حول متطلبات التشفير وبوابات Azure VPN
تتناول هذه المقالة كيفية تكوين بوابات Azure VPN لتلبية متطلبات التشفير لكل من أنفاق S2S VPN عبر المباني واتصالات VNet-to-VNet داخل Azure.
حول IKEv1 وIKEv2 لاتصالات Azure VPN
تقليديًا، سمحنا باتصالات IKEv1 لوحدات SKU الأساسية فقط وسمحنا باتصالات IKEv2 لجميع وحدات SKU لبوابة VPN بخلاف وحدات SKU الأساسية. تسمح وحدات SKU الأساسية باتصال واحد فقط، وإلى جانب القيود الأخرى مثل الأداء، كان العملاء الذين يستخدمون الأجهزة القديمة التي تدعم بروتوكولات IKEv1 فقط يتمتعون بتجربة محدودة. من أجل تحسين تجربة العملاء الذين يستخدمون بروتوكولات IKEv1، نسمح الآن باتصالات IKEv1 لجميع وحدات SKU لبوابة VPN، باستثناء SKU الأساسية. لمزيد من المعلومات، راجع VPN Gateway SKUs. لاحظ أن بوابات VPN التي تستخدم IKEv1 قد تواجه عمليات إعادة توصيل نفق في أثناء إعادة مفاتيح الوضع الرئيسي.
عند تطبيق اتصالات IKEv1 وIKEv2 على نفس بوابة VPN، يتم تمكين النقل بين هذين الاتصالين تلقائيا.
حول معلمات نهج IPsec وIKE لبوابات Azure VPN
يدعم معيار بروتوكول IPsec وIKE مجموعة واسعة من خوارزميات التشفير في مجموعات مختلفة. إذا لم تطلب مجموعة محددة من خوارزميات التشفير والمعلمات، فإن بوابات Azure VPN تستخدم مجموعة من المقترحات الافتراضية. تم اختيار مجموعات النهج الافتراضية لزيادة قابلية التشغيل البيني إلى أقصى حد مع مجموعة واسعة من أجهزة VPN التابعة لجهات خارجية في التكوينات الافتراضية. ونتيجة لذلك، لا يمكن للسياسات وعدد المقترحات تغطية جميع المجموعات الممكنة من خوارزميات التشفير المتاحة ونقاط القوة الرئيسية.
النهج الافتراضي
يتم سرد النهج الافتراضي الذي تم تعيينه لبوابة Azure VPN في المقالة: حول أجهزة VPN ومعلمات IPsec/IKE لاتصالات بوابة VPN من موقع إلى موقع.
متطلبات التشفير
بالنسبة للاتصالات التي تتطلب خوارزميات أو معلمات تشفير محددة، عادة بسبب متطلبات الامتثال أو الأمان، يمكنك الآن تكوين بوابات Azure VPN الخاصة بها لاستخدام نهج IPsec/IKE مخصص مع خوارزميات تشفير محددة ونقاط قوة رئيسية، بدلًا من مجموعات نهج Azure الافتراضية.
على سبيل المثال، تستخدم سياسات الوضع الرئيسي IKEv2 لبوابات Azure VPN Diffie-Hellman المجموعة 2 فقط (1024 بت)، في حين قد تحتاج إلى تحديد مجموعات أقوى لاستخدامها في IKE، مثل المجموعة 14 (2048 بت) أو المجموعة 24 (مجموعة MODP 2048 بت) أو ECP (مجموعات المنحنى الإهليلجي) 256 أو 384 بت (المجموعة 19 والمجموعة 20، على التوالي). تنطبق متطلبات مماثلة على سياسات الوضع السريع IPsec أيضًا.
