サイト間 VPN および VNet 間のカスタム IPsec/IKE 接続ポリシーを構成する: PowerShell

この記事では、PowerShell を使用して、VPN Gateway のサイト間 VPN または VNet 間接続のカスタム IPsec/IKE ポリシーを構成する手順について説明します。

ワークフロー

この記事の手順に従うと、次の図に示すように、IPsec/IKE ポリシーを設定して構成できます。

Diagram showing IPsec/IKE policy architecture.

  1. 仮想ネットワークと VPN ゲートウェイを作成します。
  2. クロスプレミス接続用のローカル ネットワーク ゲートウェイ、または VNet 間接続用の別の仮想ネットワークとゲートウェイを作成します。
  3. 選択したアルゴリズムとパラメーターを使用して IPsec/IKE ポリシーを作成します。
  4. IPsec/IKE ポリシーを使用して接続 (IPsec または VNet2VNet) を作成します。
  5. 既存の接続に対して、IPsec/IKE ポリシーを追加/更新/削除します。

ポリシー パラメーター

IPsec/IKE 標準プロトコルは、幅広い暗号アルゴリズムをさまざまな組み合わせでサポートしています。 これが、クロスプレミスと VNet 間の接続を確保して、コンプライアンスまたはセキュリティの要件を満たすためにどのように役立つかについては、「暗号化要件と Azure VPN Gateway について」を参照してください。 次の考慮事項に注意してください。

  • IPsec/IKE ポリシーは、次のゲートウェイ SKU でのみ機能します。
    • VpnGw1 から 5 および VpnGw1AZ から 5AZ
    • Standard および HighPerformance
  • ある特定の接続に対して指定できるポリシーの組み合わせは 1 つだけです。
  • IKE (メイン モード) と IPsec (クイック モード) の両方について、すべてのアルゴリズムとパラメーターを指定する必要があります。 ポリシーを部分的に指定することはできません。
  • オンプレミスの VPN デバイスでポリシーがサポートされることを、VPN デバイス ベンダーの仕様で確認してください。 ポリシーに対応していない場合、サイト間接続や VNet 間接続を確立できません。

暗号アルゴリズムとキーの強度

次の表は、サポートされている構成可能な暗号アルゴリズムとキーの強度を一覧にしたものです。

IPsec/IKEv2 [オプション]
IKEv2 暗号化 GCMAES256、GCMAES128、AES256、AES192、AES128
IKEv2 整合性 SHA384、SHA256、SHA1、MD5
DH グループ DHGroup24、ECP384、ECP256、DHGroup14、DHGroup2048、DHGroup2、DHGroup1、なし
IPsec 暗号化 GCMAES256、GCMAES192、GCMAES128、AES256、AES192、AES128、DES3、DES、なし
IPsec 整合性 GCMAES256、GCMAES192、GCMAES128、SHA256、SHA1、MD5
PFS グループ PFS24、ECP384、ECP256、PFS2048、PFS2、PFS1、なし
QM SA の有効期間 (オプション: 指定されていない場合、既定値が使用されます)
秒 (整数: 最小 300/既定値 27,000 秒)
キロバイト数 (整数: 最小 1024/既定値 102,400,000 キロバイト)
トラフィック セレクター UsePolicyBasedTrafficSelectors** ($True/$False; Optional、指定されていない場合、既定値は $False)
DPD タイムアウト 秒 (整数: 最小 9、最大 3600、既定値 45 秒)
  • ご使用のオンプレミス VPN デバイスの構成は、Azure IPsec/IKE ポリシーで指定した次のアルゴリズムおよびパラメーターと一致している (または含んでいる) 必要があります。

