Konfigurera IPsec-/IKE-princip för plats-till-plats-VPN-anslutningar
Den här artikeln beskriver stegen för att konfigurera en IPsec/IKE-princip för VPN-anslutningar från plats till plats (S2S) i Azure Stack Hub.
IPsec- och IKE-principparametrar för VPN-gatewayer
IPsec- och IKE-protokollstandarden stöder en mängd olika kryptografiska algoritmer i olika kombinationer. Information om vilka parametrar som stöds i Azure Stack Hub så att du kan uppfylla dina efterlevnads- eller säkerhetskrav finns i IPsec/IKE-parametrar.
Den här artikeln innehåller instruktioner om hur du skapar och konfigurerar en IPsec/IKE-princip och tillämpar den på en ny eller befintlig anslutning.
Överväganden
Observera följande viktiga överväganden när du använder dessa principer:
IPsec/IKE-principen fungerar bara på SKU :er för Standard- och HighPerformance-gatewayen (routningsbaserad).
Du kan bara ange en principkombination för en viss anslutning.
Du måste ange alla algoritmer och parametrar för både IKE (huvudläge) och IPsec (snabbläge). Partiell principspecifikationen tillåts inte.
Kontakta vpn-enhetens leverantörsspecifikationer för att säkerställa att principen stöds på dina lokala VPN-enheter. Det går inte att upprätta plats-till-plats-anslutningar om principerna är inkompatibla.
Förutsättningar
Kontrollera att du har följande förutsättningar innan du börjar:
En Azure-prenumeration. Om du inte redan har en Azure-prenumeration kan du aktivera dina MSDN-prenumerantförmåner eller registrera dig för ett kostnadsfritt konto.
Azure Resource Manager PowerShell-cmdletar. Mer information om hur du installerar PowerShell-cmdletar finns i Installera PowerShell för Azure Stack Hub.
Del 1 – Skapa och ange IPsec/IKE-princip
I det här avsnittet beskrivs de steg som krävs för att skapa och uppdatera IPsec/IKE-principen för en VPN-anslutning från plats till plats:
Skapa ett virtuellt nätverk och en VPN-gateway.
Skapa en lokal nätverksgateway för anslutning mellan platser.
Skapa en IPsec/IKE-princip med valda algoritmer och parametrar.
Skapa en IPSec-anslutning med IPsec/IKE-principen.
Lägg till/uppdatera/ta bort en IPsec/IKE-princip för en befintlig anslutning.
Anvisningarna i den här artikeln hjälper dig att konfigurera IPsec/IKE-principer enligt följande bild:
Del 2 – Kryptografiska algoritmer och viktiga styrkor som stöds
I följande tabell visas de kryptografiska algoritmer som stöds och viktiga styrkor som kan konfigureras av Azure Stack Hub:
| IPsec/IKEv2 | Alternativ |
|---|---|
| IKEv2-kryptering | AES256, AES192, AES128, DES3, DES |
| IKEv2 Integrity | SHA384, SHA256, SHA1, MD5 |
| DH-grupp | ECP384, DHGroup14, DHGroup2, DHGroup1, ECP256*, DHGroup24* |
| IPsec-kryptering | GCMAES256, GCMAES192, GCMAES128, AES256, AES192, AES128, DES3, DES, None |
| IPsec Integrity | GCMAES256, GCMAES192, GCMAES128, SHA256 |
| PFS-grupp | PFS24, ECP384, ECP256, PFS2048, PFS2, PFS1, PFSMM, None |
| QM SA-livstid | (Valfritt: standardvärden används om de inte anges) Sekunder (heltal. min. 300/standard 27 000 sekunder) Kilobyte (heltal. min. 1024/standard 102400000 kilobyte) |
| Trafikväljare | Principbaserade trafikväljare stöds inte i Azure Stack Hub. |
Anteckning
Om du ställer in QM SA-livslängden för låg krävs onödig nyckelhantering, vilket kan försämra prestandan.
* Dessa parametrar är endast tillgängliga i versionerna 2002 och senare.
