Helyek közötti VPN-kapcsolatok IPsec/IKE-szabályzatának konfigurálása
Ez a cikk a helyek közötti (S2S) VPN-kapcsolatok IPsec/IKE-szabályzatának az Azure Stack Hubban történő konfigurálásának lépéseit ismerteti.
IPsec- és IKE-szabályzatparaméterek VPN-átjárókhoz
Az IPsec és az IKE protokoll szabvány számos titkosítási algoritmust támogat különböző kombinációkban. Az Azure Stack Hub által támogatott paraméterek megtekintéséhez tekintse meg az IPsec/IKE-paramétereket ismertető cikket.
Ez a cikk bemutatja, hogyan hozhat létre és konfigurálhat IPsec-/IKE-szabályzatokat, és hogyan alkalmazhatja azt egy új vagy meglévő kapcsolatra.
Megfontolandó szempontok
A szabályzatok használatakor vegye figyelembe az alábbi fontos szempontokat:
Az IPsec/IKE-szabályzat csak a Standard és HighPerformance (útvonalalapú) átjáró termékváltozatokon működik.
Egy adott kapcsolathoz csak egy házirendet adhat meg.
Meg kell adnia az összes algoritmust és paramétert az IKE (Fő mód) és az IPsec (gyors mód) esetében is. A részleges házirend-megadás nem engedélyezett.
A vpn-eszközök gyártói specifikációival konzultálva győződjön meg arról, hogy a szabályzat támogatott a helyszíni VPN-eszközökön. A helyek közötti kapcsolatok nem hozhatók létre, ha a házirendek nem kompatibilisek.
Előfeltételek
Mielőtt hozzákezdene, győződjön meg arról, hogy rendelkezik a következő előfeltételekkel:
Azure-előfizetés. Ha még nem rendelkezik Azure-előfizetéssel, aktiválhatja MSDN-előfizetői előnyeit, vagy regisztrálhat egy ingyenes fiókot.
Az Azure Resource Manager PowerShell-parancsmagok. További információ a PowerShell-parancsmagok telepítéséről: A PowerShell telepítése az Azure Stack Hubhoz.
1. rész – IPsec/IKE-szabályzat létrehozása és beállítása
Ez a szakasz a helyek közötti VPN-kapcsolat IPsec/IKE-szabályzatának létrehozásához és frissítéséhez szükséges lépéseket ismerteti:
Hozzon létre egy virtuális hálózatot és egy VPN-átjárót.
Hozzon létre egy helyi hálózati átjárót a létesítmények közötti kapcsolathoz.
Hozzon létre egy IPsec/IKE-szabályzatot a kiválasztott algoritmusokkal és paraméterekkel.
Hozzon létre egy IPSec-kapcsolatot az IPsec/IKE-szabályzattal.
Meglévő kapcsolat IPsec/IKE-szabályzatának hozzáadása/frissítése/eltávolítása.
A cikkben található utasítások segítséget nyújtanak az IPsec-/IKE-szabályzatok beállításában és konfigurálásában, az alábbi ábrán látható módon:
2. rész – Támogatott titkosítási algoritmusok és kulcserősség
Az alábbi táblázat az Azure Stack Hub által konfigurálható támogatott titkosítási algoritmusokat és kulcserősségeket sorolja fel:
| IPsec/IKEv2 | Beállítások |
|---|---|
| IKEv2-titkosítás | AES256, AES192, AES128, DES3, DES |
| IKEv2-integritás | SHA384, MD5, SHA1, SHA256 |
| DH-csoport | ECP384, DHGroup14, DHGroup2, DHGroup1, ECP256*, DHGroup24* |
| IPsec-titkosítás | GCMAES256, GCMAES192, GCMAES128, AES256, AES192, AES128, DES3, DES, Nincs |
| IPsec-integritás | GCMAES256, GCMAES192, GCMAES128, SHA256 |
| PFS-csoport | PFS24, ECP384, ECP256, PFS2048, PFS2, PFS1, PFSMM, None |
| Gyorsmódú biztonsági társítás élettartama | (Nem kötelező: az alapértelmezett értékeket a rendszer használja, ha nincs megadva) Másodperc (egész szám; min. 300/alapértelmezett érték: 27000 másodperc) KB (egész szám; min. 1024/alapértelmezett érték: 102400000 KB) |
| Forgalomválasztó | A szabályzatalapú forgalomválasztók nem támogatottak az Azure Stack Hubban. |
Megjegyzés
A QM SA élettartamának túl alacsonyra állítása szükségtelen újrakulcsolást igényel, ami csökkentheti a teljesítményt.
