Konfigurera IPsec-/IKE-princip för plats-till-plats-VPN-anslutningarConfigure IPsec/IKE policy for site-to-site VPN connections

Den här artikeln beskriver steg för steg hur du konfigurerar en IPsec/IKE-princip för VPN-anslutningar för plats-till-plats (S2S) i Azure Stack Hub.This article walks through the steps to configure an IPsec/IKE policy for site-to-site (S2S) VPN connections in Azure Stack Hub.

Anteckning

Du måste köra Azure Stack Hub version 1809 eller senare för att kunna använda den här funktionen.You must be running Azure Stack Hub build 1809 or later to use this feature. Om du för närvarande kör en version före 1809 uppdaterar du Azure Stack Hub-systemet till den senaste versionen innan du fortsätter med stegen i den här artikeln.If you're currently running a build prior to 1809, update your Azure Stack Hub system to the latest build before proceeding with the steps in this article.

IPsec-och IKE-princip parametrar för VPN-gatewayerIPsec and IKE policy parameters for VPN gateways

IPsec-och IKE-protokoll standarden stöder en mängd olika krypteringsalgoritmer i olika kombinationer.The IPsec and IKE protocol standard supports a wide range of cryptographic algorithms in various combinations. Om du vill se vilka parametrar som stöds i Azure Stack Hub så att du kan uppfylla dina krav på efterlevnad eller säkerhet, se IPSec/IKE-parametrar.To see which parameters are supported in Azure Stack Hub so you can satisfy your compliance or security requirements, see IPsec/IKE parameters.

Den här artikeln innehåller anvisningar om hur du skapar och konfigurerar en IPsec/IKE-princip och tillämpar den på en ny eller befintlig anslutning.This article provides instructions on how to create and configure an IPsec/IKE policy and apply it to a new or existing connection.

ÖvervägandenConsiderations

Tänk på följande viktiga överväganden när du använder dessa principer:Note the following important considerations when using these policies:

  • IPsec/IKE-principen fungerar bara på standard -och HighPerformance (Route-based) Gateway-SKU: er.The IPsec/IKE policy only works on the Standard and HighPerformance (route-based) gateway SKUs.

  • Du kan bara ange en principkombination för en viss anslutning.You can only specify one policy combination for a given connection.

  • Du måste ange alla algoritmer och parametrar för både IKE (huvud läge) och IPsec (snabb läge).You must specify all algorithms and parameters for both IKE (Main Mode) and IPsec (Quick Mode). Partiell principspecifikationen tillåts inte.Partial policy specification is not allowed.

  • Kontakta din VPN-enhets specifikationer för att se till att principen stöds på dina lokala VPN-enheter.Consult with your VPN device vendor specifications to ensure the policy is supported on your on-premises VPN devices. Plats-till-plats-anslutningar kan inte upprättas om principerna inte är kompatibla.Site-to-site connections cannot be established if the policies are incompatible.

FörutsättningarPrerequisites

Innan du börjar måste du kontrol lera att du har följande krav:Before you begin, make sure you have the following prerequisites:

Del 1 – Skapa och ange IPsec/IKE-principPart 1 - Create and set IPsec/IKE policy

I det här avsnittet beskrivs de steg som krävs för att skapa och uppdatera IPsec/IKE-principen på en plats-till-plats-VPN-anslutning:This section describes the steps required to create and update the IPsec/IKE policy on a site-to-site VPN connection:

  1. Skapa ett virtuellt nätverk och en VPN-gateway.Create a virtual network and a VPN gateway.

  2. Skapa en lokal nätverksgateway för anslutning mellan platser.Create a local network gateway for cross-premises connection.

  3. Skapa en IPsec/IKE-princip med valda algoritmer och parametrar.Create an IPsec/IKE policy with selected algorithms and parameters.

  4. Skapa en IPSec-anslutning med IPsec/IKE-principen.Create an IPSec connection with the IPsec/IKE policy.

  5. Lägg till/uppdatera/ta bort en IPsec/IKE-princip för en befintlig anslutning.Add/update/remove an IPsec/IKE policy for an existing connection.

