Configurare criteri IPsec/IKE per connessioni VPN da sito a sito e da rete virtuale a rete virtuale: PowerShell
Questo articolo descrive la procedura di configurazione di un criterio IPsec/IKE personalizzato per connessioni del gateway VPN da sito a sito o da rete virtuale a rete virtuale tramite PowerShell.
Workflow
Le istruzioni di questo articolo consentono di impostare e configurare criteri IPsec/IKE come illustrato nel diagramma seguente.
- Creare una rete virtuale e un gateway VPN.
- Creare un gateway di rete locale per una connessione cross-premise o un'altra rete virtuale e gateway per una connessione da rete virtuale a rete virtuale.
- Creare un criterio IPsec/IKE con gli algoritmi e i parametri selezionati.
- Creare una connessione (IPsec o da rete virtuale a rete virtuale) con il criterio IPsec/IKE.
- Aggiungere, aggiornare o rimuovere un criterio IPsec/IKE per una connessione esistente.
Parametri dei criteri
Lo standard di protocollo IPsec e IKE supporta un'ampia gamma di algoritmi di crittografia in varie combinazioni. Vedere l'articolo Informazioni sui requisiti di crittografia e Gateway VPN di Azure per informazioni su come questo può contribuire ad assicurare che la connettività cross-premise e da rete virtuale a rete virtuale soddisfi i requisiti di conformità o sicurezza. Tenere presenti le considerazioni seguenti:
- Si noti che il criterio IPsec/IKE funziona solo sugli SKU del gateway seguenti:
- VpnGw1~5 e VpnGw1AZ~5AZ
- Standard e HighPerformance
- Per una determinata connessione è possibile specificare una sola combinazione di criteri.
- È necessario specificare tutti gli algoritmi e i parametri sia per IKE (modalità principale) che per IPsec (modalità rapida). Non è consentito specificare criteri parziali.
- Consultare le specifiche del fornitore del dispositivo VPN per verificare che i criteri siano supportati dai dispositivi VPN locali. Non è possibile stabilire connessioni da sito a sito o da rete virtuale a rete virtuale se i criteri non sono compatibili.
Algoritmi crittografici e tipi di attendibilità della chiave
La tabella seguente riporta l'elenco degli algoritmi di crittografia e dei tipi di attendibilità della chiave supportati e configurabili dai clienti.
| IPsec/IKEv2 | Opzioni |
|---|---|
| Crittografia IKEv2 | GCMAES256, GCMAES128, AES256, AES192, AES128 |
| Integrità IKEv2 | SHA384, SHA256, SHA1, MD5 |
| Gruppo DH | DHGroup24, ECP384, ECP256, DHGroup14, DHGroup2048, DHGroup2, DHGroup1, None |
| Crittografia IPsec | GCMAES256, GCMAES192, GCMAES128, AES256, AES192, AES128, DES3, DES, None |
| Integrità IPsec | GCMAES256, GCMAES192, GCMAES128, SHA256, SHA1, MD5 |
| Gruppo PFS | PFS24, ECP384, ECP256, PFS2048, PFS2, PFS1, None |
| Durata dell'associazione di sicurezza in modalità rapida | (Facoltativo; valori predefiniti se non specificati) Secondi (intero; minimo 300, valore predefinito 27.000) Kilobyte (numero intero; minimo 1.024, valore predefinito 10.2400.000) |
| Selettore di traffico | UsePolicyBasedTrafficSelectors ($True o $False, ma facoltativo; valore predefinito $False se non specificato) |
| Timeout DPD | Secondi (intero; minimo 9, massimo 3.600, valore predefinito 45) |
La configurazione del dispositivo VPN locale deve contenere o corrispondere agli algoritmi e ai parametri seguenti specificati nei criteri IPsec/IKE di Azure:
- Algoritmo di crittografia IKE (modalità principale / fase 1)
- Algoritmo di integrità IKE (modalità principale / fase 1)
- Gruppo DH (modalità principale / fase 1)
- Algoritmo di crittografia IPsec (modalità rapida / fase 2)
- Algoritmo di integrità IPsec (modalità rapida / fase 2)
- Gruppo PFS (modalità rapida / fase 2)
- Selettore di traffico (se si usa
UsePolicyBasedTrafficSelectors) - Durate delle associazioni di sicurezza (specifiche locali che non devono corrispondere)
Se si usa GCMAES per l'algoritmo di crittografia IPsec, è necessario selezionare lo stesso algoritmo e la stessa lunghezza della chiave GCMAES per l'integrità IPsec. Ad esempio, usare GCMAES128 per entrambi.