* Ezek a paraméterek csak a 2002-s és újabb buildekben érhetők el.
A helyszíni VPN-eszköz konfigurációjának meg kell egyezniük velük, vagy tartalmazniuk kell az alábbi, az Azure IPsec/IKE-házirendben megadott algoritmusokat és paramétereket:
- IKE titkosítási algoritmus (fő mód/1. fázis).
- IKE-integritási algoritmus (fő mód/1. fázis).
- DH-csoport (fő mód/1. fázis).
- IPsec titkosítási algoritmus (gyors mód/2. fázis).
- IPsec-integritási algoritmus (gyors mód/2. fázis).
- PFS-csoport (gyors mód/2. fázis).
- Az SA-élettartamok csak helyi specifikációk, és nem kell egyeznie.
Ha A GCMAES az IPsec titkosítási algoritmus, ugyanazt a GCMAES-algoritmust és kulcshosszt kell választania az IPsec-integritás érdekében; például A GCMAES128 használata mindkettőhöz.
Az előző táblázatban:
- Az IKEv2 a Fő módnak vagy az 1. fázisnak felel meg.
- Az IPsec a Gyors módnak vagy a 2. fázisnak felel meg.
- A DH-csoport határozza meg a fő módban vagy az 1. fázisban használt Diffie-Hellmen csoportot.
- A PFS-csoport a gyors módban vagy a 2. fázisban használt Diffie-Hellmen csoportot határozza meg.
Az IKEv2 főmódú sa élettartama 28 800 másodpercen van rögzítve az Azure Stack Hub VPN-átjárókon.
Az alábbi táblázat az egyéni szabályzat által támogatott megfelelő Diffie-Hellman csoportokat sorolja fel:
| Diffie-Hellman Group | DH-csoport | PFS-csoport | A kulcs hossza |
|---|---|---|---|
| 1 | DHGroup1 | PFS1 | 768 bites MODP |
| 2 | DHGroup2 | PFS2 | 1024 bites MODP |
| 14 | DHGroup14 DHGroup2048 |
PFS2048 | 2048 bites MODP |
| 19 | ECP256* | ECP256 | 256 bites ECP |
| 20 | ECP384 | ECP384 | 384 bites ECP |
| 24 | DHGroup24* | PFS24 | 2048 bites MODP |
* Ezek a paraméterek csak a 2002-s és újabb buildekben érhetők el.
További információ: RFC3526 és RFC5114.
3. rész – Új helyek közötti VPN-kapcsolat létrehozása IPsec/IKE-szabályzattal
Ez a szakasz végigvezeti a helyek közötti VPN-kapcsolat IPsec/IKE-szabályzattal való létrehozásának lépésein. A következő lépések létrehozzák a kapcsolatot az alábbi ábrán látható módon:
A helyek közötti VPN-kapcsolatok létrehozásával kapcsolatos részletes útmutatásért lásd: Helyek közötti VPN-kapcsolat létrehozása.
1. lépés – A virtuális hálózat, a VPN-átjáró és a helyi hálózati átjáró létrehozása
1. Változók deklarálása
Ebben a gyakorlatban kezdje a következő változók deklarálásával. Az éles környezet konfigurálásakor mindenképpen cserélje le a helyőrzőket a saját értékeire:
$Sub1 = "<YourSubscriptionName>"
$RG1 = "TestPolicyRG1"
$Location1 = "East US 2"
$VNetName1 = "TestVNet1"
$FESubName1 = "FrontEnd"
$BESubName1 = "Backend"
$GWSubName1 = "GatewaySubnet"
$VNetPrefix11 = "10.11.0.0/16"
$VNetPrefix12 = "10.12.0.0/16"
$FESubPrefix1 = "10.11.0.0/24"
$BESubPrefix1 = "10.12.0.0/24"
$GWSubPrefix1 = "10.12.255.0/27"
$DNS1 = "8.8.8.8"
$GWName1 = "VNet1GW"
$GW1IPName1 = "VNet1GWIP1"
$GW1IPconf1 = "gw1ipconf1"
$Connection16 = "VNet1toSite6"
$LNGName6 = "Site6"
$LNGPrefix61 = "10.61.0.0/16"
$LNGPrefix62 = "10.62.0.0/16"
$LNGIP6 = "131.107.72.22"
2. Csatlakozzon az előfizetéséhez, és hozzon létre egy új erőforráscsoportot
A Resource Manager parancsmagjainak használatához váltson át PowerShell módba. További információ: Csatlakozás az Azure Stack Hubhoz a PowerShell-lel felhasználóként.