سياسة IPsec/IKE المخصصة مع بوابات Azure VPN
تدعم بوابات Azure VPN الآن سياسة IPsec/IKE المخصصة لكل اتصال. بالنسبة للاتصال من موقع إلى موقع أو VNet-to-VNet، يمكنك اختيار مجموعة محددة من خوارزميات التشفير لـIPsec وIKE بقوة المفتاح المطلوبة، كما هو موضح في المثال التالي:
يمكنك إنشاء نهج IPsec/IKE وتطبيقه على اتصال جديد أو موجود.
سير العمل
- أنشئ الشبكات الظاهرية أو بوابات VPN أو بوابات الشبكة المحلية لطوبولوجيا الاتصال كما هو موضح في مستندات إرشادية أخرى.
- إنشاء نهج IPsec/IKE.
- يمكنك تطبيق النهج عند إنشاء اتصال S2S أو VNet-to-VNet.
- إذا كان الاتصال قد تم إنشاؤه بالفعل، فيمكنك تطبيق النهج أو تحديثه على اتصال موجود.
الأسئلة المتداولة حول سياسة IPsec/IKE
هل نهج IPsec/IKE مخصص مدعوم على جميع وحدات SKU لبوابة Azure VPN؟
يتم دعم نهج IPsec/IKE مخصص على جميع وحدات SKU لبوابة Azure VPN باستثناء SKU الأساسية.
كم عدد النهج التي يمكنني تحديدها على الاتصال؟
يمكنك تحديد مجموعة نهج واحدة فقط للاتصال.
هل يمكنني تحديد نهج جزئي على اتصال (على سبيل المثال، خوارزميات IKE فقط ولكن ليس IPsec)؟
لا، يجب عليك تحديد جميع الخوارزميات والمعلمات لكل من IKE (الوضع الرئيسي) وIPsec (الوضع السريع). المواصفات الجزئية للنهج غير مسموح بها.
ما هي الخوارزميات ونقاط القوة الرئيسية التي يدعمها النهج المخصص؟
يسرد الجدول التالي خوارزميات التشفير المدعومة ونقاط القوة الرئيسية التي يمكنك تكوينها. يجب عليك تحديد خيار واحد لكل حقل.
| IPsec/IKEv2 | الخيارات |
|---|---|
| تشفير IKEv2 | GCMAES256، GCMAES128، AES256، AES192، AES128 |
| تكامل IKEv2 | SHA384, SHA256, لوغاريتم التجزئة الآمن 1, MD5 |
| مجموعة DH | DHGroup24, ECP384, ECP256, DHGroup14, DHGroup2048, DHGroup2, DHGroup1, None |
| تشفير IPsec | GCMAES256, GCMAES192, GCMAES128, AES256, AES192, AES128, DES3, DES، لا شيء |
| تكامل IPsec | GCMAES256، GCMAES192، GCMAES128، SHA256، SHA1، MD5 |
| مجموعة PFS | PFS24, ECP384, ECP256, PFS2048, PFS2, PFS1، لا شيء |
| مدة بقاء SA للوضع السريع | (اختياري؛ القيم الافتراضية إذا لم يتم تحديدها) ثانية (عدد صحيح؛ 300 كحد أدنى، افتراضي 27000) كيلوبايت (عدد صحيح؛ الحد الأدنى 1024، الافتراضي 10240000) |
| محدد نسبة استخدام الشبكة | UsePolicyBasedTrafficSelectors ($True أو $False، ولكن اختياري؛ افتراضي $False إذا لم يتم تحديده) |
| مهلة DPD | ثانية (عدد صحيح؛ الحد الأدنى 9، الحد الأقصى 3600، الافتراضي 45) |
يجب أن يتطابق تكوين جهاز VPN المحلي أو يحتوي على الخوارزميات والمعلمات التالية التي تحددها في نهج Azure IPsec أو IKE:
- خوارزمية تشفير IKE (الوضع الرئيسي، المرحلة 1)
- خوارزمية تكامل IKE (الوضع الرئيسي، المرحلة 1)
- مجموعة DH (الوضع الرئيسي، المرحلة 1)
- خوارزمية تشفير IPsec (الوضع السريع، المرحلة 2)
- خوارزمية تكامل IPsec (الوضع السريع، المرحلة 2)
- مجموعة PFS (الوضع السريع، المرحلة 2)
- محدد حركة المرور (إذا كنت تستخدم
UsePolicyBasedTrafficSelectors) - عمر SA (المواصفات المحلية التي لا تحتاج إلى المطابقة)
إذا كنت تستخدم GCMAES لخوارزمية تشفير IPsec، يجب عليك تحديد نفس خوارزمية GCMAES وطول المفتاح لتكامل IPsec. على سبيل المثال، استخدم GCMAES128 لكليهما.