Nella tabella degli algoritmi e delle chiavi:
- IKE corrisponde alla modalità principale o alla fase 1.
- IPsec corrisponde alla modalità rapida o fase 2.
- Gruppo DH specifica il gruppo Diffie-Hellman usato nella modalità principale o fase 1.
- Gruppo PFS specifica il gruppo Diffie-Hellman usato nella modalità rapida o fase 2.
Nei Gateway VPN di Azure la durata dell'associazione di sicurezza IKE in modalità principale è fissata a 28.800 secondi.
UsePolicyBasedTrafficSelectorsè un parametro facoltativo nella connessione. Se si impostaUsePolicyBasedTrafficSelectorssu$Truein una connessione, configura il gateway VPN per connettersi a un firewall VPN PolicyBased locale.Se si abilita
UsePolicyBasedTrafficSelectors, è necessario verificare che i selettori di traffico corrispondenti siano definiti nel dispositivo VPN con tutte le combinazioni dei prefissi della rete locale (gateway di rete locale) da o verso i prefissi della rete virtuale di Azure, anziché any-to-any. Il gateway VPN accetta qualsiasi selettore di traffico proposto dal gateway VPN remoto indipendentemente dalla configurazione del gateway VPN.Se i prefissi della rete locale sono 10.1.0.0/16 e 10.2.0.0/16 e i prefissi della rete virtuale sono 192.168.0.0/16 e 172.16.0.0/16, ad esempio, è necessario specificare i selettori di traffico seguenti:
- 10.1.0.0/16 <====> 192.168.0.0/16
- 10.1.0.0/16 <====> 172.16.0.0/16
- 10.2.0.0/16 <====> 192.168.0.0/16
- 10.2.0.0/16 <====> 172.16.0.0/16
Per altre informazioni sui selettori di traffico basati su criteri, vedere Connettere un gateway VPN a più dispositivi VPN locali basati su criteri.
Se si imposta il timeout su periodi più brevi, IKE viene reimpostato in modo più aggressivo. La connessione può quindi risultare disconnessa in alcune istanze. Questa situazione potrebbe non essere auspicabile se le posizioni locali sono più lontane dall'area di Azure in cui risiede il gateway VPN o quando la condizione di collegamento fisico potrebbe riscontrare una perdita di pacchetti. In genere è consigliabile impostare il timeout su valori compresi tra 30 e 45 secondi.
Nota
L'integrità IKEv2 viene usata sia per l'integrità che per la funzione pseudocasuale. Se l'algoritmo di crittografia IKEv2 specificato è GCM*, il valore passato all'integrità IKEv2 viene usato solo per la funzione pseudocasuale e in modo implicito l'integrità IKEv2 viene impostata su GCM*. In tutti gli altri casi, il valore passato all'integrità IKEv2 viene usato sia per l'integrità IKEv2 che per la funzione pseudocasuale.
Gruppi Diffie-Hellman
La tabella seguente elenca i gruppi di Diffie-Hellman corrispondenti supportati dal criterio personalizzato:
| Diffie-Hellman Group | DHGroup | PFSGroup | Lunghezza chiave |
|---|---|---|---|
| 1 | DHGroup1 | PFS1 | MODP a 768 bit |
| 2 | DHGroup2 | PFS2 | MODP a 1024 bit |
| 14 | DHGroup14 DHGroup2048 |
PFS2048 | MODP a 2048 bit |
| 19 | ECP256 | ECP256 | ECP a 256 bit |
| 20 | ECP384 | ECP384 | ECP a 384 bit |
| 24 | DHGroup24 | PFS24 | MODP a 2048 bit |
Per altre informazioni, vedere RFC3526 e RFC5114.
