Informacje o wymaganiach kryptograficznych i bramach sieci VPN platformy Azure
W tym artykule omówiono sposób konfigurowania bram sieci VPN platformy Azure w celu spełnienia wymagań kryptograficznych zarówno dla tuneli vpn typu lokacja-lokacja między lokacjami, jak i połączeń między sieciami wirtualnymi na platformie Azure.
Informacje o protokołach IKEv1 i IKEv2 dla połączeń sieci VPN platformy Azure
Tradycyjnie zezwalaliśmy na połączenia IKEv1 tylko dla jednostek SKU w warstwie Podstawowa i zezwalaliśmy na połączenia IKEv2 dla wszystkich jednostek SKU bramy sieci VPN innych niż podstawowe jednostki SKU. Jednostki SKU w warstwie Podstawowa umożliwiają tylko 1 połączenie i wraz z innymi ograniczeniami, takimi jak wydajność, klienci korzystający ze starszych urządzeń, które obsługują tylko protokoły IKEv1, mają ograniczone doświadczenie. Aby ulepszyć środowisko klientów przy użyciu protokołów IKEv1, teraz zezwalamy na połączenia IKEv1 dla wszystkich jednostek SKU bramy sieci VPN, z wyjątkiem podstawowej jednostki SKU. Aby uzyskać więcej informacji, zobacz Jednostki SKU bramy sieci VPN. Należy pamiętać, że bramy sieci VPN korzystające z protokołu IKEv1 mogą mieć możliwość ponownego nawiązywania połączeń tunelu podczas ponownego tworzenia kluczy w trybie głównym.
Gdy połączenia IKEv1 i IKEv2 są stosowane do tej samej bramy sieci VPN, tranzyt między tymi dwoma połączeniami jest automatycznie możliwy.
Informacje o parametrach zasad protokołu IPsec i IKE dla bram sieci VPN platformy Azure
Standard protokołu IPsec i IKE obsługuje szeroką gamę algorytmów kryptograficznych w różnych kombinacjach. Jeśli nie zażądasz określonej kombinacji algorytmów kryptograficznych i parametrów, bramy sieci VPN platformy Azure używają zestawu domyślnych propozycji. Domyślne zestawy zasad zostały wybrane w celu zmaksymalizowania współdziałania z szeroką gamą urządzeń sieci VPN innych firm w domyślnych konfiguracjach. W związku z tym zasady i liczba propozycji nie mogą obejmować wszystkich możliwych kombinacji dostępnych algorytmów kryptograficznych i mocnych kluczy.
Zasady domyślne
Domyślny zestaw zasad dla bramy sieci VPN platformy Azure znajduje się na liście w artykule: Informacje o urządzeniach sieci VPN i parametrach protokołu IPsec/IKE dla połączeń bramy sieci VPN typu lokacja-lokacja.
Wymagania kryptograficzne
W przypadku komunikacji, która wymaga określonych algorytmów kryptograficznych lub parametrów, zazwyczaj ze względu na wymagania dotyczące zgodności lub zabezpieczeń, można teraz skonfigurować ich bramy sieci VPN platformy Azure do używania niestandardowych zasad protokołu IPsec/IKE z określonymi algorytmami kryptograficznymi i siłami kluczy, a nie domyślnymi zestawami zasad platformy Azure.
Na przykład główne zasady trybu IKEv2 dla bram sieci VPN platformy Azure wykorzystują tylko grupę Diffie-Hellman 2 (1024 bity), podczas gdy może być konieczne określenie silniejszych grup do użycia w usłudze IKE, na przykład Grupa 14 (2048-bitowa), Grupa 24 (grupa MODP 2048-bitowa) lub ECP (grupy krzywej eliptycznej) 256 lub 384 bit (grupa 19 i grupa 20, odpowiednio). Podobne wymagania dotyczą również zasad trybu szybkiego protokołu IPsec.
