Mengonfigurasi kebijakan IPsec/IKE untuk koneksi VPN situs-ke-situs
Artikel ini menjelaskan langkah-langkah untuk mengonfigurasi kebijakan IPsec/IKE untuk koneksi VPN situs-ke-situs (S2S) di Azure Stack Hub.
Parameter kebijakan IPsec dan IKE untuk gateway VPN
Standar protokol IPsec dan IKE mendukung berbagai algoritma kriptografi dalam berbagai kombinasi. Untuk melihat parameter mana yang didukung di Azure Stack Hub sehingga Anda dapat memenuhi persyaratan kepatuhan atau keamanan, lihat parameter IPsec/IKE.
Artikel ini memberikan petunjuk tentang cara membuat dan mengonfigurasi kebijakan IPsec/IKE dan menerapkannya ke koneksi yang baru atau yang sudah ada.
Pertimbangan
Perhatikan pertimbangan penting berikut saat menggunakan kebijakan ini:
Kebijakan IPsec/IKE hanya berfungsi pada SKU gateway (berbasis rute) Standar dan HighPerformance.
Anda hanya bisa menentukan satu kombinasi kebijakan untuk sambungan tertentu.
Anda harus menentukan semua algoritma dan parameter untuk IKE (Mode Utama) dan IPsec (Mode Cepat). Spesifikasi kebijakan parsial tidak diperbolehkan.
Konsultasikan dengan spesifikasi vendor perangkat VPN Anda untuk memastikan kebijakannya didukung di perangkat VPN lokal Anda. Koneksi situs-ke-situs tidak dapat dibuat jika kebijakannya tidak kompatibel.
Prasyarat
Pastikan Anda memiliki prasyarat berikut sebelum memulai:
Langganan Microsoft Azure. Jika belum berlangganan Azure, Anda dapat mengaktifkan keuntungan pelanggan MSDN atau mendaftar untuk mendapatkan akun gratis.
Cmdlet Azure Resource Manager PowerShell. Untuk info selengkapnya tentang menginstal cmdlet PowerShell, lihat Menginstal PowerShell untuk Azure Stack Hub.
Bagian 1 - Membuat dan menetapkan kebijakan IPsec/IKE
Bagian ini menjelaskan langkah-langkah yang diperlukan untuk membuat dan memperbarui kebijakan IPsec/IKE pada koneksi VPN situs-ke-situs:
Membuat jaringan virtual dan sebuah gateway VPN.
Buat gateway jaringan lokal untuk koneksi lintas lokasi.
Membuat kebijakan IPsec/IKE dengan algoritma dan parameter yang dipilih.
Buat koneksi IPSec dengan kebijakan IPsec/IKE.
Menambah/memperbarui/menghapus kebijakan IPsec/IKE untuk sambungan yang ada.
Petunjuk dalam artikel ini membantu Anda menyiapkan dan mengonfigurasi kebijakan IPsec/IKE, seperti yang ditunjukkan pada gambar berikut:
Bagian 2 - Algoritma kriptografi yang didukung dan kekuatan kunci
Tabel berikut mencantumkan algoritma kriptografi yang didukung dan kekuatan utama yang dapat dikonfigurasi oleh Azure Stack Hub:
| IPsec/IKEv2 | Opsi |
|---|---|
| Enkripsi IKEv2 | AES256, AES192, AES128, DES3, DES |
| Integritas IKEv2 | SHA384, SHA256, SHA1, MD5 |
| Grup DH | ECP384, DHGroup14, DHGroup2, DHGroup1, ECP256*, DHGroup24* |
| Enkripsi IPsec | GCMAES256, GCMAES192, GCMAES128, AES256, AES192, AES128, DES3, DES, Kosong |
| Integritas IPsec | GCMAES256, GCMAES192, GCMAES128, SHA256 |
| Grup PFS | PFS24, ECP384, ECP256, PFS2048, PFS2, PFS1, PFSMM, None |
| Masa pakai QM SA | (Opsional: nilai default digunakan jika tidak ditentukan) Detik (bilangan bulat; min. 300/default 27000 detik) KBytes (bilangan bulat; min. 1024/default 102400000 KBytes) |
| Pemilih Lalu Lintas | Pemilih Lalu Lintas berbasis kebijakan tidak didukung di Azure Stack Hub. |
Catatan
Mengatur masa pakai QM SA terlalu rendah memerlukan rekeying yang tidak perlu, yang dapat menurunkan performa.
* Parameter ini hanya tersedia di build 2002 dan yang lebih baru.
