S2S VPN veya VNet-VNet bağlantıları için IPSec/ıKE ilkesini yapılandırmaConfigure IPsec/IKE policy for S2S VPN or VNet-to-VNet connections

Bu makale, Kaynak Yöneticisi dağıtım modelini ve PowerShell 'i kullanarak siteden siteye VPN veya VNet-VNet bağlantıları için IPSec/ıKE ilkesini yapılandırma adımlarında size yol gösterir.This article walks you through the steps to configure IPsec/IKE policy for Site-to-Site VPN or VNet-to-VNet connections using the Resource Manager deployment model and PowerShell.

Not

Bu makale yeni Azure PowerShell Az modülünü kullanacak şekilde güncelleştirilmiştir.This article has been updated to use the new Azure PowerShell Az module. En azından Aralık 2020'ye kadar hata düzeltmeleri almaya devam edecek olan AzureRM modülünü de kullanmaya devam edebilirsiniz.You can still use the AzureRM module, which will continue to receive bug fixes until at least December 2020. Yeni Az modülüyle AzureRM'nin uyumluluğu hakkında daha fazla bilgi edinmek için bkz. Yeni Azure PowerShell Az modülüne giriş.To learn more about the new Az module and AzureRM compatibility, see Introducing the new Azure PowerShell Az module. Az modülü yükleme yönergeleri için bkz. Azure PowerShell'i yükleme.For Az module installation instructions, see Install Azure PowerShell.

Azure VPN ağ geçitleri için IPSec ve ıKE ilke parametreleri hakkındaAbout IPsec and IKE policy parameters for Azure VPN gateways

IPSec ve ıKE protokol standardı çeşitli birleşimlerde çok sayıda şifreleme algoritmasını destekler.IPsec and IKE protocol standard supports a wide range of cryptographic algorithms in various combinations. Bunun şirket içi ve VNet 'ten VNet 'e bağlantısının uyumluluk veya güvenlik gereksinimlerinizi karşılamasını sağlamaya nasıl yardımcı olduğunu görmek için Şifreleme gereksinimleri ve Azure VPN ağ geçitleri hakkında bölümüne bakın.Refer to About cryptographic requirements and Azure VPN gateways to see how this can help ensuring cross-premises and VNet-to-VNet connectivity satisfy your compliance or security requirements.

Bu makalede bir IPSec/ıKE İlkesi oluşturup yapılandırma ve yeni veya mevcut bir bağlantı için geçerli olan yönergeler sağlanmaktadır:This article provides instructions to create and configure an IPsec/IKE policy and apply to a new or existing connection:

Önemli

  1. IPSec/ıKE ilkesinin yalnızca aşağıdaki ağ geçidi SKU 'Larında çalışmadığını unutmayın:Note that IPsec/IKE policy only works on the following gateway SKUs:
    • VpnGw1, VpnGw2, VpnGw3 (rota tabanlı)VpnGw1, VpnGw2, VpnGw3 (route-based)
    • Standart ve HighPerformance (rota tabanlı)Standard and HighPerformance (route-based)
  2. Belirli bir bağlantı için yalnızca bir ilke birleşimi belirtebilirsiniz.You can only specify one policy combination for a given connection.
  3. IKE (ana mod) ve IPSec (hızlı mod) için tüm algoritmaları ve parametreleri belirtmeniz gerekir.You must specify all algorithms and parameters for both IKE (Main Mode) and IPsec (Quick Mode). Kısmi ilke belirtimine izin verilmez.Partial policy specification is not allowed.
  4. İlkenin şirket içi VPN cihazlarınızda desteklendiğinden emin olmak için, VPN cihazınızın satıcı belirtimlerinize başvurun.Consult with your VPN device vendor specifications to ensure the policy is supported on your on-premises VPN devices. İlkeler uyumsuz ise, S2S veya VNet-VNet bağlantıları kurulamaz.S2S or VNet-to-VNet connections cannot establish if the policies are incompatible.

Bölüm 1-IPSec/ıKE ilkesi oluşturmak ve ayarlamak için Iş akışıPart 1 - Workflow to create and set IPsec/IKE policy

Bu bölümde, bir S2S VPN veya VNet-VNet bağlantısında IPSec/ıKE ilkesi oluşturma ve güncelleştirme için iş akışı özetlenmektedir:This section outlines the workflow to create and update IPsec/IKE policy on a S2S VPN or VNet-to-VNet connection:

  1. Sanal ağ ve VPN ağ geçidi oluşturmaCreate a virtual network and a VPN gateway
  2. Şirket içi bağlantı için bir yerel ağ geçidi veya VNet-VNet bağlantısı için başka bir sanal ağ ve Ağ Geçidi oluşturunCreate a local network gateway for cross premises connection, or another virtual network and gateway for VNet-to-VNet connection
  3. Seçili algoritmalara ve parametrelere sahip bir IPSec/ıKE ilkesi oluşturmaCreate an IPsec/IKE policy with selected algorithms and parameters
  4. IPSec/ıKE ilkesiyle bağlantı (IPSec veya VNet2VNet) oluşturmaCreate a connection (IPsec or VNet2VNet) with the IPsec/IKE policy
  5. Mevcut bir bağlantı için IPSec/ıKE ilkesi ekleme/güncelleştirme/kaldırmaAdd/update/remove an IPsec/IKE policy for an existing connection

