تكوين نهج اتصال IPsec/IKE مخصصة ل S2S VPN وVNet-to-VNet: مدخل Microsoft Azure
ترشدك هذه المقالة خلال خطوات تكوين نهج IPsec/IKE لبوابة VPN من موقع إلى موقع أو VNet-to-VNet باستخدام مدخل Microsoft Azure. تساعدك الأقسام التالية على إنشاء نهج IPsec/IKE وتكوينه، وتطبيق النهج على اتصال جديد أو موجود.
سير العمل
تساعدك الإرشادات الواردة في هذه المقالة في إعداد وتكوين نهج IPsec/IKE كما هو موضح في الرسم التخطيطي التالي.
- قم بإنشاء شبكة ظاهرية وبوابة VPN.
- قم بإنشاء بوابة شبكة محلية للاتصال عبر المباني أو شبكة ظاهرية أخرى وبوابة للاتصال من VNet-to-VNet.
- قم بإنشاء اتصال (IPsec أو VNet2VNet).
- تكوين/تحديث/إزالة نهج IPsec/IKE على موارد الاتصالات.
معلمات النهج
يدعم معيار بروتوكول IPsec وIKE مجموعة واسعة من خوارزميات التشفير في مجموعات مختلفة. ارجع إلى عن متطلبات التشفير وبوابات Azure VPN لمعرفة كيف يمكن أن يساعد ذلك في ضمان الاتصال عبر المباني ومن VNet-to-VNet لتلبية متطلبات الامتثال أو الأمان لديك. كن على دراية بالاعتبارات التالية:
- يعمل نهج IPsec/IKE فقط على وحدات SKU للبوابة التالية:
- VpnGw1~5 وVpnGw1AZ~5AZ
- الأداء القياسيوالعالي
- يمكنك فقط تحديد مجموعة نهج واحدة لاتصال معين.
- يجب عليك تحديد جميع الخوارزميات والمعلمات لكل من IKE (الوضع الرئيسي) و IPsec (الوضع السريع). المواصفات الجزئية للنهج غير مسموح بها.
- راجع مواصفات مورد جهاز VPN الخاص بك للتأكد من أن سياسة IKEv2 مدعومة على أجهزة VPN المحلية. لا يمكن لاتصالات S2S أو VNet-to-VNet تحديد ما إذا كانت النهج غير متوافقة.
خوارزميات التشفير ونقاط القوة الرئيسية
يسرد الجدول التالي خوارزميات التشفير القابلة للتكوين المدعومة ونقاط القوة الرئيسية.
IPsec/IKEv2 | الخيارات |
---|---|
تشفير IKEv2 | GCMAES256، GCMAES128، AES256، AES192، AES128 |
تكامل IKEv2 | SHA384, SHA256, لوغاريتم التجزئة الآمن 1, MD5 |
مجموعة DH | DHGroup24, ECP384, ECP256, DHGroup14, DHGroup2048, DHGroup2, DHGroup1, None |
تشفير IPsec | GCMAES256, GCMAES192, GCMAES128, AES256, AES192, AES128, DES3, DES، لا شيء |
تكامل IPsec | GCMAES256، GCMAES192، GCMAES128، SHA256، SHA1، MD5 |
مجموعة PFS | PFS24, ECP384, ECP256, PFS2048, PFS2, PFS1، لا شيء |
مدة بقاء SA للوضع السريع | (اختياري؛ القيم الافتراضية إذا لم يتم تحديدها) ثانية (عدد صحيح؛ 300 كحد أدنى، افتراضي 27000) كيلوبايت (عدد صحيح؛ الحد الأدنى 1024، الافتراضي 10240000) |
محدد نسبة استخدام الشبكة | UsePolicyBasedTrafficSelectors ($True أو $False ، ولكن اختياري؛ افتراضي $False إذا لم يتم تحديده) |
مهلة DPD | ثانية (عدد صحيح؛ الحد الأدنى 9، الحد الأقصى 3600، الافتراضي 45) |
يجب أن يتطابق تكوين جهاز VPN المحلي أو يحتوي على الخوارزميات والمعلمات التالية التي تحددها في نهج Azure IPsec أو IKE:
- خوارزمية تشفير IKE (الوضع الرئيسي، المرحلة 1)
- خوارزمية تكامل IKE (الوضع الرئيسي، المرحلة 1)
- مجموعة DH (الوضع الرئيسي، المرحلة 1)
- خوارزمية تشفير IPsec (الوضع السريع، المرحلة 2)
- خوارزمية تكامل IPsec (الوضع السريع، المرحلة 2)
- مجموعة PFS (الوضع السريع، المرحلة 2)
- محدد حركة المرور (إذا كنت تستخدم
UsePolicyBasedTrafficSelectors
) - عمر SA (المواصفات المحلية التي لا تحتاج إلى المطابقة)
إذا كنت تستخدم GCMAES لخوارزمية تشفير IPsec، يجب عليك تحديد نفس خوارزمية GCMAES وطول المفتاح لتكامل IPsec. على سبيل المثال، استخدم GCMAES128 لكليهما.
