다음을 통해 공유


S2S VPN 및 VNet-VNet에 대한 사용자 지정 IPsec/IKE 연결 정책 구성: PowerShell

이 문서에서는 PowerShell을 사용하여 VPN Gateway 사이트 간 VPN 또는 VNet 간 연결에 대한 사용자 지정 IPsec/IKE 정책을 구성하는 단계를 안내합니다.

워크플로

이 문서의 지침은 다음 다이어그램에 표시된 대로 IPsec/IKE 정책을 설정하고 구성하는 데 도움이 됩니다.

VNet 간 및 사이트 간 VPN 게이트웨이 모두에 대한 IPsec/IKE 정책을 보여 주는 다이어그램

  1. 가상 네트워크 및 VPN 게이트웨이를 만듭니다.
  2. 프레미스 간 연결에 대한 로컬 네트워크 게이트웨이 또는 VNet 간 연결에 대한 다른 가상 네트워크 및 게이트웨이를 만듭니다.
  3. 선택한 알고리즘 및 매개 변수를 사용하여 IPsec/IKE 정책을 만듭니다.
  4. IPsec/IKE 정책을 사용하여 연결(IPsec 또는 VNet 간)을 만듭니다.
  5. 기존 연결에 대한 IPsec/IKE 정책을 추가/업데이트/제거합니다.

정책 매개 변수

IPsec 및 IKE 프로토콜 표준은 다양하게 결합된 다양한 암호화 알고리즘을 지원합니다. 이러한 지원이 어떻게 프레미스 간 및 VNet 간 연결이 규정 준수 또는 보안 요구 사항을 충족하도록 하는 데 도움이 될 수 있는지를 확인하려면 암호화 요구 사항 및 Azure VPN Gateway 정보를 참조하세요. 다음 고려 사항에 유의하시기 바랍니다.

  • IPsec/IKE 정책은 다음 게이트웨이 SKU에만 작동합니다.
    • VpnGw1~5 및 VpnGw1AZ~5AZ
    • 표준고성능
  • 지정된 연결에 대해 one 정책 조합만 지정할 수 있습니다.
  • IKE(주 모드)와 IPsec(빠른 모드) 둘 다에 대한 모든 알고리즘 및 매개 변수를 지정해야 합니다. 부분적인 정책 사양은 허용되지 않습니다.
  • 해당 VPN 디바이스 공급업체 사양을 참조하여 정책이 해당 온-프레미스 VPN 디바이스에서 지원되는지 확인하세요. 정책이 호환되지 않는 경우 S2S 또는 VNet 간 연결을 설정할 수 없습니다.

암호화 알고리즘 및 키 강도

다음 표에는 지원되는 구성 가능한 암호화 알고리즘 및 키 강도가 나와 있습니다.

IPsec/IKEv2 옵션
IKEv2 암호화 GCMAES256, GCMAES128, AES256, AES192, AES128
IKEv2 무결성 SHA384, SHA256, SHA1, MD5
DH 그룹 DHGroup24, ECP384, ECP256, DHGroup14, DHGroup2048, DHGroup2, DHGroup1, 없음
IPsec 암호화 GCMAES256, GCMAES192, GCMAES128, AES256, AES192, AES128, DES3, DES, 없음
IPsec 무결성 GCMAES256, GCMAES192, GCMAES128, SHA256, SHA1, MD5
PFS 그룹 PFS24, ECP384, ECP256, PFS2048, PFS2, PFS1, 없음
빠른 모드 SA 수명 (선택 사항, 지정하지 않은 경우 기본값)
초(정수, 최소 300, 기본값 27,000)
킬로바이트(정수, 최소 1,024, 기본값 10,2400,000)
트래픽 선택기 UsePolicyBasedTrafficSelectors($True 또는 $False, 그러나 선택 사항, 지정되지 않은 경우 기본값은 $False)
DPD 제한 시간 초(정수, 최소 9, 최대 3,600, 기본값 45)
  • 온-프레미스 VPN 디바이스 구성은 Azure IPsec 또는 IKE 정책에서 지정한 다음 알고리즘 및 매개 변수가 일치하거나 포함해야 합니다.