    • IKE 暗号化アルゴリズム (メイン モード/フェーズ 1)
    • IKE 整合性アルゴリズム (メイン モード/フェーズ 1)
    • DH グループ (メイン モード/フェーズ 1)
    • IPsec 暗号化アルゴリズム (クイック モード/フェーズ 2)
    • IPsec 整合性アルゴリズム (クイック モード/フェーズ 2)
    • PFS グループ (クイック モード/フェーズ 2)
    • トラフィック セレクター (UsePolicyBasedTrafficSelectors が使用される場合)
    • SA の有効期間はローカルの指定のみであり、一致している必要はありません。
  • IPsec 暗号化アルゴリズム用として GCMAES を使用する場合は、IPsec 整合性のため、同じ GCMAES アルゴリズムとキーの長さを選択する必要があります。たとえば、両方に GCMAES128 を使用します。

  • アルゴリズムとキーテーブルで次のようにします。

    • IKE はメイン モードまたはフェーズ 1 に対応します。
    • IPsec はクイック モードまたはフェーズ 2 に対応しています。
    • DH グループは、メイン モードまたはフェーズ 1 で使用される Diffie-Hellman グループを指定します。
    • PFS グループは、クイック モードまたはフェーズ 2 で使用される Diffie-Hellman グループを指定しました。
  • IKE メイン モード SA の有効期間は、Azure VPN ゲートウェイで 28,800 秒に固定します。

  • 'UsePolicyBasedTrafficSelectors' は、省略可能な接続に関するパラメーターです。 接続の UsePolicyBasedTrafficSelectors を $True に設定すると、Azure VPN ゲートウェイは、オンプレミスのポリシーベースの VPN ファイアウォールに接続するように構成されます。 PolicyBasedTrafficSelectors を有効にする場合は、オンプレミス ネットワーク (ローカル ネットワーク ゲートウェイ) プレフィックスと Azure Virtual Network プレフィックスのすべての組み合わせに対応するトラフィック セレクターが VPN デバイスに定義されている必要があります (any-to-any は不可)。 Azure VPN Gateway では、Azure VPN Gateway に構成されている内容に関係なく、リモート VPN Gateway によって提案されたトラフィック セレクターが受け入れられます。

    たとえば、オンプレミス ネットワークのプレフィックスが 10.1.0.0/16 と 10.2.0.0/16 で、仮想ネットワークのプレフィックスが 192.168.0.0/16 と 172.16.0.0/16 である場合、次のトラフィック セレクターを指定する必要があります。

    • 10.1.0.0/16 <====> 192.168.0.0/16
    • 10.1.0.0/16 <====> 172.16.0.0/16
    • 10.2.0.0/16 <====> 192.168.0.0/16
    • 10.2.0.0/16 <====> 172.16.0.0/16

    ポリシー ベースのトラフィック セレクターの詳細については、複数のオンプレミスのポリシー ベース VPN デバイスへの接続に関する記事を参照してください。

  • DPD タイムアウト - Azure VPN ゲートウェイでは、既定値は 45 秒です。 タイムアウトを短い期間に設定すると、IKE によるキー更新がより積極的になり、場合によっては接続が切断されているように見えます。 これは、オンプレミスの場所が VPN ゲートウェイが存在する Azure リージョンから離れている場合や、物理的なリンク条件によってパケット損失が発生する可能性がある場合には望ましくないことがあります。 一般的な推奨事項は、30 から 45 秒間のタイムアウトを設定することです。

Note

IKEv2 整合性は、整合性と PRF (擬似ランダム関数) の両方に使用されます。 指定された IKEv2 暗号化アルゴリズムが GCM* の場合、IKEv2 整合性で渡される値は PRF でのみ使用され、暗黙的に IKEv2 整合性を GCM* に設定します。 それ以外のすべてのケースでは、IKEv2 整合性で渡される値が IKEv2 整合性と PRF の両方に使用されます。

Diffie-Hellman グループ

以下の表は、カスタム ポリシーでサポートされている、対応する Diffie-Hellman グループを示したものです。

Diffie-Hellman グループ DHGroup PFSGroup キーの長さ
1 DHGroup1 PFS1 768 ビット MODP
2 DHGroup2 PFS2 1024 ビット MODP
14 DHGroup14
DHGroup2048
PFS2048 2048 ビット MODP
19 ECP256 ECP256 256 ビット ECP
20 ECP384 ECP384 384 ビット ECP
24 DHGroup24 PFS24 2048 ビット MODP

詳細については、RFC3526RFC5114 を参照してください。

IPsec/IKE ポリシーを使用してサイト間 VPN 接続を作成する

このセクションでは、IPsec/IKE ポリシーを使用して S2S VPN 接続を作成する手順について説明します。 以下の手順によって、次の図に示す接続が作成されます。

Diagram showing policy architecture.

