Konfigurace vlastních zásad připojení IPsec/IKE pro S2S VPN a VNet-to-VNet: Azure Portal
Tento článek vás provede postupem konfigurace zásad IPsec/IKE pro připojení SITE-to-Site vpn služby VPN Gateway nebo připojení typu VNet-to-VNet pomocí webu Azure Portal. Následující části vám pomůžou vytvořit a nakonfigurovat zásady IPsec/IKE a použít zásadu na nové nebo existující připojení.
Pracovní postup
Pokyny v tomto článku vám pomůžou nastavit a nakonfigurovat zásady IPsec/IKE, jak je znázorněno v následujícím diagramu.
- Vytvořte virtuální síť a bránu VPN.
- Vytvořte bránu místní sítě pro připojení mezi místy nebo jinou virtuální síť a bránu pro připojení typu VNet-to-VNet.
- Vytvoření připojení (IPsec nebo VNet2VNet)
- Nakonfigurujte, aktualizujte nebo odeberte zásady protokolu IPsec/IKE pro prostředky připojení.
Parametry zásad
Standard protokolu IPsec a IKE podporuje širokou škálu kryptografických algoritmů v různých kombinacích. Informace o kryptografických požadavcích a branách Azure VPN najdete v tématu o tom, jak to může pomoct zajistit připojení mezi různými místy a připojením typu VNet-to-VNet, aby splňovaly vaše požadavky na dodržování předpisů nebo zabezpečení. Mějte na paměti následující aspekty:
- Zásady IPsec/IKE fungují jenom u následujících skladových položek brány:
- VpnGw1~5 a VpnGw1AZ~5AZ
- Standard a HighPerformance
- Pro jedno připojení můžete zadat pouze jednu kombinaci zásad.
- Musíte zadat všechny algoritmy a parametry pro protokol IKE (hlavní režim) i protokol IPsec (rychlý režim). Částečná specifikace zásad není povolená.
- Obraťte se na specifikace dodavatele zařízení VPN a ujistěte se, že jsou zásady podporované na místních zařízeních VPN. Připojení typu S2S nebo VNet-to-VNet nemůžou navázat, pokud nejsou zásady nekompatibilní.
Silné stránky kryptografických algoritmů a klíčů
Následující tabulka uvádí podporované konfigurovatelné kryptografické algoritmy a silné stránky klíčů.
| IPsec/IKEv2 | Možnosti |
|---|---|
| Šifrování IKEv2 | GCMAES256, GCMAES128, AES256, AES192, AES128 |
| Integrita IKEv2 | SHA384, SHA256, SHA1, MD5 |
| Skupina DH | DHGroup24, ECP384, ECP256, DHGroup14, DHGroup2048, DHGroup2, DHGroup1, None |
| Šifrování IPsec | GCMAES256, GCMAES192, GCMAES128, AES256, AES192, AES128, DES3, DES, Žádné |
| Integrita protokolu IPsec | GCMAES256, GCMAES192, GCMAES128, SHA256, SHA1, MD5 |
| Skupina PFS | PFS24, ECP384, ECP256, PFS2048, PFS2, PFS1, Žádná |
| Životnost SA rychlého režimu | (Volitelné; výchozí hodnoty, pokud nejsou zadané) Sekundy (celé číslo; minimálně 300, výchozí 27 000) Kilobajtů (celé číslo; minimálně 1 024, výchozí 10 2400 000) |
| Selektor provozu | UsePolicyBasedTrafficSelectors ($True nebo $False, ale nepovinný; výchozí, $False pokud není zadán) |
| Časový limit DPD | Sekundy (celé číslo; minimálně 9, maximum 3 600, výchozí 45) |
Konfigurace místního zařízení VPN se musí shodovat nebo obsahovat následující algoritmy a parametry, které zadáte v zásadách Azure IPsec nebo IKE:
- Šifrovací algoritmus IKE (hlavní režim, fáze 1)
- Algoritmus integrity protokolu IKE (hlavní režim, fáze 1)
- Skupina DH (hlavní režim, fáze 1)
- Šifrovací algoritmus IPsec (rychlý režim, fáze 2)
- Algoritmus integrity protokolu IPsec (rychlý režim, fáze 2)
- Skupina PFS (rychlý režim, fáze 2)
- Selektor provozu (pokud používáte
UsePolicyBasedTrafficSelectors) - Životnosti přidružení služby (místní specifikace, které se nemusí shodovat)
Pokud pro šifrovací algoritmus IPsec používáte GCMAES, musíte pro integritu protokolu IPsec vybrat stejný algoritmus a délku klíče GCMAES. Například pro oba použijte GCMAES128.