Bu makaledeki yönergeler, diyagramda gösterildiği gibi IPSec/ıKE ilkelerini ayarlamanıza ve yapılandırmanıza yardımcı olur:The instructions in this article helps you set up and configure IPsec/IKE policies as shown in the diagram:

IPSec-IKE-Policy

2. Bölüm-desteklenen şifreleme algoritmaları & anahtar güçlerininPart 2 - Supported cryptographic algorithms & key strengths

Aşağıdaki tabloda, müşteriler tarafından yapılandırılabilen desteklenen şifreleme algoritmaları ve anahtar güçleri listelenmektedir:The following table lists the supported cryptographic algorithms and key strengths configurable by the customers:

IPsec/IKEv2IPsec/IKEv2 SeçeneklerOptions
IKEv2 ŞifrelemesiIKEv2 Encryption AES256, AES192, AES128, DES3, DESAES256, AES192, AES128, DES3, DES
IKEv2 BütünlüğüIKEv2 Integrity SHA384, SHA256, SHA1, MD5SHA384, SHA256, SHA1, MD5
DH GrubuDH Group DHGroup24, ECP384, ECP256, DHGroup14, DHGroup2048, DHGroup2, DHGroup1, NoneDHGroup24, ECP384, ECP256, DHGroup14, DHGroup2048, DHGroup2, DHGroup1, None
IPsec ŞifrelemesiIPsec Encryption GCMAES256, GCMAES192, GCMAES128, AES256, AES192, AES128, DES3, DES, NoneGCMAES256, GCMAES192, GCMAES128, AES256, AES192, AES128, DES3, DES, None
IPsec BütünlüğüIPsec Integrity GCMASE256, GCMAES192, GCMAES128, SHA256, SHA1, MD5GCMASE256, GCMAES192, GCMAES128, SHA256, SHA1, MD5
PFS GrubuPFS Group PFS24, ECP384, ECP256, PFS2048, PFS2, PFS1, HiçbiriPFS24, ECP384, ECP256, PFS2048, PFS2, PFS1, None
QM SA Yaşam SüresiQM SA Lifetime (Isteğe bağlı: belirtilmemişse varsayılan değerler kullanılır)(Optional: default values are used if not specified)
Saniye (tamsayı; en az 300/varsayılan 27000 saniye)Seconds (integer; min. 300/default 27000 seconds)
Kilobayt (tamsayı; en az 1024/varsayılan 102400000 kilobayt)KBytes (integer; min. 1024/default 102400000 KBytes)
Trafik SeçicisiTraffic Selector UsePolicyBasedTrafficSelectors * * ($True/$False; Isteğe bağlı, varsayılan $false belirtilmemişse)UsePolicyBasedTrafficSelectors** ($True/$False; Optional, default $False if not specified)

Önemli

  1. Şirket içi VPN cihaz yapılandırmanızın Azure IPSec/ıKE ilkesinde belirttiğiniz aşağıdaki algoritmaların ve parametrelerin eşleşmesi veya içermesi gerekir:Your on-premises VPN device configuration must match or contain the following algorithms and parameters that you specify on the Azure IPsec/IKE policy:

    • IKE şifreleme algoritması (ana mod/Aşama 1)IKE encryption algorithm (Main Mode / Phase 1)
    • IKE bütünlük algoritması (ana mod/Aşama 1)IKE integrity algorithm (Main Mode / Phase 1)
    • DH grubu (ana mod/Aşama 1)DH Group (Main Mode / Phase 1)
    • IPSec şifreleme algoritması (hızlı mod/aşama 2)IPsec encryption algorithm (Quick Mode / Phase 2)
    • IPSec bütünlük algoritması (hızlı mod/aşama 2)IPsec integrity algorithm (Quick Mode / Phase 2)
    • PFS Grubu (hızlı mod/aşama 2)PFS Group (Quick Mode / Phase 2)
    • Trafik seçicisi (UsePolicyBasedTrafficSelectors kullanılıyorsa)Traffic Selector (if UsePolicyBasedTrafficSelectors is used)
    • SA yaşam süreleri yalnızca yerel belirtimlerdir ve bunların eşleşmesi gerekmez.The SA lifetimes are local specifications only, do not need to match.
  2. IPSec şifreleme algoritması için GCMAES kullanılıyorsa, IPSec bütünlüğü için aynı GCMAES algoritmasını ve anahtar uzunluğunu seçmeniz gerekir; Örneğin, her ikisi için GCMAES128 kullanmaIf GCMAES is used as for IPsec Encryption algorithm, you must select the same GCMAES algorithm and key length for IPsec Integrity; for example, using GCMAES128 for both