Creare una connessione VPN da sito a sito con i criteri IPsec/IKE
Questa sezione illustra i passaggi per la creazione di una connessione VPN da sito a sito con un criterio IPsec/IKE. La procedura seguente crea la connessione illustrata nel diagramma:
Per altre istruzioni dettagliate per la creazione di una connessione VPN da sito a sito, vedere Creare una connessione VPN da sito a sito.
È possibile eseguire i passaggi di questo esercizio usando Azure Cloud Shell nel proprio browser. Se invece si vuole usare PowerShell direttamente dal computer, installare i cmdlet di PowerShell di Azure Resource Manager. Per altre informazioni sull'installazione dei cmdlet di PowerShell, vedere Come installare e configurare Azure PowerShell.
Passaggio 1: Creare la rete virtuale, il gateway VPN e le risorse del gateway di rete locale
Se si usa Azure Cloud Shell, viene automaticamente stabilita una connessione all'account e non è necessario eseguire il comando seguente.
Se si usa PowerShell dal computer, aprire la console di PowerShell e connettersi all'account. Per altre informazioni, vedere Uso di Windows PowerShell con Gestione risorse. Per connettersi, usare l'esempio seguente:
Connect-AzAccount
Select-AzSubscription -SubscriptionName <YourSubscriptionName>
1. Dichiarare le variabili
Per questo esercizio, si inizierà dichiarando le variabili. È possibile sostituire le variabili con le proprie prima di eseguire i comandi.
$RG1 = "TestRG1"
$Location1 = "EastUS"
$VNetName1 = "TestVNet1"
$FESubName1 = "FrontEnd"
$BESubName1 = "Backend"
$GWSubName1 = "GatewaySubnet"
$VNetPrefix11 = "10.1.0.0/16"
$FESubPrefix1 = "10.1.0.0/24"
$BESubPrefix1 = "10.1.1.0/24"
$GWSubPrefix1 = "10.1.255.0/27"
$DNS1 = "8.8.8.8"
$GWName1 = "VNet1GW"
$GW1IPName1 = "VNet1GWIP1"
$GW1IPconf1 = "gw1ipconf1"
$Connection16 = "VNet1toSite6"
$LNGName6 = "Site6"
$LNGPrefix61 = "10.61.0.0/16"
$LNGPrefix62 = "10.62.0.0/16"
$LNGIP6 = "131.107.72.22"
2. Creare la rete virtuale, il gateway VPN e il gateway di rete locale
L'esempio seguente crea la rete virtuale TestVNet1 con tre subnet e il gateway VPN. Quando si sostituiscono i valori, è importante che la subnet gateway venga denominata sempre esattamente GatewaySubnet. Se si assegnano altri nomi, la creazione del gateway ha esito negativo. La creazione del gateway di rete virtuale può richiedere almeno 45 minuti. Durante questo periodo, se si usa Azure Cloud Shell, si potrebbe verificare il timeout della connessione. Ciò non influisce sul comando di creazione del gateway.
New-AzResourceGroup -Name $RG1 -Location $Location1
$fesub1 = New-AzVirtualNetworkSubnetConfig -Name $FESubName1 -AddressPrefix $FESubPrefix1
$besub1 = New-AzVirtualNetworkSubnetConfig -Name $BESubName1 -AddressPrefix $BESubPrefix1
$gwsub1 = New-AzVirtualNetworkSubnetConfig -Name $GWSubName1 -AddressPrefix $GWSubPrefix1
New-AzVirtualNetwork -Name $VNetName1 -ResourceGroupName $RG1 -Location $Location1 -AddressPrefix $VNetPrefix11 -Subnet $fesub1,$besub1,$gwsub1
$gw1pip1 = New-AzPublicIpAddress -Name $GW1IPName1 -ResourceGroupName $RG1 -Location $Location1 -AllocationMethod Dynamic
$vnet1 = Get-AzVirtualNetwork -Name $VNetName1 -ResourceGroupName $RG1
$subnet1 = Get-AzVirtualNetworkSubnetConfig -Name "GatewaySubnet" -VirtualNetwork $vnet1
$gw1ipconf1 = New-AzVirtualNetworkGatewayIpConfig -Name $GW1IPconf1 -Subnet $subnet1 -PublicIpAddress $gw1pip1
New-AzVirtualNetworkGateway -Name $GWName1 -ResourceGroupName $RG1 -Location $Location1 -IpConfigurations $gw1ipconf1 -GatewayType Vpn -VpnType RouteBased -GatewaySku VpnGw1
Creare il gateway di rete locale. Potrebbe essere necessario riconnettersi e dichiarare di nuovo le variabili seguenti se si verifica il timeout di Azure Cloud Shell.