    • IKE 암호화 알고리즘(기본 모드, 1단계)
    • IKE 무결성 알고리즘(기본 모드, 1단계)
    • DH 그룹(기본 모드, 1단계)
    • IPsec 암호화 알고리즘(빠른 모드, 2단계)
    • IPsec 무결성 알고리즘(빠른 모드, 2단계)
    • PFS 그룹(빠른 모드, 2단계)
    • 트래픽 선택기(UsePolicyBasedTrafficSelectors를 사용하는 경우)
    • SA 수명(일치하지 않아도 되는 로컬 사양)
  • IPsec 암호화 알고리즘에 GCMAES를 사용하는 경우 IPsec 무결성을 위해 동일한 GCMAES 알고리즘과 키 길이를 선택해야 합니다. 예를 들어, 두 가지 모두에 GCMAES128을 사용합니다.

  • 알고리즘 및 키 표에서:

    • IKE는 주 모드 또는 1단계에 해당합니다.
    • IPsec은 빠른 모드 또는 2단계에 해당합니다.
    • DH 그룹은 기본 모드 또는 1단계에서 사용되는 Diffie-Hellman 그룹을 지정합니다.
    • PFS 그룹은 빠른 모드 또는 2단계에서 사용되는 Diffie-Hellman 그룹을 지정했습니다.
  • IKE 주 모드 SA 수명은 Azure VPN Gateways에서 28,800초로 고정됩니다.

  • UsePolicyBasedTrafficSelectors는 연결에 대한 선택적 매개 변수입니다. 연결에서 UsePolicyBasedTrafficSelectors$True로 설정하면 VPN Gateway가 온-프레미스 정책 기반 VPN 방화벽에 연결되도록 구성됩니다.

    UsePolicyBasedTrafficSelectors를 사용하도록 설정하는 경우 VPN 디바이스에 다대다 대신 Azure 가상 네트워크 접두사에 대한 온-프레미스 네트워크(로컬 네트워크 게이트웨이) 접두사의 모든 조합으로 정의된 일치하는 트래픽 선택기가 있는지 확인합니다. VPN Gateway는 VPN Gateway에 구성된 내용에 관계없이 원격 VPN Gateway가 제안하는 모든 트래픽 선택기를 허용합니다.

    예를 들어 온-프레미스 네트워크 접두사가 10.1.0.0/16 및 10.2.0.0/16이고 가상 네트워크 접두사가 192.168.0.0/16 및 172.16.0.0/16이면 다음 트래픽 선택기를 지정해야 합니다.

    • 10.1.0.0/16 <====> 192.168.0.0/16
    • 10.1.0.0/16 <====> 172.16.0.0/16
    • 10.2.0.0/16 <====> 192.168.0.0/16
    • 10.2.0.0/16 <====> 172.16.0.0/16

    정책 기반 트래픽 선택기에 대한 자세한 내용은 여러 온-프레미스 정책 기반 VPN 디바이스에 VPN Gateway 연결을 참조하세요.

  • 시간 제한을 더 짧은 기간으로 설정하면 IKE가 더 적극적으로 키를 다시 입력하게 됩니다. 그러면 어떤 경우에는 연결이 끊어진 것처럼 보일 수 있습니다. 온-프레미스 위치가 VPN Gateway가 있는 Azure 지역에서 멀리 떨어져 있거나 실제 링크 조건으로 인해 패킷 손실이 발생할 수 있는 경우에는 이러한 상황이 바람직하지 않을 수 있습니다. 일반적으로 시간 제한을 30~45초로 설정하는 것이 좋습니다.

참고 항목

IKEv2 무결성은 무결성 및 PRF(의사 임의 함수)에 모두 사용됩니다. 지정된 IKEv2 암호화 알고리즘이 GCM*인 경우 IKEv2 무결성에 전달된 값은 PRF에만 사용되며 암시적으로 IKEv2 무결성을 GCM*으로 설정합니다. 다른 모든 경우에서 IKEv2 무결성에 전달된 값은 IKEv2 무결성 및 PRF 모두에 사용됩니다.

Diffie-Hellman 그룹

다음 표에는 사용자 지정 정책에서 지원하는 해당 Diffie-hellman 그룹이 나열되어 있습니다.

