Настройка настраиваемых политик подключения IPsec/IKE для VPN-подключения S2S и виртуальной сети: портал Azure

  • Статья

В этой статье содержится пошаговое описание настройки политики IPsec/IKE для VPN-подключений типа "сеть — сеть" или "виртуальная сеть — виртуальная сеть" с использованием VPN-шлюза с помощью портала Azure. Следующие разделы содержат сведения о создании и настройке политики IPsec/IKE и применении политики к новому или имеющемуся подключению.

Рабочий процесс

Инструкции в этой статье помогут вам настроить и настроить политики IPsec/IKE, как показано на следующей схеме.

Схема, на которой показаны политики IPsec/IKE для VPN-шлюзов между виртуальными сетями и VPN-шлюзами типа

  1. Создание виртуальной сети и VPN-шлюза.
  2. Создание шлюза локальной сети для локального подключения или другой виртуальной сети и шлюза для подключения типа "виртуальная сеть — виртуальная сеть".
  3. Создайте соединение (IPsec или VNet2VNet).
  4. Настройте, обновите или удалите политику IPsec/IKE для ресурсов подключения.

Параметры политики

Стандарт протоколов IPsec и IKE поддерживает широкий набор алгоритмов шифрования в различных сочетаниях. Ознакомьтесь с требованиями к шифрованию и VPN-шлюзам Azure, чтобы узнать больше о том, как обеспечить соответствие нормативным требованиям или требованиям к безопасности для подключений типа "виртуальная сеть — виртуальная сеть" в различных расположениях. Обязательно учитывайте указанные ниже важные моменты.

  • Политика IPsec/IKE работает только на следующих номерах SKU шлюза:
    • VpnGw1~5 и VpnGw1AZ~5AZ
    • Standard и HighPerformance
  • Можно указать только одну комбинацию политик для каждого подключения.
  • Вам следует указать все алгоритмы и параметры для IKE (основной режим) и IPsec (быстрый режим). Указать частичную спецификацию политики невозможно.
  • Ознакомьтесь со спецификациями поставщиков VPN-устройств, чтобы убедиться, что политика поддерживается на локальных VPN-устройствах. Подключения S2S или виртуальной сети к виртуальной сети не могут установить, если политики несовместимы.

Криптографические алгоритмы и сильные стороны ключей

В следующей таблице перечислены поддерживаемые настраиваемые алгоритмы шифрования и преимущества ключей.

IPsec/IKEv2 Параметры
Шифрование IKEv2 GCMAES256, GCMAES128, AES256, AES192, AES128
Проверка целостности IKEv2 SHA384, SHA256, SHA1, MD5
Группа DH DHGroup24, ECP384, ECP256, DHGroup14, DHGroup2048, DHGroup2, DHGroup1, нет
Шифрование IPsec GCMAES256, GCMAES192, GCMAES128, AES256, AES192, AES128, DES3, DES, нет
Целостность IPsec GCMAES256, GCMAES192, GCMAES128, SHA256, SHA1, MD5
Группа PFS PFS24, ECP384, ECP256, PFS2048, PFS2, PFS1, нет
Время существования QM SA (Необязательно — используются значения по умолчанию, если не заданы другие значения.)
Секунды (целое число, минимум 300, по умолчанию — 27 000 с)
Килобайты (целое число, минимум 1024, по умолчанию — 102 400 000 КБ)
Селектор трафика UsePolicyBasedTrafficSelectors** ($True/$False; необязательно — по умолчанию используется значение $False, если не задано другое значение.)
Время ожидания обнаружения неиспользуемых одноранговых узлов (DPD) Секунды (целое число, минимум — 9; максимум — 3600, по умолчанию — 45 секунд)

  • Ваша конфигурация локальных VPN-устройств должна совпадать со следующими алгоритмами и параметрами, указанными в политике Azure IPsec/IKE, или содержать их.

    • алгоритм шифрования IKE (основной режим или фаза 1);
    • алгоритм обеспечения целостности IKE (основной режим или фаза 1);
    • группа DH (основной режим или фаза 1);
    • алгоритм шифрования IKE (основной режим или фаза 2);
    • алгоритм обеспечения целостности IPsec (быстрый режим или фаза 2);
    • группа PFS (быстрый режим или фаза 2);
    • селектор трафика (если используется UsePolicyBasedTrafficSelectors).
    • Время существования SA — это только локальные спецификации, и не нужно соответствовать.

