تكوين نهج اتصال IPsec/IKE مخصصة ل S2S VPN وVNet-to-VNet: مدخل Microsoft Azure

ترشدك هذه المقالة خلال خطوات تكوين نهج IPsec/IKE لبوابة VPN من موقع إلى موقع أو VNet-to-VNet باستخدام مدخل Microsoft Azure. تساعدك الأقسام التالية على إنشاء نهج IPsec/IKE وتكوينه، وتطبيق النهج على اتصال جديد أو موجود.

سير العمل

تساعدك الإرشادات الواردة في هذه المقالة في إعداد وتكوين نهج IPsec/IKE كما هو موضح في الرسم التخطيطي التالي.

رسم تخطيطي يوضح نهج IPsec/IKE لكل من بوابات VNet-to-VNet وبوابات VPN من موقع إلى موقع.

  1. قم بإنشاء شبكة ظاهرية وبوابة VPN.
  2. قم بإنشاء بوابة شبكة محلية للاتصال عبر المباني أو شبكة ظاهرية أخرى وبوابة للاتصال من VNet-to-VNet.
  3. قم بإنشاء اتصال (IPsec أو VNet2VNet).
  4. تكوين/تحديث/إزالة نهج IPsec/IKE على موارد الاتصالات.

معلمات النهج

يدعم معيار بروتوكول IPsec وIKE مجموعة واسعة من خوارزميات التشفير في مجموعات مختلفة. ارجع إلى عن متطلبات التشفير وبوابات Azure VPN لمعرفة كيف يمكن أن يساعد ذلك في ضمان الاتصال عبر المباني ومن VNet-to-VNet لتلبية متطلبات الامتثال أو الأمان لديك. كن على دراية بالاعتبارات التالية:

  • يعمل نهج IPsec/IKE فقط على وحدات SKU للبوابة التالية:
    • VpnGw1~5 وVpnGw1AZ~5AZ
    • الأداء القياسيوالعالي
  • يمكنك فقط تحديد مجموعة نهج واحدة لاتصال معين.
  • يجب عليك تحديد جميع الخوارزميات والمعلمات لكل من IKE (الوضع الرئيسي) و IPsec (الوضع السريع). المواصفات الجزئية للنهج غير مسموح بها.
  • راجع مواصفات مورد جهاز VPN الخاص بك للتأكد من أن سياسة IKEv2 مدعومة على أجهزة VPN المحلية. لا يمكن لاتصالات S2S أو VNet-to-VNet تحديد ما إذا كانت النهج غير متوافقة.

خوارزميات التشفير ونقاط القوة الرئيسية

يسرد الجدول التالي خوارزميات التشفير القابلة للتكوين المدعومة ونقاط القوة الرئيسية.

IPsec/IKEv2 الخيارات
تشفير IKEv2 GCMAES256، GCMAES128، AES256، AES192، AES128
تكامل IKEv2 SHA384, SHA256, لوغاريتم التجزئة الآمن 1, MD5
مجموعة DH DHGroup24, ECP384, ECP256, DHGroup14, DHGroup2048, DHGroup2, DHGroup1, None
تشفير IPsec GCMAES256, GCMAES192, GCMAES128, AES256, AES192, AES128, DES3, DES، لا شيء
تكامل IPsec GCMAES256، GCMAES192، GCMAES128، SHA256، SHA1، MD5
مجموعة PFS PFS24, ECP384, ECP256, PFS2048, PFS2, PFS1، لا شيء
مدة بقاء SA للوضع السريع (اختياري؛ القيم الافتراضية إذا لم يتم تحديدها)
ثانية (عدد صحيح؛ 300 كحد أدنى، افتراضي 27000)
كيلوبايت (عدد صحيح؛ الحد الأدنى 1024، الافتراضي 10240000)
محدد نسبة استخدام الشبكة UsePolicyBasedTrafficSelectors ($True أو $False، ولكن اختياري؛ افتراضي $False إذا لم يتم تحديده)
مهلة DPD ثانية (عدد صحيح؛ الحد الأدنى 9، الحد الأقصى 3600، الافتراضي 45)
  • يجب أن يتطابق تكوين جهاز VPN المحلي أو يحتوي على الخوارزميات والمعلمات التالية التي تحددها في نهج Azure IPsec أو IKE:

