你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
为点到站点连接创建和设置自定义 IPsec 策略
如果你的点到站点 (P2S) VPN 环境需要自定义 IPsec 策略来用于加密,则可以轻松地使用所需设置来配置策略对象。 本文可帮助你创建自定义策略对象,然后使用 PowerShell 对其进行设置。
准备阶段
先决条件
验证是否已配置正常运行的点到站点 VPN。 如果未配置,请使用 PowerShell 或 Azure 门户,按照“创建点到站点 VPN”一文中的步骤配置一个。
使用 Azure PowerShell
本文使用 PowerShell cmdlet。 若要运行 cmdlet,可以使用 Azure Cloud Shell。 Cloud Shell 是免费的交互式 shell,可以使用它运行本文中的步骤。 它预安装有常用 Azure 工具并将其配置与帐户一起使用。
要打开 Cloud Shell,只需从代码块的右上角选择“打开 Cloudshell”。 也可以在单独的浏览器标签页中通过转到 https://shell.azure.com/powershell 打开 Cloud Shell。 选择“复制”以复制代码块,将其粘贴到 Cloud Shell 中,然后选择“Enter”键来运行这些代码。
创建和设置策略
声明要使用的变量。 使用以下示例,根据需要将值替换为自己的值。 如果在练习期间的任何时候关闭了 PowerShell/Cloud Shell 会话,只需再次复制和粘贴该值,重新声明变量。
$RG = "TestRG" $GWName = "VNet1GW"
创建自定义 IPsec 策略对象。 调整示例中的值以满足你的要求。
$vpnclientipsecpolicy = New-AzVpnClientIpsecPolicy -IpsecEncryption AES256 -IpsecIntegrity SHA256 -SALifeTime 86471 -SADataSize 429496 -IkeEncryption AES256 -IkeIntegrity SHA384 -DhGroup DHGroup2 -PfsGroup PFS2
更新现有 P2S VPN 网关,并设置 IPsec 策略。
$gateway = Get-AzVirtualNetworkGateway -ResourceGroupName $RG -name $GWName Set-AzVirtualNetworkGateway -VirtualNetworkGateway $gateway -VpnClientIpsecPolicy $vpnclientipsecpolicy
后续步骤
有关 P2S 配置的详细信息,请参阅关于点到站点 VPN。