specify one policy combination for a given connection.

  • Você deve especificar todos os algoritmos e parâmetros para IKE (modo principal) e IPsec (modo rápido).You must specify all algorithms and parameters for both IKE (Main Mode) and IPsec (Quick Mode). A especificação de política parcial não é permitida.Partial policy specification is not allowed.

  • Consulte as especificações do fornecedor do dispositivo VPN para garantir que a política tem suporte em seus dispositivos VPN local.Consult with your VPN device vendor specifications to ensure the policy is supported on your on-premises VPN devices. As conexões site a site não poderão ser estabelecidas se as políticas forem incompatíveis.Site-to-site connections cannot be established if the policies are incompatible.

Pré-requisitosPrerequisites

Antes de iniciar, verifique se você cumpre os seguintes pré-requisitos:Before you begin, make sure you have the following prerequisites:

Parte 1-criar e definir a política de IPsec/IKEPart 1 - Create and set IPsec/IKE policy

Esta seção descreve as etapas necessárias para criar e atualizar a política de IPsec/IKE em uma conexão VPN site a site:This section describes the steps required to create and update the IPsec/IKE policy on a site-to-site VPN connection:

  1. Crie uma rede virtual e um gateway de VPN.Create a virtual network and a VPN gateway.

  2. Crie um gateway de rede local para conexão entre locais.Create a local network gateway for cross-premises connection.

  3. Crie uma política de IPsec/IKE com algoritmos e parâmetros selecionados.Create an IPsec/IKE policy with selected algorithms and parameters.

  4. Crie uma conexão IPSec com a política de IPsec/IKE.Create an IPSec connection with the IPsec/IKE policy.

  5. Adicionar/atualizar/remover uma política de IPsec/IKE para uma conexão existente.Add/update/remove an IPsec/IKE policy for an existing connection.

As instruções neste artigo ajudam você a configurar e configurar as políticas de IPsec/IKE, conforme mostrado na figura a seguir:The instructions in this article help you set up and configure IPsec/IKE policies, as shown in the following figure:

Configurar e configurar políticas de IPsec/IKE

Parte 2 - Suporte para algoritmos de criptografia e restrições de chavePart 2 - Supported cryptographic algorithms and key strengths

A tabela a seguir lista os algoritmos de criptografia com suporte e as forças de chave configuráveis pelo Hub Azure Stack:The following table lists the supported cryptographic algorithms and key strengths configurable by Azure Stack Hub:

IPsec/IKEv2IPsec/IKEv2 OpçõesOptions
Criptografia IKEv2IKEv2 Encryption AES256, AES192, AES128, DES3, DESAES256, AES192, AES128, DES3, DES
Integridade do IKEv2IKEv2 Integrity SHA384, SHA256, SHA1, MD5SHA384, SHA256, SHA1, MD5
Grupo DHDH Group ECP384, DHGroup14, DHGroup2, DHGroup1, ECP256 , DHGroup24ECP384, DHGroup14, DHGroup2, DHGroup1, ECP256 , DHGroup24
Criptografia IPsecIPsec Encryption GCMAES256, GCMAES192, GCMAES128, AES256, AES192, AES128, DES3, DES, nenhumGCMAES256, GCMAES192, GCMAES128, AES256, AES192, AES128, DES3, DES, None
Integridade do IPsecIPsec Integrity GCMAES256, GCMAES192, GCMAES128GCMAES256, GCMAES192, GCMAES128
Grupo PFSPFS Group PFS24, ECP384, ECP256, PFS2048, PFS2, PFS1, PFSMM, NonePFS24, ECP384, ECP256, PFS2048, PFS2, PFS1, PFSMM, None
Tempo de vida da QM SAQM SA Lifetime (Opcional: os valores padrão serão usados se não for especificados)(Optional: default values are used if not specified)
Segundos (inteiro; mínimo de 300/padrão de 27000 segundos)Seconds (integer; min. 300/default 27000 seconds)
KBytes (inteiro; mín. de 1024 /padrão de 102400000 KBytes)KBytes (integer; min. 1024/default 102400000 KBytes)
Seletor de tráfegoTraffic Selector Não há suporte para seletores de tráfego com base em políticas no Hub Azure Stack.Policy-based Traffic Selectors are not supported in Azure Stack Hub.