في جدول الخوارزميات والمفاتيح:
- يتوافق IKE مع الوضع الرئيسي أو المرحلة 1.
- يتوافق IPsec مع الوضع السريع أو المرحلة 2.
- تحدد مجموعة DH مجموعة Diffie-Hellman المستخدمة في الوضع الرئيسي أو المرحلة 1.
- تحدد مجموعة PFS مجموعة Diffie-Hellman المستخدمة في الوضع السريع أو المرحلة 2.
تم إصلاح عمر IKE Main Mode SA في 28800 ثانية على بوابات Azure VPN.
UsePolicyBasedTrafficSelectors
هي معلمة اختيارية على الاتصال. إذا قمت بتعيينUsePolicyBasedTrafficSelectors
إلى$True
على اتصال، فإنه يقوم بتكوين بوابة VPN للاتصال بجدار حماية VPN قائم على النهج المحلي.إذا قمت بتمكين
UsePolicyBasedTrafficSelectors
، فتأكد من أن جهاز VPN الخاص بك يحتوي على محددات حركة المرور المطابقة المعرفة مع جميع مجموعات بادئات الشبكة المحلية (بوابة الشبكة المحلية) من أو إلى بادئات شبكة Azure الظاهرية، بدلا من أي إلى أي. تقبل بوابة VPN أي محدد حركة مرور تقترحه بوابة VPN البعيدة، بغض النظر عما تم تكوينه على بوابة VPN.على سبيل المثال، إذا كانت بادئات الشبكة المحلية هي 10.1.0.0/16 و10.2.0.0/16، وكانت بادئات الشبكة الظاهرية هي 192.168.0.0/16 و172.16.0.0/16، فستحتاج إلى تحديد محددات نسبة استخدام الشبكة التالية:
- 10.1.0.0/16 <====> 192.168.0.0/16
- 10.1.0.0/16 <====> 172.16.0.0/16
- 10.2.0.0/16 <====> 192.168.0.0/16
- 10.2.0.0/16 <====> 172.16.0.0/16
لمزيد من المعلومات حول محددات نسبة استخدام الشبكة المستندة إلى النهج، راجع توصيل بوابة VPN بأجهزة VPN متعددة مستندة إلى النهج المحلي.
يؤدي تعيين المهلة إلى فترات أقصر إلى إعادة مفتاح IKE بقوة أكبر. يمكن أن يظهر الاتصال بعد ذلك على أنه غير متصل في بعض الحالات. قد لا يكون هذا الموقف مرغوبا فيه إذا كانت مواقعك المحلية أبعد عن منطقة Azure حيث توجد بوابة VPN، أو إذا كان شرط الارتباط الفعلي قد يتسبب في فقدان الحزمة. نوصي عموما بتعيين المهلة إلى ما بين 30 و45 ثانية.
