Konfigurace vlastních zásad připojení IPsec/IKE pro S2S VPN a VNet-to-VNet: Azure Portal
Tento článek vás provede postupem konfigurace zásad IPsec/IKE pro připojení SITE-to-Site vpn služby VPN Gateway nebo připojení typu VNet-to-VNet pomocí webu Azure Portal. Následující části vám pomůžou vytvořit a nakonfigurovat zásady IPsec/IKE a použít zásadu na nové nebo existující připojení.
Pracovního postupu
Pokyny v tomto článku vám pomůžou nastavit a nakonfigurovat zásady IPsec/IKE, jak je znázorněno v následujícím diagramu.
- Vytvořte virtuální síť a bránu VPN.
- Vytvořte bránu místní sítě pro připojení mezi místy nebo jinou virtuální síť a bránu pro připojení typu VNet-to-VNet.
- Vytvoření připojení (IPsec nebo VNet2VNet)
- Nakonfigurujte, aktualizujte nebo odeberte zásady protokolu IPsec/IKE pro prostředky připojení.
Parametry zásad
Standard protokolu IPsec a IKE podporuje širokou škálu kryptografických algoritmů v různých kombinacích. Informace o kryptografických požadavcích a branách Azure VPN najdete v tématu o tom, jak to může pomoct zajistit připojení mezi různými místy a připojením typu VNet-to-VNet, aby splňovaly vaše požadavky na dodržování předpisů nebo zabezpečení. Mějte na paměti následující aspekty:
- Zásady IPsec/IKE fungují jenom u následujících skladových položek brány:
- VpnGw1~5 a VpnGw1AZ~5AZ
- Standard a HighPerformance
- Pro jedno připojení můžete zadat pouze jednu kombinaci zásad.
- Musíte zadat všechny algoritmy a parametry pro protokol IKE (hlavní režim) i protokol IPsec (rychlý režim). Částečná specifikace zásad není povolená.
- Obraťte se na specifikace dodavatele zařízení VPN a ujistěte se, že jsou zásady podporované na místních zařízeních VPN. Připojení typu S2S nebo VNet-to-VNet nemůžou navázat, pokud nejsou zásady nekompatibilní.
Silné stránky kryptografických algoritmů a klíčů
Následující tabulka uvádí podporované konfigurovatelné kryptografické algoritmy a silné stránky klíčů.
| IPsec/IKEv2 | Možnosti |
|---|---|
| Šifrování protokolem IKEv2 | GCMAES256, GCMAES128, AES256, AES192, AES128 |
| Integrita protokolu IKEv2 | SHA384, SHA256, SHA1, MD5 |
| Skupina DH | DHGroup24, ECP384, ECP256, DHGroup14, DHGroup2048, DHGroup2, DHGroup1, None |
| Šifrování protokolem IPsec | GCMAES256, GCMAES192, GCMAES128, AES256, AES192, AES128, DES3, DES, Žádné |
| Integrita protokolu IPsec | GCMAES256, GCMAES192, GCMAES128, SHA256, SHA1, MD5 |
| Skupina PFS | PFS24, ECP384, ECP256, PFS2048, PFS2, PFS1, Žádná |
| Doba života přidružení zabezpečení v rychlém režimu | (Volitelné: Výchozí hodnoty se použijí, pokud nejsou zadané) Sekundy (integer; min. 300 / výchozí hodnota 27 000 sekund) Kilobajty (integer; min. 1024 / výchozí hodnota 102 400 000 kilobajtů) |
| Selektor provozu | UsePolicyBasedTrafficSelectors** ($True/$False; Nepovinný výchozí $False, pokud není zadaný) |
| Časový limit DPD | Sekundy (celé číslo: min. 9/max. 3600; výchozí 45 sekund) |
Konfigurace vašeho místního zařízení VPN musí odpovídat zásadám brány Azure VPN Gateway nebo musí obsahovat následující algoritmy a parametry, které zadáte v zásadách IPsec/IKE Azure:
- Šifrovací algoritmus IKE (hlavní režim / fáze 1)
- Algoritmus integrity protokolu IKE (hlavní režim / fáze 1)
- DH Group (hlavní režim / fáze 1)
- Šifrovací algoritmus IPsec (rychlý režim / fáze 2)
- Algoritmus integrity protokolu IPsec (rychlý režim / fáze 2)
- Skupina PFS (rychlý režim / fáze 2)
- Selektor provozu (pokud se používá UsePolicyBasedTrafficSelectors)
- Životnosti přidružení služby jsou pouze místní specifikace a nemusí se shodovat.