Dichiarare le variabili.
$RG1 = "TestRG1"
$Location1 = "EastUS"
$LNGName6 = "Site6"
$LNGPrefix61 = "10.61.0.0/16"
$LNGPrefix62 = "10.62.0.0/16"
$LNGIP6 = "131.107.72.22"
$GWName1 = "VNet1GW"
$Connection16 = "VNet1toSite6"
Creare il gateway di rete locale Site6.
New-AzLocalNetworkGateway -Name $LNGName6 -ResourceGroupName $RG1 -Location $Location1 -GatewayIpAddress $LNGIP6 -AddressPrefix $LNGPrefix61,$LNGPrefix62
Passaggio 2: Creare una connessione VPN da sito a sito con un criterio IPsec/IKE
1. Creare un criterio IPsec/IKE
Lo script di esempio che segue crea un criterio IPsec/IKE con gli algoritmi e i parametri seguenti:
- IKEv2: AES256, SHA384, DHGroup24
- IPsec: AES256, SHA256, PFS nessuno, durata dell'associazione di sicurezza 14.400 secondi e 1024 KB
$ipsecpolicy6 = New-AzIpsecPolicy -IkeEncryption AES256 -IkeIntegrity SHA384 -DhGroup DHGroup24 -IpsecEncryption AES256 -IpsecIntegrity SHA256 -PfsGroup None -SALifeTimeSeconds 14400 -SADataSizeKilobytes 102400000
Se si usa GCMAES per IPsec, è necessario usare lo stesso algoritmo e la stessa lunghezza della chiave GCMAES per la crittografia e l'integrità IPsec. Per l'esempio precedente, i parametri corrispondenti saranno "-IpsecEncryption GCMAES256 -IpsecIntegrity GCMAES256" se si usa GCMAES256.
2. Creare la connessione VPN da sito a sito con i criteri IPsec/IKE
Creare una connessione VPN da sito a sito e applicare il criterio IPsec/IKE creato in precedenza.
$vnet1gw = Get-AzVirtualNetworkGateway -Name $GWName1 -ResourceGroupName $RG1
$lng6 = Get-AzLocalNetworkGateway -Name $LNGName6 -ResourceGroupName $RG1
New-AzVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1 -VirtualNetworkGateway1 $vnet1gw -LocalNetworkGateway2 $lng6 -Location $Location1 -ConnectionType IPsec -IpsecPolicies $ipsecpolicy6 -SharedKey 'AzureA1b2C3'
È possibile aggiungere facoltativamente "-UsePolicyBasedTrafficSelectors $True" al cmdlet di creazione della connessione per abilitare Gateway VPN di Azure per la connessione a dispositivi VPN locali basati su criteri.
Importante
Dopo aver specificato un criterio IPsec/IKE per una connessione, il gateway VPN di Azure invierà o accetterà la proposta IPsec/IKE con gli algoritmi di crittografia e i principali vantaggi specificati per una particolare connessione. Assicurarsi che il dispositivo VPN locale per la connessione usi o accetti l'esatta combinazione di criteri. In caso contrario, il tunnel VPN da sito a sito non verrà stabilito.