Konfigurasi perangkat VPN lokal Anda harus cocok atau berisi algoritma dan parameter berikut yang Anda tentukan di kebijakan Azure IPsec/IKE:
- Algoritma enkripsi IKE (Mode Utama/Fase 1).
- Algoritma integritas IKE (Mode Utama/Fase 1).
- Grup DH (Mode Utama/Fase 1).
- Algoritma enkripsi IPsec (Mode Cepat/Fase 2).
- Algoritma integritas IPsec (Mode Cepat/Fase 2).
- Grup PFS (Mode Cepat/Fase 2).
- Masa pakai SA hanya merupakan spesifikasi lokal dan tidak perlu dicocokkan.
Jika GCMAES digunakan sebagai algoritma enkripsi IPsec, Anda harus memilih algoritma GCMAES dan panjang kunci yang sama untuk integritas IPsec; misalnya, menggunakan GCMAES128 untuk keduanya.
Dalam tabel sebelumnya:
- IKEv2 sesuai dengan Mode Utama atau Fase 1.
- IPsec sesuai dengan Mode Cepat atau Fase 2.
- Grup DH menentukan grup Diffie-Hellmen yang digunakan dalam Mode Utama atau Fase 1.
- Grup PFS menentukan Grup Diffie-Hellmen yang digunakan dalam Mode Cepat atau Fase 2.
Masa pakai SA Mode Utama IKEv2 ditetapkan pada 28.800 detik pada gateway VPN Azure Stack Hub.
Tabel berikut ini mencantumkan grup Diffie-Hellman terkait yang didukung oleh kebijakan kustom:
| Grup Diffie-Hellman | DHGroup | PFSGroup | Panjang kunci |
|---|---|---|---|
| 1 | DHGroup1 | PFS1 | MODP 768-bit |
| 2 | DHGroup2 | PFS2 | MODP 1024-bit |
| 14 | DHGroup14 DHGroup2048 |
PFS2048 | MODP 2048-bit |
| 19 | ECP256* | ECP256 | ECP 256-bit |
| 20 | ECP384 | ECP384 | 384-bit ECP |
| 24 | DHGroup24* | PFS24 | MODP 2048-bit |
* Parameter ini hanya tersedia di build 2002 dan yang lebih baru.
Untuk informasi selengkapnya, lihat RFC3526 dan RFC5114.
Bagian 3 - Membuat koneksi VPN situs-ke-situs baru dengan kebijakan IPsec/IKE
Bagian ini menunjukkan langkah-langkah untuk membuat koneksi VPN situs-ke-situs dengan kebijakan IPsec/IKE. Langkah-langkah berikut membuat koneksi, seperti yang ditunjukkan pada gambar berikut:
Untuk petunjuk langkah demi langkah yang lebih rinci guna membuat koneksi VPN situs-ke-situs, lihat Membuat koneksi VPN situs-ke-situs.
Langkah 1 - Buat jaringan virtual, VPN gateway, dan gateway jaringan lokal
1. Mendeklarasikan variabel
Untuk latihan ini, mulailah dengan mendeklarasikan variabel berikut. Pastikan untuk mengganti tempat penampung dengan nilai Anda sendiri saat mengonfigurasi untuk produksi:
$Sub1 = "<YourSubscriptionName>"
$RG1 = "TestPolicyRG1"
$Location1 = "East US 2"
$VNetName1 = "TestVNet1"
$FESubName1 = "FrontEnd"
$BESubName1 = "Backend"
$GWSubName1 = "GatewaySubnet"
$VNetPrefix11 = "10.11.0.0/16"
$VNetPrefix12 = "10.12.0.0/16"
$FESubPrefix1 = "10.11.0.0/24"
$BESubPrefix1 = "10.12.0.0/24"
$GWSubPrefix1 = "10.12.255.0/27"
$DNS1 = "8.8.8.8"
$GWName1 = "VNet1GW"
$GW1IPName1 = "VNet1GWIP1"
$GW1IPconf1 = "gw1ipconf1"
$Connection16 = "VNet1toSite6"
$LNGName6 = "Site6"
$LNGPrefix61 = "10.61.0.0/16"
$LNGPrefix62 = "10.62.0.0/16"
$LNGIP6 = "131.107.72.22"
2. Sambungkan ke langganan Anda dan buat grup sumber daya baru
Pastikan Anda mengalihkan ke mode PowerShell untuk menggunakan cmdlet Resource Manager. Untuk informasi selengkapnya, lihat Menyambungkan ke Azure Stack Hub dengan PowerShell sebagai pengguna.