Pokud se GCMAES používá jako u šifrovacího algoritmu IPsec, musíte pro integritu protokolu IPsec vybrat stejný algoritmus a délku klíče GCMAES; Například použití GCMAES128 pro oba.
V tabulce Algoritmy a klíče :
- IKE odpovídá hlavnímu režimu nebo fázi 1.
- Protokol IPsec odpovídá rychlému režimu nebo fázi 2.
- Skupina DH určuje skupinu Diffie-Hellman použitou v hlavním režimu nebo fázi 1.
- Skupina PFS určila skupinu Diffie-Hellman použitou v rychlém režimu nebo fázi 2.
Životnost přidružení zabezpečení hlavního režimu IKE je u bran Azure VPN opravena na 28 800 sekund.
UsePolicyBasedTrafficSelectors je volitelný parametr připojení. Pokud nastavíte UsePolicyBasedTrafficSelectors tak, aby $True na připojení, nakonfiguruje bránu Azure VPN Gateway tak, aby se připojila k místní bráně VPN založené na zásadách. Pokud povolíte PolicyBasedTrafficSelectors, musíte zajistit, aby vaše zařízení VPN má odpovídající selektory provozu definované všemi kombinacemi předpon místní sítě (brány místní sítě) z předpon virtuální sítě Azure místo předpon typu any-to-any. Brána Azure VPN gateway přijímá jakýkoli výběr provozu, který navrhuje vzdálená brána VPN bez ohledu na to, co je nakonfigurované ve službě Azure VPN Gateway.
Například pokud jsou předpony vaší místní sítě 10.1.0.0/16 a 10.2.0.0/16 a předpony vaší virtuální sítě jsou 192.168.0.0/16 a 172.16.0.0/16, je potřeba zadat následující selektory provozu:
- 10.1.0.0/16 <====> 192.168.0.0/16
- 10.1.0.0/16 <====> 172.16.0.0/16
- 10.2.0.0/16 <====> 192.168.0.0/16
- 10.2.0.0/16 <====> 172.16.0.0/16
Další informace o selektorech provozu založených na zásadách najdete v tématu Připojení několika místních zařízení VPN založených na zásadách.
Časový limit DPD – Výchozí hodnota je 45 sekund v branách Azure VPN. Nastavení časového limitu na kratší období způsobí, že se protokol IKE znovu vytvoří agresivněji, což způsobí, že se připojení v některých případech odpojí. To nemusí být žádoucí, pokud jsou vaše místní umístění daleko od oblasti Azure, ve které se nachází brána VPN, nebo může dojít ke ztrátě paketů. Obecným doporučením je nastavit časový limit mezi 30 až 45 sekund.
Poznámka:
Integrita IKEv2 se používá pro integritu i PRF (pseudonáhodná funkce). Pokud je zadaný šifrovací algoritmus IKEv2 GCM*, hodnota předaná v integritě IKEv2 se používá pouze pro PRF a implicitně nastavíme integritu IKEv2 na GCM*. Ve všech ostatních případech se hodnota předaná v integritě IKEv2 používá pro integritu IKEv2 i PRF.
Skupiny Diffie-Hellman
Následující tabulka uvádí odpovídající skupiny Diffie-Hellman podporované vlastní zásadou:
| Skupina Diffie-Hellman | DHGroup | PFSGroup | Délka klíče |
|---|---|---|---|
| 0 | DHGroup1 | PFS1 | 768bitová skupina MODP |
| 2 | DHGroup2 | PFS2 | 1024bitová skupina MODP |
| 14 | DHGroup14 DHGroup2048 |
PFS2048 | 2048bitová skupina MODP |
| 19 | ECP256 | ECP256 | 256bitová skupina ECP |
| 20 | ECP384 | ECP384 | 384bitová skupina ECP |
| 24 | DHGroup24 | PFS24 | 2048bitová skupina MODP |
Další informace najdete na stránkách RFC3526 a RFC5114.
Vytvoření připojení VPN S2S s využitím vlastních zásad
Tato část vás provede postupem vytvoření připojení VPN typu Site-to-Site pomocí zásad IPsec/IKE. Následující kroky vytvoří připojení, jak je znázorněno v následujícím diagramu. Místní lokalita v tomto diagramu představuje web Site6.
Krok 1: Vytvoření virtuální sítě, brány VPN a brány místní sítě pro virtuální síť TestVNet1
Vytvořte následující prostředky. Postup najdete v tématu Vytvoření připojení VPN typu Site-to-Site.