    • خوارزمية تشفير IKE (الوضع الرئيسي، المرحلة 1)
    • خوارزمية تكامل IKE (الوضع الرئيسي، المرحلة 1)
    • مجموعة DH (الوضع الرئيسي، المرحلة 1)
    • خوارزمية تشفير IPsec (الوضع السريع، المرحلة 2)
    • خوارزمية تكامل IPsec (الوضع السريع، المرحلة 2)
    • مجموعة PFS (الوضع السريع، المرحلة 2)
    • محدد حركة المرور (إذا كنت تستخدم UsePolicyBasedTrafficSelectors)
    • عمر SA (المواصفات المحلية التي لا تحتاج إلى المطابقة)
  • إذا كنت تستخدم GCMAES لخوارزمية تشفير IPsec، يجب عليك تحديد نفس خوارزمية GCMAES وطول المفتاح لتكامل IPsec. على سبيل المثال، استخدم GCMAES128 لكليهما.

  • في جدول الخوارزميات والمفاتيح:

    • يتوافق IKE مع الوضع الرئيسي أو المرحلة 1.
    • يتوافق IPsec مع الوضع السريع أو المرحلة 2.
    • تحدد مجموعة DH مجموعة Diffie-Hellman المستخدمة في الوضع الرئيسي أو المرحلة 1.
    • تحدد مجموعة PFS مجموعة Diffie-Hellman المستخدمة في الوضع السريع أو المرحلة 2.
  • تم إصلاح عمر IKE Main Mode SA في 28800 ثانية على بوابات Azure VPN.

  • UsePolicyBasedTrafficSelectors هي معلمة اختيارية على الاتصال. إذا قمت بتعيين UsePolicyBasedTrafficSelectors إلى $True على اتصال، فإنه يقوم بتكوين بوابة VPN للاتصال بجدار حماية VPN قائم على النهج المحلي.

    إذا قمت بتمكين UsePolicyBasedTrafficSelectors، فتأكد من أن جهاز VPN الخاص بك يحتوي على محددات حركة المرور المطابقة المعرفة مع جميع مجموعات بادئات الشبكة المحلية (بوابة الشبكة المحلية) من أو إلى بادئات شبكة Azure الظاهرية، بدلا من أي إلى أي. تقبل بوابة VPN أي محدد حركة مرور تقترحه بوابة VPN البعيدة، بغض النظر عما تم تكوينه على بوابة VPN.

    على سبيل المثال، إذا كانت بادئات الشبكة المحلية هي 10.1.0.0/16 و10.2.0.0/16، وكانت بادئات الشبكة الظاهرية هي 192.168.0.0/16 و172.16.0.0/16، فستحتاج إلى تحديد محددات نسبة استخدام الشبكة التالية:

    • 10.1.0.0/16 <====> 192.168.0.0/16
    • 10.1.0.0/16 <====> 172.16.0.0/16
    • 10.2.0.0/16 <====> 192.168.0.0/16
    • 10.2.0.0/16 <====> 172.16.0.0/16

    لمزيد من المعلومات حول محددات نسبة استخدام الشبكة المستندة إلى النهج، راجع توصيل بوابة VPN بأجهزة VPN متعددة مستندة إلى النهج المحلي.

  • يؤدي تعيين المهلة إلى فترات أقصر إلى إعادة مفتاح IKE بقوة أكبر. يمكن أن يظهر الاتصال بعد ذلك على أنه غير متصل في بعض الحالات. قد لا يكون هذا الموقف مرغوبا فيه إذا كانت مواقعك المحلية أبعد عن منطقة Azure حيث توجد بوابة VPN، أو إذا كان شرط الارتباط الفعلي قد يتسبب في فقدان الحزمة. نوصي عموما بتعيين المهلة إلى ما بين 30 و45 ثانية.