Diffie-Hellman 그룹 DHGroup PFSGroup 키 길이
1 DHGroup1 PFS1 768비트 MODP
2 DHGroup2 PFS2 1024비트 MODP
14 DHGroup14
DHGroup2048
PFS2048 2048비트 MODP
19 ECP256 ECP256 256비트 ECP
20 ECP384 ECP384 384비트 ECP
24 DHGroup24 PFS24 2048비트 MODP

자세한 내용은 RFC3526RFC5114를 참조하세요.

IPsec/IKE 정책을 사용하여 S2S VPN 연결 만들기

이 섹션에서는 IPsec/IKE 정책을 사용하여 S2S VPN 연결을 만드는 단계를 안내합니다. 다음 단계에서는 다음 다이어그램에 표시된 대로 연결을 만듭니다.

정책 아키텍처를 보여 주는 다이어그램.

S2S VPN 연결을 만드는 자세한 단계별 지침은 S2S VPN 연결 만들기를 참조하세요.

브라우저에서 Azure Cloud Shell을 사용하여 이 연습의 단계를 실행할 수 있습니다. 대신 컴퓨터에서 직접 PowerShell을 사용하려면 Azure Resource Manager PowerShell cmdlet을 설치합니다. PowerShell cmdlet 설치에 대한 자세한 내용은 Azure PowerShell 설치 및 구성 방법을 참조하세요.

1단계 - 가상 네트워크, VPN 게이트웨이 및 로컬 네트워크 게이트웨이 리소스 만들기

Azure Cloud Shell을 사용하는 경우 계정에 자동으로 연결되므로 다음 명령을 실행할 필요가 없습니다.

컴퓨터에서 PowerShell을 사용하는 경우 PowerShell 콘솔을 열고 계정에 연결합니다. 자세한 내용은 리소스 관리자에서 Windows PowerShell 사용을 참조하세요. 연결에 도움이 되도록 다음 샘플을 사용합니다.

Connect-AzAccount
Select-AzSubscription -SubscriptionName <YourSubscriptionName>

1. 변수 선언

이 연습에서는 먼저 변수를 선언합니다. 명령을 실행하기 전에 변수를 사용자 고유의 변수로 바꿀 수 있습니다.

$RG1           = "TestRG1"
$Location1     = "EastUS"
$VNetName1     = "TestVNet1"
$FESubName1    = "FrontEnd"
$BESubName1    = "Backend"
$GWSubName1    = "GatewaySubnet"
$VNetPrefix11  = "10.1.0.0/16"
$FESubPrefix1  = "10.1.0.0/24"
$BESubPrefix1  = "10.1.1.0/24"
$GWSubPrefix1  = "10.1.255.0/27"
$DNS1          = "8.8.8.8"
$GWName1       = "VNet1GW"
$GW1IPName1    = "VNet1GWIP1"
$GW1IPconf1    = "gw1ipconf1"
$Connection16  = "VNet1toSite6"
$LNGName6      = "Site6"
$LNGPrefix61   = "10.61.0.0/16"
$LNGPrefix62   = "10.62.0.0/16"
$LNGIP6        = "131.107.72.22"

2. 가상 네트워크, VPN 게이트웨이 및 로컬 네트워크 게이트웨이 만들기

다음 샘플은 세 개의 서브넷과 VPN 게이트웨이가 있는 가상 네트워크 TestVNet1을 만듭니다. 값을 대체할 때 언제나 게이트웨이 서브넷 이름을 GatewaySubnet라고 명시적으로 지정해야 합니다. 다른 이름을 지정하는 경우 게이트웨이 만들기가 실패합니다. 가상 네트워크 게이트웨이를 만드는 데에는 45분 이상이 걸릴 수 있습니다. 이 시간 동안 Azure Cloud Shell을 사용하는 경우 연결 시간이 초과되었을 수 있습니다. 이는 게이트웨이 만들기 명령에는 영향을 주지 않습니다.