  3. Yukarıdaki tabloda:In the table above:

    • Ikev2 ana moda veya 1 aşamasına karşılık gelirIKEv2 corresponds to Main Mode or Phase 1
    • IPSec, hızlı moda veya Aşama 2 ' ye karşılık gelirIPsec corresponds to Quick Mode or Phase 2
    • DH grubu ana modda veya 1. aşamada kullanılan Diffie-Hellmence grubunu belirtirDH Group specifies the Diffie-Hellmen Group used in Main Mode or Phase 1
    • PFS Grubu, Hızlı modda veya Aşama 2 ' de kullanılan Diffie-Hellmence grubunu belirttiPFS Group specified the Diffie-Hellmen Group used in Quick Mode or Phase 2
  4. Azure VPN ağ geçitlerinde IKEv2 Ana Modu SA yaşam süresi 28.800 saniye olarak sabitlenmiştirIKEv2 Main Mode SA lifetime is fixed at 28,800 seconds on the Azure VPN gateways

  5. "UsePolicyBasedTrafficSelectors" bağlantısının bir bağlantıda $True olarak ayarlanması, Azure VPN ağ geçidini şirket içi ilke tabanlı VPN güvenlik duvarına bağlanacak şekilde yapılandırır.Setting "UsePolicyBasedTrafficSelectors" to $True on a connection will configure the Azure VPN gateway to connect to policy-based VPN firewall on premises. PolicyBasedTrafficSelectors etkinleştirirseniz, VPN cihazınızın, şirket içi ağ (yerel ağ geçidi) öneklerinizin tüm birleşimleri ile, Azure sanal ağ öneklerine/ herhangi bir-herhangi bir.If you enable PolicyBasedTrafficSelectors, you need to ensure your VPN device has the matching traffic selectors defined with all combinations of your on-premises network (local network gateway) prefixes to/from the Azure virtual network prefixes, instead of any-to-any. Örneğin, şirket içi ağınızın ön ekleri 10.1.0.0/16 ve 10.2.0.0/16; sanal ağınızın ön ekleriyse 192.168.0.0/16 ve 172.16.0.0/16 şeklindeyse, aşağıdaki trafik seçicileri belirtmeniz gerekir:For example, if your on-premises network prefixes are 10.1.0.0/16 and 10.2.0.0/16, and your virtual network prefixes are 192.168.0.0/16 and 172.16.0.0/16, you need to specify the following traffic selectors:

    • 10.1.0.0/16 <====> 192.168.0.0/1610.1.0.0/16 <====> 192.168.0.0/16
    • 10.1.0.0/16 <====> 172.16.0.0/1610.1.0.0/16 <====> 172.16.0.0/16
    • 10.2.0.0/16 <====> 192.168.0.0/1610.2.0.0/16 <====> 192.168.0.0/16
    • 10.2.0.0/16 <====> 172.16.0.0/1610.2.0.0/16 <====> 172.16.0.0/16

İlke tabanlı trafik seçicileri hakkında daha fazla bilgi için bkz. birden çok şirket içi ilke tabanlı VPN cihazlarını bağlama.For more information regarding policy-based traffic selectors, see Connect multiple on-premises policy-based VPN devices.

Aşağıdaki tabloda özel ilke tarafından desteklenen karşılık gelen Diffie-Hellman grupları listelenmektedir:The following table lists the corresponding Diffie-Hellman Groups supported by the custom policy:

Diffie-Hellman GrubuDiffie-Hellman Group DHGroupDHGroup PFSGroupPFSGroup Anahtar uzunluğuKey length
11 DHGroup1DHGroup1 PFS1PFS1 768 bit MODP768-bit MODP
22 DHGroup2DHGroup2 PFS2PFS2 1024 bit MODP1024-bit MODP
1414 DHGroup14DHGroup14
DHGroup2048DHGroup2048
PFS2048PFS2048 2048 bit MODP2048-bit MODP
1919 ECP256ECP256 ECP256ECP256 256 bit ECP256-bit ECP
2020 ECP384ECP384 ECP384ECP384 384 bit ECP384-bit ECP
2424 DHGroup24DHGroup24 PFS24PFS24 2048 bit MODP2048-bit MODP

Diğer ayrıntılar için RFC3526ve RFC5114’e bakın.Refer to RFC3526 and RFC5114 for more details.

3. kısım-IPSec/ıKE ilkesiyle yeni bir S2S VPN bağlantısı oluşturmaPart 3 - Create a new S2S VPN connection with IPsec/IKE policy

Bu bölüm, IPSec/ıKE ilkesiyle bir S2S VPN bağlantısı oluşturma adımlarında size yol gösterir.This section walks you through the steps of creating a S2S VPN connection with an IPsec/IKE policy. Aşağıdaki adımlar diyagramda gösterilen bağlantıyı oluşturur:The following steps create the connection as shown in the diagram:

S2S-ilke

S2S VPN bağlantısı oluşturmaya yönelik daha ayrıntılı adım adım yönergeler için bkz. S2S VPN bağlantısı oluşturma .See Create a S2S VPN connection for more detailed step-by-step instructions for creating a S2S VPN connection.