Niestandardowe zasady protokołu IPsec/IKE z bramami sieci VPN platformy Azure
Bramy sieci VPN platformy Azure obsługują teraz niestandardowe zasady protokołu IPsec/IKE dla poszczególnych połączeń. W przypadku połączenia lokacja-lokacja lub sieć wirtualna-sieć wirtualna można wybrać określoną kombinację algorytmów kryptograficznych dla protokołu IPsec i protokołu IKE z żądaną siłą klucza, jak pokazano w poniższym przykładzie:
Możesz utworzyć zasady protokołu IPsec/IKE i zastosować je do nowego lub istniejącego połączenia.
Przepływ pracy
- Utwórz sieci wirtualne, bramy sieci VPN lub bramy sieci lokalnej dla topologii łączności zgodnie z opisem w innych dokumentach z instrukcjami.
- Utwórz zasady protokołu IPsec/IKE.
- Zasady można zastosować podczas tworzenia połączenia typu lokacja-lokacja lub sieć wirtualna-sieć wirtualna.
- Jeśli połączenie zostało już utworzone, możesz zastosować lub zaktualizować zasady do istniejącego połączenia.
Zasady protokołu IPsec/IKE — często zadawane pytania
Czy niestandardowe zasady protokołu IPsec/IKE są obsługiwane na wszystkich jednostkach SKU bramy sieci VPN platformy Azure?
Niestandardowe zasady protokołu IPsec/IKE są obsługiwane we wszystkich jednostkach SKU platformy Azure z wyjątkiem podstawowej jednostki SKU.
Ile zasad można określić dla połączenia?
Można określić tylko jedną kombinację zasad dla danego połączenia.
Czy można określić dla połączenia zasady częściowe (np. tylko algorytmy IKE, ale nie IPsec)
Nie, należy określić wszystkie algorytmy i parametry zarówno dla protokołu IKE (tryb główny), jak i protokołu IPsec (tryb szybki). Specyfikacja zasad częściowych nie jest dozwolona.
Jakie algorytmy i siły klucza są obsługiwane w zasadach niestandardowych?
W poniższej tabeli wymieniono obsługiwane algorytmy kryptograficzne i mocne strony klucza, które można skonfigurować. Należy wybrać jedną opcję dla każdego pola.
| IPsec/IKEv2 | Opcje |
|---|---|
| Szyfrowanie IKEv2 | GCMAES256, GCMAES128, AES256, AES192, AES128 |
| Integralność IKEv2 | SHA384, SHA256, SHA1, MD5 |
| Grupa DH | DHGroup24, ECP384, ECP256, DHGroup14, DHGroup2048, DHGroup2, DHGroup1, None |
| Szyfrowanie IPsec | GCMAES256, GCMAES192, GCMAES128, AES256, AES192, AES128, DES3, DES, Brak |
| Integralność IPsec | GCMAES256, GCMAES192, GCMAES128, SHA256, SHA1, MD5 |
| Grupa PFS | PFS24, ECP384, ECP256, PFS2048, PFS2, PFS1, Brak |
| Okres istnienia skojarzeń zabezpieczeń QM | (Opcjonalnie: wartości domyślne są używane, jeśli nie zostaną określone) Sekundy (liczba całkowita; min. 300/wartość domyślna 27 000 sekund) KB (liczba całkowita; min. 1024/wartość domyślna to 102 400 000 KB) |
| Selektor ruchu | UsePolicyBasedTrafficSelectors** ($True/$False; Opcjonalne, domyślne $False, jeśli nie określono) |
| Limit czasu usługi DPD | Sekundy (liczba całkowita: minimalna 9/maksymalna. 3600; domyślna 45 sekund) |
Konfiguracja lokalnego urządzenia sieci VPN musi być zgodna z następującymi algorytmami (lub je zawierać) oraz z następującymi parametrami określonymi w zasadach protokołu IPsec/IKE platformy Azure (lub je zawierać):
- Algorytm szyfrowania IKE (tryb główny/faza 1)
- Algorytm integralności IKE (tryb główny/faza 1)
- Grupa DH (tryb główny / faza 1)
- Algorytm szyfrowania IPsec (tryb szybki/faza 2)
- Algorytm integralności IPsec (tryb szybki/faza 2)
- Grupa PFS (tryb szybki/faza 2)
- Selektor ruchu (jeśli jest używana funkcja UsePolicyBasedTrafficSelectors)
- Okresy istnienia sa są tylko specyfikacjami lokalnymi i nie muszą być zgodne.