في جدول الخوارزميات والمفاتيح:
- يتوافق IKE مع الوضع الرئيسي أو المرحلة 1.
- يتوافق IPsec مع الوضع السريع أو المرحلة 2.
- تحدد مجموعة DH مجموعة Diffie-Hellman المستخدمة في الوضع الرئيسي أو المرحلة 1.
- تحدد مجموعة PFS مجموعة Diffie-Hellman المستخدمة في الوضع السريع أو المرحلة 2.
تم إصلاح عمر IKE Main Mode SA في 28800 ثانية على بوابات Azure VPN.
UsePolicyBasedTrafficSelectorsهي معلمة اختيارية على الاتصال. إذا قمت بتعيينUsePolicyBasedTrafficSelectorsإلى$Trueعلى اتصال، فإنه يقوم بتكوين بوابة VPN للاتصال بجدار حماية VPN قائم على النهج المحلي.إذا قمت بتمكين
UsePolicyBasedTrafficSelectors، فتأكد من أن جهاز VPN الخاص بك يحتوي على محددات حركة المرور المطابقة المعرفة مع جميع مجموعات بادئات الشبكة المحلية (بوابة الشبكة المحلية) من أو إلى بادئات شبكة Azure الظاهرية، بدلا من أي إلى أي. تقبل بوابة VPN أي محدد حركة مرور تقترحه بوابة VPN البعيدة، بغض النظر عما تم تكوينه على بوابة VPN.على سبيل المثال، إذا كانت بادئات الشبكة المحلية هي 10.1.0.0/16 و10.2.0.0/16، وكانت بادئات الشبكة الظاهرية هي 192.168.0.0/16 و172.16.0.0/16، فستحتاج إلى تحديد محددات نسبة استخدام الشبكة التالية:
- 10.1.0.0/16 <====> 192.168.0.0/16
- 10.1.0.0/16 <====> 172.16.0.0/16
- 10.2.0.0/16 <====> 192.168.0.0/16
- 10.2.0.0/16 <====> 172.16.0.0/16
لمزيد من المعلومات حول محددات نسبة استخدام الشبكة المستندة إلى النهج، راجع توصيل بوابة VPN بأجهزة VPN متعددة مستندة إلى النهج المحلي.
يؤدي تعيين المهلة إلى فترات أقصر إلى إعادة مفتاح IKE بقوة أكبر. يمكن أن يظهر الاتصال بعد ذلك على أنه غير متصل في بعض الحالات. قد لا يكون هذا الموقف مرغوبا فيه إذا كانت مواقعك المحلية أبعد عن منطقة Azure حيث توجد بوابة VPN، أو إذا كان شرط الارتباط الفعلي قد يتسبب في فقدان الحزمة. نوصي عموما بتعيين المهلة إلى ما بين 30 و45 ثانية.
لمزيد من المعلومات، راجع توصيل بوابة VPN بأجهزة VPN متعددة مستندة إلى النهج المحلي.