V tabulce algoritmů a klíčů:
- IKE odpovídá hlavnímu režimu nebo fázi 1.
- Protokol IPsec odpovídá rychlému režimu nebo fázi 2.
- Skupina DH určuje skupinu Diffie-Hellman použitou v hlavním režimu nebo fázi 1.
- Skupina PFS určuje skupinu Diffie-Hellman použitou v rychlém režimu nebo fázi 2.
Životnost přidružení zabezpečení hlavního režimu IKE je u bran Azure VPN opravena na 28 800 sekund.
UsePolicyBasedTrafficSelectorsje volitelný parametr připojení. Pokud jste nastaviliUsePolicyBasedTrafficSelectors$Truepřipojení, nakonfiguruje bránu VPN tak, aby se připojila k místní bráně firewall vpn založené na zásadách.Pokud povolíte
UsePolicyBasedTrafficSelectors, ujistěte se, že vaše zařízení VPN má definované odpovídající selektory provozu se všemi kombinacemi předpon místní sítě (brány místní sítě) nebo z předpon virtuální sítě Azure místo předpon typu any-to-any. Brána VPN přijímá jakýkoli výběr provozu, který vzdálená brána VPN navrhuje, bez ohledu na to, co je na bráně VPN nakonfigurované.Například pokud jsou předpony vaší místní sítě 10.1.0.0/16 a 10.2.0.0/16 a předpony vaší virtuální sítě jsou 192.168.0.0/16 a 172.16.0.0/16, je potřeba zadat následující selektory provozu:
- 10.1.0.0/16 <====> 192.168.0.0/16
- 10.1.0.0/16 <====> 172.16.0.0/16
- 10.2.0.0/16 <====> 192.168.0.0/16
- 10.2.0.0/16 <====> 172.16.0.0/16
Další informace o selektorech provozu založených na zásadách najdete v tématu Připojení brány VPN k několika místním zařízením VPN založeným na zásadách.
Nastavení časového limitu na kratší období způsobí, že se protokol IKE agresivněji opraví. Připojení se pak může v některých případech zdát odpojené. Tato situace nemusí být žádoucí, pokud jsou vaše místní umístění daleko od oblasti Azure, ve které se nachází brána VPN, nebo pokud by mohla dojít ke ztrátě paketů. Obecně doporučujeme nastavit časový limit mezi 30 a 45 sekund.
Poznámka:
Integrita IKEv2 se používá pro integritu i PRF (pseudonáhodná funkce). Pokud je zadaný šifrovací algoritmus IKEv2 GCM*, hodnota předaná v integritě IKEv2 se používá pouze pro PRF a implicitně nastavíme integritu IKEv2 na GCM*. Ve všech ostatních případech se hodnota předaná v integritě IKEv2 používá pro integritu IKEv2 i PRF.
Skupiny Diffie-Hellman
Následující tabulka uvádí odpovídající skupiny Diffie-Hellman podporované vlastní zásadou:
| Skupina Diffie-Hellman | DHGroup | PFSGroup | Délka klíče |
|---|---|---|---|
| 0 | DHGroup1 | PFS1 | 768bitová skupina MODP |
| 2 | DHGroup2 | PFS2 | 1024bitová skupina MODP |
| 14 | DHGroup14 DHGroup2048 |
PFS2048 | 2048bitová skupina MODP |
| 19 | ECP256 | ECP256 | 256bitová skupina ECP |
| 20 | ECP384 | ECP384 | 384bitová skupina ECP |
| 24 | DHGroup24 | PFS24 | 2048bitová skupina MODP |
Další informace najdete na stránkách RFC3526 a RFC5114.
Vytvoření připojení VPN S2S s využitím vlastních zásad
Tato část vás provede postupem vytvoření připojení VPN typu Site-to-Site pomocí zásad IPsec/IKE. Následující kroky vytvoří připojení, jak je znázorněno v následujícím diagramu. Místní lokalita v tomto diagramu představuje web Site6.
Krok 1: Vytvoření virtuální sítě, brány VPN a brány místní sítě pro virtuální síť TestVNet1
Vytvořte následující prostředky. Postup najdete v tématu Vytvoření připojení VPN typu Site-to-Site.