Din lokala konfiguration för VPN-enheten måste stämma överens med eller innehålla följande algoritmer och parametrar som du anger på Azure IPsec/IKE-principen:
- IKE-krypteringsalgoritm (huvudläge/fas 1).
- IKE-integritetsalgoritm (huvudläge/fas 1).
- DH-grupp (huvudläge/fas 1).
- IPsec-krypteringsalgoritm (snabbläge/fas 2).
- IPsec-integritetsalgoritm (snabbläge/fas 2).
- PFS-grupp (snabbläge/fas 2).
- SA-livslängden är endast lokala specifikationer och behöver inte matchas.
Om GCMAES används som IPsec-krypteringsalgoritm måste du välja samma GCMAES-algoritm och nyckellängd för IPsec-integritet. till exempel att använda GCMAES128 för båda.
I föregående tabell:
- IKEv2 motsvarar huvudläge eller fas 1.
- IPsec motsvarar snabbläge eller fas 2.
- DH-gruppen anger den Diffie-Hellmen grupp som används i huvudläge eller fas 1.
- PFS-gruppen anger den Diffie-Hellmen grupp som används i snabbläge eller fas 2.
Livslängden för IKEv2 Main Mode SA är fast i 28 800 sekunder på Azure Stack Hub VPN-gatewayerna.
I följande tabell visas motsvarande Diffie-Hellman grupper som stöds av den anpassade principen:
| Diffie-Hellman Group | DHGroup | PFSGroup | Nyckellängd |
|---|---|---|---|
| 1 | DHGroup1 | PFS1 | 768-bitars MODP |
| 2 | DHGroup2 | PFS2 | 1024-bitars MODP |
| 14 | DHGroup14 DHGroup2048 |
PFS2048 | 2048-bitars MODP |
| 19 | ECP256* | ECP256 | 256-bitars ECP |
| 20 | ECP384 | ECP384 | 384-bitars ECP |
| 24 | DHGroup24* | PFS24 | 2048-bitars MODP |
* Dessa parametrar är endast tillgängliga i versionerna 2002 och senare.
Mer information finns i RFC3526 och RFC5114.
Del 3 – Skapa en ny PLATS-till-plats-VPN-anslutning med IPsec/IKE-princip
Det här avsnittet går igenom stegen för att skapa en PLATS-till-plats-VPN-anslutning med en IPsec/IKE-princip. Följande steg skapar anslutningen enligt följande bild:
Mer detaljerade stegvisa instruktioner för att skapa en VPN-anslutning från plats till plats finns i Skapa en VPN-anslutning från plats till plats.
Steg 1 – Skapa det virtuella nätverket, VPN-gatewayen och den lokala nätverksgatewayen
1. Deklarera variabler
I den här övningen börjar du med att deklarera följande variabler. Se till att ersätta platshållarna med dina egna värden när du konfigurerar för produktion:
$Sub1 = "<YourSubscriptionName>"
$RG1 = "TestPolicyRG1"
$Location1 = "East US 2"
$VNetName1 = "TestVNet1"
$FESubName1 = "FrontEnd"
$BESubName1 = "Backend"
$GWSubName1 = "GatewaySubnet"
$VNetPrefix11 = "10.11.0.0/16"
$VNetPrefix12 = "10.12.0.0/16"
$FESubPrefix1 = "10.11.0.0/24"
$BESubPrefix1 = "10.12.0.0/24"
$GWSubPrefix1 = "10.12.255.0/27"
$DNS1 = "8.8.8.8"
$GWName1 = "VNet1GW"
$GW1IPName1 = "VNet1GWIP1"
$GW1IPconf1 = "gw1ipconf1"
$Connection16 = "VNet1toSite6"
$LNGName6 = "Site6"
$LNGPrefix61 = "10.61.0.0/16"
$LNGPrefix62 = "10.62.0.0/16"
$LNGIP6 = "131.107.72.22"
2. Anslut till din prenumeration och skapa en ny resursgrupp
Se till att växla till PowerShell-läget för att kunna använda Resource Manager-cmdletarna. Mer information finns i Ansluta till Azure Stack Hub med PowerShell som användare.