Başlamadan önceBefore you begin

1. adım-sanal ağ, VPN Gateway ve yerel ağ geçidi oluşturmaStep 1 - Create the virtual network, VPN gateway, and local network gateway

1. değişkenlerinizi bildirin1. Declare your variables

Bu alıştırma için değişkenlerimizi bildirerek başlayacağız.For this exercise, we start by declaring our variables. Üretim için yapılandırma sırasında bu değerleri kendi değerlerinizle değiştirdiğinizden emin olun.Be sure to replace the values with your own when configuring for production.

$Sub1          = "<YourSubscriptionName>"
$RG1           = "TestPolicyRG1"
$Location1     = "East US 2"
$VNetName1     = "TestVNet1"
$FESubName1    = "FrontEnd"
$BESubName1    = "Backend"
$GWSubName1    = "GatewaySubnet"
$VNetPrefix11  = "10.11.0.0/16"
$VNetPrefix12  = "10.12.0.0/16"
$FESubPrefix1  = "10.11.0.0/24"
$BESubPrefix1  = "10.12.0.0/24"
$GWSubPrefix1  = "10.12.255.0/27"
$DNS1          = "8.8.8.8"
$GWName1       = "VNet1GW"
$GW1IPName1    = "VNet1GWIP1"
$GW1IPconf1    = "gw1ipconf1"
$Connection16  = "VNet1toSite6"

$LNGName6      = "Site6"
$LNGPrefix61   = "10.61.0.0/16"
$LNGPrefix62   = "10.62.0.0/16"
$LNGIP6        = "131.107.72.22"

2. aboneliğinize bağlanın ve yeni bir kaynak grubu oluşturun2. Connect to your subscription and create a new resource group

Resource Manager cmdlet’lerini kullanmak için PowerShell moduna geçtiğinizden emin olun.Make sure you switch to PowerShell mode to use the Resource Manager cmdlets. Daha fazla bilgi için Windows PowerShell’i Resource Manager ile kullanma konusuna bakın.For more information, see Using Windows PowerShell with Resource Manager.

PowerShell konsolunuzu açın ve hesabınıza bağlanın.Open your PowerShell console and connect to your account. Bağlanmanıza yardımcı olması için aşağıdaki örneği kullanın:Use the following sample to help you connect:

Connect-AzAccount
Select-AzSubscription -SubscriptionName $Sub1
New-AzResourceGroup -Name $RG1 -Location $Location1

3. sanal ağı, VPN ağ geçidini ve yerel ağ geçidini oluşturun3. Create the virtual network, VPN gateway, and local network gateway

Aşağıdaki örnek, TestVNet1, üç alt ağ ve VPN ağ geçidi ile sanal ağ oluşturur.The following sample creates the virtual network, TestVNet1, with three subnets, and the VPN gateway. Kendi değerlerinizi yerleştirirken ağ geçidi alt ağınızı özellikle GatewaySubnet olarak adlandırmanız önem taşır.When substituting values, it's important that you always name your gateway subnet specifically GatewaySubnet. Başka bir ad kullanırsanız ağ geçidi oluşturma işleminiz başarısız olur.If you name it something else, your gateway creation fails.

$fesub1 = New-AzVirtualNetworkSubnetConfig -Name $FESubName1 -AddressPrefix $FESubPrefix1
$besub1 = New-AzVirtualNetworkSubnetConfig -Name $BESubName1 -AddressPrefix $BESubPrefix1
$gwsub1 = New-AzVirtualNetworkSubnetConfig -Name $GWSubName1 -AddressPrefix $GWSubPrefix1

New-AzVirtualNetwork -Name $VNetName1 -ResourceGroupName $RG1 -Location $Location1 -AddressPrefix $VNetPrefix11,$VNetPrefix12 -Subnet $fesub1,$besub1,$gwsub1

$gw1pip1    = New-AzPublicIpAddress -Name $GW1IPName1 -ResourceGroupName $RG1 -Location $Location1 -AllocationMethod Dynamic
$vnet1      = Get-AzVirtualNetwork -Name $VNetName1 -ResourceGroupName $RG1
$subnet1    = Get-AzVirtualNetworkSubnetConfig -Name "GatewaySubnet" -VirtualNetwork $vnet1
$gw1ipconf1 = New-AzVirtualNetworkGatewayIpConfig -Name $GW1IPconf1 -Subnet $subnet1 -PublicIpAddress $gw1pip1

New-AzVirtualNetworkGateway -Name $GWName1 -ResourceGroupName $RG1 -Location $Location1 -IpConfigurations $gw1ipconf1 -GatewayType Vpn -VpnType RouteBased -GatewaySku VpnGw1

New-AzLocalNetworkGateway -Name $LNGName6 -ResourceGroupName $RG1 -Location $Location1 -GatewayIpAddress $LNGIP6 -AddressPrefix $LNGPrefix61,$LNGPrefix62