New-AzResourceGroup -Name $RG1 -Location $Location1

$fesub1 = New-AzVirtualNetworkSubnetConfig -Name $FESubName1 -AddressPrefix $FESubPrefix1
$besub1 = New-AzVirtualNetworkSubnetConfig -Name $BESubName1 -AddressPrefix $BESubPrefix1
$gwsub1 = New-AzVirtualNetworkSubnetConfig -Name $GWSubName1 -AddressPrefix $GWSubPrefix1

New-AzVirtualNetwork -Name $VNetName1 -ResourceGroupName $RG1 -Location $Location1 -AddressPrefix $VNetPrefix11 -Subnet $fesub1,$besub1,$gwsub1

$gw1pip1 = New-AzPublicIpAddress -Name $GW1IPName1 -ResourceGroupName $RG1 -Location $Location1 -AllocationMethod Dynamic
$vnet1 = Get-AzVirtualNetwork -Name $VNetName1 -ResourceGroupName $RG1
$subnet1 = Get-AzVirtualNetworkSubnetConfig -Name "GatewaySubnet" -VirtualNetwork $vnet1
$gw1ipconf1 = New-AzVirtualNetworkGatewayIpConfig -Name $GW1IPconf1 -Subnet $subnet1 -PublicIpAddress $gw1pip1

New-AzVirtualNetworkGateway -Name $GWName1 -ResourceGroupName $RG1 -Location $Location1 -IpConfigurations $gw1ipconf1 -GatewayType Vpn -VpnType RouteBased -GatewaySku VpnGw1

로컬 네트워크 게이트웨이를 만듭니다. Azure Cloud Shell 시간이 초과된 경우 다음 변수를 다시 연결하고 선언해야 할 수 있습니다.

변수를 선언합니다.

$RG1           = "TestRG1"
$Location1     = "EastUS"
$LNGName6      = "Site6"
$LNGPrefix61   = "10.61.0.0/16"
$LNGPrefix62   = "10.62.0.0/16"
$LNGIP6        = "131.107.72.22"
$GWName1       = "VNet1GW"
$Connection16  = "VNet1toSite6"

로컬 네트워크 게이트웨이 Site6을 만듭니다.

New-AzLocalNetworkGateway -Name $LNGName6 -ResourceGroupName $RG1 -Location $Location1 -GatewayIpAddress $LNGIP6 -AddressPrefix $LNGPrefix61,$LNGPrefix62

2단계 - IPsec/IKE 정책을 사용하여 S2S VPN 연결 만들기

1. IPsec/IKE 정책 만들기

다음 샘플 스크립트는 다음 알고리즘 및 매개 변수를 사용하여 IPsec/IKE 정책을 만듭니다.

  • IKEv2: AES256, SHA384, DHGroup24
  • IPsec: AES256, SHA256, PFS 없음, SA 수명 14400초 및 102400000KB
$ipsecpolicy6 = New-AzIpsecPolicy -IkeEncryption AES256 -IkeIntegrity SHA384 -DhGroup DHGroup24 -IpsecEncryption AES256 -IpsecIntegrity SHA256 -PfsGroup None -SALifeTimeSeconds 14400 -SADataSizeKilobytes 102400000

IPsec으로 GCMAES를 사용하는 경우 IPsec 암호화 및 무결성 모두에 대해 동일한 GCMAES 알고리즘 및 키 길이를 사용해야 합니다. 위 예제의 경우 GCMAES256 사용 시 해당 매개 변수는 "-IpsecEncryption GCMAES256 -IpsecIntegrity GCMAES256"이 됩니다.

2. IPsec/IKE 정책을 사용하여 S2S VPN 연결 만들기

S2S VPN 연결을 만들고 이전에 만든 IPsec/IKE 정책을 적용합니다.

$vnet1gw = Get-AzVirtualNetworkGateway -Name $GWName1  -ResourceGroupName $RG1
$lng6 = Get-AzLocalNetworkGateway  -Name $LNGName6 -ResourceGroupName $RG1

New-AzVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1 -VirtualNetworkGateway1 $vnet1gw -LocalNetworkGateway2 $lng6 -Location $Location1 -ConnectionType IPsec -IpsecPolicies $ipsecpolicy6 -SharedKey 'AzureA1b2C3'

필요에 따라 “-UsePolicyBasedTrafficSelectors $True”를 추가하여 Azure VPN 게이트웨이가 정책 기반 온-프레미스 VPN 디바이스에 연결할 수 있도록 할 수 있습니다.

Important

연결에 IPsec/IKE 정책이 지정되고 나면 Azure VPN Gateway는 해당 특정 연결에 지정된 암호화 알고리즘 및 키 수준으로 된 IPsec/IKE 제안만 보내거나 수락합니다. 연결에 대한 온-프레미스 VPN 디바이스에서 정확한 정책 조합을 사용하거나 수락하는지 확인합니다. 그러지 않으면 S2S VPN 터널이 설정되지 않습니다.