Creare una connessione da rete virtuale a rete virtuale con criteri IPsec/IKE
La procedura di creazione di una connessione da rete virtuale a rete virtuale con un criterio IPsec/IKE è simile a quella di una connessione VPN da sito a sito. Gli script di esempio seguenti creano la connessione come illustrato nel diagramma:
Per la procedura dettagliata di creazione di una connessione da rete virtuale a rete virtuale, vedere Creare una connessione tra reti virtuali .
Passaggio 1: Creare la seconda rete virtuale e un gateway VPN
1. Dichiarare le variabili
$RG2 = "TestRG2"
$Location2 = "EastUS"
$VNetName2 = "TestVNet2"
$FESubName2 = "FrontEnd"
$BESubName2 = "Backend"
$GWSubName2 = "GatewaySubnet"
$VNetPrefix21 = "10.21.0.0/16"
$VNetPrefix22 = "10.22.0.0/16"
$FESubPrefix2 = "10.21.0.0/24"
$BESubPrefix2 = "10.22.0.0/24"
$GWSubPrefix2 = "10.22.255.0/27"
$DNS2 = "8.8.8.8"
$GWName2 = "VNet2GW"
$GW2IPName1 = "VNet2GWIP1"
$GW2IPconf1 = "gw2ipconf1"
$Connection21 = "VNet2toVNet1"
$Connection12 = "VNet1toVNet2"
2. Creare la seconda rete virtuale e un gateway VPN
New-AzResourceGroup -Name $RG2 -Location $Location2
$fesub2 = New-AzVirtualNetworkSubnetConfig -Name $FESubName2 -AddressPrefix $FESubPrefix2
$besub2 = New-AzVirtualNetworkSubnetConfig -Name $BESubName2 -AddressPrefix $BESubPrefix2
$gwsub2 = New-AzVirtualNetworkSubnetConfig -Name $GWSubName2 -AddressPrefix $GWSubPrefix2
New-AzVirtualNetwork -Name $VNetName2 -ResourceGroupName $RG2 -Location $Location2 -AddressPrefix $VNetPrefix21,$VNetPrefix22 -Subnet $fesub2,$besub2,$gwsub2
$gw2pip1 = New-AzPublicIpAddress -Name $GW2IPName1 -ResourceGroupName $RG2 -Location $Location2 -AllocationMethod Dynamic
$vnet2 = Get-AzVirtualNetwork -Name $VNetName2 -ResourceGroupName $RG2
$subnet2 = Get-AzVirtualNetworkSubnetConfig -Name "GatewaySubnet" -VirtualNetwork $vnet2
$gw2ipconf1 = New-AzVirtualNetworkGatewayIpConfig -Name $GW2IPconf1 -Subnet $subnet2 -PublicIpAddress $gw2pip1
New-AzVirtualNetworkGateway -Name $GWName2 -ResourceGroupName $RG2 -Location $Location2 -IpConfigurations $gw2ipconf1 -GatewayType Vpn -VpnType RouteBased -VpnGatewayGeneration Generation2 -GatewaySku VpnGw2
Occorreranno circa 45 minuti o più per creare il gateway VPN.
Passaggio 2: Creare una connessione da rete virtuale a rete virtuale con il criterio IPsec/IKE
Come per la connessione VPN da sito a sito, creare un criterio IPsec/IKE e quindi applicarlo alla nuova connessione. Se è stato usato Azure Cloud Shell, è possibile che si sia verificato il timeout della connessione. In tal caso, riconnettersi e dichiarare di nuovo le variabili necessarie.