إشعار
يتم استخدام تكامل IKEv2 لكل من التكامل و PRF (دالة عشوائية الزائفة). إذا كانت خوارزمية تشفير IKEv2 المحددة هي GCM*، يتم استخدام القيمة التي تم تمريرها في تكامل IKEv2 ل PRF فقط وضمنيا قمنا بتعيين تكامل IKEv2 إلى GCM*. في جميع الحالات الأخرى، يتم استخدام القيمة التي تم تمريرها في تكامل IKEv2 لكل من تكامل IKEv2 و PRF.
مجموعات ديفي هيلمان
يسرد الجدول التالي مجموعات Diffie-Hellman المقابلة المدعومة بالسياسة المخصصة:
مجموعة ديفي هيلمان | DHGroup | PFSGroup | طول المفتاح |
---|---|---|---|
1 | DHGroup1 | PFS1 | MODP 768 بت |
2 | DHGroup2 | PFS2 | MODP 1024 بت |
14 | DHGroup14 DHGroup2048 |
PFS2048 | 2048-bit MODP |
19 | ECP256 | ECP256 | ECP 256 بت |
20 | ECP384 | ECP384 | ECP 384 بت |
24 | DHGroup24 | PFS24 | 2048-bit MODP |
لمزيد من المعلومات، راجع RFC3526 وRFC5114.
إنشاء اتصال S2S VPN مع نهج مخصص
يرشدك هذا القسم خلال خطوات إنشاء اتصال VPN من موقع إلى موقع باستخدام نهج IPsec/IKE. تنشئ الخطوات التالية الاتصال كما هو موضح في الرسم التخطيطي التالي. يمثل الموقع المحلي في هذا الرسم التخطيطي Site6.
الخطوة 1: إنشاء الشبكة الظاهرية وبوابة VPN وبوابة الشبكة المحلية ل TestVNet1
إنشاء الموارد التالية. لمعرفة الخطوات، راجع إنشاء اتصال VPN من موقع إلى موقع.
إنشاء الشبكة الظاهرية TestVNet1 باستخدام القيم التالية.
- مجموعة الموارد: TestRG1
- الاسم: TestVNet1
- المنطقة: (الولايات المتحدة) شرق الولايات المتحدة
- مساحة عنوان IPv4: 10.1.0.0/16
- اسم الشبكة الفرعية 1: FrontEnd
- نطاق عناوين الشبكة الفرعية 1: 10.1.0.0/24
- اسم الشبكة الفرعية 2: BackEnd
- نطاق عناوين الشبكة الفرعية 2: 10.1.1.0/24
إنشاء بوابة الشبكة الظاهرية VNet1GW باستخدام القيم التالية.
- الاسم: VNet1GW
- المنطقة: شرق الولايات المتحدة
- نوع البوابة: VPN
- نوع الشبكة الظاهرية الخاصة (VPN): يعتمد على المسار
- SKU: VpnGw2
- الجيل: الجيل الثاني
- الشبكة الظاهرية: VNet1
- نطاق عنوان الشبكة الفرعية للبوابة: 10.1.255.0/27
- نوع عنوان IP العام: أساسي أو قياسي
- عنوان IP العام: أنشئ جديدًا
- اسم عنوان IP العام: VNet1GWpip
- تمكين الوضع النشط: معطل
- تكوين BGP: معطل
الخطوة 2: تكوين بوابة الشبكة المحلية وموارد الاتصال
إنشاء مورد بوابة الشبكة المحلية Site6 باستخدام القيم التالية.
- الاسم: Site6
- مجموعة الموارد: TestRG1
- الموقع: شرق الولايات المتحدة
- عنوان IP للبوابة المحلية: 5.4.3.2 (قيمة المثال فقط - استخدم عنوان IP لجهازك المحلي)
- Address Spaces 10.61.0.0/16, 10.62.0.0/16 (قيمة المثال فقط)
من بوابة الشبكة الظاهرية، أضف اتصالا إلى بوابة الشبكة المحلية باستخدام القيم التالية.