Buka konsol PowerShell dan sambungkan ke akun Anda; misalnya:
Connect-AzAccount
Select-AzSubscription -SubscriptionName $Sub1
New-AzResourceGroup -Name $RG1 -Location $Location1
3. Buat jaringan virtual, gateway VPN, dan gateway jaringan lokal
Contoh berikut membuat jaringan virtual, TestVNet1, bersama dengan tiga subnet dan gateway VPN. Saat mengganti nilai, penting bagi Anda untuk secara khusus memberi subnet gateway Anda nama GatewaySubnet. Jika Anda menamainya sesuatu yang lain, pembuatan gateway akan gagal.
$fesub1 = New-AzVirtualNetworkSubnetConfig -Name $FESubName1 -AddressPrefix $FESubPrefix1
$besub1 = New-AzVirtualNetworkSubnetConfig -Name $BESubName1 -AddressPrefix $BESubPrefix1
$gwsub1 = New-AzVirtualNetworkSubnetConfig -Name $GWSubName1 -AddressPrefix $GWSubPrefix1
New-AzVirtualNetwork -Name $VNetName1 -ResourceGroupName $RG1 -Location $Location1 -AddressPrefix $VNetPrefix11,$VNetPrefix12 -Subnet $fesub1,$besub1,$gwsub1
$gw1pip1 = New-AzPublicIpAddress -Name $GW1IPName1 -ResourceGroupName $RG1 -Location $Location1 -AllocationMethod Dynamic
$vnet1 = Get-AzVirtualNetwork -Name $VNetName1 -ResourceGroupName $RG1
$subnet1 = Get-AzVirtualNetworkSubnetConfig -Name "GatewaySubnet" `
-VirtualNetwork $vnet1
$gw1ipconf1 = New-AzVirtualNetworkGatewayIpConfig -Name $GW1IPconf1 `
-Subnet $subnet1 -PublicIpAddress $gw1pip1
New-AzVirtualNetworkGateway -Name $GWName1 -ResourceGroupName $RG1 `
-Location $Location1 -IpConfigurations $gw1ipconf1 -GatewayType Vpn `
-VpnType RouteBased -GatewaySku VpnGw1
New-AzLocalNetworkGateway -Name $LNGName6 -ResourceGroupName $RG1 `
-Location $Location1 -GatewayIpAddress $LNGIP6 -AddressPrefix `
$LNGPrefix61,$LNGPrefix62
Langkah 2 - Membuat koneksi VPN situs-ke-situs dengan kebijakan IPsec/IKE
1. Membuat kebijakan IPsec/IKE
Contoh skrip ini membuat kebijakan IPsec/IKE dengan algoritma dan parameter berikut:
- IKEv2: AES128, SHA1, DHGroup14
- IPsec: AES256, SHA256, tidak ada, Masa Pakai SA 14400 detik, dan 102400000KB
$ipsecpolicy6 = New-AzIpsecPolicy -IkeEncryption AES128 -IkeIntegrity SHA1 -DhGroup DHGroup14 -IpsecEncryption AES256 -IpsecIntegrity SHA256 -PfsGroup none -SALifeTimeSeconds 14400 -SADataSizeKilobytes 102400000
Jika Anda menggunakan GCMAES untuk IPsec, Anda harus menggunakan algoritma GCMAES dan panjang kunci yang sama untuk enkripsi dan integritas IPsec.
2. Membuat koneksi VPN situs-ke-situs dengan kebijakan IPsec/IKE
Buat koneksi VPN situs-ke-situs dan terapkan kebijakan IPsec/IKE yang Anda buat sebelumnya:
$vnet1gw = Get-AzVirtualNetworkGateway -Name $GWName1 -ResourceGroupName $RG1
$lng6 = Get-AzLocalNetworkGateway -Name $LNGName6 -ResourceGroupName $RG1
New-AzVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1 -VirtualNetworkGateway1 $vnet1gw -LocalNetworkGateway2 $lng6 -Location $Location1 -ConnectionType IPsec -IpsecPolicies $ipsecpolicy6 -SharedKey 'Azs123'
Penting
Setelah kebijakan IPsec/IKE ditentukan pada koneksi, gateway VPN Azure hanya mengirim atau menerima proposal IPsec/IKE dengan algoritma kriptografi dan kekuatan kunci tertentu pada koneksi tersebut. Pastikan perangkat VPN lokal Anda untuk koneksi tersebut menggunakan atau menerima kombinasi kebijakan yang tepat, jika tidak, terowongan VPN situs-ke-situs tidak dapat dibuat.