إشعار

يتم استخدام تكامل IKEv2 لكل من التكامل و PRF (دالة عشوائية الزائفة).  إذا كانت خوارزمية تشفير IKEv2 المحددة هي GCM*، يتم استخدام القيمة التي تم تمريرها في تكامل IKEv2 ل PRF فقط وضمنيا قمنا بتعيين تكامل IKEv2 إلى GCM*. في جميع الحالات الأخرى، يتم استخدام القيمة التي تم تمريرها في تكامل IKEv2 لكل من تكامل IKEv2 و PRF.

مجموعات ديفي هيلمان

يسرد الجدول التالي مجموعات Diffie-Hellman المقابلة المدعومة بالسياسة المخصصة:

مجموعة ديفي هيلمان DHGroup PFSGroup طول المفتاح
1 DHGroup1 PFS1 MODP 768 بت
2 DHGroup2 PFS2 MODP 1024 بت
14 DHGroup14
DHGroup2048
PFS2048 2048-bit MODP
19 ECP256 ECP256 ECP 256 بت
20 ECP384 ECP384 ECP 384 بت
24 DHGroup24 PFS24 2048-bit MODP

لمزيد من المعلومات، راجع RFC3526 وRFC5114.

إنشاء اتصال S2S VPN مع نهج مخصص

يرشدك هذا القسم خلال خطوات إنشاء اتصال VPN من موقع إلى موقع باستخدام نهج IPsec/IKE. تنشئ الخطوات التالية الاتصال كما هو موضح في الرسم التخطيطي التالي. يمثل الموقع المحلي في هذا الرسم التخطيطي Site6.

يوضح الرسم التخطيطي اتصال بوابة vpn من موقع إلى موقع بنهج مخصص.

الخطوة 1: إنشاء الشبكة الظاهرية وبوابة VPN وبوابة الشبكة المحلية ل TestVNet1

إنشاء الموارد التالية. لمعرفة الخطوات، راجع إنشاء اتصال VPN من موقع إلى موقع.

  1. إنشاء الشبكة الظاهرية TestVNet1 باستخدام القيم التالية.

    • مجموعة الموارد: TestRG1
    • الاسم: TestVNet1
    • المنطقة: (الولايات المتحدة) شرق الولايات المتحدة
    • مساحة عنوان IPv4: 10.1.0.0/16
    • اسم الشبكة الفرعية 1: FrontEnd
    • نطاق عناوين الشبكة الفرعية 1: 10.1.0.0/24
    • اسم الشبكة الفرعية 2: BackEnd
    • نطاق عناوين الشبكة الفرعية 2: 10.1.1.0/24
  2. إنشاء بوابة الشبكة الظاهرية VNet1GW باستخدام القيم التالية.

    • الاسم: VNet1GW
    • المنطقة: شرق الولايات المتحدة
    • نوع البوابة: VPN
    • نوع الشبكة الظاهرية الخاصة (VPN): يعتمد على المسار
    • SKU: VpnGw2
    • الجيل: الجيل الثاني
    • الشبكة الظاهرية: VNet1
    • نطاق عنوان الشبكة الفرعية للبوابة: 10.1.255.0/27
    • نوع عنوان IP العام: أساسي أو قياسي
    • عنوان IP العام: أنشئ جديدًا
    • اسم عنوان IP العام: VNet1GWpip
    • تمكين الوضع النشط: معطل
    • تكوين BGP: معطل

الخطوة 2: تكوين بوابة الشبكة المحلية وموارد الاتصال

  1. إنشاء مورد بوابة الشبكة المحلية Site6 باستخدام القيم التالية.

    • الاسم: Site6
    • مجموعة الموارد: TestRG1
    • الموقع: شرق الولايات المتحدة
    • عنوان IP للبوابة المحلية: 5.4.3.2 (قيمة المثال فقط - استخدم عنوان IP لجهازك المحلي)
    • Address Spaces 10.61.0.0/16, 10.62.0.0/16 (قيمة المثال فقط)
  2. من بوابة الشبكة الظاهرية، أضف اتصالا إلى بوابة الشبكة المحلية باستخدام القيم التالية.