Anvisningarna i den här artikeln hjälper dig att konfigurera och konfigurera IPsec/IKE-principer, vilket visas i följande bild:The instructions in this article help you set up and configure IPsec/IKE policies, as shown in the following figure:

Konfigurera och konfigurera IPsec/IKE-principer

Del 2 – kryptografiska algoritmer och nyckel längder som stödsPart 2 - Supported cryptographic algorithms and key strengths

I följande tabell visas de kryptografiska algoritmer som stöds och nyckel längder som kan konfigureras av Azure Stack Hub:The following table lists the supported cryptographic algorithms and key strengths configurable by Azure Stack Hub:

IPsec/IKEv2IPsec/IKEv2 AlternativOptions
IKEv2-krypteringIKEv2 Encryption AES256, AES192, AES128, DES3, DESAES256, AES192, AES128, DES3, DES
IKEv2 IntegrityIKEv2 Integrity SHA384, SHA256, SHA1, MD5SHA384, SHA256, SHA1, MD5
DH-gruppDH Group ECP384, DHGroup14, DHGroup2, DHGroup1, ECP256 , DHGroup24ECP384, DHGroup14, DHGroup2, DHGroup1, ECP256 , DHGroup24
IPsec-krypteringIPsec Encryption GCMAES256, GCMAES192, GCMAES128, AES256, AES192, AES128, DES3, DES, NoneGCMAES256, GCMAES192, GCMAES128, AES256, AES192, AES128, DES3, DES, None
IPsec IntegrityIPsec Integrity GCMAES256, GCMAES192, GCMAES128GCMAES256, GCMAES192, GCMAES128
PFS-gruppPFS Group PFS24, ECP384, ECP256, PFS2048, PFS2, PFS1, PFSMM, ingenPFS24, ECP384, ECP256, PFS2048, PFS2, PFS1, PFSMM, None
QM SA-livstidQM SA Lifetime (Valfritt: standardvärden används om inget anges)(Optional: default values are used if not specified)
Sekunder (heltal. min. 300/standard 27 000 sekunder)Seconds (integer; min. 300/default 27000 seconds)
Kilobyte (heltal. min. 1024/standard 102400000 kilobyte)KBytes (integer; min. 1024/default 102400000 KBytes)
TrafikväljareTraffic Selector Principbaserade trafik väljare stöds inte i Azure Stack Hub.Policy-based Traffic Selectors are not supported in Azure Stack Hub.

* Dessa parametrar är bara tillgängliga i build 2002 och senare.* These parameters are only available in builds 2002 and above.

  • Din lokala konfiguration för VPN-enheten måste stämma överens med eller innehålla följande algoritmer och parametrar som du anger på Azure IPsec/IKE-principen:Your on-premises VPN device configuration must match or contain the following algorithms and parameters that you specify on the Azure IPsec/IKE policy:

    • IKE-krypteringsalgoritm (huvud läge/fas 1).IKE encryption algorithm (Main Mode/Phase 1).
    • IKE-integritetsalgoritm (huvud läge/fas 1).IKE integrity algorithm (Main Mode/Phase 1).
    • DH-grupp (huvud läge/fas 1).DH Group (Main Mode/Phase 1).
    • IPsec-krypteringsalgoritm (snabb läge/fas 2).IPsec encryption algorithm (Quick Mode/Phase 2).
    • IPsec integritetsalgoritm (snabb läge/fas 2).IPsec integrity algorithm (Quick Mode/Phase 2).
    • PFS-grupp (snabb läge/fas 2).PFS Group (Quick Mode/Phase 2).
    • Giltighets tiden för SA är endast lokala specifikationer och behöver inte matcha.The SA lifetimes are local specifications only and do not need to match.
  • Om GCMAES används som IPsec-krypteringsalgoritm måste du välja samma GCMAES-algoritm och nyckel längd för IPsec-integriteten. Du kan till exempel använda GCMAES128 för båda.If GCMAES is used as the IPsec encryption algorithm, you must select the same GCMAES algorithm and key length for IPsec integrity; for example, using GCMAES128 for both.

