你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

为点到站点连接创建和设置自定义 IPsec 策略

如果你的点到站点 (P2S) VPN 环境需要自定义 IPsec 策略来用于加密，则可以轻松地使用所需设置来配置策略对象。 本文可帮助你创建自定义策略对象，然后使用 PowerShell 对其进行设置。

准备阶段

先决条件

验证是否已配置正常运行的点到站点 VPN。 如果未配置，请使用 PowerShell 或 Azure 门户，按照“创建点到站点 VPN”一文中的步骤配置一个。

使用 Azure PowerShell

本文使用 PowerShell cmdlet。 若要运行 cmdlet，可以使用 Azure Cloud Shell。 Cloud Shell 是免费的交互式 shell，可以使用它运行本文中的步骤。 它预安装有常用 Azure 工具并将其配置与帐户一起使用。

要打开 Cloud Shell，只需从代码块的右上角选择“打开 Cloudshell”。 也可以在单独的浏览器标签页中通过转到 https://shell.azure.com/powershell 打开 Cloud Shell。 选择“复制”以复制代码块，将其粘贴到 Cloud Shell 中，然后选择“Enter”键来运行这些代码。

创建和设置策略

1. 声明要使用的变量。 使用以下示例，根据需要将值替换为自己的值。 如果在练习期间的任何时候关闭了 PowerShell/Cloud Shell 会话，只需再次复制和粘贴该值，重新声明变量。

   $RG = "TestRG"
   $GWName = "VNet1GW"
   

2. 创建自定义 IPsec 策略对象。 调整示例中的值以满足你的要求。

   $vpnclientipsecpolicy = New-AzVpnClientIpsecPolicy -IpsecEncryption AES256 -IpsecIntegrity SHA256 -SALifeTime 86471 -SADataSize 429496 -IkeEncryption AES256 -IkeIntegrity SHA384 -DhGroup DHGroup2 -PfsGroup PFS2
   

3. 更新现有 P2S VPN 网关，并设置 IPsec 策略。

   $gateway = Get-AzVirtualNetworkGateway -ResourceGroupName $RG -name $GWName
   Set-AzVirtualNetworkGateway -VirtualNetworkGateway $gateway -VpnClientIpsecPolicy $vpnclientipsecpolicy
   

后续步骤

有关 P2S 配置的详细信息，请参阅关于点到站点 VPN。