2. adım-IPSec/ıKE ilkesiyle bir S2S VPN bağlantısı oluşturmaStep 2 - Create a S2S VPN connection with an IPsec/IKE policy

1. IPSec/ıKE ilkesi oluşturma1. Create an IPsec/IKE policy

Aşağıdaki örnek betik, aşağıdaki algoritmalara ve parametrelere sahip bir IPSec/ıKE ilkesi oluşturur:The following sample script creates an IPsec/IKE policy with the following algorithms and parameters:

  • Ikev2: AES256, SHA384, DHGroup24IKEv2: AES256, SHA384, DHGroup24
  • IPSec: AES256, SHA256, PFS yok, SA yaşam süresi 14400 saniye & 102400000KBIPsec: AES256, SHA256, PFS None, SA Lifetime 14400 seconds & 102400000KB
$ipsecpolicy6 = New-AzIpsecPolicy -IkeEncryption AES256 -IkeIntegrity SHA384 -DhGroup DHGroup24 -IpsecEncryption AES256 -IpsecIntegrity SHA256 -PfsGroup None -SALifeTimeSeconds 14400 -SADataSizeKilobytes 102400000

IPSec için GCMAES kullanıyorsanız, hem IPSec şifrelemesi hem de bütünlüğü için aynı GCMAES algoritmasını ve anahtar uzunluğunu kullanmanız gerekir.If you use GCMAES for IPsec, you must use the same GCMAES algorithm and key length for both IPsec encryption and integrity. Örneğin, yukarıdaki parametreler, GCMAES256 kullanılırken "-ıpsecencryption GCMAES256-ıpsecıntegrity GCMAES256" olacaktır.For example above, the corresponding parameters will be "-IpsecEncryption GCMAES256 -IpsecIntegrity GCMAES256" when using GCMAES256.

2. IPSec/ıKE ilkesiyle S2S VPN bağlantısını oluşturma2. Create the S2S VPN connection with the IPsec/IKE policy

Bir S2S VPN bağlantısı oluşturun ve daha önce oluşturulan IPSec/ıKE ilkesini uygulayın.Create an S2S VPN connection and apply the IPsec/IKE policy created earlier.

$vnet1gw = Get-AzVirtualNetworkGateway -Name $GWName1  -ResourceGroupName $RG1
$lng6 = Get-AzLocalNetworkGateway  -Name $LNGName6 -ResourceGroupName $RG1

New-AzVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1 -VirtualNetworkGateway1 $vnet1gw -LocalNetworkGateway2 $lng6 -Location $Location1 -ConnectionType IPsec -IpsecPolicies $ipsecpolicy6 -SharedKey 'AzureA1b2C3'

İsteğe bağlı olarak, yukarıda açıklandığı gibi, Azure VPN ağ geçidinin şirket içi ilke tabanlı VPN cihazlarına bağlanmasını sağlamak için bağlantı oluştur cmdlet 'ine "-UsePolicyBasedTrafficSelectors $True" ekleyebilirsiniz.You can optionally add "-UsePolicyBasedTrafficSelectors $True" to the create connection cmdlet to enable Azure VPN gateway to connect to policy-based VPN devices on premises, as described above.

Önemli

Bir bağlantı üzerinde IPSec/ıKE ilkesi belirtilmişse, Azure VPN ağ geçidi yalnızca belirtilen şifreleme algoritmalarıyla IPSec/ıKE teklifini ve söz konusu bağlantıda anahtar güçlerini gönderir veya kabul eder.Once an IPsec/IKE policy is specified on a connection, the Azure VPN gateway will only send or accept the IPsec/IKE proposal with specified cryptographic algorithms and key strengths on that particular connection. Bağlantı için şirket içi VPN cihazınızın, tam ilke birleşimini kullandığından veya kabul ettiğinden emin olun, aksi takdirde S2S VPN tüneli kurmaz.Make sure your on-premises VPN device for the connection uses or accepts the exact policy combination, otherwise the S2S VPN tunnel will not establish.

Bölüm 4-IPSec/ıKE ilkesiyle yeni VNet-VNet bağlantısı oluşturmaPart 4 - Create a new VNet-to-VNet connection with IPsec/IKE policy

IPSec/ıKE ilkesiyle VNet-VNet bağlantısı oluşturma adımları S2S VPN bağlantısıyla benzerdir.The steps of creating a VNet-to-VNet connection with an IPsec/IKE policy are similar to that of a S2S VPN connection. Aşağıdaki örnek betikler, diyagramda gösterildiği gibi bağlantıyı oluşturur:The following sample scripts create the connection as shown in the diagram:

V2V-ilke

VNET-VNet bağlantısı oluşturmaya yönelik daha ayrıntılı adımlar için bkz. VNET- VNet bağlantısı oluşturma .See Create a VNet-to-VNet connection for more detailed steps for creating a VNet-to-VNet connection. TestVNet1 ve VPN Gateway oluşturmak ve yapılandırmak için Bölüm 3 ' ü tamamlamalısınız.You must complete Part 3 to create and configure TestVNet1 and the VPN Gateway.