  • I föregående tabell:In the preceding table:

    • IKEv2 motsvarar huvud läget eller fas 1.IKEv2 corresponds to Main Mode or Phase 1.
    • IPsec motsvarar snabb läget eller fas 2.IPsec corresponds to Quick Mode or Phase 2.
    • DH-grupp anger Diffie-Hellmen grupp som används i huvud läge eller fas 1.DH Group specifies the Diffie-Hellmen Group used in Main Mode or Phase 1.
    • PFS-gruppen anger Diffie-Hellmen gruppen som används i snabb läge eller fas 2.PFS Group specifies the Diffie-Hellmen Group used in Quick Mode or Phase 2.
  • IKEv2 huvud läges livs längd för SA är fast i 28 800 sekunder på Azure Stack hubbens VPN-gatewayer.IKEv2 Main Mode SA lifetime is fixed at 28,800 seconds on the Azure Stack Hub VPN gateways.

I följande tabell visas motsvarande Diffie-Hellman grupper som stöds av den anpassade principen:The following table lists the corresponding Diffie-Hellman Groups supported by the custom policy:

Diffie-Hellman GroupDiffie-Hellman Group DHGroupDHGroup PFSGroupPFSGroup NyckellängdKey length
11 DHGroup1DHGroup1 PFS1PFS1 768-bitars MODP768-bit MODP
22 DHGroup2DHGroup2 PFS2PFS2 1024-bitars MODP1024-bit MODP
1414 DHGroup14DHGroup14
DHGroup2048DHGroup2048
PFS2048PFS2048 2048-bitars MODP2048-bit MODP
1919 ECP256*ECP256* ECP256ECP256 256-bitars ECP256-bit ECP
2020 ECP384ECP384 ECP384ECP384 384-bitars ECP384-bit ECP
2424 DHGroup24*DHGroup24* PFS24PFS24 2048-bitars MODP2048-bit MODP

* Dessa parametrar är bara tillgängliga i build 2002 och senare.* These parameters are only available in builds 2002 and above.

Mer information finns i RFC3526 och RFC5114.For more information, see RFC3526 and RFC5114.

Del 3 – skapa en ny VPN-anslutning för plats-till-plats med IPsec/IKE-principPart 3 - Create a new site-to-site VPN connection with IPsec/IKE policy

Det här avsnittet går igenom stegen för att skapa en VPN-anslutning från plats till plats med en IPsec/IKE-princip.This section walks through the steps to create a site-to-site VPN connection with an IPsec/IKE policy. Följande steg skapar anslutningen, som du ser i följande figur:The following steps create the connection, as shown in the following figure:

plats-till-plats-princip

Mer detaljerade instruktioner för hur du skapar en plats-till-plats-VPN-anslutning finns i skapa en plats-till-plats-VPN-anslutning.For more detailed step-by-step instructions for creating a site-to-site VPN connection, see Create a site-to-site VPN connection.

Steg 1 – skapa det virtuella nätverket, VPN-gatewayen och den lokala NätverksgatewayenStep 1 - Create the virtual network, VPN gateway, and local network gateway

1. deklarera variabler1. Declare variables

I den här övningen börjar du med att deklarera följande variabler.For this exercise, start by declaring the following variables. Se till att ersätta plats hållarna med dina egna värden när du konfigurerar för produktion:Be sure to replace the placeholders with your own values when configuring for production:

$Sub1 = "<YourSubscriptionName>"
$RG1 = "TestPolicyRG1"
$Location1 = "East US 2"
$VNetName1 = "TestVNet1"
$FESubName1 = "FrontEnd"
$BESubName1 = "Backend"
$GWSubName1 = "GatewaySubnet"
$VNetPrefix11 = "10.11.0.0/16"
$VNetPrefix12 = "10.12.0.0/16"
$FESubPrefix1 = "10.11.0.0/24"
$BESubPrefix1 = "10.12.0.0/24"
$GWSubPrefix1 = "10.12.255.0/27"
$DNS1 = "8.8.8.8"
$GWName1 = "VNet1GW"
$GW1IPName1 = "VNet1GWIP1"
$GW1IPconf1 = "gw1ipconf1"
$Connection16 = "VNet1toSite6"
$LNGName6 = "Site6"
$LNGPrefix61 = "10.61.0.0/16"
$LNGPrefix62 = "10.62.0.0/16"
$LNGIP6 = "131.107.72.22"