Vytvořte virtuální síť TestVNet1 pomocí následujících hodnot.
- Skupina prostředků: TestRG1
- Název: TestVNet1
- Oblast: USA – východ
- Adresní prostor IPv4: 10.1.0.0/16
- Název podsítě 1: FrontEnd
- Rozsah adres podsítě 1: 10.1.0.0/24
- Název podsítě 2: BackEnd
- Rozsah adres podsítě 2: 10.1.1.0/24
Vytvořte bránu virtuální sítě VNet1GW pomocí následujících hodnot.
- Název: VNet1GW
- Oblast: USA – východ
- Typ brány: Síť VPN
- Typ sítě VPN: Založená na trasách
- SKU: VpnGw2
- Generování: generace 2
- Virtuální síť: VNet1
- Rozsah adres podsítě brány: 10.1.255.0/27
- Typ veřejné IP adresy: Basic nebo Standard
- Veřejná IP adresa: Vytvoření nové
- Název veřejné IP adresy: VNet1GWpip
- Povolit režim aktivní-aktivní: Zakázáno
- Konfigurace protokolu BGP: Zakázáno
Krok 2: Konfigurace brány místní sítě a prostředků připojení
Pomocí následujících hodnot vytvořte prostředek brány místní sítě Site6 .
- Název: Site6
- Skupina prostředků: TestRG1
- Umístění: USA – východ
- IP adresa místní brány: 5.4.3.2 (jenom ukázková hodnota – použijte IP adresu místního zařízení).
- Adresní prostory 10.61.0.0/16, 10.62.0.0/16 (pouze ukázková hodnota)
Z brány virtuální sítě přidejte připojení k bráně místní sítě pomocí následujících hodnot.
- název Připojení ion: VNet1toSite6
- typ Připojení ion: Protokolu ipsec
- Brána místní sítě: Site6
- Sdílený klíč: abc123 (ukázková hodnota – musí odpovídat použitému klíči místního zařízení)
- Protokol IKE: IKEv2
Krok 3: Konfigurace vlastních zásad IPsec/IKE pro připojení VPN typu S2S
Nakonfigurujte vlastní zásadu IPsec/IKE s následujícími algoritmy a parametry:
- Fáze IKE 1: AES256, SHA384, DHGroup24
- IKE Fáze 2(IPsec): AES256, SHA256, PFS None
- Životnost protokolu IPsec SA v KB: 102400000
- Životnost SA protokolu IPsec v sekundách: 30000
- Časový limit DPD: 45 sekund
Přejděte k prostředku Připojení ion, který jste vytvořili, VNet1toSite6. Otevřete stránku Konfigurace. Pokud chcete zobrazit všechny možnosti konfigurace, vyberte vlastní zásady IPsec/IKE. Následující snímek obrazovky ukazuje konfiguraci podle seznamu:
Pokud používáte GCMAES pro protokol IPsec, musíte použít stejný algoritmus ACMAES a délku klíče pro šifrování IPsec i integritu. Například následující snímek obrazovky určuje GCMAES128 pro šifrování IPsec i integritu protokolu IPsec:
Pokud chcete službě Azure VPN Gateway povolit připojení k místním zařízením VPN založeným na zásadách, můžete vybrat možnost Povolit pro selektory provozu na základě zásad.
Po výběru všech možností potvrďte změny prostředku připojení výběrem možnosti Uložit . Zásada se vynutí přibližně za minutu.
Důležité
Po zadání zásady IPsec/IKE pro připojení brána Azure VPN Gateway odešle nebo přijme návrh protokolu IPsec/IKE pouze se zadanými kryptografickými algoritmy a sílami klíčů pro dané konkrétní připojení. Ujistěte se, že vaše místní zařízení VPN pro připojení používá nebo přijímá přesnou kombinaci zásad, jinak se tunel VPN S2S nenaváže.
Pomocí výchozích zásad je možné zadat selektor provozu založený na zásadách a možnosti časového limitu DPD bez vlastních zásad IPsec/IKE.
Vytvoření připojení typu VNet-to-VNet s využitím vlastních zásad
Postup vytvoření připojení typu VNet-to-VNet se zásadou IPsec/IKE se podobá připojení S2S VPN. Abyste mohli vytvořit a nakonfigurovat virtuální síť TestVNet1 a bránu VPN, musíte dokončit předchozí části v části Vytvoření připojení vpn typu S2S.