    • اسم الاتصال: VNet1toSite6
    • نوع الاتصال: IPsec
    • بوابة شبكة محلية: Site6
    • المفتاح المشترك: abc123 (قيمة المثال - يجب أن تتطابق مع مفتاح الجهاز المحلي المستخدم)
    • بروتوكول IKE: IKEv2

الخطوة 3: تكوين نهج IPsec/IKE مخصص على اتصال S2S VPN

تكوين نهج IPsec/IKE مخصص باستخدام الخوارزميات والمعلمات التالية:

  • المرحلة الأولى من IKE: AES256، SHA384، DHGroup24
  • IKE المرحلة 2 (IPsec): AES256، SHA256، PFS None
  • مدة بقاء IPsec SA في KB: 102400000
  • مدة بقاء IPsec SA بالثوان: 30000
  • مهلة DPD: 45 ثانية
  1. انتقل إلى مورد الاتصال الذي أنشأته، VNet1toSite6. افتح صفحة التكوين. حدد نهج IPsec/IKE المخصص لإظهار جميع خيارات التكوين. تظهر لقطة الشاشة التالية التكوين وفقا للقائمة:

    تظهر لقطة الشاشة تكوين اتصال الموقع 6.

    إذا كنت تستخدم GCMAES لـIPsec، يجب عليك استخدام خوارزمية GCMAES وطول المفتاح نفسيهما لكل من تشفير IPsec وتكامل البيانات. على سبيل المثال، تحدد لقطة الشاشة التالية GCMAES128 لكل من تشفير IPsec وتكامل IPsec:

    تظهر لقطة الشاشة GCMAES ل IPsec.

  2. إذا كنت ترغب في تمكين بوابة Azure VPN للاتصال بأجهزة VPN المحلية المستندة إلى النهج، يمكنك تحديد تمكين لخيار استخدام محددات نسبة استخدام الشبكة المستندة إلى النهج.

  3. بمجرد تحديد كل الخيارات، حدد حفظ لتثبيت التغييرات على مورد الاتصال. سيتم تطبيق النهج في غضون دقيقة تقريباً.

    هام

    • بمجرد تحديد نهج IPsec/IKE على اتصال، ستقوم بوابة Azure VPN بإرسال أو قبول اقتراح IPsec/IKE فقط الذي به خوارزميات تشفير محددة ونقاط قوة رئيسية على ذلك الاتصال المحدد. تأكد من أن جهاز VPN المحلي الخاص بك للاتصال يستخدم مجموعة السياسة الدقيقة أو يقبل، وإلا فلن يتم إنشاء نفق S2S VPN.

    • يمكن تحديد محدد حركة المرور المستندة إلى النهج وخيارات مهلة DPD باستخدام النهج الافتراضي ، دون نهج IPsec/IKE المخصص.

إنشاء اتصال VNet إلى VNet مع نهج مخصص

تتشابه خطوات إنشاء اتصال VNet-to-VNet بنهج IPsec/IKE مع اتصال S2S VPN. يجب إكمال الأقسام السابقة في إنشاء اتصال S2S vpn لإنشاء وتكوين TestVNet1 وبوابة VPN.

يظهر الرسم التخطيطي رسما تخطيطيا لنهج VNet-to-VNet ل TestVNet1 وTestVNet2.

الخطوة 1: إنشاء الشبكة الظاهرية وبوابة VPN وبوابة الشبكة المحلية ل TestVNet2

استخدم الخطوات الواردة في مقالة إنشاء اتصال VNet-to-VNet لإنشاء TestVNet2، وإنشاء اتصال VNet-to-VNet إلى TestVNet1.

قيم المثال:

الشبكة الظاهرية TestVNet2

  • مجموعة الموارد: TestRG2
  • الاسم: TestVNet2
  • المنطقة: (الولايات المتحدة) غرب الولايات المتحدة
  • مساحة عنوان IPv4: 10.2.0.0/16
  • اسم الشبكة الفرعية 1: FrontEnd
  • نطاق عناوين الشبكة الفرعية 1: 10.2.0.0/24
  • اسم الشبكة الفرعية 2: BackEnd
  • نطاق عناوين الشبكة الفرعية 2: 10.2.1.0/24