Bagian 4 - Memperbarui kebijakan IPsec/IKE untuk koneksi
Bagian sebelumnya menunjukkan cara mengelola kebijakan IPsec/IKE untuk koneksi situs-ke-situs yang ada. Bagian ini menunjukkan operasi berikut pada koneksi:
- Menampilkan kebijakan IPsec/IKE dari satu koneksi.
- Menambahkan atau memperbarui kebijakan IPsec/IKE ke koneksi.
- Menghapus kebijakan IPsec/IKE dari koneksi.
Catatan
Kebijakan IPsec/IKE hanya didukung pada gateway VPN berbasis rute Standard dan HighPerformance. Ini tidak berfungsi pada SKU gateway Dasar.
1. Tampilkan kebijakan IPsec/IKE dari satu koneksi
Contoh berikut menunjukkan cara mengonfigurasi kebijakan IPsec/IKE pada koneksi. Skripnya juga lanjutan dari latihan sebelumnya.
$RG1 = "TestPolicyRG1"
$Connection16 = "VNet1toSite6"
$connection6 = Get-AzVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1
$connection6.IpsecPolicies
Perintah terakhir mencantumkan kebijakan IPsec/IKE saat ini yang dikonfigurasi pada koneksi, jika ada. Contoh berikut adalah contoh output untuk koneksi:
SALifeTimeSeconds : 14400
SADataSizeKilobytes : 102400000
IpsecEncryption : AES256
IpsecIntegrity : SHA256
IkeEncryption : AES128
IkeIntegrity : SHA1
DhGroup : DHGroup14
PfsGroup : None
Jika tidak ada kebijakan IPsec/IKE yang dikonfigurasi, perintah $connection6.policy akan mendapatkan hasil kosong. Ini bukan berarti bahwa IPsec/IKE tidak dikonfigurasi pada koneksi; ini berarti bahwa tidak ada kebijakan IPsec/IKE kustom. Koneksi aktual menggunakan kebijakan default yang dinegosiasikan antara perangkat VPN lokal Anda dan gateway VPN Azure.
2. Memperbarui kebijakan IPsec/IKE untuk koneksi
Langkah-langkah untuk menambahkan kebijakan baru atau memperbarui kebijakan yang sudah ada pada koneksi itu sama: buat kebijakan baru kemudian terapkan kebijakan baru tersebut ke koneksi:
$RG1 = "TestPolicyRG1"
$Connection16 = "VNet1toSite6"
$connection6 = Get-AzVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1
$newpolicy6 = New-AzIpsecPolicy -IkeEncryption AES128 -IkeIntegrity SHA1 -DhGroup DHGroup14 -IpsecEncryption AES256 -IpsecIntegrity SHA256 -PfsGroup None -SALifeTimeSeconds 14400 -SADataSizeKilobytes 102400000
$connection6.SharedKey = "AzS123"
Set-AzVirtualNetworkGatewayConnection -VirtualNetworkGatewayConnection $connection6 -IpsecPolicies $newpolicy6
Anda bisa mendapatkan koneksi lagi untuk memeriksa apakah kebijakan telah diperbarui:
$connection6 = Get-AzVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1
$connection6.IpsecPolicies
Anda akan melihat output dari baris terakhir, seperti yang diperlihatkan dalam contoh berikut:
SALifeTimeSeconds : 14400
SADataSizeKilobytes : 102400000
IpsecEncryption : AES256
IpsecIntegrity : SHA256
IkeEncryption : AES128
IkeIntegrity : SHA1
DhGroup : DHGroup14
PfsGroup : None
3. Menghapus kebijakan IPsec/IKE dari koneksi
Setelah Anda menghapus kebijakan kustom dari koneksi, gateway Azure VPN kembali ke proposal IPsec/IKE default, dan melakukan negosiasi ulang dengan perangkat VPN lokal Anda.
$RG1 = "TestPolicyRG1"
$Connection16 = "VNet1toSite6"
$connection6 = Get-AzVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1
$connection6.SharedKey = "AzS123"
$currentpolicy = $connection6.IpsecPolicies[0]
$connection6.IpsecPolicies.Remove($currentpolicy)
Set-AzVirtualNetworkGatewayConnection -VirtualNetworkGatewayConnection $connection6
Anda dapat menggunakan skrip yang sama untuk memeriksa apakah kebijakan telah dihapus dari koneksi.