Jeśli GCMAES jest używany jako algorytm szyfrowania IPsec, musisz wybrać ten sam algorytm GCMAES i długość klucza dla integralności IPsec; na przykład użycie GCMAES128 dla obu.
W tabeli Algorytmy i klucze:
- IKE odpowiada trybowi głównemu lub fazie 1.
- Protokół IPsec odpowiada trybowi szybkiemu lub 2.
- Grupa DH określa grupę Diffie-Hellman używaną w trybie głównym lub 1.
- Grupa PFS określiła grupę Diffie-Hellman używaną w trybie szybkim lub 2.
Okres istnienia skojarzenia zabezpieczeń trybu głównego IKE jest stały na poziomie 28 800 sekund w bramach sieci VPN platformy Azure.
Parametr "UsePolicyBasedTrafficSelectors" jest opcjonalnym parametrem połączenia. Jeśli ustawisz opcję UsePolicyBasedTrafficSelectors na $True na połączeniu, skonfiguruje bramę sieci VPN platformy Azure w celu nawiązania połączenia z lokalną zaporą sieci VPN opartą na zasadach. Jeśli włączysz usługę PolicyBasedTrafficSelectors, musisz upewnić się, że urządzenie sieci VPN ma zgodne selektory ruchu zdefiniowane ze wszystkimi kombinacjami prefiksów sieci lokalnej (bramy sieci lokalnej) do/z prefiksów sieci wirtualnej platformy Azure, a nie z prefiksów sieci wirtualnej platformy Azure. Brama sieci VPN platformy Azure akceptuje dowolny selektor ruchu proponowany przez zdalną bramę sieci VPN niezależnie od tego, co zostało skonfigurowane w bramie sieci VPN platformy Azure.
Na przykład jeśli prefiksy sieci lokalnej to 10.1.0.0/16 i 10.2.0.0/16, a prefiksy sieci wirtualnej to 192.168.0.0/16 i 172.16.0.0/16, trzeba określić następujące selektory ruchu:
- 10.1.0.0/16 <=*> 192.168.0.0/16
- 10.1.0.0/16 <=*> 172.16.0.0/16
- 10.2.0.0/16 <=*> 192.168.0.0/16
- 10.2.0.0/16 <=*> 172.16.0.0/16
Aby uzyskać więcej informacji na temat selektorów ruchu opartych na zasadach, zobacz Połączenie wielu lokalnych urządzeń sieci VPN opartych na zasadach.
Limit czasu usługi DPD — wartość domyślna to 45 sekund w bramach sieci VPN platformy Azure. Ustawienie limitu czasu na krótsze okresy spowoduje, że funkcja IKE zmieni klucz bardziej agresywnie, co powoduje, że połączenie wydaje się być rozłączone w niektórych przypadkach. Może to nie być pożądane, jeśli lokalizacje lokalne są dalej od regionu świadczenia usługi Azure, w którym znajduje się brama sieci VPN, lub stan połączenia fizycznego może spowodować utratę pakietów. Ogólne zalecenie polega na ustawieniu limitu czasu z zakresu od 30 do 45 sekund.
Aby uzyskać więcej informacji, zobacz Connect multiple on-premises policy-based VPN devices (Łączenie wielu lokalnych urządzeń sieci VPN opartych na zasadach).
Które grupy Diffie'ego-Hellmana są obsługiwane?