  • Если для шифрования IPsec используется алгоритм GCMAES, необходимо указать одинаковую длину алгоритма и ключа для проверки целостности IPsec, например GCMAES128 в обоих случаях.

  • В таблице "Алгоритмы и ключи":

    • IKE соответствует главному режиму или этапу 1.
    • IPsec соответствует быстрому режиму или фазе 2;
    • Группа DH указывает группу Diffie-Hellman, используемую в главном режиме или на этапе 1.
    • Группа PFS указала группу Diffie-Hellman, используемую в быстром режиме или на этапе 2.

  • Время существования SA основного режима IKE составляет 28 800 секунд на VPN-шлюзах Azure.

  • UsePolicyBasedTrafficSelectors — это необязательный параметр подключения. Если задать для параметра UsePolicyBasedTrafficSelectors значение $True для подключения, это позволит настроить VPN-шлюз Azure, чтобы локально подключаться к брандмауэру VPN на основе политик. Если вы включили параметр PolicyBasedTrafficSelectors, необходимо обеспечить соответствующие селекторы трафика для VPN-устройства, которые определены с помощью всех комбинаций префиксов локальной сети (шлюза локальной сети) с префиксами виртуальной сети Azure, а не разрешать совпадение любого префикса с любым. VPN-шлюз Azure принимает любой селектор трафика, предлагаемый удаленным VPN-шлюзом независимо от того, что настроено в VPN-шлюзе Azure.

    Например, если префиксы локальной сети — 10.1.0.0/16 и 10.2.0.0/16, а префиксы виртуальной сети — 192.168.0.0/16 и 172.16.0.0/16, необходимо указать следующие селекторы трафика:

    • 10.1.0.0/16 <====> 192.168.0.0/16
    • 10.1.0.0/16 <====> 172.16.0.0/16
    • 10.2.0.0/16 <====> 192.168.0.0/16
    • 10.2.0.0/16 <====> 172.16.0.0/16

    Дополнительные сведения о селекторах трафика на основе политик см. в статье Подключение VPN-шлюзов Azure к нескольким локальным VPN-устройствам на основе политики с помощью PowerShell.

  • Время ожидания обнаружения неиспользуемых одноранговых узлов (DPD). Значение по умолчанию — 45 секунд на VPN-шлюзах Azure. Установка более короткого времени ожидания приведет к более агрессивному переназначению ключей IKE, в результате чего в некоторых экземплярах может наблюдаться разрыв подключения. Это может оказаться нежелательным, если ваши локальные расположения находятся далеко от региона Azure, где размещен VPN-шлюз, или если ненадлежащее состояние физической связи может приводить к потере пакетов. Общая рекомендация заключается в установке времени ожидания в диапазоне от 30 до 45 секунд.

Примечание.

Целостность IKEv2 используется как для целостности, так и для PRF(псевдо-случайной функции).  Если задан алгоритм шифрования IKEv2 gCM*, то значение, переданное в IKEv2 Integrity, используется только для PRF и неявно мы устанавливаем целостность IKEv2 на GCM*. Во всех остальных случаях значение, переданное в IKEv2 Integrity, используется как для целостности IKEv2, так и для PRF.

Группы Diffie-Hellman

В следующей таблице перечислены соответствующие группы Diffie-Hellman, поддерживаемые пользовательской политикой:

Группа Диффи-Хелмана DHGroup PFSGroup Длина ключа
1 DHGroup1 PFS1 MODP (768 бит)
2 DHGroup2 PFS2 MODP (1024 бит)
14 DHGroup14
DHGroup2048		 PFS2048 MODP (2048 бит)
19 ECP256 ECP256 ECP (256 бит)
20 ECP384 ECP384 ECP (384 бит)
24 DHGroup24 PFS24 MODP (2048 бит)

Дополнительные сведения см. на страницах RFC 3526 и RFC 5114.

Создание VPN-подключения S2S с помощью настраиваемой политики

В этом разделе описаны действия по созданию VPN-подключения типа "сеть — сеть" с использованием политики IPsec/IKE. Ниже описано, как показано на следующей схеме. Локальный сайт на этой схеме представляет Site6.

На схеме показано подключение vpn-шлюза типа

Шаг 1. Создание виртуальной сети, VPN-шлюза и шлюза локальной сети для TestVNet1

Создайте следующие ресурсы. Инструкции см. в статье Создание VPN-подключения типа "сеть — сеть".

  1. Создайте виртуальную сеть TestVNet1 , используя следующие значения.