1. adım-ikinci sanal ağı ve VPN ağ geçidini oluşturmaStep 1 - Create the second virtual network and VPN gateway

1. değişkenlerinizi bildirin1. Declare your variables

Değerleri, yapılandırma için kullanmak istediğiniz değerlerle değiştirdiğinizden emin olun.Be sure to replace the values with the ones that you want to use for your configuration.

$RG2          = "TestPolicyRG2"
$Location2    = "East US 2"
$VNetName2    = "TestVNet2"
$FESubName2   = "FrontEnd"
$BESubName2   = "Backend"
$GWSubName2   = "GatewaySubnet"
$VNetPrefix21 = "10.21.0.0/16"
$VNetPrefix22 = "10.22.0.0/16"
$FESubPrefix2 = "10.21.0.0/24"
$BESubPrefix2 = "10.22.0.0/24"
$GWSubPrefix2 = "10.22.255.0/27"
$DNS2         = "8.8.8.8"
$GWName2      = "VNet2GW"
$GW2IPName1   = "VNet2GWIP1"
$GW2IPconf1   = "gw2ipconf1"
$Connection21 = "VNet2toVNet1"
$Connection12 = "VNet1toVNet2"

2. yeni kaynak grubunda ikinci sanal ağı ve VPN ağ geçidini oluşturun2. Create the second virtual network and VPN gateway in the new resource group

New-AzResourceGroup -Name $RG2 -Location $Location2

$fesub2 = New-AzVirtualNetworkSubnetConfig -Name $FESubName2 -AddressPrefix $FESubPrefix2
$besub2 = New-AzVirtualNetworkSubnetConfig -Name $BESubName2 -AddressPrefix $BESubPrefix2
$gwsub2 = New-AzVirtualNetworkSubnetConfig -Name $GWSubName2 -AddressPrefix $GWSubPrefix2

New-AzVirtualNetwork -Name $VNetName2 -ResourceGroupName $RG2 -Location $Location2 -AddressPrefix $VNetPrefix21,$VNetPrefix22 -Subnet $fesub2,$besub2,$gwsub2

$gw2pip1    = New-AzPublicIpAddress -Name $GW2IPName1 -ResourceGroupName $RG2 -Location $Location2 -AllocationMethod Dynamic
$vnet2      = Get-AzVirtualNetwork -Name $VNetName2 -ResourceGroupName $RG2
$subnet2    = Get-AzVirtualNetworkSubnetConfig -Name "GatewaySubnet" -VirtualNetwork $vnet2
$gw2ipconf1 = New-AzVirtualNetworkGatewayIpConfig -Name $GW2IPconf1 -Subnet $subnet2 -PublicIpAddress $gw2pip1

New-AzVirtualNetworkGateway -Name $GWName2 -ResourceGroupName $RG2 -Location $Location2 -IpConfigurations $gw2ipconf1 -GatewayType Vpn -VpnType RouteBased -GatewaySku HighPerformance

2. adım-IPSec/ıKE ilkesiyle VNet-toVNet bağlantısı oluşturmaStep 2 - Create a VNet-toVNet connection with the IPsec/IKE policy

S2S VPN bağlantısına benzer şekilde, bir IPSec/ıKE ilkesi oluşturun ve ardından yeni bağlantı için ilkeye uygulayın.Similar to the S2S VPN connection, create an IPsec/IKE policy then apply to policy to the new connection.

1. IPSec/ıKE ilkesi oluşturma1. Create an IPsec/IKE policy

Aşağıdaki örnek betik, şu algoritmalar ve parametreler ile farklı bir IPsec/IKE ilkesi oluşturur:The following sample script creates a different IPsec/IKE policy with the following algorithms and parameters:

  • Ikev2: AES128, SHA1, DHGroup14IKEv2: AES128, SHA1, DHGroup14
  • IPSec: GCMAES128, GCMAES128, PFS14, SA yaşam 14400 saniye & 102400000KBIPsec: GCMAES128, GCMAES128, PFS14, SA Lifetime 14400 seconds & 102400000KB
$ipsecpolicy2 = New-AzIpsecPolicy -IkeEncryption AES128 -IkeIntegrity SHA1 -DhGroup DHGroup14 -IpsecEncryption GCMAES128 -IpsecIntegrity GCMAES128 -PfsGroup PFS14 -SALifeTimeSeconds 14400 -SADataSizeKilobytes 102400000

2. IPSec/ıKE ilkesiyle VNet-VNet bağlantıları oluşturma2. Create VNet-to-VNet connections with the IPsec/IKE policy

VNet-VNet bağlantısı oluşturun ve oluşturduğunuz IPSec/ıKE ilkesini uygulayın.Create a VNet-to-VNet connection and apply the IPsec/IKE policy you created. Bu örnekte her iki ağ geçidi de aynı abonelikte bulunur.In this example, both gateways are in the same subscription. Bu nedenle, her iki bağlantıyı aynı PowerShell oturumunda aynı IPSec/ıKE ilkesiyle oluşturmak ve yapılandırmak mümkündür.So it is possible to create and configure both connections with the same IPsec/IKE policy in the same PowerShell session.