S2S VPN 接続を作成するための詳細な手順については、S2S VPN 接続の作成に関する記事をご覧ください。

この演習の手順は、Azure Cloud Shell をブラウザーで使用して行うことができます。 代わりに PowerShell を直接コンピューターから使用したい場合は、Azure Resource Manager PowerShell コマンドレットをインストールします。 PowerShell コマンドレットのインストールの詳細については、Azure PowerShell のインストールおよび構成方法に関する記事を参照してください。

手順 1 - 仮想ネットワーク、VPN ゲートウェイ、およびローカル ネットワーク ゲートウェイ リソースを作成する

Azure Cloud Shell を使用している場合は、アカウントに自動的に接続するため、次のコマンドを実行する必要はありません。

コンピューターから PowerShell を使用する場合は、PowerShell コンソールを開き、アカウントに接続します。 詳細については、「 リソース マネージャーでの Windows PowerShell の使用」を参照してください。 接続するには、次のサンプルを参照してください。

Connect-AzAccount
Select-AzSubscription -SubscriptionName <YourSubscriptionName>

1.変数を宣言する

この練習では、最初に変数を宣言します。 コマンドの実行前に、変数を独自の変数に置き換えることができます。

$RG1           = "TestRG1"
$Location1     = "EastUS"
$VNetName1     = "TestVNet1"
$FESubName1    = "FrontEnd"
$BESubName1    = "Backend"
$GWSubName1    = "GatewaySubnet"
$VNetPrefix11  = "10.1.0.0/16"
$FESubPrefix1  = "10.1.0.0/24"
$BESubPrefix1  = "10.1.1.0/24"
$GWSubPrefix1  = "10.1.255.0/27"
$DNS1          = "8.8.8.8"
$GWName1       = "VNet1GW"
$GW1IPName1    = "VNet1GWIP1"
$GW1IPconf1    = "gw1ipconf1"
$Connection16  = "VNet1toSite6"
$LNGName6      = "Site6"
$LNGPrefix61   = "10.61.0.0/16"
$LNGPrefix62   = "10.62.0.0/16"
$LNGIP6        = "131.107.72.22"

2. 仮想ネットワーク、VPN ゲートウェイ、およびローカル ネットワーク ゲートウェイを作成する

次の例では、3 つのサブネットを持つ仮想ネットワーク TestVNet1 と VPN ゲートウェイを作成します。 値を代入するときは、ゲートウェイの名前を必ず GatewaySubnet にすることが重要です。 別の名前にすると、ゲートウェイの作成は失敗します。 仮想ネットワーク ゲートウェイの作成には、45 分以上かかる場合があります。 この間に、Azure Cloud Shell を使用していると、接続がタイムアウトになる可能性があります。これはゲートウェイ作成コマンドには影響しません。

New-AzResourceGroup -Name $RG1 -Location $Location1

$fesub1 = New-AzVirtualNetworkSubnetConfig -Name $FESubName1 -AddressPrefix $FESubPrefix1
$besub1 = New-AzVirtualNetworkSubnetConfig -Name $BESubName1 -AddressPrefix $BESubPrefix1
$gwsub1 = New-AzVirtualNetworkSubnetConfig -Name $GWSubName1 -AddressPrefix $GWSubPrefix1

New-AzVirtualNetwork -Name $VNetName1 -ResourceGroupName $RG1 -Location $Location1 -AddressPrefix $VNetPrefix11 -Subnet $fesub1,$besub1,$gwsub1