    • Группа ресурсов: TestRG1
    • Имя: TestVNet1
    • Регион: (США) Восточная часть США
    • Диапазон IPv4-адресов: 10.1.0.0/16.
    • Имя подсети 1: FrontEnd
    • Диапазон адресов подсети 1: 10.1.0.0/24
    • Имя подсети 2: BackEnd
    • Диапазон адресов подсети 2: 10.1.1.0/24

  2. Создайте VNet1GW шлюза виртуальной сети виртуальной сети, используя следующие значения.

    • Имя: Vnet1GW
    • Регион: восточная часть США.
    • Тип шлюза: VPN
    • Тип VPN: на основе маршрутов
    • SKU: VpnGw2
    • Поколение. Поколение 2
    • Виртуальная сеть: VNet1
    • Диапазон адресов подсети шлюза: 10.1.255.0/27
    • Тип общедоступного IP-адреса: "Базовый" или "Стандартный"
    • Общедоступный IP-адрес: выберите вариант "Создать новый"
    • Имя общедоступного IP-адреса: VNet1GWpip.
    • Включить режим "активный — активный": выключено
    • Настройка BGP: выключено

Шаг 2. Настройка шлюза локальной сети и ресурсов подключения

  1. Создайте ресурс шлюза локальной сети Site6 , используя следующие значения.

    • Имя: Site6
    • Группа ресурсов: TestRG1.
    • Расположение: восточная часть США.
    • IP-адрес локального шлюза: 5.4.3.2 (только пример — используйте IP-адрес локального устройства)
    • Адресные пространства 10.61.0.0/16, 10.62.0.0/16 (только для примера)

  2. Из шлюза виртуальной сети добавьте подключение к шлюзу локальной сети, используя следующие значения.

    • имя Подключение ion: VNet1toSite6
    • тип Подключение ion: Ipsec
    • Шлюз локальной сети: Site6
    • Общий ключ: abc123 (например, значение должно соответствовать используемому локальному ключу устройства).
    • Протокол IKE: IKEv2

Шаг 3. Настройка настраиваемой политики IPsec/IKE для VPN-подключения S2S

Настройте настраиваемую политику IPsec/IKE со следующими алгоритмами и параметрами:

  • Этап IKE 1: AES256, SHA384, DHGroup24
  • Этап IKE 2(IPsec): AES256, SHA256, PFS None
  • Время существования IPsec SA в КБ: 1024000000
  • Время существования IPsec SA в секундах: 30000
  • Время ожидания DPD: 45 секунд

  1. Перейдите к созданному ресурсу Подключение ion VNet1toSite6. Откройте страницу Конфигурация. Выберите настраиваемую политику IPsec/IKE, чтобы отобразить все параметры конфигурации. На следующем снимка экрана показана конфигурация в соответствии со списком:

    Снимок экрана: конфигурация подключения сайта 6.

    Если для IPsec используется алгоритм GCMAES, необходимо указать одинаковую длину ключа и алгоритма для шифрования и целостности данных IPsec. Например, на следующем снимках экрана указывается GCMAES128 для шифрования IPsec и целостности IPsec:

    Снимок экрана: GCMAES для IPsec.

  2. Если вы хотите включить VPN-шлюз Azure для подключения к локальным VPN-устройствам на основе политик, можно выбрать параметр "Включить " для селекторов трафика на основе политики.

  3. После выбора всех параметров нажмите кнопку Сохранить, чтобы зафиксировать изменения в ресурсе подключения. Политика будет применена примерно через минуту.

    Внимание

    • После указания для подключения политики IPsec/IKE VPN-шлюз Azure будет только отправлять и принимать предложения IPsec/IKE с определенными алгоритмами шифрования и уровнями стойкости ключей для этого подключения. Локальное VPN-устройство для подключения должно использовать или принимать точную комбинацию политик. Иначе VPN-туннель типа "сеть — сеть" не будет установлен.

    • Селектор трафика на основе политик и параметры времени ожидания DPD можно указать с политикой по умолчанию без настраиваемой политики IPsec/IKE.

Создание подключения между виртуальными сетями с помощью настраиваемой политики

Этапы создания подключения типа "виртуальная сеть — виртуальная сеть" с помощью политики IPsec/IKE схожи с этапами, описанными при создании подключения VPN типа "сеть — сеть". Чтобы создать и настроить TestVNet1 и VPN-шлюз, необходимо выполнить действия, описанные в предыдущих разделах.

На схеме показана схема политики

Шаг 1. Создание виртуальной сети, VPN-шлюза и шлюза локальной сети для TestVNet2

Выполните действия, описанные в статье "Создание подключения между виртуальными сетями", чтобы создать TestVNet2 и создать подключение "виртуальная сеть — виртуальная сеть" к TestVNet1.