$GWName1 = "VNet1GW"
$GWName2 = "VNet2GW"
$RG1 = "TestRG1"
$RG2 = "TestRG2"
$Location1 = "EastUS"
$Location2 = "EastUS"
$Connection21 = "VNet2toVNet1"
$Connection12 = "VNet1toVNet2"
1. Creare i criteri IPsec/IKE
Lo script di esempio seguente crea un criterio IPsec/IKE diverso con gli algoritmi e i parametri seguenti:
- IKEv2: AES128, SHA1, DHGroup14
- IPsec: GCMAES128, GCMAES128, PFS24, durata dell'associazione di sicurezza 14400 secondi e 102400000 KB
$ipsecpolicy2 = New-AzIpsecPolicy -IkeEncryption AES128 -IkeIntegrity SHA1 -DhGroup DHGroup14 -IpsecEncryption GCMAES128 -IpsecIntegrity GCMAES128 -PfsGroup PFS24 -SALifeTimeSeconds 14400 -SADataSizeKilobytes 102400000
2. Creare connessioni da rete virtuale a rete virtuale con criteri IPsec/IKE
Creare una connessione da rete virtuale a rete virtuale e applicare il criterio IPsec/IKE creato. In questo esempio entrambi i gateway sono nella stessa sottoscrizione. È possibile creare e configurare entrambe le connessioni con lo stesso criterio IPsec/IKE nella stessa sessione di PowerShell.
$vnet1gw = Get-AzVirtualNetworkGateway -Name $GWName1 -ResourceGroupName $RG1
$vnet2gw = Get-AzVirtualNetworkGateway -Name $GWName2 -ResourceGroupName $RG2
New-AzVirtualNetworkGatewayConnection -Name $Connection12 -ResourceGroupName $RG1 -VirtualNetworkGateway1 $vnet1gw -VirtualNetworkGateway2 $vnet2gw -Location $Location1 -ConnectionType Vnet2Vnet -IpsecPolicies $ipsecpolicy2 -SharedKey 'AzureA1b2C3'
New-AzVirtualNetworkGatewayConnection -Name $Connection21 -ResourceGroupName $RG2 -VirtualNetworkGateway1 $vnet2gw -VirtualNetworkGateway2 $vnet1gw -Location $Location2 -ConnectionType Vnet2Vnet -IpsecPolicies $ipsecpolicy2 -SharedKey 'AzureA1b2C3'
Importante
Dopo aver specificato un criterio IPsec/IKE per una connessione, il gateway VPN di Azure invierà o accetterà la proposta IPsec/IKE con gli algoritmi di crittografia e i principali vantaggi specificati per una particolare connessione. Assicurarsi che i criteri IPsec per entrambe le connessioni siano gli stessi. In caso contrario, la connessione da rete virtuale a rete virtuale non verrà stabilita.
Dopo aver completato questi passaggi, la connessione verrà stabilita in pochi minuti e si avrà la topologia di rete seguente, come illustrato all'inizio:
Aggiornare i criteri IPsec/IKE per una connessione
L'ultima sezione illustra come gestire criteri IPsec/IKE per una connessione da sito a sito o da rete virtuale a rete virtuale esistente. La procedura descritta di seguito illustra le operazioni seguenti su una connessione:
- Mostrare il criterio IPsec/IKE di una connessione
- Aggiungere o aggiornare il criterio IPsec/IKE per una connessione
- Rimuovere il criterio IPsec/IKE da una connessione
Gli stessi passaggi si applicano sia alle connessioni da sito a sito sia alle connessioni da rete virtuale a rete virtuale.
Importante
Il criterio IPsec/IKE è supportato solo nei gateway VPN Standard e Prestazioni elevate basati su route di Azure. Non funziona sullo SKU per il gateway Basic o il gateway VPN basato su criteri.
1. Visualizzare i criteri IPsec/IKE per una connessione
L'esempio seguente illustra come ottenere il criterio IPsec/IKE configurato su una connessione. Gli script continuano dagli esercizi precedenti.
$RG1 = "TestRG1"
$Connection16 = "VNet1toSite6"
$connection6 = Get-AzVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1
$connection6.IpsecPolicies
L'ultimo comando elenca i criteri IPsec/IKE correnti configurati per la connessione, se esistenti. Di seguito è riportato un output di esempio per la connessione:
SALifeTimeSeconds : 14400
SADataSizeKilobytes : 102400000
IpsecEncryption : AES256
IpsecIntegrity : SHA256
IkeEncryption : AES256
IkeIntegrity : SHA384
DhGroup : DHGroup24
PfsGroup : PFS24
Se non è stato configurato alcun criterio IPsec/IKE, il comando (PS> $connection6.IpsecPolicies) non restituisce nulla. Ciò non significa che il criterio IPsec/IKE non sia configurato per la connessione, ma che non c'è alcun criterio IPsec/IKE personalizzato. La connessione effettiva usa il criterio predefinito negoziato tra il dispositivo VPN locale e il gateway VPN di Azure.