$gw1pip1 = New-AzPublicIpAddress -Name $GW1IPName1 -ResourceGroupName $RG1 -Location $Location1 -AllocationMethod Dynamic
$vnet1 = Get-AzVirtualNetwork -Name $VNetName1 -ResourceGroupName $RG1
$subnet1 = Get-AzVirtualNetworkSubnetConfig -Name "GatewaySubnet" -VirtualNetwork $vnet1
$gw1ipconf1 = New-AzVirtualNetworkGatewayIpConfig -Name $GW1IPconf1 -Subnet $subnet1 -PublicIpAddress $gw1pip1

New-AzVirtualNetworkGateway -Name $GWName1 -ResourceGroupName $RG1 -Location $Location1 -IpConfigurations $gw1ipconf1 -GatewayType Vpn -VpnType RouteBased -GatewaySku VpnGw1

ローカル ネットワーク ゲートウェイを作成します。 Azure Cloud Shell がタイムアウトした場合は、再接続して次の変数をもう一度宣言する必要がある場合があります。

変数を宣言します。

$RG1           = "TestRG1"
$Location1     = "EastUS"
$LNGName6      = "Site6"
$LNGPrefix61   = "10.61.0.0/16"
$LNGPrefix62   = "10.62.0.0/16"
$LNGIP6        = "131.107.72.22"
$GWName1       = "VNet1GW"
$Connection16  = "VNet1toSite6"

ローカル ネットワーク ゲートウェイの Site6 を作成します。

New-AzLocalNetworkGateway -Name $LNGName6 -ResourceGroupName $RG1 -Location $Location1 -GatewayIpAddress $LNGIP6 -AddressPrefix $LNGPrefix61,$LNGPrefix62

手順 2 - IPsec/IKE ポリシーを使用して S2S VPN 接続を作成する

1.IPsec/IKE ポリシーの作成

次のサンプル スクリプトは、次のアルゴリズムとパラメーターを使用して IPsec/IKE ポリシーを作成します。

  • IKEv2:AES256、SHA384、DHGroup24
  • IPsec: AES256、SHA256、PFS なし、SA の有効期間 14,400 秒および 102,400,000 KB
$ipsecpolicy6 = New-AzIpsecPolicy -IkeEncryption AES256 -IkeIntegrity SHA384 -DhGroup DHGroup24 -IpsecEncryption AES256 -IpsecIntegrity SHA256 -PfsGroup None -SALifeTimeSeconds 14400 -SADataSizeKilobytes 102400000

IPsec に GCMAES を使用する場合、IPsec 暗号化と整合性の両方で同じ GCMAES アルゴリズムとキーの長さを使用する必要があります。 上記の例では、GCMAES256 を使用した場合、該当するパラメーターは "-IpsecEncryption GCMAES256 -IpsecIntegrity GCMAES256" になります。

2.IPsec/IKE ポリシーを使用して S2S VPN 接続を作成する

S2S VPN 接続を作成し、上記で作成した IPsec/IKE ポリシーを適用します。

$vnet1gw = Get-AzVirtualNetworkGateway -Name $GWName1  -ResourceGroupName $RG1
$lng6 = Get-AzLocalNetworkGateway  -Name $LNGName6 -ResourceGroupName $RG1

New-AzVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1 -VirtualNetworkGateway1 $vnet1gw -LocalNetworkGateway2 $lng6 -Location $Location1 -ConnectionType IPsec -IpsecPolicies $ipsecpolicy6 -SharedKey 'AzureA1b2C3'

必要に応じて、接続作成コマンドレットに "-UsePolicyBasedTrafficSelectors $True" を追加して、Azure VPN ゲートウェイがポリシー ベースのオンプレミス VPN デバイスに接続できるようにします。

重要

接続に IPsec/IKE ポリシーを指定すると、Azure VPN ゲートウェイは、その特定の接続に対して指定された暗号アルゴリズムとキーの強度を使用する IPsec/IKE 提案のみを送受信します。 接続するオンプレミスの VPN デバイスが、ポリシーの完全な組み合わせを使用するか受け入れることを確認する必要があります。それ以外の場合、S2S VPN トンネルは確立されません。

IPsec/IKE ポリシーを使用して VNet 間接続を作成する

IPsec/IKE ポリシーを使用した VNet-to-VNet 接続の作成手順は、S2S VPN 接続の作成手順に似ています。 以下のサンプル スクリプトは、次の図に示す接続を作成します。

Diagram shows vnet-to-vnet architecture.