ما هي مجموعات Diffie-Hellman التي تدعمها السياسة المخصصة؟
يسرد الجدول التالي مجموعات Diffie-Hellman المقابلة التي يدعمها النهج المخصص:
| مجموعة ديفي هيلمان | DHGroup | PFSGroup | طول المفتاح |
|---|---|---|---|
| 1 | DHGroup1 | PFS1 | MODP 768 بت |
| 2 | DHGroup2 | PFS2 | MODP 1024 بت |
| 14 | DHGroup14 DHGroup2048 |
PFS2048 | 2048-bit MODP |
| 19 | ECP256 | ECP256 | ECP 256 بت |
| 20 | ECP384 | ECP384 | ECP 384 بت |
| 24 | DHGroup24 | PFS24 | 2048-bit MODP |
لمزيد من المعلومات، راجع RFC3526 RFC5114.
هل يحل النهج المخصص محل مجموعات نهج IPsec/IKE الافتراضية لبوابات VPN؟
نعم. بعد تحديد نهج مخصص على اتصال، تستخدم بوابة Azure VPN هذا النهج فقط على الاتصال، سواء كمنشئ IKE أو مستجيب IKE.
إذا قمت بإزالة سياسة IPsec/IKE مخصصة، فهل يصبح الاتصال غير محمي؟
لا، لا يزال IPsec/IKE يساعد في حماية الاتصال. بعد إزالة النهج المخصص من اتصال، تعود بوابة VPN إلى القائمة الافتراضية لاقتراحات IPsec/IKE وتعيد تشغيل تأكيد اتصال IKE مع جهاز VPN المحلي.
هل تؤدي إضافة أو تحديث سياسة IPsec/IKE إلى تعطيل اتصال VPN الخاص بي؟
نعم. قد يتسبب ذلك في تعطيل صغير (بضع ثوان) حيث تمزق بوابة VPN الاتصال الحالي وتعيد تشغيل تأكيد اتصال IKE لإعادة إنشاء نفق IPsec باستخدام خوارزميات ومعلمات التشفير الجديدة. تأكد من تكوين جهاز VPN المحلي أيضا باستخدام الخوارزميات المطابقة ونقاط القوة الرئيسية لتقليل التعطيل.
هل يمكنني استخدام نهج مختلفة على اتصالات مختلفة؟
نعم. يتم تطبيق نهج مخصص على أساس كل اتصال. يمكنك إنشاء نهج IPsec/IKE مختلفة وتطبيقها على اتصالات مختلفة.
يمكنك أيضًا اختيار تطبيق نهج مخصصة على مجموعة فرعية من الاتصالات. تستخدم المجموعات المتبقية مجموعات نهج IPsec/IKE الافتراضية من Azure.
هل يمكنني استخدام نهج مخصص على اتصالات VNet-to-VNet؟
نعم. يمكنك تطبيق نهج مخصص على كل من اتصالات IPsec عبر المباني واتصالات VNet إلى VNet.
هل أحتاج إلى تحديد نفس النهج على كل من موارد اتصال VNet-to-VNet؟
نعم. يتكون نفق VNet-to-VNet من موردي اتصال في Azure، أحدهما لكل اتجاه. تأكد من أن كلا موردي الاتصال لديهما نفس النهج. وإلا، لن يتم إنشاء اتصال VNet إلى VNet.
ما هي قيمة مهلة DPD الافتراضية؟ هل يمكنني تحديد مهلة DPD مختلفة؟
مهلة DPD الافتراضية هي 45 ثانية على بوابات VPN. يمكنك تحديد قيمة مهلة DPD مختلفة على كل اتصال IPsec أو VNet-to-VNet، من 9 ثوان إلى 3600 ثانية.
إشعار
يؤدي تعيين المهلة إلى فترات أقصر إلى إعادة مفتاح IKE بقوة أكبر. يمكن أن يظهر الاتصال بعد ذلك على أنه غير متصل في بعض الحالات. قد لا يكون هذا الموقف مرغوبا فيه إذا كانت مواقعك المحلية أبعد عن منطقة Azure حيث توجد بوابة VPN، أو إذا كان شرط الارتباط الفعلي قد يتسبب في فقدان الحزمة. نوصي عموما بتعيين المهلة إلى ما بين 30 و45 ثانية.