Krok 1: Vytvoření virtuální sítě, brány VPN a brány místní sítě pro virtuální síť TestVNet2
Pomocí kroků v článku Vytvoření připojení typu VNet-to-VNet vytvořte virtuální síť TestVNet2 a vytvořte připojení typu VNet-to-VNet1.
Ukázkové hodnoty:
Virtuální síť TestVNet2
- Skupina prostředků: TestRG2
- Název: TestVNet2
- Oblast: USA – západ
- Adresní prostor IPv4: 10.2.0.0/16
- Název podsítě 1: FrontEnd
- Rozsah adres podsítě 1: 10.2.0.0/24
- Název podsítě 2: BackEnd
- Rozsah adres podsítě 2: 10.2.1.0/24
Brána VPN: VNet2GW
- Název: VNet2GW
- Oblast: USA – západ
- Typ brány: Síť VPN
- Typ sítě VPN: Založená na trasách
- SKU: VpnGw2
- Generování: generace 2
- Virtuální síť: TestVNet2
- Rozsah adres podsítě brány: 10.2.255.0/27
- Typ veřejné IP adresy: Basic nebo Standard
- Veřejná IP adresa: Vytvoření nové
- Název veřejné IP adresy: VNet2GWpip
- Povolit režim aktivní-aktivní: Zakázáno
- Konfigurace protokolu BGP: Zakázáno
Krok 2: Konfigurace připojení VNet-to-VNet
Z brány VNet1GW přidejte připojení VNet-to-VNet k VNet2GW s názvem VNet1toVNet2.
Dále z VNet2GW přidejte připojení VNet-to-VNet k VNet1GW s názvem VNet2toVNet1.
Po přidání připojení se zobrazí připojení typu VNet-to-VNet, jak je znázorněno na následujícím snímku obrazovky z prostředku VNet2GW:
Krok 3: Konfigurace vlastních zásad IPsec/IKE ve virtuální síti VNet1toVNet2
Z prostředku připojení VNet1toVNet2 přejděte na stránku Konfigurace.
V případě zásad IPsec/ IKE vyberte Vlastní , aby se zobrazily možnosti vlastních zásad. Vyberte kryptografické algoritmy s odpovídajícími délkami klíče. Tato zásada se nemusí shodovat s předchozími zásadami, které jste vytvořili pro připojení VNet1toSite6.
Ukázkové hodnoty:
- Fáze IKE 1: AES128, SHA1, DHGroup14
- IKE Fáze 2(IPsec): GCMAES128, GCMAES128, PFS2048
- Životnost protokolu IPsec SA v KB: 102400000
- Životnost SA protokolu IPsec v sekundách: 14400
- Časový limit DPD: 45 sekund
Výběrem možnosti Uložit v horní části stránky použijte změny zásad u prostředku připojení.
Krok 4: Konfigurace vlastních zásad IPsec/IKE ve virtuální síti VNet2toVNet1
Použijte stejnou zásadu pro připojení VNet2toVNet1, VNet2toVNet1. Pokud ne, tunel VPN IPsec/IKE se kvůli neshodě zásad nepřipojí.
Důležité
Po zadání zásady IPsec/IKE pro připojení brána Azure VPN Gateway odešle nebo přijme návrh protokolu IPsec/IKE pouze se zadanými kryptografickými algoritmy a sílami klíčů pro dané konkrétní připojení. Ujistěte se, že zásady IPsec pro obě připojení jsou stejné, jinak se připojení typu VNet-to-VNet nenaváže.
Po dokončení těchto kroků se připojení vytvoří během několika minut a budete mít následující síťovou topologii.
Odebrání vlastních zásad z připojení
- Pokud chcete z připojení odebrat vlastní zásadu, přejděte k prostředku připojení.
- Na stránce Konfigurace změňte zásadu IP adresy /IKE z vlastní na výchozí. Tím se odeberou všechny vlastní zásady dříve zadané pro připojení a obnoví se výchozí nastavení protokolu IPsec/IKE pro toto připojení.
- Výběrem možnosti Uložit odeberete vlastní zásady a obnovíte výchozí nastavení protokolu IPsec/IKE v připojení.
Nejčastější dotazy k zásadám IPsec/IKE
Pokud chcete zobrazit nejčastější dotazy, přejděte do části Zásady protokolu IPsec/IKE v nejčastějších dotazech ke službě VPN Gateway.
Další kroky
Další informace o selektorech provozu založených na zásadách najdete v tématu Připojení více místních zařízení VPN založených na zásadách.