* Esses parâmetros só estão disponíveis em compilações 2002 e posteriores.* These parameters are only available in builds 2002 and above.

  • A configuração do dispositivo VPN local deve corresponder ou conter os seguintes algoritmos e parâmetros que você especifica na política de IPsec/IKE do Azure:Your on-premises VPN device configuration must match or contain the following algorithms and parameters that you specify on the Azure IPsec/IKE policy:

    • Algoritmo de criptografia IKE (modo principal/fase 1).IKE encryption algorithm (Main Mode/Phase 1).
    • Algoritmo de integridade IKE (modo principal/fase 1).IKE integrity algorithm (Main Mode/Phase 1).
    • Grupo DH (modo principal/fase 1).DH Group (Main Mode/Phase 1).
    • Algoritmo de criptografia IPsec (modo rápido/fase 2).IPsec encryption algorithm (Quick Mode/Phase 2).
    • Algoritmo de integridade IPsec (modo rápido/fase 2).IPsec integrity algorithm (Quick Mode/Phase 2).
    • Grupo PFS (modo rápido/fase 2).PFS Group (Quick Mode/Phase 2).
    • Os tempos de vida da SA são apenas especificações locais e não precisam corresponder.The SA lifetimes are local specifications only and do not need to match.
  • Se GCMAES for usado como o algoritmo de criptografia IPsec, você deverá selecionar o mesmo algoritmo GCMAES e o comprimento da chave para a integridade do IPsec; por exemplo, usando GCMAES128 para ambos.If GCMAES is used as the IPsec encryption algorithm, you must select the same GCMAES algorithm and key length for IPsec integrity; for example, using GCMAES128 for both.

  • Na tabela anterior:In the preceding table:

    • IKEv2 corresponde ao modo principal ou à fase 1.IKEv2 corresponds to Main Mode or Phase 1.
    • O IPsec corresponde ao modo rápido ou à fase 2.IPsec corresponds to Quick Mode or Phase 2.
    • Grupo DH especifica o grupo de Diffie-Hellmen usado no modo principal ou na fase 1.DH Group specifies the Diffie-Hellmen Group used in Main Mode or Phase 1.
    • Grupo PFS especifica o grupo de Diffie-Hellmen usado no modo rápido ou na fase 2.PFS Group specifies the Diffie-Hellmen Group used in Quick Mode or Phase 2.
  • O tempo de vida da SA do modo principal IKEv2 é fixo em 28.800 segundos nos gateways de VPN do hub de Azure Stack.IKEv2 Main Mode SA lifetime is fixed at 28,800 seconds on the Azure Stack Hub VPN gateways.

A tabela abaixo lista os Grupos Diffie-Hellman correspondentes que têm suporte na política personalizada:The following table lists the corresponding Diffie-Hellman Groups supported by the custom policy:

Grupo Diffie-HellmanDiffie-Hellman Group DHGroupDHGroup PFSGroupPFSGroup Comprimento da chaveKey length
11 DHGroup1DHGroup1 PFS1PFS1 MODP de 768 bits768-bit MODP
22 DHGroup2DHGroup2 PFS2PFS2 MODP de 1024 bits1024-bit MODP
1414 DHGroup14DHGroup14
DHGroup2048DHGroup2048
PFS2048PFS2048 MODP de 2048 bits2048-bit MODP
1919 ECP256ECP256* ECP256ECP256 ECP de 256 bits256-bit ECP
2020 ECP384ECP384 ECP384ECP384 ECP de 384 bits384-bit ECP
2424 DHGroup24DHGroup24* PFS24PFS24 MODP de 2048 bits2048-bit MODP

* Esses parâmetros só estão disponíveis em compilações 2002 e posteriores.* These parameters are only available in builds 2002 and above.

Para saber mais, confira RFC3526 e RFC5114.For more information, see RFC3526 and RFC5114.

Parte 3-criar uma nova conexão VPN site a site com a política de IPsec/IKEPart 3 - Create a new site-to-site VPN connection with IPsec/IKE policy

Esta seção percorre as etapas para criar uma conexão VPN site a site com uma política de IPsec/IKE.This section walks through the steps to create a site-to-site VPN connection with an IPsec/IKE policy. As etapas a seguir criam a conexão, conforme mostrado na figura a seguir:The following steps create the connection, as shown in the following figure:

política site a site

Para obter instruções passo a passo mais detalhadas para criar uma conexão VPN site a site, consulte criar uma conexão VPN site a site.For more detailed step-by-step instructions for creating a site-to-site VPN connection, see Create a site-to-site VPN connection.