- اسم الاتصال: VNet1toSite6
- نوع الاتصال: IPsec
- بوابة شبكة محلية: Site6
- المفتاح المشترك: abc123 (قيمة المثال - يجب أن تتطابق مع مفتاح الجهاز المحلي المستخدم)
- بروتوكول IKE: IKEv2
الخطوة 3: تكوين نهج IPsec/IKE مخصص على اتصال S2S VPN
تكوين نهج IPsec/IKE مخصص باستخدام الخوارزميات والمعلمات التالية:
- المرحلة الأولى من IKE: AES256، SHA384، DHGroup24
- IKE المرحلة 2 (IPsec): AES256، SHA256، PFS None
- مدة بقاء IPsec SA في KB: 102400000
- مدة بقاء IPsec SA بالثوان: 30000
- مهلة DPD: 45 ثانية
انتقل إلى مورد الاتصال الذي أنشأته، VNet1toSite6. افتح صفحة التكوين. حدد نهج IPsec/IKE المخصص لإظهار جميع خيارات التكوين. تظهر لقطة الشاشة التالية التكوين وفقا للقائمة:
إذا كنت تستخدم GCMAES لـIPsec، يجب عليك استخدام خوارزمية GCMAES وطول المفتاح نفسيهما لكل من تشفير IPsec وتكامل البيانات. على سبيل المثال، تحدد لقطة الشاشة التالية GCMAES128 لكل من تشفير IPsec وتكامل IPsec:
إذا كنت ترغب في تمكين بوابة Azure VPN للاتصال بأجهزة VPN المحلية المستندة إلى النهج، يمكنك تحديد تمكين لخيار استخدام محددات نسبة استخدام الشبكة المستندة إلى النهج.
بمجرد تحديد كل الخيارات، حدد حفظ لتثبيت التغييرات على مورد الاتصال. سيتم تطبيق النهج في غضون دقيقة تقريباً.
هام
بمجرد تحديد نهج IPsec/IKE على اتصال، ستقوم بوابة Azure VPN بإرسال أو قبول اقتراح IPsec/IKE فقط الذي به خوارزميات تشفير محددة ونقاط قوة رئيسية على ذلك الاتصال المحدد. تأكد من أن جهاز VPN المحلي الخاص بك للاتصال يستخدم مجموعة السياسة الدقيقة أو يقبل، وإلا فلن يتم إنشاء نفق S2S VPN.
يمكن تحديد محدد حركة المرور المستندة إلى النهج وخيارات مهلة DPD باستخدام النهج الافتراضي ، دون نهج IPsec/IKE المخصص.
إنشاء اتصال VNet إلى VNet مع نهج مخصص
تتشابه خطوات إنشاء اتصال VNet-to-VNet بنهج IPsec/IKE مع اتصال S2S VPN. يجب إكمال الأقسام السابقة في إنشاء اتصال S2S vpn لإنشاء وتكوين TestVNet1 وبوابة VPN.
الخطوة 1: إنشاء الشبكة الظاهرية وبوابة VPN وبوابة الشبكة المحلية ل TestVNet2
استخدم الخطوات الواردة في مقالة إنشاء اتصال VNet-to-VNet لإنشاء TestVNet2، وإنشاء اتصال VNet-to-VNet إلى TestVNet1.