2. Aggiungere o aggiornare un criterio IPsec/IKE per una connessione
La procedura per aggiungere un nuovo criterio o aggiornare un criterio esistente per una connessione è la stessa: creare un nuovo criterio, quindi applicare il nuovo criterio alla connessione.
$RG1 = "TestRG1"
$Connection16 = "VNet1toSite6"
$connection6 = Get-AzVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1
$newpolicy6 = New-AzIpsecPolicy -IkeEncryption AES128 -IkeIntegrity SHA1 -DhGroup DHGroup14 -IpsecEncryption AES256 -IpsecIntegrity SHA256 -PfsGroup None -SALifeTimeSeconds 14400 -SADataSizeKilobytes 102400000
Set-AzVirtualNetworkGatewayConnection -VirtualNetworkGatewayConnection $connection6 -IpsecPolicies $newpolicy6
Per abilitare "UsePolicyBasedTrafficSelectors" quando ci si connette a un dispositivo VPN basato su criteri locale, aggiungere il parametro "-UsePolicyBaseTrafficSelectors" al cmdlet o impostarlo su $False per disabilitare l'opzione:
Set-AzVirtualNetworkGatewayConnection -VirtualNetworkGatewayConnection $connection6 -IpsecPolicies $newpolicy6 -UsePolicyBasedTrafficSelectors $True
Analogamente a "UsePolicyBasedTrafficSelectors", la configurazione del timeout DPD può essere eseguita all'esterno del criterio IPsec applicato:
Set-AzVirtualNetworkGatewayConnection -VirtualNetworkGatewayConnection $connection6 -IpsecPolicies $newpolicy6 -DpdTimeoutInSeconds 30
È possibile specificare sia un selettore di traffico basato su criteri che le opzioni di timeout DPD, oppure entrambi, con i criteri predefiniti, senza criteri IPsec/IKE personalizzati, se necessario.
Set-AzVirtualNetworkGatewayConnection -VirtualNetworkGatewayConnection $connection6 -UsePolicyBasedTrafficSelectors $True -DpdTimeoutInSeconds 30
È possibile ottenere di nuovo la connessione per verificare se i criteri sono aggiornati. Per controllare la presenza di criteri aggiornati per la connessione, eseguire il comando seguente.
$connection6 = Get-AzVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1
$connection6.IpsecPolicies
Output di esempio:
SALifeTimeSeconds : 14400
SADataSizeKilobytes : 102400000
IpsecEncryption : AES256
IpsecIntegrity : SHA256
IkeEncryption : AES128
IkeIntegrity : SHA1
DhGroup : DHGroup14
PfsGroup : None
3. Rimuovere un criterio IPsec/IKE da una connessione
Dopo la rimozione dei criteri personalizzati da una connessione, il gateway VPN di Azure ripristina l'elenco predefinito delle proposte IPsec/IKE e rinegozia l'handshake IKE con il dispositivo VPN locale.
$RG1 = "TestRG1"
$Connection16 = "VNet1toSite6"
$connection6 = Get-AzVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1
$currentpolicy = $connection6.IpsecPolicies[0]
$connection6.IpsecPolicies.Remove($currentpolicy)
Set-AzVirtualNetworkGatewayConnection -VirtualNetworkGatewayConnection $connection6
È possibile usare lo stesso script per verificare se il criterio è stato rimosso dalla connessione.
Domande frequenti sui criteri IPsec/IKE
Per visualizzare le domande frequenti, passare alla sezione relativa ai criteri IPsec/IKE in Domande frequenti sul gateway VPN.
Passaggi successivi
Per altri dettagli sui selettori di traffico basati su criteri, vedere l'articolo su come connettere più dispositivi VPN basati su criteri locali.