Etapa 1 - Criar a rede virtual, o gateway de VPN e o gateway de rede localStep 1 - Create the virtual network, VPN gateway, and local network gateway

1. declarar variáveis1. Declare variables

Para este exercício, comece declarando as variáveis a seguir.For this exercise, start by declaring the following variables. Certifique-se de substituir os espaços reservados pelos seus próprios valores ao configurar para produção:Be sure to replace the placeholders with your own values when configuring for production:

$Sub1 = "<YourSubscriptionName>"
$RG1 = "TestPolicyRG1"
$Location1 = "East US 2"
$VNetName1 = "TestVNet1"
$FESubName1 = "FrontEnd"
$BESubName1 = "Backend"
$GWSubName1 = "GatewaySubnet"
$VNetPrefix11 = "10.11.0.0/16"
$VNetPrefix12 = "10.12.0.0/16"
$FESubPrefix1 = "10.11.0.0/24"
$BESubPrefix1 = "10.12.0.0/24"
$GWSubPrefix1 = "10.12.255.0/27"
$DNS1 = "8.8.8.8"
$GWName1 = "VNet1GW"
$GW1IPName1 = "VNet1GWIP1"
$GW1IPconf1 = "gw1ipconf1"
$Connection16 = "VNet1toSite6"
$LNGName6 = "Site6"
$LNGPrefix61 = "10.61.0.0/16"
$LNGPrefix62 = "10.62.0.0/16"
$LNGIP6 = "131.107.72.22"

2. Conecte-se à sua assinatura e crie um novo grupo de recursos2. Connect to your subscription and create a new resource group

Alterne para o modo do PowerShell para usar os cmdlets do Gerenciador de Recursos.Make sure you switch to PowerShell mode to use the Resource Manager cmdlets. Para obter mais informações, consulte conectar-se ao Hub de Azure Stack com o PowerShell como um usuário.For more information, see Connect to Azure Stack Hub with PowerShell as a user.

Abra o console do PowerShell e conecte-se à sua conta; por exemplo:Open your PowerShell console and connect to your account; for example:

Connect-AzAccount
Select-AzSubscription -SubscriptionName $Sub1
New-AzResourceGroup -Name $RG1 -Location $Location1

3. criar a rede virtual, o gateway de VPN e o gateway de rede local3. Create the virtual network, VPN gateway, and local network gateway

O exemplo a seguir cria a rede virtual, TestVNet1, juntamente com três sub-redes e o gateway de VPN.The following example creates the virtual network, TestVNet1, along with three subnets and the VPN gateway. Ao substituir valores, é importante que você nomeie especificamente sua sub-rede de gateway GatewaySubnet.When substituting values, it's important that you specifically name your gateway subnet GatewaySubnet. Se você usar outro nome, a criação do gateway falhará.If you name it something else, your gateway creation fails.

$fesub1 = New-AzVirtualNetworkSubnetConfig -Name $FESubName1 -AddressPrefix $FESubPrefix1
$besub1 = New-AzVirtualNetworkSubnetConfig -Name $BESubName1 -AddressPrefix $BESubPrefix1
$gwsub1 = New-AzVirtualNetworkSubnetConfig -Name $GWSubName1 -AddressPrefix $GWSubPrefix1

New-AzVirtualNetwork -Name $VNetName1 -ResourceGroupName $RG1 -Location $Location1 -AddressPrefix $VNetPrefix11,$VNetPrefix12 -Subnet $fesub1,$besub1,$gwsub1

$gw1pip1 = New-AzPublicIpAddress -Name $GW1IPName1 -ResourceGroupName $RG1 -Location $Location1 -AllocationMethod Dynamic

$vnet1 = Get-AzVirtualNetwork -Name $VNetName1 -ResourceGroupName $RG1

$subnet1 = Get-AzVirtualNetworkSubnetConfig -Name "GatewaySubnet" `
-VirtualNetwork $vnet1

$gw1ipconf1 = New-AzVirtualNetworkGatewayIpConfig -Name $GW1IPconf1 `
-Subnet $subnet1 -PublicIpAddress $gw1pip1