Примеры значений:

Виртуальная сеть TestVNet2

  • Группа ресурсов: TestRG2
  • Имя: TestVNet2
  • Регион: западная часть США
  • Адресное пространство IPv4: 10.2.0.0/16
  • Имя подсети 1: FrontEnd
  • Диапазон адресов подсети 1: 10.2.0.0/24
  • Имя подсети 2: BackEnd
  • Диапазон адресов подсети 2: 10.2.1.0/24

VPN-шлюз: VNet2GW

  • Имя: VNet2GW
  • Регион: Западная часть США
  • Тип шлюза: VPN
  • Тип VPN: на основе маршрутов
  • SKU: VpnGw2
  • Поколение. Поколение 2
  • Виртуальная сеть: TestVNet2
  • Диапазон адресов подсети шлюза: 10.2.255.0/27
  • Тип общедоступного IP-адреса: "Базовый" или "Стандартный"
  • Общедоступный IP-адрес: выберите вариант "Создать новый"
  • Имя общедоступного IP-адреса: VNet2GWpip
  • Включить режим "активный — активный": выключено
  • Настройка BGP: выключено

Шаг 2. Настройка подключения виртуальной сети к виртуальной сети

  1. Из шлюза VNet1GW добавьте подключение виртуальной сети к виртуальной сети с именем VNet1toVNet2.

  2. Затем из виртуальной сети VNet2GW добавьте подключение виртуальной сети к виртуальной сети с именем VNet1GW с именем VNet2toVNet1.

  3. После добавления подключений вы увидите подключения между виртуальными сетями, как показано на следующем снимке экрана из ресурса VNet2GW:

    Снимок экрана: подключения между виртуальными сетями.

Шаг 3. Настройка настраиваемой политики IPsec/IKE в VNet1toVNet2

  1. В ресурсе подключения VNet1toVNet2 перейдите на страницу конфигурации.

  2. Для политики IPsec / IKE выберите "Настраиваемый" , чтобы отобразить параметры настраиваемой политики. Выберите алгоритмы шифрования с соответствующей длиной ключей. Эта политика не должна соответствовать предыдущей политике, созданной для подключения VNet1toSite6.

    Примеры значений:

    • Этап IKE 1: AES128, SHA1, DHGroup14
    • Этап IKE 2(IPsec): GCMAES128, GCMAES128, PFS2048
    • Время существования IPsec SA в КБ: 1024000000
    • Время существования IPsec SA в секундах: 14400
    • Время ожидания DPD: 45 секунд

  3. Нажмите кнопку "Сохранить " в верхней части страницы, чтобы применить изменения политики к ресурсу подключения.

Шаг 4. Настройка настраиваемой политики IPsec/IKE в VNet2toVNet1

  1. Примените ту же политику к подключению VNet2toVNet1, VNet2toVNet1. Если вы этого не сделали, VPN-туннель IPsec/IKE не будет подключаться из-за несоответствия политики.

    Внимание

    После указания для подключения политики IPsec/IKE VPN-шлюз Azure будет только отправлять и принимать предложения IPsec/IKE с определенными алгоритмами шифрования и уровнями стойкости ключей для этого подключения. Политики IPsec для обоих подключений должны быть одинаковыми, иначе подключение типа "виртуальная сеть — виртуальная сеть" не будет установлено.

  2. После выполнения этих действий подключение устанавливается через несколько минут, и у вас будет следующая топология сети.

    На схеме показана политика IPsec/IKE для виртуальной сети к виртуальной сети и VPN S2S.

Удаление пользовательской политики из подключения

  1. Чтобы удалить пользовательскую политику из подключения, перейдите к ресурсу подключения.
  2. На странице "Конфигурация" измените политику IPse /IKE с custom на Default. При этом все пользовательские политики, указанные в подключении, удаляются и восстанавливают параметры IPsec/IKE по умолчанию для этого подключения.
  3. Нажмите кнопку Сохранить, чтобы удалить настраиваемую политику и восстановить стандартные параметры IPsec/IKE для подключения.

Часто задаваемые вопросы о политике IPsec/IKE

Чтобы просмотреть часто задаваемые вопросы, перейдите в раздел политики IPsec/IKE VPN-шлюз вопросы и ответы.

Следующие шаги

Дополнительные сведения о селекторах трафика на основе политик см. в Подключение нескольких локальных VPN-устройств на основе политик.