Nyissa meg a PowerShell-konzolt, és csatlakozzon a fiókjához; például:
Connect-AzAccount
Select-AzSubscription -SubscriptionName $Sub1
New-AzResourceGroup -Name $RG1 -Location $Location1
3. A virtuális hálózat, a VPN-átjáró és a helyi hálózati átjáró létrehozása
Az alábbi példa létrehozza a TestVNet1 virtuális hálózatot, valamint három alhálózatot és a VPN-átjárót. Az értékek helyettesítésekor fontos, hogy az átjáró alhálózatának a GatewaySubnet nevet adja. Ha ezt másként nevezi el, az átjáró létrehozása meghiúsul.
$fesub1 = New-AzVirtualNetworkSubnetConfig -Name $FESubName1 -AddressPrefix $FESubPrefix1
$besub1 = New-AzVirtualNetworkSubnetConfig -Name $BESubName1 -AddressPrefix $BESubPrefix1
$gwsub1 = New-AzVirtualNetworkSubnetConfig -Name $GWSubName1 -AddressPrefix $GWSubPrefix1
New-AzVirtualNetwork -Name $VNetName1 -ResourceGroupName $RG1 -Location $Location1 -AddressPrefix $VNetPrefix11,$VNetPrefix12 -Subnet $fesub1,$besub1,$gwsub1
$gw1pip1 = New-AzPublicIpAddress -Name $GW1IPName1 -ResourceGroupName $RG1 -Location $Location1 -AllocationMethod Dynamic
$vnet1 = Get-AzVirtualNetwork -Name $VNetName1 -ResourceGroupName $RG1
$subnet1 = Get-AzVirtualNetworkSubnetConfig -Name "GatewaySubnet" `
-VirtualNetwork $vnet1
$gw1ipconf1 = New-AzVirtualNetworkGatewayIpConfig -Name $GW1IPconf1 `
-Subnet $subnet1 -PublicIpAddress $gw1pip1
New-AzVirtualNetworkGateway -Name $GWName1 -ResourceGroupName $RG1 `
-Location $Location1 -IpConfigurations $gw1ipconf1 -GatewayType Vpn `
-VpnType RouteBased -GatewaySku VpnGw1
New-AzLocalNetworkGateway -Name $LNGName6 -ResourceGroupName $RG1 `
-Location $Location1 -GatewayIpAddress $LNGIP6 -AddressPrefix `
$LNGPrefix61,$LNGPrefix62
2. lépés – Helyek közötti VPN-kapcsolat létrehozása IPsec/IKE-szabályzattal
1. IPsec/IKE-szabályzat létrehozása
Ez a példaszkript egy IPsec/IKE-szabályzatot hoz létre a következő algoritmusokkal és paraméterekkel:
- IKEv2: AES128, SHA1, DHGroup14
- IPsec: AES256, SHA256, none, SA Lifetime 14400 seconds és 102400000KB
$ipsecpolicy6 = New-AzIpsecPolicy -IkeEncryption AES128 -IkeIntegrity SHA1 -DhGroup DHGroup14 -IpsecEncryption AES256 -IpsecIntegrity SHA256 -PfsGroup none -SALifeTimeSeconds 14400 -SADataSizeKilobytes 102400000
Ha GCMAES-t használ az IPsec-hez, ugyanazt a GCMAES-algoritmust és kulcshosszt kell használnia az IPsec-titkosításhoz és -integritáshoz is.
2. A helyek közötti VPN-kapcsolat létrehozása az IPsec/IKE-szabályzattal
Hozzon létre egy helyek közötti VPN-kapcsolatot, és alkalmazza a korábban létrehozott IPsec/IKE-házirendet:
$vnet1gw = Get-AzVirtualNetworkGateway -Name $GWName1 -ResourceGroupName $RG1
$lng6 = Get-AzLocalNetworkGateway -Name $LNGName6 -ResourceGroupName $RG1
New-AzVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1 -VirtualNetworkGateway1 $vnet1gw -LocalNetworkGateway2 $lng6 -Location $Location1 -ConnectionType IPsec -IpsecPolicies $ipsecpolicy6 -SharedKey 'Azs123'
Fontos
Ha egy IPsec/IKE-szabályzat meg van adva egy kapcsolaton, az Azure VPN Gateway csak az adott kapcsolaton megadott titkosítási algoritmusokkal és kulcserősségekkel rendelkező IPsec/IKE-javaslatot küldi vagy fogadja el. Győződjön meg arról, hogy a kapcsolathoz használt helyszíni VPN-eszköz használja vagy elfogadja a szabályzatok pontos kombinációját, különben a helyek közötti VPN-alagút nem hozható létre.