قيم المثال:
الشبكة الظاهرية TestVNet2
- مجموعة الموارد: TestRG2
- الاسم: TestVNet2
- المنطقة: (الولايات المتحدة) غرب الولايات المتحدة
- مساحة عنوان IPv4: 10.2.0.0/16
- اسم الشبكة الفرعية 1: FrontEnd
- نطاق عناوين الشبكة الفرعية 1: 10.2.0.0/24
- اسم الشبكة الفرعية 2: BackEnd
- نطاق عناوين الشبكة الفرعية 2: 10.2.1.0/24
بوابة VPN: VNet2GW
- الاسم: VNet2GW
- Region: West US
- نوع البوابة: VPN
- نوع الشبكة الظاهرية الخاصة (VPN): يعتمد على المسار
- SKU: VpnGw2
- الجيل: الجيل الثاني
- الشبكة الظاهرية: TestVNet2
- نطاق عناوين الشبكة الفرعية للبوابة: 10.2.255.0/27
- نوع عنوان IP العام: أساسي أو قياسي
- عنوان IP العام: أنشئ جديدًا
- اسم عنوان IP العام: VNet2GWpip
- تمكين الوضع النشط: معطل
- تكوين BGP: معطل
الخطوة 2: تكوين اتصال VNet إلى VNet
من بوابة VNet1GW، أضف اتصال VNet إلى VNet إلى VNet2GW المسمى VNet1toVNet2.
بعد ذلك، من VNet2GW، أضف اتصال VNet-to-VNet إلى VNet1GW المسمى VNet2toVNet1.
بعد إضافة الاتصالات، سترى اتصالات VNet-to-VNet كما هو موضح في لقطة الشاشة التالية من مورد VNet2GW:
الخطوة 3: تكوين نهج IPsec/IKE مخصص على VNet1toVNet2
من مورد اتصال VNet1toVNet2، انتقل إلى صفحة التكوين.
بالنسبة لنهج IPsec / IKE، حدد Custom لإظهار خيارات النهج المخصصة. حدد خوارزميات التشفير مع أطوال المفاتيح المقابلة. لا يحتاج هذا النهج إلى مطابقة النهج السابق الذي قمت بإنشائه لاتصال VNet1toSite6.
قيم المثال:
- المرحلة 1 من IKE: AES128، SHA1، DHGroup14
- IKE المرحلة 2 (IPsec): GCMAES128، GCMAES128، PFS2048
- مدة بقاء IPsec SA في KB: 102400000
- مدة بقاء IPsec SA بالثوان: 14400
- مهلة DPD: 45 ثانية
حدد حفظ في أعلى الصفحة لتطبيق تغييرات النهج على مورد الاتصال.
الخطوة 4: تكوين نهج IPsec/IKE مخصص على VNet2toVNet1
تطبيق نفس النهج على اتصال VNet2toVNet1، VNet2toVNet1. إذا لم تفعل ذلك، فلن يتصل نفق IPsec/IKE VPN بسبب عدم تطابق النهج.
هام
بمجرد تحديد نهج IPsec/IKE على اتصال، ستقوم بوابة Azure VPN بإرسال أو قبول اقتراح IPsec/IKE فقط الذي به خوارزميات تشفير محددة ونقاط قوة رئيسية على ذلك الاتصال المحدد. تأكد من أن نهجي IPsec لكلا الاتصالين متشابهان، وإلا فلن يتم إنشاء اتصال VNet-to-VNet.
بعد إكمال هذه الخطوات، يتم إنشاء الاتصال في بضع دقائق، وسيتوفر لديك طبولوجيا الشبكة التالية.
لإزالة نهج مخصص من اتصال
- لإزالة نهج مخصص من اتصال، انتقل إلى مورد الاتصال.
- في صفحة التكوين ، قم بتغيير نهج IPse /IKE من مخصص إلى افتراضي. يؤدي هذا إلى إزالة كافة النهج المخصصة المحددة مسبقا على الاتصال، واستعادة إعدادات IPsec/IKE الافتراضية على هذا الاتصال.
- حدد حفظ لإزالة النهج المخصص واستعادة إعدادات IPsec/IKE الافتراضية على الاتصال.
الأسئلة المتداولة حول سياسة IPsec/IKE
لعرض الأسئلة المتداولة، انتقل إلى قسم نهج IPsec/IKE في الأسئلة المتداولة حول بوابة VPN.
الخطوات التالية
لمزيد من المعلومات حول محددات نسبة استخدام الشبكة المستندة إلى النهج، راجع توصيل العديد من أجهزة VPN المحلية المستندة إلى النهج.