$vnet1gw = Get-AzVirtualNetworkGateway -Name $GWName1  -ResourceGroupName $RG1
$vnet2gw = Get-AzVirtualNetworkGateway -Name $GWName2  -ResourceGroupName $RG2

New-AzVirtualNetworkGatewayConnection -Name $Connection12 -ResourceGroupName $RG1 -VirtualNetworkGateway1 $vnet1gw -VirtualNetworkGateway2 $vnet2gw -Location $Location1 -ConnectionType Vnet2Vnet -IpsecPolicies $ipsecpolicy2 -SharedKey 'AzureA1b2C3'

New-AzVirtualNetworkGatewayConnection -Name $Connection21 -ResourceGroupName $RG2 -VirtualNetworkGateway1 $vnet2gw -VirtualNetworkGateway2 $vnet1gw -Location $Location2 -ConnectionType Vnet2Vnet -IpsecPolicies $ipsecpolicy2 -SharedKey 'AzureA1b2C3'

Önemli

Bir bağlantı üzerinde IPSec/ıKE ilkesi belirtilmişse, Azure VPN ağ geçidi yalnızca belirtilen şifreleme algoritmalarıyla IPSec/ıKE teklifini ve söz konusu bağlantıda anahtar güçlerini gönderir veya kabul eder.Once an IPsec/IKE policy is specified on a connection, the Azure VPN gateway will only send or accept the IPsec/IKE proposal with specified cryptographic algorithms and key strengths on that particular connection. Her iki bağlantı için de IPSec ilkelerinin aynı olduğundan emin olun, aksi takdirde VNET-VNet bağlantısı kurmayacak.Make sure the IPsec policies for both connections are the same, otherwise the VNet-to-VNet connection will not establish.

Bu adımları tamamladıktan sonra, bağlantı birkaç dakika içinde oluşturulur ve başlangıcında gösterildiği gibi aşağıdaki ağ topolojisine sahip olursunuz:After completing these steps, the connection is established in a few minutes, and you will have the following network topology as shown in the beginning:

IPSec-IKE-Policy

5. kısım-bağlantı için IPSec/ıKE ilkesini güncelleştirmePart 5 - Update IPsec/IKE policy for a connection

Son bölümde, mevcut bir S2S veya VNet-VNet bağlantısı için IPSec/ıKE ilkesini nasıl yöneteceğiniz gösterilmektedir.The last section shows you how to manage IPsec/IKE policy for an existing S2S or VNet-to-VNet connection. Aşağıdaki alıştırmada bir bağlantıda aşağıdaki işlemler gösterilmektedir:The exercise below walks you through the following operations on a connection:

  1. Bir bağlantının IPSec/ıKE ilkesini gösterShow the IPsec/IKE policy of a connection
  2. IPSec/ıKE ilkesini bir bağlantıya ekleme veya güncelleştirmeAdd or update the IPsec/IKE policy to a connection
  3. IPSec/ıKE ilkesini bir bağlantıdan kaldırmaRemove the IPsec/IKE policy from a connection

Aynı adımlar hem S2S hem de VNet-VNet bağlantıları için geçerlidir.The same steps apply to both S2S and VNet-to-VNet connections.

Önemli

IPSec/ıKE ilkesi yalnızca Standart ve HIGHPERFORMANCE rota tabanlı VPN ağ geçitlerinde desteklenir.IPsec/IKE policy is supported on Standard and HighPerformance route-based VPN gateways only. Temel ağ geçidi SKU 'sunda veya ilke tabanlı VPN Gateway 'de çalışmaz.It does not work on the Basic gateway SKU or the policy-based VPN gateway.

1. bir bağlantının IPSec/ıKE ilkesini göster1. Show the IPsec/IKE policy of a connection

Aşağıdaki örnek, bir bağlantıda yapılandırılan IPSec/ıKE ilkesinin nasıl alınacağını gösterir.The following example shows how to get the IPsec/IKE policy configured on a connection. Betikler Ayrıca yukarıdaki alýþtýrmalara de devam eder.The scripts also continue from the exercises above.