Öppna PowerShell-konsolen och anslut till ditt konto. till exempel:
Connect-AzAccount
Select-AzSubscription -SubscriptionName $Sub1
New-AzResourceGroup -Name $RG1 -Location $Location1
3. Skapa det virtuella nätverket, VPN-gatewayen och den lokala nätverksgatewayen
I följande exempel skapas det virtuella nätverket TestVNet1, tillsammans med tre undernät och VPN-gatewayen. När du ersätter värden är det viktigt att du specifikt ger gatewayundernätet namnet GatewaySubnet. Om du ger det något annat namn går det inte att skapa gatewayen.
$fesub1 = New-AzVirtualNetworkSubnetConfig -Name $FESubName1 -AddressPrefix $FESubPrefix1
$besub1 = New-AzVirtualNetworkSubnetConfig -Name $BESubName1 -AddressPrefix $BESubPrefix1
$gwsub1 = New-AzVirtualNetworkSubnetConfig -Name $GWSubName1 -AddressPrefix $GWSubPrefix1
New-AzVirtualNetwork -Name $VNetName1 -ResourceGroupName $RG1 -Location $Location1 -AddressPrefix $VNetPrefix11,$VNetPrefix12 -Subnet $fesub1,$besub1,$gwsub1
$gw1pip1 = New-AzPublicIpAddress -Name $GW1IPName1 -ResourceGroupName $RG1 -Location $Location1 -AllocationMethod Dynamic
$vnet1 = Get-AzVirtualNetwork -Name $VNetName1 -ResourceGroupName $RG1
$subnet1 = Get-AzVirtualNetworkSubnetConfig -Name "GatewaySubnet" `
-VirtualNetwork $vnet1
$gw1ipconf1 = New-AzVirtualNetworkGatewayIpConfig -Name $GW1IPconf1 `
-Subnet $subnet1 -PublicIpAddress $gw1pip1
New-AzVirtualNetworkGateway -Name $GWName1 -ResourceGroupName $RG1 `
-Location $Location1 -IpConfigurations $gw1ipconf1 -GatewayType Vpn `
-VpnType RouteBased -GatewaySku VpnGw1
New-AzLocalNetworkGateway -Name $LNGName6 -ResourceGroupName $RG1 `
-Location $Location1 -GatewayIpAddress $LNGIP6 -AddressPrefix `
$LNGPrefix61,$LNGPrefix62
Steg 2 – Skapa en PLATS-till-plats-VPN-anslutning med en IPsec/IKE-princip
1. Skapa en IPsec/IKE-princip
Det här exempelskriptet skapar en IPsec/IKE-princip med följande algoritmer och parametrar:
- IKEv2: AES128, SHA1, DHGroup14
- IPsec: AES256, SHA256, none, SA Lifetime 14400 seconds och 102400000KB
$ipsecpolicy6 = New-AzIpsecPolicy -IkeEncryption AES128 -IkeIntegrity SHA1 -DhGroup DHGroup14 -IpsecEncryption AES256 -IpsecIntegrity SHA256 -PfsGroup none -SALifeTimeSeconds 14400 -SADataSizeKilobytes 102400000
Om du använder GCMAES för IPsec måste du använda samma GCMAES-algoritm och nyckellängd för både IPsec-kryptering och integritet.
2. Skapa VPN-anslutningen för plats-till-plats med IPsec/IKE-principen
Skapa en VPN-anslutning för plats-till-plats och tillämpa IPsec/IKE-principen som du skapade tidigare:
$vnet1gw = Get-AzVirtualNetworkGateway -Name $GWName1 -ResourceGroupName $RG1
$lng6 = Get-AzLocalNetworkGateway -Name $LNGName6 -ResourceGroupName $RG1
New-AzVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1 -VirtualNetworkGateway1 $vnet1gw -LocalNetworkGateway2 $lng6 -Location $Location1 -ConnectionType IPsec -IpsecPolicies $ipsecpolicy6 -SharedKey 'Azs123'
Viktigt
När en IPsec/IKE-princip har angetts för en anslutning skickar eller godkänner Azure VPN-gatewayen endast IPsec/IKE-förslaget med angivna kryptografiska algoritmer och viktiga styrkor för just den anslutningen. Kontrollera att din lokala VPN-enhet för anslutningen använder eller accepterar den exakta principkombinationen, annars går det inte att upprätta VPN-tunneln för plats-till-plats.