IPsec/IKE 정책을 사용하여 VNet 간 연결 만들기

IPsec/IKE 정책을 사용하여 VNet 간 연결을 만드는 단계는 S2S VPN 연결을 만드는 단계와 유사합니다. 다음 샘플 스크립트는 다음 다이어그램에 표시된 대로 연결을 만듭니다.

다이어그램은 vnet 간 아키텍처를 보여줍니다.

VNet 간 연결을 만드는 자세한 단계는 VNet 간 연결 만들기를 참조하세요.

1단계: 두 번째 가상 네트워크 및 VPN 게이트웨이 만들기

1. 변수 선언

$RG2          = "TestRG2"
$Location2    = "EastUS"
$VNetName2    = "TestVNet2"
$FESubName2   = "FrontEnd"
$BESubName2   = "Backend"
$GWSubName2   = "GatewaySubnet"
$VNetPrefix21 = "10.21.0.0/16"
$VNetPrefix22 = "10.22.0.0/16"
$FESubPrefix2 = "10.21.0.0/24"
$BESubPrefix2 = "10.22.0.0/24"
$GWSubPrefix2 = "10.22.255.0/27"
$DNS2         = "8.8.8.8"
$GWName2      = "VNet2GW"
$GW2IPName1   = "VNet2GWIP1"
$GW2IPconf1   = "gw2ipconf1"
$Connection21 = "VNet2toVNet1"
$Connection12 = "VNet1toVNet2"

2. 두 번째 가상 네트워크 및 VPN 게이트웨이 만들기

New-AzResourceGroup -Name $RG2 -Location $Location2

$fesub2 = New-AzVirtualNetworkSubnetConfig -Name $FESubName2 -AddressPrefix $FESubPrefix2
$besub2 = New-AzVirtualNetworkSubnetConfig -Name $BESubName2 -AddressPrefix $BESubPrefix2
$gwsub2 = New-AzVirtualNetworkSubnetConfig -Name $GWSubName2 -AddressPrefix $GWSubPrefix2

New-AzVirtualNetwork -Name $VNetName2 -ResourceGroupName $RG2 -Location $Location2 -AddressPrefix $VNetPrefix21,$VNetPrefix22 -Subnet $fesub2,$besub2,$gwsub2

$gw2pip1    = New-AzPublicIpAddress -Name $GW2IPName1 -ResourceGroupName $RG2 -Location $Location2 -AllocationMethod Dynamic
$vnet2      = Get-AzVirtualNetwork -Name $VNetName2 -ResourceGroupName $RG2
$subnet2    = Get-AzVirtualNetworkSubnetConfig -Name "GatewaySubnet" -VirtualNetwork $vnet2
$gw2ipconf1 = New-AzVirtualNetworkGatewayIpConfig -Name $GW2IPconf1 -Subnet $subnet2 -PublicIpAddress $gw2pip1

New-AzVirtualNetworkGateway -Name $GWName2 -ResourceGroupName $RG2 -Location $Location2 -IpConfigurations $gw2ipconf1 -GatewayType Vpn -VpnType RouteBased -VpnGatewayGeneration Generation2 -GatewaySku VpnGw2

VPN 게이트웨이를 만드는 데 약 45분 이상이 걸릴 수 있습니다.

2단계: IPsec/IKE 정책을 사용하여 VNet 간 연결 만들기

S2S VPN 연결과 유사하게 IPsec/IKE 정책을 만든 다음, 새 연결에 정책을 적용합니다. Azure Cloud Shell을 사용한 경우 연결 시간이 초과되었을 수 있습니다. 그렇다면 필요한 변수를 다시 연결하고 상태를 다시 지정합니다.

$GWName1 = "VNet1GW"
$GWName2 = "VNet2GW"
$RG1     = "TestRG1"
$RG2     = "TestRG2"
$Location1     = "EastUS"
$Location2    = "EastUS"
$Connection21 = "VNet2toVNet1"
$Connection12 = "VNet1toVNet2"

1. IPsec/IKE 정책 만들기

다음 샘플 스크립트는 다음 알고리즘 및 매개 변수를 사용하여 다른 IPsec/IKE 정책을 만듭니다.