W poniższej tabeli wymieniono odpowiednie grupy Diffie-Hellman obsługiwane przez zasady niestandardowe:
| Grupa Diffie’ego-Hellmana | DHGroup | PFSGroup | Długość klucza |
|---|---|---|---|
| 1 | DHGroup1 | PFS1 | MODP, 768-bitowy |
| 2 | DHGroup2 | PFS2 | MODP, 1024-bitowy |
| 14 | DHGroup14 DHGroup2048 |
PFS2048 | MODP, 2048-bitowy |
| 19 | ECP256 | ECP256 | ECP, 256-bitowy |
| 20 | ECP384 | ECP384 | ECP, 384-bitowy |
| 24 | DHGroup24 | PFS24 | MODP, 2048-bitowy |
Więcej informacji można znaleźć w artykułach RFC3526 i RFC5114.
Czy zasady niestandardowe zastępują domyślne zestawy zasad protokołu IPsec/IKE dla bram sieci VPN platformy Azure?
Tak, po określeniu zasad niestandardowych dla połączenia brama sieci VPN platformy Azure będzie korzystać tylko z zasad połączenia — zarówno jako inicjator IKE, jak i obiekt odpowiadający IKE.
Czy jeśli usunę niestandardowe zasady protokołu IPsec/IKE, połączenie stanie się niechronione?
Nie, połączenie będzie nadal chronione przez protokół IPsec/IKE. Po usunięciu zasad niestandardowych z połączenia brama Azure VPN Gateway jest przywracana do domyślnej listy propozycji protokołu IPsec/IKE i jest ponownie uruchomiane uzgadnianie IKE za pomocą lokalnego urządzenia sieci VPN.
Czy dodanie lub aktualizacja zasad protokołu IPsec/IKE zakłóci moje połączenie sieci VPN?
Tak, może to spowodować niewielkie zakłócenie (trwające kilka sekund), ponieważ brama Azure VPN Gateway usuwa istniejące połączenie i uruchamia ponownie uzgadnianie IKE, aby ponownie ustanowić tunel IPsec za pomocą nowych algorytmów kryptograficznych i parametrów. Pamiętaj, aby również skonfigurować swoje lokalne urządzenie sieci VPN za pomocą pasujących algorytmów i sił klucza, aby zminimalizować zakłócenie.
Czy można użyć różnych zasad dla różnych połączeń?
Tak. Dla poszczególnych połączeń są stosowane zasady niestandardowe. Można utworzyć i zastosować różne zasady protokołu IPsec/IKE dla różnych połączeń. Można również zastosować zasady niestandardowe dla podzestawu połączeń. Pozostałe połączenia korzystają z domyślnych zestawów zasad protokołu IPsec/IKE platformy Azure.
Czy można używać zasad niestandardowych również dla połączenia między sieciami wirtualnymi?
Tak, można stosować zasady niestandardowe zarówno dla połączeń obejmujących wiele lokalizacji protokołu IPsec, jak i połączeń między sieciami wirtualnymi.
Czy trzeba określić te same zasady dla obu zasobów połączenia między sieciami wirtualnymi?
Tak. Tunel połączenia między sieciami wirtualnymi zawiera dwa zasoby połączenia na platformie Azure, po jednym dla każdego kierunku. Upewnij się, że oba zasoby połączenia mają te same zasady. W przeciwnym razie połączenie między sieciami wirtualnymi nie zostanie ustanowione.
Jaka jest domyślna wartość limitu czasu usługi DPD? Czy mogę określić inny limit czasu usługi DPD?
Domyślny limit czasu dpd wynosi 45 sekund. Dla każdego połączenia IPsec lub VNet-to-VNet można określić inną wartość limitu czasu dpD z zakresu od 9 sekund do 3600 sekund.
Uwaga
Wartość domyślna to 45 sekund w bramach sieci VPN platformy Azure. Ustawienie limitu czasu na krótsze okresy spowoduje, że funkcja IKE zmieni klucz bardziej agresywnie, co powoduje, że połączenie wydaje się być rozłączone w niektórych przypadkach. Może to nie być pożądane, jeśli lokalizacje lokalne są dalej od regionu świadczenia usługi Azure, w którym znajduje się brama sieci VPN, lub gdy stan połączenia fizycznego może spowodować utratę pakietów. Ogólną rekomendacją jest ustawienie limitu czasu z zakresu od 30 do 45 sekund.