Vytvořte virtuální síť TestVNet1 pomocí následujících hodnot.
- Skupina prostředků: TestRG1
- Název: TestVNet1
- Oblast: USA – východ
- Adresní prostor IPv4: 10.1.0.0/16
- Název podsítě 1: FrontEnd
- Rozsah adres podsítě 1: 10.1.0.0/24
- Název podsítě 2: BackEnd
- Rozsah adres podsítě 2: 10.1.1.0/24
Vytvořte bránu virtuální sítě VNet1GW pomocí následujících hodnot.
- Název: VNet1GW
- Oblast: USA – východ
- Typ brány: Síť VPN
- Typ sítě VPN: Založená na trasách
- SKU: VpnGw2
- Generování: generace 2
- Virtuální síť: VNet1
- Rozsah adres podsítě brány: 10.1.255.0/27
- Typ veřejné IP adresy: Basic nebo Standard
- Veřejná IP adresa: Vytvoření nové
- Název veřejné IP adresy: VNet1GWpip
- Povolit režim aktivní-aktivní: Zakázáno
- Konfigurace protokolu BGP: Zakázáno
Krok 2: Konfigurace brány místní sítě a prostředků připojení
Pomocí následujících hodnot vytvořte prostředek brány místní sítě Site6 .
- Název: Site6
- Skupina prostředků: TestRG1
- Umístění: USA – východ
- IP adresa místní brány: 5.4.3.2 (jenom ukázková hodnota – použijte IP adresu místního zařízení).
- Adresní prostory 10.61.0.0/16, 10.62.0.0/16 (pouze ukázková hodnota)
Z brány virtuální sítě přidejte připojení k bráně místní sítě pomocí následujících hodnot.
- Název připojení: VNet1toSite6
- Typ připojení: IPsec
- Brána místní sítě: Site6
- Sdílený klíč: abc123 (ukázková hodnota – musí odpovídat použitému klíči místního zařízení)
- Protokol IKE: IKEv2
Krok 3: Konfigurace vlastních zásad IPsec/IKE pro připojení VPN typu S2S
Nakonfigurujte vlastní zásadu IPsec/IKE s následujícími algoritmy a parametry:
- Fáze IKE 1: AES256, SHA384, DHGroup24
- IKE Fáze 2(IPsec): AES256, SHA256, PFS None
- Životnost protokolu IPsec SA v KB: 102400000
- Životnost SA protokolu IPsec v sekundách: 30000
- Časový limit DPD: 45 sekund
Přejděte k prostředku připojení , který jste vytvořili, VNet1toSite6. Otevřete stránku Konfigurace. Pokud chcete zobrazit všechny možnosti konfigurace, vyberte vlastní zásady IPsec/IKE. Následující snímek obrazovky ukazuje konfiguraci podle seznamu:
Pokud používáte GCMAES pro protokol IPsec, musíte použít stejný algoritmus ACMAES a délku klíče pro šifrování IPsec i integritu. Například následující snímek obrazovky určuje GCMAES128 pro šifrování IPsec i integritu protokolu IPsec:
Pokud chcete službě Azure VPN Gateway povolit připojení k místním zařízením VPN založeným na zásadách, můžete vybrat možnost Povolit pro selektory provozu na základě zásad.
Po výběru všech možností potvrďte změny prostředku připojení výběrem možnosti Uložit . Zásada se vynutí přibližně za minutu.
Důležité
Po zadání zásady IPsec/IKE pro připojení brána Azure VPN Gateway odešle nebo přijme návrh protokolu IPsec/IKE pouze se zadanými kryptografickými algoritmy a sílami klíčů pro dané konkrétní připojení. Ujistěte se, že vaše místní zařízení VPN pro připojení používá nebo přijímá přesnou kombinaci zásad, jinak se tunel VPN S2S nenaváže.
Pomocí výchozích zásad je možné zadat selektor provozu založený na zásadách a možnosti časového limitu DPD bez vlastních zásad IPsec/IKE.
Vytvoření připojení typu VNet-to-VNet s využitím vlastních zásad
Postup vytvoření připojení typu VNet-to-VNet se zásadou IPsec/IKE se podobá připojení S2S VPN. Abyste mohli vytvořit a nakonfigurovat virtuální síť TestVNet1 a bránu VPN, musíte dokončit předchozí části v části Vytvoření připojení vpn typu S2S.