New-AzVirtualNetworkGateway -Name $GWName1 -ResourceGroupName $RG1 `
-Location $Location1 -IpConfigurations $gw1ipconf1 -GatewayType Vpn `
-VpnType RouteBased -GatewaySku VpnGw1

New-AzLocalNetworkGateway -Name $LNGName6 -ResourceGroupName $RG1 `
-Location $Location1 -GatewayIpAddress $LNGIP6 -AddressPrefix `
$LNGPrefix61,$LNGPrefix62

Etapa 2-criar uma conexão VPN site a site com uma política de IPsec/IKEStep 2 - Create a site-to-site VPN connection with an IPsec/IKE policy

1. criar uma política de IPsec/IKE1. Create an IPsec/IKE policy

Este script de exemplo cria uma política de IPsec/IKE com os seguintes algoritmos e parâmetros:This sample script creates an IPsec/IKE policy with the following algorithms and parameters:

  • IKEv2: AES128, SHA1, DHGroup14IKEv2: AES128, SHA1, DHGroup14
  • IPsec: AES256, SHA256, nenhum, tempo de vida de SA de 14400 segundos e 102400000 KBIPsec: AES256, SHA256, none, SA Lifetime 14400 seconds, and 102400000KB
$ipsecpolicy6 = New-AzIpsecPolicy -IkeEncryption AES128 -IkeIntegrity SHA1 -DhGroup DHGroup14 -IpsecEncryption AES256 -IpsecIntegrity SHA256 -PfsGroup none -SALifeTimeSeconds 14400 -SADataSizeKilobytes 102400000

Se você usar GCMAES para IPsec, deverá usar o mesmo algoritmo GCMAES e comprimento de chave tanto para criptografia quanto para integridade IPsec.If you use GCMAES for IPsec, you must use the same GCMAES algorithm and key length for both IPsec encryption and integrity.

2. criar a conexão VPN site a site com a política de IPsec/IKE2. Create the site-to-site VPN connection with the IPsec/IKE policy

Crie uma conexão VPN site a site e aplique a política de IPsec/IKE criada anteriormente:Create a site-to-site VPN connection and apply the IPsec/IKE policy you created previously:

$vnet1gw = Get-AzVirtualNetworkGateway -Name $GWName1 -ResourceGroupName $RG1
$lng6 = Get-AzLocalNetworkGateway -Name $LNGName6 -ResourceGroupName $RG1

New-AzVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1 -VirtualNetworkGateway1 $vnet1gw -LocalNetworkGateway2 $lng6 -Location $Location1 -ConnectionType IPsec -IpsecPolicies $ipsecpolicy6 -SharedKey 'Azs123'

Importante

Depois que uma política de IPsec/IKE é especificada em uma conexão, o gateway de VPN do Azure envia ou aceita a proposta de IPsec/IKE com algoritmos de criptografia e forças de chave especificados nessa conexão específica.Once an IPsec/IKE policy is specified on a connection, the Azure VPN gateway only sends or accepts the IPsec/IKE proposal with specified cryptographic algorithms and key strengths on that particular connection. Verifique se o dispositivo VPN local para a conexão usa ou aceita a combinação exata da política, caso contrário, o túnel VPN site a site não pode ser estabelecido.Make sure your on-premises VPN device for the connection uses or accepts the exact policy combination, otherwise the site-to-site VPN tunnel cannot be established.

Parte 4-atualizar a política de IPsec/IKE para uma conexãoPart 4 - Update IPsec/IKE policy for a connection

A seção anterior mostrou como gerenciar a política de IPsec/IKE para uma conexão site a site existente.The previous section showed how to manage IPsec/IKE policy for an existing site-to-site connection. Esta seção percorre as seguintes operações em uma conexão:This section walks through the following operations on a connection:

  • Mostrar a política de IPsec/IKE de uma conexão.Show the IPsec/IKE policy of a connection.
  • Adicione ou atualize a política de IPsec/IKE para uma conexão.Add or update the IPsec/IKE policy to a connection.
  • Remova a política de IPsec/IKE de uma conexão.Remove the IPsec/IKE policy from a connection.

Observação

A política de IPsec/IKE tem suporte somente nos gateways de VPN baseados en rota Standard e HighPerformance.IPsec/IKE policy is supported on Standard and HighPerformance route-based VPN gateways only. Ele não funciona no SKU do gateway básico .It does not work on the Basic gateway SKU.