2. Anslut till din prenumeration och skapa en ny resurs grupp2. Connect to your subscription and create a new resource group

Se till att växla till PowerShell-läget för att kunna använda Resource Manager-cmdletarna.Make sure you switch to PowerShell mode to use the Resource Manager cmdlets. Mer information finns i ansluta till Azure Stack hubb med PowerShell som en användare.For more information, see Connect to Azure Stack Hub with PowerShell as a user.

Öppna PowerShell-konsolen och Anslut till ditt konto. exempel:Open your PowerShell console and connect to your account; for example:

Connect-AzAccount
Select-AzSubscription -SubscriptionName $Sub1
New-AzResourceGroup -Name $RG1 -Location $Location1

3. skapa det virtuella nätverket, VPN-gatewayen och den lokala Nätverksgatewayen3. Create the virtual network, VPN gateway, and local network gateway

I följande exempel skapas det virtuella nätverket, TestVNet1, tillsammans med tre undernät och VPN-gatewayen.The following example creates the virtual network, TestVNet1, along with three subnets and the VPN gateway. När du ersätter värden är det viktigt att du namnger Gateway-undernätets GatewaySubnet.When substituting values, it's important that you specifically name your gateway subnet GatewaySubnet. Om du ger det något annat namn går det inte att skapa gatewayen.If you name it something else, your gateway creation fails.

$fesub1 = New-AzVirtualNetworkSubnetConfig -Name $FESubName1 -AddressPrefix $FESubPrefix1
$besub1 = New-AzVirtualNetworkSubnetConfig -Name $BESubName1 -AddressPrefix $BESubPrefix1
$gwsub1 = New-AzVirtualNetworkSubnetConfig -Name $GWSubName1 -AddressPrefix $GWSubPrefix1

New-AzVirtualNetwork -Name $VNetName1 -ResourceGroupName $RG1 -Location $Location1 -AddressPrefix $VNetPrefix11,$VNetPrefix12 -Subnet $fesub1,$besub1,$gwsub1

$gw1pip1 = New-AzPublicIpAddress -Name $GW1IPName1 -ResourceGroupName $RG1 -Location $Location1 -AllocationMethod Dynamic

$vnet1 = Get-AzVirtualNetwork -Name $VNetName1 -ResourceGroupName $RG1

$subnet1 = Get-AzVirtualNetworkSubnetConfig -Name "GatewaySubnet" `
-VirtualNetwork $vnet1

$gw1ipconf1 = New-AzVirtualNetworkGatewayIpConfig -Name $GW1IPconf1 `
-Subnet $subnet1 -PublicIpAddress $gw1pip1

New-AzVirtualNetworkGateway -Name $GWName1 -ResourceGroupName $RG1 `
-Location $Location1 -IpConfigurations $gw1ipconf1 -GatewayType Vpn `
-VpnType RouteBased -GatewaySku VpnGw1

New-AzLocalNetworkGateway -Name $LNGName6 -ResourceGroupName $RG1 `
-Location $Location1 -GatewayIpAddress $LNGIP6 -AddressPrefix `
$LNGPrefix61,$LNGPrefix62

Steg 2 – Skapa en VPN-anslutning för plats-till-plats med en IPsec/IKE-principStep 2 - Create a site-to-site VPN connection with an IPsec/IKE policy

1. skapa en IPsec/IKE-princip1. Create an IPsec/IKE policy

Det här exempel skriptet skapar en IPsec/IKE-princip med följande algoritmer och parametrar:This sample script creates an IPsec/IKE policy with the following algorithms and parameters:

  • IKEv2: AES128, SHA1, DHGroup14IKEv2: AES128, SHA1, DHGroup14
  • IPsec: AES256, SHA256, none, SA-livstid 14400 sekunder och 102400000KBIPsec: AES256, SHA256, none, SA Lifetime 14400 seconds, and 102400000KB
$ipsecpolicy6 = New-AzIpsecPolicy -IkeEncryption AES128 -IkeIntegrity SHA1 -DhGroup DHGroup14 -IpsecEncryption AES256 -IpsecIntegrity SHA256 -PfsGroup none -SALifeTimeSeconds 14400 -SADataSizeKilobytes 102400000

Om du använder GCMAES för IPsec måste du använda samma GCMAES-algoritm och nyckel längd för både IPsec-kryptering och integritet.If you use GCMAES for IPsec, you must use the same GCMAES algorithm and key length for both IPsec encryption and integrity.

2. Skapa VPN-anslutningen för plats-till-plats med IPsec/IKE-principen2. Create the site-to-site VPN connection with the IPsec/IKE policy

Skapa en VPN-anslutning för plats-till-plats och tillämpa IPsec/IKE-principen som du skapade tidigare:Create a site-to-site VPN connection and apply the IPsec/IKE policy you created previously:

$vnet1gw = Get-AzVirtualNetworkGateway -Name $GWName1 -ResourceGroupName $RG1
$lng6 = Get-AzLocalNetworkGateway -Name $LNGName6 -ResourceGroupName $RG1

New-AzVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1 -VirtualNetworkGateway1 $vnet1gw -LocalNetworkGateway2 $lng6 -Location $Location1 -ConnectionType IPsec -IpsecPolicies $ipsecpolicy6 -SharedKey 'Azs123'

Viktigt

När en IPsec/IKE-princip anges i en anslutning, skickar Azure VPN-gatewayen bara eller accepterar IPsec/IKE-förslaget med angivna kryptografiska algoritmer och nyckel längder för den aktuella anslutningen.Once an IPsec/IKE policy is specified on a connection, the Azure VPN gateway only sends or accepts the IPsec/IKE proposal with specified cryptographic algorithms and key strengths on that particular connection. Kontrol lera att den lokala VPN-enheten för anslutningen använder eller accepterar den exakta princip kombinationen, annars går det inte att upprätta plats-till-plats-VPN-tunneln.Make sure your on-premises VPN device for the connection uses or accepts the exact policy combination, otherwise the site-to-site VPN tunnel cannot be established.

Del 4 – uppdatera IPsec/IKE-princip för en anslutningPart 4 - Update IPsec/IKE policy for a connection

Föregående avsnitt visade hur du hanterar IPsec/IKE-princip för en befintlig plats-till-plats-anslutning.The previous section showed how to manage IPsec/IKE policy for an existing site-to-site connection. Det här avsnittet går igenom följande åtgärder på en anslutning:This section walks through the following operations on a connection:

  • Visa IPsec/IKE-principen för en anslutning.Show the IPsec/IKE policy of a connection.
  • Lägg till eller uppdatera IPsec/IKE-principen till en anslutning.Add or update the IPsec/IKE policy to a connection.
  • Ta bort IPsec/IKE-principen från en anslutning.Remove the IPsec/IKE policy from a connection.

Anteckning

IPsec/IKE-principen stöds endast på routning-baserade VPN-gatewayer som standard och HighPerformance .IPsec/IKE policy is supported on Standard and HighPerformance route-based VPN gateways only. Den fungerar inte med SKU: n för Basic Gateway.It does not work on the Basic gateway SKU.

1. Visa IPsec/IKE-principen för en anslutning1. Show the IPsec/IKE policy of a connection

I följande exempel visas hur du hämtar IPsec/IKE-principen som kon figurer ATS på en anslutning.The following example shows how to get the IPsec/IKE policy configured on a connection. Skripten fortsätter också från föregående övningar.The scripts also continue from the previous exercises.