  • IKEv2: AES128, SHA1, DHGroup14
  • IPsec: GCMAES128, GCMAES128, PFS24, SA Lifetime 14,400초 및 102,400,000KB
$ipsecpolicy2 = New-AzIpsecPolicy -IkeEncryption AES128 -IkeIntegrity SHA1 -DhGroup DHGroup14 -IpsecEncryption GCMAES128 -IpsecIntegrity GCMAES128 -PfsGroup PFS24 -SALifeTimeSeconds 14400 -SADataSizeKilobytes 102400000

2. IPsec/IKE 정책을 사용하여 VNet 간 연결 만들기

VNet 간 연결을 만들고 만든 IPsec/IKE 정책을 적용합니다. 이 예제에서 두 게이트웨이는 동일한 구독에 있습니다. 따라서 같은 PowerShell 세션에서 같은 IPsec/IKE 정책을 사용하여 두 연결을 만들고 구성할 수 있습니다.

$vnet1gw = Get-AzVirtualNetworkGateway -Name $GWName1  -ResourceGroupName $RG1
$vnet2gw = Get-AzVirtualNetworkGateway -Name $GWName2  -ResourceGroupName $RG2

New-AzVirtualNetworkGatewayConnection -Name $Connection12 -ResourceGroupName $RG1 -VirtualNetworkGateway1 $vnet1gw -VirtualNetworkGateway2 $vnet2gw -Location $Location1 -ConnectionType Vnet2Vnet -IpsecPolicies $ipsecpolicy2 -SharedKey 'AzureA1b2C3'

New-AzVirtualNetworkGatewayConnection -Name $Connection21 -ResourceGroupName $RG2 -VirtualNetworkGateway1 $vnet2gw -VirtualNetworkGateway2 $vnet1gw -Location $Location2 -ConnectionType Vnet2Vnet -IpsecPolicies $ipsecpolicy2 -SharedKey 'AzureA1b2C3'

Important

연결에 IPsec/IKE 정책이 지정되고 나면 Azure VPN Gateway는 해당 특정 연결에 지정된 암호화 알고리즘 및 키 수준으로 된 IPsec/IKE 제안만 보내거나 수락합니다. 두 연결에 대한 IPsec 정책이 같은지 확인합니다. 그러지 않으면 VNet 간 연결이 설정되지 않습니다.

이러한 단계를 완료하고 나면 몇 분 안에 연결이 설정되고, 시작 부분에 표시된 대로 다음과 같은 네트워크 토폴로지가 구현됩니다.

다이어그램은 IPsec/IKE 정책을 보여줍니다.

연결에 대한 IPsec/IKE 정책 업데이트

마지막 섹션에서는 기존 S2S 또는 VNet 간 연결에 대한 IPsec/IKE 정책을 관리하는 방법을 보여 줍니다. 다음 연습에서는 연결에 대한 다음 작업을 안내합니다.

  1. 연결의 IPsec/IKE 정책 표시
  2. 연결에 대한 IPsec/IKE 정책 추가 또는 업데이트
  3. 연결에서 IPsec/IKE 정책 제거

같은 단계가 S2S 연결과 VNet 간 연결에도 모두 적용됩니다.

Important

IPsec/IKE 정책은 표준고성능 경로 기반 VPN 게이트웨이에서만 지원됩니다. 기본 게이트웨이 SKU 또는 정책 기반 VPN 게이트웨이에서는 작동하지 않습니다.

1. 연결에 대한 IPsec/IKE 정책 표시

다음 예제는 연결에 대해 IPsec/IKE 정책을 구성하는 방법을 보여 줍니다. 또한 스크립트는 위의 연습에서 계속됩니다.

$RG1          = "TestRG1"
$Connection16 = "VNet1toSite6"
$connection6  = Get-AzVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1
$connection6.IpsecPolicies

마지막 명령은 연결에 구성된 현재 IPsec/IKE 정책(있는 경우)을 나열합니다. 다음 예제는 연결에 대한 샘플 출력입니다.