Czy niestandardowe zasady protokołu IPsec/IKE działają dla połączenia ExpressRoute?
L.p. Zasady protokołu IPsec/IKE działają tylko dla połączeń sieci VPN S2S i połączeń między sieciami wirtualnymi za pośrednictwem bram sieci VPN platformy Azure.
Jak mogę utworzyć połączenia z typem protokołu IKEv1 lub IKEv2?
Połączenia IKEv1 można utworzyć na wszystkich jednostkach SKU typu sieci VPN typu RouteBased, z wyjątkiem jednostek SKU w warstwie Podstawowa, Jednostka SKU w warstwie Standardowa i innych starszych jednostek SKU. Podczas tworzenia połączeń można określić typ protokołu połączenia IKEv1 lub IKEv2. Jeśli nie określisz typu protokołu połączenia, protokół IKEv2 jest używany jako opcja domyślna, jeśli ma to zastosowanie. Aby uzyskać więcej informacji, zobacz dokumentację poleceń cmdlet programu PowerShell. Aby uzyskać informacje o typach jednostek SKU i obsłudze protokołu IKEv1/IKEv2, zobacz Połączenie bramy do urządzeń sieci VPN opartych na zasadach.
Czy tranzyt między połączeniami IKEv1 i IKEv2 jest dozwolony?
Tak. Tranzyt między połączeniami IKEv1 i IKEv2 jest obsługiwany.
Czy mogę mieć połączenia typu lokacja-lokacja protokołu IKEv1 w podstawowych jednostkach SKU sieci VPN typu RouteBased?
L.p. Podstawowa jednostka SKU nie obsługuje tego.
Czy mogę zmienić typ protokołu połączenia po utworzeniu połączenia (IKEv1 na IKEv2 i odwrotnie)?
L.p. Po utworzeniu połączenia nie można zmienić protokołów IKEv1/IKEv2. Musisz usunąć i ponownie utworzyć nowe połączenie z żądanym typem protokołu.
Dlaczego moje połączenie IKEv1 jest często ponownie połączone?
Jeśli połączenie IKEv1 oparte na routingu statycznym lub trasie jest rozłączane w rutynowych odstępach czasu, prawdopodobnie jest to spowodowane tym, że bramy sieci VPN nie obsługują kluczy w miejscu. Gdy tryb główny jest zmieniany, tunele IKEv1 rozłączą się i potrwają do 5 sekund, aby ponownie nawiązać połączenie. Wartość limitu czasu negocjacji trybu głównego określa częstotliwość ponownego tworzenia kluczy. Aby zapobiec ponownym połączeniom, możesz przełączyć się na użycie protokołu IKEv2, który obsługuje w miejscu ponowne klucza.
Jeśli połączenie jest ponownie połączone w losowych godzinach, postępuj zgodnie z naszym przewodnikiem rozwiązywania problemów.
Gdzie można znaleźć informacje o konfiguracji i kroki?
Aby uzyskać więcej informacji i kroków konfiguracji, zobacz następujące artykuły.
- Konfigurowanie zasad protokołu IPsec/IKE dla połączeń typu lokacja-lokacja-sieć wirtualna — Azure Portal
- Konfigurowanie zasad protokołu IPsec/IKE dla połączeń typu lokacja-lokacja-sieć wirtualna — Azure PowerShell
Następne kroki
Zobacz Konfigurowanie zasad protokołu IPsec/IKE, aby uzyskać instrukcje krok po kroku dotyczące konfigurowania niestandardowych zasad protokołu IPsec/IKE w połączeniu.
Zobacz również Połączenie wielu urządzeń sieci VPN opartych na zasadach, aby dowiedzieć się więcej na temat opcji UsePolicyBasedTrafficSelectors.