$RG1 = "TestPolicyRG1"
$Connection16 = "VNet1toSite6"
$connection6 = Get-AzVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1
$connection6.IpsecPolicies

Det sista kommandot listar den aktuella IPsec/IKE-princip som kon figurer ATS för anslutningen, om det finns någon.The last command lists the current IPsec/IKE policy configured on the connection, if any. Följande exempel är ett exempel på utdata för anslutningen:The following example is a sample output for the connection:

SALifeTimeSeconds : 14400
SADataSizeKilobytes : 102400000
IpsecEncryption : AES256
IpsecIntegrity : SHA256
IkeEncryption : AES128
IkeIntegrity : SHA1
DhGroup : DHGroup14
PfsGroup : None

Om ingen IPsec/IKE-princip har kon figurer ATS $connection6.policy får kommandot en tom RETUR.If there's no IPsec/IKE policy configured, the command $connection6.policy gets an empty return. Det innebär inte att IPsec/IKE inte har kon figurer ATS på anslutningen. Det innebär att det inte finns någon anpassad IPsec/IKE-princip.It does not mean that IPsec/IKE isn't configured on the connection; it means there's no custom IPsec/IKE policy. Den faktiska anslutningen använder standard principen som förhandlas mellan den lokala VPN-enheten och Azure VPN-gatewayen.The actual connection uses the default policy negotiated between your on-premises VPN device and the Azure VPN gateway.

2. Lägg till eller uppdatera en IPsec/IKE-princip för en anslutning2. Add or update an IPsec/IKE policy for a connection

Stegen för att lägga till en ny princip eller uppdatera en befintlig princip på en anslutning är samma: skapa en ny princip och Använd sedan den nya principen för anslutningen:The steps to add a new policy or update an existing policy on a connection are the same: create a new policy, then apply the new policy to the connection:

$RG1 = "TestPolicyRG1"
$Connection16 = "VNet1toSite6"
$connection6 = Get-AzVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1

$newpolicy6 = New-AzIpsecPolicy -IkeEncryption AES128 -IkeIntegrity SHA1 -DhGroup DHGroup14 -IpsecEncryption AES256 -IpsecIntegrity SHA256 -PfsGroup None -SALifeTimeSeconds 14400 -SADataSizeKilobytes 102400000

$connection6.SharedKey = "AzS123"

Set-AzVirtualNetworkGatewayConnection -VirtualNetworkGatewayConnection $connection6 -IpsecPolicies $newpolicy6

Du kan få anslutningen igen för att kontrol lera om principen har uppdaterats:You can get the connection again to check if the policy is updated:

$connection6 = Get-AzVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1
$connection6.IpsecPolicies

Du bör se utdata från den sista raden, som du ser i följande exempel:You should see the output from the last line, as shown in the following example:

SALifeTimeSeconds : 14400
SADataSizeKilobytes : 102400000
IpsecEncryption : AES256
IpsecIntegrity : SHA256
IkeEncryption : AES128
IkeIntegrity : SHA1
DhGroup : DHGroup14
PfsGroup : None

3. ta bort en IPsec/IKE-princip från en anslutning3. Remove an IPsec/IKE policy from a connection

När du har tagit bort den anpassade principen från en anslutning återgår Azure VPN-gatewayen till standard förslaget för IPSec/IKEoch omförhandlar med din lokala VPN-enhet.After you remove the custom policy from a connection, the Azure VPN gateway reverts to the default IPsec/IKE proposal, and renegotiates with your on-premises VPN device.

$RG1 = "TestPolicyRG1"
$Connection16 = "VNet1toSite6"
$connection6 = Get-AzVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1
$connection6.SharedKey = "AzS123"
$currentpolicy = $connection6.IpsecPolicies[0]
$connection6.IpsecPolicies.Remove($currentpolicy)

Set-AzVirtualNetworkGatewayConnection -VirtualNetworkGatewayConnection $connection6

Du kan använda samma skript för att kontrol lera om principen har tagits bort från anslutningen.You can use the same script to check if the policy has been removed from the connection.

Nästa stegNext steps