SALifeTimeSeconds   : 14400
SADataSizeKilobytes : 102400000
IpsecEncryption     : AES256
IpsecIntegrity      : SHA256
IkeEncryption       : AES256
IkeIntegrity        : SHA384
DhGroup             : DHGroup24
PfsGroup            : PFS24

구성된 IPsec/IKE 정책이 없는 경우 명령(PS> $connection6.IpsecPolicies)을 실행하여도 반환되는 내용이 없습니다. 반환되는 내용이 없다고 해서 연결에 대해 IPsec/IKE 정책이 구성되지 않았다는 의미는 아니며, 사용자 지정 IPsec/IKE 정책이 없는 것입니다. 실제 연결은 온-프레미스 VPN 디바이스 및 Azure VPN Gateway 간에 협상된 기본 정책을 사용합니다.

2. 연결에 대한 IPsec/IKE 정책 추가 또는 업데이트

연결에 대한 새 정책을 추가하거나 기존 정책을 업데이트하는 단계는 같습니다. 새 정책을 만든 다음 연결에 새 정책을 적용합니다.

$RG1          = "TestRG1"
$Connection16 = "VNet1toSite6"
$connection6  = Get-AzVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1

$newpolicy6   = New-AzIpsecPolicy -IkeEncryption AES128 -IkeIntegrity SHA1 -DhGroup DHGroup14 -IpsecEncryption AES256 -IpsecIntegrity SHA256 -PfsGroup None -SALifeTimeSeconds 14400 -SADataSizeKilobytes 102400000

Set-AzVirtualNetworkGatewayConnection -VirtualNetworkGatewayConnection $connection6 -IpsecPolicies $newpolicy6

온-프레미스 정책 기반 VPN 디바이스에 연결할 때 “UsePolicyBasedTrafficSelectors”를 사용하도록 설정하려면 cmdlet에 “-UsePolicyBaseTrafficSelectors” 매개 변수를 추가하거나, 이 매개 변수를 $False로 설정하여 옵션을 사용하지 않도록 설정합니다.

Set-AzVirtualNetworkGatewayConnection -VirtualNetworkGatewayConnection $connection6 -IpsecPolicies $newpolicy6 -UsePolicyBasedTrafficSelectors $True

"UsePolicyBasedTrafficSelectors"에서와 마찬가지로 DPD 시간 제한을 구성하는 작업은 적용 중인 IPsec 정책 외부에서 수행할 수 있습니다.

Set-AzVirtualNetworkGatewayConnection -VirtualNetworkGatewayConnection $connection6 -IpsecPolicies $newpolicy6 -DpdTimeoutInSeconds 30

정책 기반 트래픽 선택기DPD 제한 시간 옵션 중 하나/둘 다 원하는 경우 사용자 지정 IPsec/IKE 정책 없이 기본 정책으로 지정할 수 있습니다.

Set-AzVirtualNetworkGatewayConnection -VirtualNetworkGatewayConnection $connection6 -UsePolicyBasedTrafficSelectors $True -DpdTimeoutInSeconds 30 

연결을 다시 가져와 정책이 업데이트되었는지 확인할 수 있습니다. 업데이트된 정책에 대한 연결을 확인하려면 다음 명령을 실행합니다.

$connection6  = Get-AzVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1
$connection6.IpsecPolicies

예제 출력:

SALifeTimeSeconds   : 14400
SADataSizeKilobytes : 102400000
IpsecEncryption     : AES256
IpsecIntegrity      : SHA256
IkeEncryption       : AES128
IkeIntegrity        : SHA1
DhGroup             : DHGroup14
PfsGroup            : None

3. 연결에서 IPsec/IKE 정책 제거

연결에서 사용자 지정 정책을 제거하고 나면 Azure VPN Gateway는 IPsec/IKE 제안의 기본 목록으로 되돌려지고 온-프레미스 VPN 디바이스와 다시 협상합니다.

$RG1           = "TestRG1"
$Connection16  = "VNet1toSite6"
$connection6   = Get-AzVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1

$currentpolicy = $connection6.IpsecPolicies[0]
$connection6.IpsecPolicies.Remove($currentpolicy)

Set-AzVirtualNetworkGatewayConnection -VirtualNetworkGatewayConnection $connection6

같은 스크립트를 사용하여 연결에서 정책이 제거되었는지 확인할 수 있습니다.

IPsec/IKE 정책 FAQ

질문과 대답을 보려면 VPN Gateway FAQ의 IPsec/IKE 정책 섹션으로 이동합니다.

다음 단계

정책 기반 트래픽 선택기에 대한 자세한 내용은 여러 온-프레미스 정책 기반 VPN 디바이스 연결을 참조하세요.