بوابة VPN: VNet2GW

  • الاسم: VNet2GW
  • Region: West US
  • نوع البوابة: VPN
  • نوع الشبكة الظاهرية الخاصة (VPN): يعتمد على المسار
  • SKU: VpnGw2
  • الجيل: الجيل الثاني
  • الشبكة الظاهرية: TestVNet2
  • نطاق عناوين الشبكة الفرعية للبوابة: 10.2.255.0/27
  • نوع عنوان IP العام: أساسي أو قياسي
  • عنوان IP العام: أنشئ جديدًا
  • اسم عنوان IP العام: VNet2GWpip
  • تمكين الوضع النشط: معطل
  • تكوين BGP: معطل

الخطوة 2: تكوين اتصال VNet إلى VNet

  1. من بوابة VNet1GW، أضف اتصال VNet إلى VNet إلى VNet2GW المسمى VNet1toVNet2.

  2. بعد ذلك، من VNet2GW، أضف اتصال VNet-to-VNet إلى VNet1GW المسمى VNet2toVNet1.

  3. بعد إضافة الاتصالات، سترى اتصالات VNet-to-VNet كما هو موضح في لقطة الشاشة التالية من مورد VNet2GW:

    تظهر لقطة الشاشة اتصالات VNet إلى VNet.

الخطوة 3: تكوين نهج IPsec/IKE مخصص على VNet1toVNet2

  1. من مورد اتصال VNet1toVNet2، انتقل إلى صفحة التكوين.

  2. بالنسبة لنهج IPsec / IKE، حدد Custom لإظهار خيارات النهج المخصصة. حدد خوارزميات التشفير مع أطوال المفاتيح المقابلة. لا يحتاج هذا النهج إلى مطابقة النهج السابق الذي قمت بإنشائه لاتصال VNet1toSite6.

    قيم المثال:

    • المرحلة 1 من IKE: AES128، SHA1، DHGroup14
    • IKE المرحلة 2 (IPsec): GCMAES128، GCMAES128، PFS2048
    • مدة بقاء IPsec SA في KB: 102400000
    • مدة بقاء IPsec SA بالثوان: 14400
    • مهلة DPD: 45 ثانية
  3. حدد حفظ في أعلى الصفحة لتطبيق تغييرات النهج على مورد الاتصال.

الخطوة 4: تكوين نهج IPsec/IKE مخصص على VNet2toVNet1

  1. تطبيق نفس النهج على اتصال VNet2toVNet1، VNet2toVNet1. إذا لم تفعل ذلك، فلن يتصل نفق IPsec/IKE VPN بسبب عدم تطابق النهج.

    هام

    بمجرد تحديد نهج IPsec/IKE على اتصال، ستقوم بوابة Azure VPN بإرسال أو قبول اقتراح IPsec/IKE فقط الذي به خوارزميات تشفير محددة ونقاط قوة رئيسية على ذلك الاتصال المحدد. تأكد من أن نهجي IPsec لكلا الاتصالين متشابهان، وإلا فلن يتم إنشاء اتصال VNet-to-VNet.

  2. بعد إكمال هذه الخطوات، يتم إنشاء الاتصال في بضع دقائق، وسيتوفر لديك طبولوجيا الشبكة التالية.

    يظهر الرسم التخطيطي نهج IPsec/IKE ل VNet-to-VNet وS2S VPN.

لإزالة نهج مخصص من اتصال

  1. لإزالة نهج مخصص من اتصال، انتقل إلى مورد الاتصال.
  2. في صفحة التكوين ، قم بتغيير نهج IPse /IKE من مخصص إلى افتراضي. يؤدي هذا إلى إزالة كافة النهج المخصصة المحددة مسبقا على الاتصال، واستعادة إعدادات IPsec/IKE الافتراضية على هذا الاتصال.
  3. حدد حفظ لإزالة النهج المخصص واستعادة إعدادات IPsec/IKE الافتراضية على الاتصال.

الأسئلة المتداولة حول سياسة IPsec/IKE

لعرض الأسئلة المتداولة، انتقل إلى قسم نهج IPsec/IKE في الأسئلة المتداولة حول بوابة VPN.

الخطوات التالية

لمزيد من المعلومات حول محددات نسبة استخدام الشبكة المستندة إلى النهج، راجع توصيل العديد من أجهزة VPN المحلية المستندة إلى النهج.