هل يعمل نهج IPsec/IKE مخصص على اتصالات ExpressRoute؟
لا. يعمل نهج IPsec/IKE فقط على اتصالات S2S VPN وVNet-to-VNet عبر بوابات VPN.
كيف أعمل إنشاء اتصالات بنوع بروتوكول IKEv1 أو IKEv2؟
يمكنك إنشاء اتصالات IKEv1 على جميع وحدات SKU من نوع VPN المستندة إلى التوجيه، باستثناء SKU الأساسية وSKU القياسية ووحدات SKU السابقة الأخرى.
يمكنك تحديد نوع بروتوكول اتصال من IKEv1 أو IKEv2 في أثناء إنشاء اتصالات. إذا لم تحدد نوع بروتوكول الاتصال، فسيتم استخدام مفتاح الإنترنت التبادلي (IKE) الإصدار 2 كخيار افتراضي حيثما ينطبق ذلك. لمزيد من المعلومات، راجع وثائق Azure PowerShell cmdlet .
للحصول على معلومات حول أنواع SKU ودعم IKEv1 وIKEv2، راجع توصيل بوابة VPN بأجهزة VPN متعددة مستندة إلى النهج المحلي.
هل العبور بين اتصالات مفتاح الإنترنت التبادلي (IKE) الإصدار 1 ومفتاح الإنترنت التبادلي (IKE) الإصدار 2 مسموح به؟
نعم.
هل يمكنني الحصول على اتصالات IKEv1 من موقع إلى موقع على SKU الأساسي لنوع VPN المستند إلى المسار؟
لا. لا يدعم Basic SKU هذا التكوين.
هل يمكنني تغيير نوع بروتوكول الاتصال بعد إنشاء الاتصال (IKEv1 إلى IKEv2 والعكس صحيح)؟
لا. بعد إنشاء الاتصال، لا يمكنك تغيير بروتوكولات IKEv1 وIKEv2. يجب حذف اتصال جديد وإعادة إنشائه بنوع البروتوكول المطلوب.
لماذا تتم إعادة توصيل IKEv1 بشكل متكرر؟
إذا كان التوجيه الثابت أو اتصال IKEv1 المستند إلى المسار الخاص بك منفصلا على فترات روتينية، فمن المحتمل أن يكون ذلك لأن بوابات VPN الخاصة بك لا تدعم عمليات إعادة المفاتيح الموضعية. عند إعادة تشغيل الوضع الرئيسي، يتم قطع اتصال أنفاق IKEv1 وتستغرق ما يصل إلى 5 ثوان لإعادة الاتصال. تحدد قيمة مهلة التفاوض في الوضع الرئيسي تكرار عمليات إعادة المفاتيح. لمنع عمليات إعادة الاتصال هذه، يمكنك التبديل إلى استخدام IKEv2، الذي يدعم عمليات إعادة المفاتيح الموضعية.
إذا كان الاتصال الخاص بك يعيد الاتصال في أوقات عشوائية ، فاتبع دليل استكشاف الأخطاء وإصلاحها.
أين يمكنني العثور على مزيد من المعلومات والخطوات للتكوين؟
راجع المقالات التالية:
- تكوين نهج اتصال IPsec/IKE مخصصة ل S2S VPN وVNet-to-VNet: مدخل Microsoft Azure
- تكوين نهج اتصال IPsec/IKE مخصصة ل S2S VPN وVNet-to-VNet: PowerShell
الخطوات التالية
راجع تكوين نهج IPsec/IKE للحصول على إرشادات خطوة بخطوة حول تكوين نهج IPsec/IKE مخصص على اتصال.
راجع أيضًا الاتصال أجهزة VPN متعددة تستند إلى السياسة لمعرفة المزيد حول خيار UsePolicyBasedTrafficSelectors.