VNet 間の接続を作成するための詳細な手順については、VNet-to-VNet 接続の作成に関する記事を参照してください。

手順 1: 2 つ目の仮想ネットワークと VPN ゲートウェイを作成する

1.変数を宣言する

$RG2          = "TestRG2"
$Location2    = "EastUS"
$VNetName2    = "TestVNet2"
$FESubName2   = "FrontEnd"
$BESubName2   = "Backend"
$GWSubName2   = "GatewaySubnet"
$VNetPrefix21 = "10.21.0.0/16"
$VNetPrefix22 = "10.22.0.0/16"
$FESubPrefix2 = "10.21.0.0/24"
$BESubPrefix2 = "10.22.0.0/24"
$GWSubPrefix2 = "10.22.255.0/27"
$DNS2         = "8.8.8.8"
$GWName2      = "VNet2GW"
$GW2IPName1   = "VNet2GWIP1"
$GW2IPconf1   = "gw2ipconf1"
$Connection21 = "VNet2toVNet1"
$Connection12 = "VNet1toVNet2"

2. 2 つ目の仮想ネットワークと VPN ゲートウェイを作成する

New-AzResourceGroup -Name $RG2 -Location $Location2

$fesub2 = New-AzVirtualNetworkSubnetConfig -Name $FESubName2 -AddressPrefix $FESubPrefix2
$besub2 = New-AzVirtualNetworkSubnetConfig -Name $BESubName2 -AddressPrefix $BESubPrefix2
$gwsub2 = New-AzVirtualNetworkSubnetConfig -Name $GWSubName2 -AddressPrefix $GWSubPrefix2

New-AzVirtualNetwork -Name $VNetName2 -ResourceGroupName $RG2 -Location $Location2 -AddressPrefix $VNetPrefix21,$VNetPrefix22 -Subnet $fesub2,$besub2,$gwsub2

$gw2pip1    = New-AzPublicIpAddress -Name $GW2IPName1 -ResourceGroupName $RG2 -Location $Location2 -AllocationMethod Dynamic
$vnet2      = Get-AzVirtualNetwork -Name $VNetName2 -ResourceGroupName $RG2
$subnet2    = Get-AzVirtualNetworkSubnetConfig -Name "GatewaySubnet" -VirtualNetwork $vnet2
$gw2ipconf1 = New-AzVirtualNetworkGatewayIpConfig -Name $GW2IPconf1 -Subnet $subnet2 -PublicIpAddress $gw2pip1

New-AzVirtualNetworkGateway -Name $GWName2 -ResourceGroupName $RG2 -Location $Location2 -IpConfigurations $gw2ipconf1 -GatewayType Vpn -VpnType RouteBased -VpnGatewayGeneration Generation2 -GatewaySku VpnGw2

VPN ゲートウェイの作成には、約 45 分かかります。

手順 2: IPsec/IKE ポリシーを使用して VNet 間接続を作成する

サイト間 VPN 接続と同じように、IPsec/IKE ポリシーを作成して、新しい接続にポリシーを適用します。 Azure Cloud Shell を使用していた場合は、接続がタイムアウトしている可能性があります。その場合は、もう一度接続して、必要な変数をもう一度指定します。

$GWName1 = "VNet1GW"
$GWName2 = "VNet2GW"
$RG1     = "TestRG1"
$RG2     = "TestRG2"
$Location1     = "EastUS"
$Location2    = "EastUS"
$Connection21 = "VNet2toVNet1"
$Connection12 = "VNet1toVNet2"