$RG1          = "TestPolicyRG1"
$Connection16 = "VNet1toSite6"
$connection6  = Get-AzVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1
$connection6.IpsecPolicies

Son komut, varsa, bağlantıda yapılandırılan geçerli IPSec/ıKE ilkesini listeler.The last command lists the current IPsec/IKE policy configured on the connection, if there is any. Bağlantı için örnek bir çıktı aşağıda verilmiştir:The following is a sample output for the connection:

SALifeTimeSeconds   : 14400
SADataSizeKilobytes : 102400000
IpsecEncryption     : AES256
IpsecIntegrity      : SHA256
IkeEncryption       : AES256
IkeIntegrity        : SHA384
DhGroup             : DHGroup24
PfsGroup            : PFS24

Yapılandırılmış bir IPSec/ıKE ilkesi yoksa, (PS > $connection 6. ilke) komutu boş bir dönüş alır.If there is no IPsec/IKE policy configured, the command (PS> $connection6.policy) gets an empty return. IPSec/ıKE 'nin bağlantıda yapılandırılmadığı, ancak özel IPSec/ıKE ilkesi olmadığı anlamına gelir.It does not mean IPsec/IKE is not configured on the connection, but that there is no custom IPsec/IKE policy. Gerçek bağlantı, şirket içi VPN cihazınız ile Azure VPN ağ geçidi arasında anlaştığınız varsayılan ilkeyi kullanır.The actual connection uses the default policy negotiated between your on-premises VPN device and the Azure VPN gateway.

2. bağlantı için IPSec/ıKE ilkesi ekleme veya güncelleştirme2. Add or update an IPsec/IKE policy for a connection

Yeni bir ilke ekleme veya bir bağlantıda var olan bir ilkeyi güncelleştirme adımları aynıdır: yeni bir ilke oluşturun ve sonra yeni ilkeyi bağlantıya uygulayın.The steps to add a new policy or update an existing policy on a connection are the same: create a new policy then apply the new policy to the connection.

$RG1          = "TestPolicyRG1"
$Connection16 = "VNet1toSite6"
$connection6  = Get-AzVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1

$newpolicy6   = New-AzIpsecPolicy -IkeEncryption AES128 -IkeIntegrity SHA1 -DhGroup DHGroup14 -IpsecEncryption AES256 -IpsecIntegrity SHA256 -PfsGroup None -SALifeTimeSeconds 14400 -SADataSizeKilobytes 102400000

Set-AzVirtualNetworkGatewayConnection -VirtualNetworkGatewayConnection $connection6 -IpsecPolicies $newpolicy6

Şirket içi ilke tabanlı bir VPN cihazına bağlanırken "UsePolicyBasedTrafficSelectors" özelliğini etkinleştirmek için cmdlet 'e "-UsePolicyBaseTrafficSelectors" parametresini ekleyin veya seçeneği devre dışı bırakmak için $False ayarlayın:To enable "UsePolicyBasedTrafficSelectors" when connecting to an on-premises policy-based VPN device, add the "-UsePolicyBaseTrafficSelectors" parameter to the cmdlet, or set it to $False to disable the option:

Set-AzVirtualNetworkGatewayConnection -VirtualNetworkGatewayConnection $connection6 -IpsecPolicies $newpolicy6 -UsePolicyBasedTrafficSelectors $True

İlkenin güncelleştirilip güncelleştirilmediğini denetlemek için bağlantıyı yeniden alabilirsiniz.You can get the connection again to check if the policy is updated.

$connection6  = Get-AzVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1
$connection6.IpsecPolicies

Aşağıdaki örnekte gösterildiği gibi son satırdan çıktıyı görmeniz gerekir:You should see the output from the last line, as shown in the following example:

SALifeTimeSeconds   : 14400
SADataSizeKilobytes : 102400000
IpsecEncryption     : AES256
IpsecIntegrity      : SHA256
IkeEncryption       : AES128
IkeIntegrity        : SHA1
DhGroup             : DHGroup14
PfsGroup            : None

3. bir IPSec/ıKE ilkesini bir bağlantıdan kaldırma3. Remove an IPsec/IKE policy from a connection

Özel ilkeyi bir bağlantıdan kaldırdığınızda, Azure VPN ağ geçidi varsayılan IPSec/IKE teklifleri listesine geri döner ve ŞIRKET içi VPN cihazınızdan yeniden anlaşmaya varılır.Once you remove the custom policy from a connection, the Azure VPN gateway reverts back to the default list of IPsec/IKE proposals and renegotiates again with your on-premises VPN device.

$RG1           = "TestPolicyRG1"
$Connection16  = "VNet1toSite6"
$connection6   = Get-AzVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1

$currentpolicy = $connection6.IpsecPolicies[0]
$connection6.IpsecPolicies.Remove($currentpolicy)

Set-AzVirtualNetworkGatewayConnection -VirtualNetworkGatewayConnection $connection6

İlkenin bağlantıdan kaldırılıp kaldırılmadığını denetlemek için aynı betiği kullanabilirsiniz.You can use the same script to check if the policy has been removed from the connection.

Sonraki adımlarNext steps

İlke tabanlı trafik seçicileri hakkında daha fazla bilgi için bkz. birden çok şirket içi ilke tabanlı VPN cihazını bağlama .See Connect multiple on-premises policy-based VPN devices for more details regarding policy-based traffic selectors.

Bağlantınız tamamlandıktan sonra sanal ağlarınıza sanal makineler ekleyebilirsiniz.Once your connection is complete, you can add virtual machines to your virtual networks. Adımlar için bkz. Sanal Makine Oluşturma.See Create a Virtual Machine for steps.