Krok 1: Vytvoření virtuální sítě, brány VPN a brány místní sítě pro virtuální síť TestVNet2
Pomocí kroků v článku Vytvoření připojení typu VNet-to-VNet vytvořte virtuální síť TestVNet2 a vytvořte připojení typu VNet-to-VNet1.
Ukázkové hodnoty:
Virtuální síť TestVNet2
- Skupina prostředků: TestRG2
- Název: TestVNet2
- Oblast: USA – západ
- Adresní prostor IPv4: 10.2.0.0/16
- Název podsítě 1: FrontEnd
- Rozsah adres podsítě 1: 10.2.0.0/24
- Název podsítě 2: BackEnd
- Rozsah adres podsítě 2: 10.2.1.0/24
Brána VPN: VNet2GW
- Název: VNet2GW
- Oblast: USA – západ
- Typ brány: Síť VPN
- Typ sítě VPN: Založená na trasách
- SKU: VpnGw2
- Generování: generace 2
- Virtuální síť: TestVNet2
- Rozsah adres podsítě brány: 10.2.255.0/27
- Typ veřejné IP adresy: Basic nebo Standard
- Veřejná IP adresa: Vytvoření nové
- Název veřejné IP adresy: VNet2GWpip
- Povolit režim aktivní-aktivní: Zakázáno
- Konfigurace protokolu BGP: Zakázáno
Krok 2: Konfigurace připojení VNet-to-VNet
Z brány VNet1GW přidejte připojení VNet-to-VNet k VNet2GW s názvem VNet1toVNet2.
Dále z VNet2GW přidejte připojení VNet-to-VNet k VNet1GW s názvem VNet2toVNet1.
Po přidání připojení se zobrazí připojení typu VNet-to-VNet, jak je znázorněno na následujícím snímku obrazovky z prostředku VNet2GW:
Krok 3: Konfigurace vlastních zásad IPsec/IKE ve virtuální síti VNet1toVNet2
Z prostředku připojení VNet1toVNet2 přejděte na stránku Konfigurace.
V případě zásad IPsec/ IKE vyberte Vlastní , aby se zobrazily možnosti vlastních zásad. Vyberte kryptografické algoritmy s odpovídajícími délkami klíče. Tato zásada se nemusí shodovat s předchozími zásadami, které jste vytvořili pro připojení VNet1toSite6.
Ukázkové hodnoty:
- Fáze IKE 1: AES128, SHA1, DHGroup14
- IKE Fáze 2(IPsec): GCMAES128, GCMAES128, PFS2048
- Životnost protokolu IPsec SA v KB: 102400000
- Životnost SA protokolu IPsec v sekundách: 14400
- Časový limit DPD: 45 sekund
Výběrem možnosti Uložit v horní části stránky použijte změny zásad u prostředku připojení.
Krok 4: Konfigurace vlastních zásad IPsec/IKE ve virtuální síti VNet2toVNet1
Použijte stejnou zásadu pro připojení VNet2toVNet1, VNet2toVNet1. Pokud ne, tunel VPN IPsec/IKE se kvůli neshodě zásad nepřipojí.
Důležité
Po zadání zásady IPsec/IKE pro připojení brána Azure VPN Gateway odešle nebo přijme návrh protokolu IPsec/IKE pouze se zadanými kryptografickými algoritmy a sílami klíčů pro dané konkrétní připojení. Ujistěte se, že zásady IPsec pro obě připojení jsou stejné, jinak se připojení typu VNet-to-VNet nenaváže.
Po dokončení těchto kroků se připojení vytvoří během několika minut a budete mít následující síťovou topologii.
Odebrání vlastních zásad z připojení
- Pokud chcete z připojení odebrat vlastní zásadu, přejděte k prostředku připojení.
- Na stránce Konfigurace změňte zásadu IP adresy /IKE z vlastní na výchozí. Tím se odeberou všechny vlastní zásady dříve zadané pro připojení a obnoví se výchozí nastavení protokolu IPsec/IKE pro toto připojení.
- Výběrem možnosti Uložit odeberete vlastní zásady a obnovíte výchozí nastavení protokolu IPsec/IKE v připojení.
Nejčastější dotazy k zásadám IPsec/IKE
Pokud chcete zobrazit nejčastější dotazy, přejděte do části Zásady protokolu IPsec/IKE v nejčastějších dotazech ke službě VPN Gateway.
Další kroky
Další informace o selektorech provozu založených na zásadách najdete v tématu Připojení více místních zařízení VPN založených na zásadách.