4. rész – Kapcsolat IPsec/IKE-szabályzatának frissítése
Az előző szakasz bemutatta, hogyan kezelheti egy meglévő helyek közötti kapcsolat IPsec/IKE-szabályzatát. Ez a szakasz a következő műveleteket ismerteti egy kapcsolaton:
- Egy kapcsolat IPsec/IKE-szabályzatának megjelenítése.
- Adja hozzá vagy frissítse az IPsec/IKE-szabályzatot egy kapcsolatra.
- Távolítsa el az IPsec/IKE-szabályzatot egy kapcsolatból.
Megjegyzés
Az IPsec/IKE-szabályzat csak a Standard és HighPerformance útvonalalapú VPN-átjárókon támogatott. Nem működik az alapszintű átjáró termékváltozatán.
1. Egy kapcsolat IPsec/IKE-szabályzatának megjelenítése
Az alábbi példa bemutatja, hogyan lehet konfigurálni az IPsec/IKE-szabályzatot egy kapcsolaton. A szkriptek az előző gyakorlatoktól is folytatódnak.
$RG1 = "TestPolicyRG1"
$Connection16 = "VNet1toSite6"
$connection6 = Get-AzVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1
$connection6.IpsecPolicies
Az utolsó parancs felsorolja a kapcsolaton konfigurált aktuális IPsec/IKE-szabályzatot, ha van ilyen. Az alábbi példa egy mintakimenet a kapcsolathoz:
SALifeTimeSeconds : 14400
SADataSizeKilobytes : 102400000
IpsecEncryption : AES256
IpsecIntegrity : SHA256
IkeEncryption : AES128
IkeIntegrity : SHA1
DhGroup : DHGroup14
PfsGroup : None
Ha nincs konfigurálva IPsec/IKE-szabályzat, a parancs $connection6.policy üres visszatérést kap. Ez nem jelenti azt, hogy az IPsec/IKE nincs konfigurálva a kapcsolaton; Ez azt jelenti, hogy nincs egyéni IPsec/IKE-szabályzat. A tényleges kapcsolat a helyszíni VPN-eszköz és az Azure VPN Gateway közötti alapértelmezett szabályzatot használja.
2. IPsec/IKE-szabályzat hozzáadása vagy frissítése egy kapcsolathoz
Az új szabályzat hozzáadásának vagy egy meglévő szabályzat frissítésének lépései megegyeznek egy kapcsolaton: hozzon létre egy új szabályzatot, majd alkalmazza az új szabályzatot a kapcsolatra:
$RG1 = "TestPolicyRG1"
$Connection16 = "VNet1toSite6"
$connection6 = Get-AzVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1
$newpolicy6 = New-AzIpsecPolicy -IkeEncryption AES128 -IkeIntegrity SHA1 -DhGroup DHGroup14 -IpsecEncryption AES256 -IpsecIntegrity SHA256 -PfsGroup None -SALifeTimeSeconds 14400 -SADataSizeKilobytes 102400000
$connection6.SharedKey = "AzS123"
Set-AzVirtualNetworkGatewayConnection -VirtualNetworkGatewayConnection $connection6 -IpsecPolicies $newpolicy6
A kapcsolat ismételt lekérésével ellenőrizheti, hogy frissült-e a szabályzat:
$connection6 = Get-AzVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1
$connection6.IpsecPolicies
Az utolsó sor kimenetének az alábbi példában látható módon kell megjelennie:
SALifeTimeSeconds : 14400
SADataSizeKilobytes : 102400000
IpsecEncryption : AES256
IpsecIntegrity : SHA256
IkeEncryption : AES128
IkeIntegrity : SHA1
DhGroup : DHGroup14
PfsGroup : None
3. IPsec/IKE-szabályzat eltávolítása egy kapcsolatból
Miután eltávolította az egyéni szabályzatot egy kapcsolatból, az Azure VPN Gateway visszaáll az alapértelmezett IPsec/IKE-javaslatra, és újratárgyalja a kapcsolatot a helyszíni VPN-eszközzel.
$RG1 = "TestPolicyRG1"
$Connection16 = "VNet1toSite6"
$connection6 = Get-AzVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1
$connection6.SharedKey = "AzS123"
$currentpolicy = $connection6.IpsecPolicies[0]
$connection6.IpsecPolicies.Remove($currentpolicy)
Set-AzVirtualNetworkGatewayConnection -VirtualNetworkGatewayConnection $connection6
Ugyanezzel a szkripttel ellenőrizheti, hogy a szabályzat el lett-e távolítva a kapcsolatból.