1. IPsec/IKE ポリシーを作成する

次のサンプル スクリプトは、次のアルゴリズムとパラメーターを使用して別の IPsec/IKE ポリシーを作成します。

  • IKEv2:AES128、SHA1、DHGroup14
  • IPsec: GCMAES128、GCMAES128、PFS24、SA 有効期間 14,400 秒、102,400,000 KB
$ipsecpolicy2 = New-AzIpsecPolicy -IkeEncryption AES128 -IkeIntegrity SHA1 -DhGroup DHGroup14 -IpsecEncryption GCMAES128 -IpsecIntegrity GCMAES128 -PfsGroup PFS24 -SALifeTimeSeconds 14400 -SADataSizeKilobytes 102400000

2.IPsec/IKE ポリシーを使用して、VNet-to-VNet 接続を作成する

VNet 間の接続を作成し、作成済みの IPsec/IKE ポリシーを適用します。 この例では、両方のゲートウェイが同じサブスクリプションにあります。 そのため、同じ IPsec/IKE ポリシーを使用して、同じ PowerShell セッションで両方の接続を作成して構成することができます。

$vnet1gw = Get-AzVirtualNetworkGateway -Name $GWName1  -ResourceGroupName $RG1
$vnet2gw = Get-AzVirtualNetworkGateway -Name $GWName2  -ResourceGroupName $RG2

New-AzVirtualNetworkGatewayConnection -Name $Connection12 -ResourceGroupName $RG1 -VirtualNetworkGateway1 $vnet1gw -VirtualNetworkGateway2 $vnet2gw -Location $Location1 -ConnectionType Vnet2Vnet -IpsecPolicies $ipsecpolicy2 -SharedKey 'AzureA1b2C3'

New-AzVirtualNetworkGatewayConnection -Name $Connection21 -ResourceGroupName $RG2 -VirtualNetworkGateway1 $vnet2gw -VirtualNetworkGateway2 $vnet1gw -Location $Location2 -ConnectionType Vnet2Vnet -IpsecPolicies $ipsecpolicy2 -SharedKey 'AzureA1b2C3'

重要

接続に IPsec/IKE ポリシーを指定すると、Azure VPN ゲートウェイは、その特定の接続に対して指定された暗号アルゴリズムとキーの強度を使用する IPsec/IKE 提案のみを送受信します。 両方の接続の IPsec ポリシーが同じであることを確認してください。それ以外の場合、VNet 間の接続は確立されません。

これらの手順を完了すると、数分後に接続が確立されて、この記事の最初に示したように、次のネットワーク トポロジが設定されます。

Diagram shows IPsec/IKE policy.

接続の IPsec/IKE ポリシーを更新する

最後のセクションでは、既存の S2S または VNet 間接続の IPsec/IKE ポリシーを管理する方法を示します。 ここからは、接続に対する次の操作について説明します。

  1. 接続の IPsec/IKE ポリシーを表示する
  2. 接続に IPsec/IKE ポリシーを追加する、またはポリシーを更新する
  3. 接続から IPsec/IKE ポリシーを削除する

S2S 接続と VNet-to-VNet 接続の両方に同じ手順が適用されます。

重要

IPsec/IKE ポリシーは、"Standard" および "HighPerformance" のルート ベースの VPN ゲートウェイでのみサポートされています。 Basic ゲートウェイ SKU またはポリシー ベースの VPN ゲートウェイでは機能しません。

1. 接続の IPsec/IKE ポリシーを表示する

次の例は、接続に構成されている IPsec/IKE ポリシーを取得する方法を示しています。 これらのスクリプトは、ここまでの手順の続きでもあります。

$RG1          = "TestRG1"
$Connection16 = "VNet1toSite6"
$connection6  = Get-AzVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1
$connection6.IpsecPolicies

最後のコマンドにより、接続に対して構成されている現在の IPsec/IKE ポリシーが表示されます (存在する場合)。 次の例は、接続の出力サンプルです。

SALifeTimeSeconds   : 14400
SADataSizeKilobytes : 102400000
IpsecEncryption     : AES256
IpsecIntegrity      : SHA256
IkeEncryption       : AES256
IkeIntegrity        : SHA384
DhGroup             : DHGroup24
PfsGroup            : PFS24