Del 4 – Uppdatera IPsec/IKE-principen för en anslutning
I föregående avsnitt visades hur du hanterar IPsec/IKE-principer för en befintlig plats-till-plats-anslutning. Det här avsnittet går igenom följande åtgärder för en anslutning:
- Visa IPsec/IKE-principen för en anslutning.
- Lägg till eller uppdatera IPsec/IKE-principen till en anslutning.
- Ta bort IPsec/IKE-principen från en anslutning.
Anteckning
IPsec/IKE-principen stöds endast på standard - och HighPerformance-routningsbaserade VPN-gatewayer. Det fungerar inte på Basic-gateway-SKU :n.
1. Visa IPsec/IKE-principen för en anslutning
I följande exempel visas hur du konfigurerar IPsec/IKE-principen för en anslutning. Skripten fortsätter också från föregående övningar.
$RG1 = "TestPolicyRG1"
$Connection16 = "VNet1toSite6"
$connection6 = Get-AzVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1
$connection6.IpsecPolicies
Det sista kommandot visar den aktuella IPsec/IKE-principen som konfigurerats för anslutningen, om det finns någon. Följande exempel är ett exempel på utdata för anslutningen:
SALifeTimeSeconds : 14400
SADataSizeKilobytes : 102400000
IpsecEncryption : AES256
IpsecIntegrity : SHA256
IkeEncryption : AES128
IkeIntegrity : SHA1
DhGroup : DHGroup14
PfsGroup : None
Om ingen IPsec/IKE-princip har konfigurerats får kommandot $connection6.policy en tom retur. Det innebär inte att IPsec/IKE inte har konfigurerats för anslutningen. Det innebär att det inte finns någon anpassad IPsec/IKE-princip. Den faktiska anslutningen använder standardprincipen som förhandlats fram mellan din lokala VPN-enhet och Azure VPN-gatewayen.
2. Lägga till eller uppdatera en IPsec/IKE-princip för en anslutning
Stegen för att lägga till en ny princip eller uppdatera en befintlig princip för en anslutning är desamma: skapa en ny princip och tillämpa sedan den nya principen på anslutningen:
$RG1 = "TestPolicyRG1"
$Connection16 = "VNet1toSite6"
$connection6 = Get-AzVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1
$newpolicy6 = New-AzIpsecPolicy -IkeEncryption AES128 -IkeIntegrity SHA1 -DhGroup DHGroup14 -IpsecEncryption AES256 -IpsecIntegrity SHA256 -PfsGroup None -SALifeTimeSeconds 14400 -SADataSizeKilobytes 102400000
$connection6.SharedKey = "AzS123"
Set-AzVirtualNetworkGatewayConnection -VirtualNetworkGatewayConnection $connection6 -IpsecPolicies $newpolicy6
Du kan hämta anslutningen igen för att kontrollera om principen har uppdaterats:
$connection6 = Get-AzVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1
$connection6.IpsecPolicies
Du bör se utdata från den sista raden, som du ser i följande exempel:
SALifeTimeSeconds : 14400
SADataSizeKilobytes : 102400000
IpsecEncryption : AES256
IpsecIntegrity : SHA256
IkeEncryption : AES128
IkeIntegrity : SHA1
DhGroup : DHGroup14
PfsGroup : None
3. Ta bort en IPsec/IKE-princip från en anslutning
När du tar bort den anpassade principen från en anslutning återgår Azure VPN-gatewayen till standardförslaget IPsec/IKE och omförhandlar med din lokala VPN-enhet.
$RG1 = "TestPolicyRG1"
$Connection16 = "VNet1toSite6"
$connection6 = Get-AzVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1
$connection6.SharedKey = "AzS123"
$currentpolicy = $connection6.IpsecPolicies[0]
$connection6.IpsecPolicies.Remove($currentpolicy)
Set-AzVirtualNetworkGatewayConnection -VirtualNetworkGatewayConnection $connection6
Du kan använda samma skript för att kontrollera om principen har tagits bort från anslutningen.