1. mostrar a política de IPsec/IKE de uma conexão1. Show the IPsec/IKE policy of a connection

O exemplo a seguir mostra como obter a política de IPsec/IKE configurada em uma conexão.The following example shows how to get the IPsec/IKE policy configured on a connection. Os scripts também continuam dos exercícios anteriores.The scripts also continue from the previous exercises.

$RG1 = "TestPolicyRG1"
$Connection16 = "VNet1toSite6"
$connection6 = Get-AzVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1
$connection6.IpsecPolicies

O último comando lista a política de IPsec/IKE atual configurada na conexão, se houver.The last command lists the current IPsec/IKE policy configured on the connection, if any. O exemplo a seguir é uma saída de exemplo para a conexão:The following example is a sample output for the connection:

SALifeTimeSeconds : 14400
SADataSizeKilobytes : 102400000
IpsecEncryption : AES256
IpsecIntegrity : SHA256
IkeEncryption : AES128
IkeIntegrity : SHA1
DhGroup : DHGroup14
PfsGroup : None

Se não houver nenhuma política de IPsec/IKE configurada, o comando $connection6.policy obterá um retorno vazio.If there's no IPsec/IKE policy configured, the command $connection6.policy gets an empty return. Isso não significa que o IPsec/IKE não esteja configurado na conexão; Isso significa que não há nenhuma política de IPsec/IKE personalizada.It does not mean that IPsec/IKE isn't configured on the connection; it means there's no custom IPsec/IKE policy. A conexão real usa a política padrão negociada entre o dispositivo VPN no local e o gateway de VPN do Azure.The actual connection uses the default policy negotiated between your on-premises VPN device and the Azure VPN gateway.

2. adicionar ou atualizar uma política de IPsec/IKE para uma conexão2. Add or update an IPsec/IKE policy for a connection

As etapas para adicionar uma nova política ou atualizar uma política existente em uma conexão são as mesmas: criar uma nova política e aplicar a nova política à conexão:The steps to add a new policy or update an existing policy on a connection are the same: create a new policy, then apply the new policy to the connection:

$RG1 = "TestPolicyRG1"
$Connection16 = "VNet1toSite6"
$connection6 = Get-AzVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1

$newpolicy6 = New-AzIpsecPolicy -IkeEncryption AES128 -IkeIntegrity SHA1 -DhGroup DHGroup14 -IpsecEncryption AES256 -IpsecIntegrity SHA256 -PfsGroup None -SALifeTimeSeconds 14400 -SADataSizeKilobytes 102400000

$connection6.SharedKey = "AzS123"

Set-AzVirtualNetworkGatewayConnection -VirtualNetworkGatewayConnection $connection6 -IpsecPolicies $newpolicy6

Você pode obter a conexão novamente para verificar se a política está atualizada:You can get the connection again to check if the policy is updated:

$connection6 = Get-AzVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1
$connection6.IpsecPolicies

Você deve ver a saída da última linha, conforme mostrado no exemplo abaixo:You should see the output from the last line, as shown in the following example:

SALifeTimeSeconds : 14400
SADataSizeKilobytes : 102400000
IpsecEncryption : AES256
IpsecIntegrity : SHA256
IkeEncryption : AES128
IkeIntegrity : SHA1
DhGroup : DHGroup14
PfsGroup : None

3. remover uma política de IPsec/IKE de uma conexão3. Remove an IPsec/IKE policy from a connection

Depois de remover a política personalizada de uma conexão, o gateway de VPN do Azure reverte para a proposta de IPSec/IKE padrãoe renegocia com seu dispositivo VPN local.After you remove the custom policy from a connection, the Azure VPN gateway reverts to the default IPsec/IKE proposal, and renegotiates with your on-premises VPN device.

$RG1 = "TestPolicyRG1"
$Connection16 = "VNet1toSite6"
$connection6 = Get-AzVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1
$connection6.SharedKey = "AzS123"
$currentpolicy = $connection6.IpsecPolicies[0]
$connection6.IpsecPolicies.Remove($currentpolicy)

Set-AzVirtualNetworkGatewayConnection -VirtualNetworkGatewayConnection $connection6

Você pode usar o mesmo script para verificar se a política foi removida da conexão.You can use the same script to check if the policy has been removed from the connection.

Próximas etapasNext steps