構成された IPsec/IKE ポリシーがない場合、コマンド (PS> $connection6.IpsecPolicies) は何も返しません。 これは、接続に対して IPsec/IKE が構成されていないという意味ではなく、カスタム IPsec/IKE ポリシーが存在しないことを意味します。 実際の接続では、オンプレミスの VPN デバイスと Azure VPN ゲートウェイの間でネゴシエートされる既定のポリシーが使用されます。

2.IPsec/IKE ポリシーを接続に追加するか、ポリシーを更新する

接続に新しいポリシーを追加する手順と既存のポリシーを更新する手順は同じです。つまり、新しいポリシーを作成した後、新しいポリシーを接続に適用します。

$RG1          = "TestRG1"
$Connection16 = "VNet1toSite6"
$connection6  = Get-AzVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1

$newpolicy6   = New-AzIpsecPolicy -IkeEncryption AES128 -IkeIntegrity SHA1 -DhGroup DHGroup14 -IpsecEncryption AES256 -IpsecIntegrity SHA256 -PfsGroup None -SALifeTimeSeconds 14400 -SADataSizeKilobytes 102400000

Set-AzVirtualNetworkGatewayConnection -VirtualNetworkGatewayConnection $connection6 -IpsecPolicies $newpolicy6

"UsePolicyBasedTrafficSelectors" を有効にしてオンプレミスのポリシー ベースの VPN デバイスに接続するには、"-UsePolicyBaseTrafficSelectors" パラメーターをコマンドレットに追加するか、$False を設定してこのオプションを無効にします。

Set-AzVirtualNetworkGatewayConnection -VirtualNetworkGatewayConnection $connection6 -IpsecPolicies $newpolicy6 -UsePolicyBasedTrafficSelectors $True

"UsePolicyBasedTrafficSelectors" と同様に、DPD タイムアウトの構成は、適用されている IPsec ポリシーの外部で実行できます。

Set-AzVirtualNetworkGatewayConnection -VirtualNetworkGatewayConnection $connection6 -IpsecPolicies $newpolicy6 -DpdTimeoutInSeconds 30

[ポリシー ベースのトラフィック セレクター][DPD タイムアウト] の両方またはどちらかのオプションは、カスタム IPsec/IKE ポリシーを使用することなく、[既定] のポリシーを使用して指定できます (必要な場合)。

Set-AzVirtualNetworkGatewayConnection -VirtualNetworkGatewayConnection $connection6 -UsePolicyBasedTrafficSelectors $True -DpdTimeoutInSeconds 30 

接続をもう一度取得して、ポリシーが更新されていることを確認できます。 更新されたポリシーの接続を確認する場合は、次のコマンドを実行します。

$connection6  = Get-AzVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1
$connection6.IpsecPolicies

出力例:

SALifeTimeSeconds   : 14400
SADataSizeKilobytes : 102400000
IpsecEncryption     : AES256
IpsecIntegrity      : SHA256
IkeEncryption       : AES128
IkeIntegrity        : SHA1
DhGroup             : DHGroup14
PfsGroup            : None

3.接続から IPsec/IKE ポリシーを削除する

接続からカスタム ポリシーが削除されると、Azure VPN ゲートウェイは IPsec/IKE 提案の既定のリストに戻り、オンプレミスの VPN デバイスとの再ネゴシエーションを再び実行します。

$RG1           = "TestRG1"
$Connection16  = "VNet1toSite6"
$connection6   = Get-AzVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1

$currentpolicy = $connection6.IpsecPolicies[0]
$connection6.IpsecPolicies.Remove($currentpolicy)

Set-AzVirtualNetworkGatewayConnection -VirtualNetworkGatewayConnection $connection6

同じスクリプトを使用して、接続からポリシーが削除されたかどうかを確認できます。

IPsec/IKE ポリシーに関する FAQ

よく寄せられる質問を表示するには、VPN Gateway FAQ の IPsec/IKE ポリシー セクションに移動してください。

次のステップ

ポリシー ベースのトラフィック セレクターの詳細については、複数のオンプレミスのポリシー ベースの VPN デバイスへの接続に関する記事を参照してください。