Konumdan konuma VPN bağlantıları için IPsec/IKE ilkesini yapılandırma
Bu makalede, Azure Stack Hub'da siteden siteye (S2S) VPN bağlantıları için IPsec/IKE ilkesi yapılandırma adımları açıklanmaktadır.
VPN ağ geçitleri için IPsec ve IKE ilke parametreleri
IPsec ve IKE protokol standardı, çeşitli bileşimlerde çok çeşitli şifreleme algoritmalarını destekler. Uyumluluk veya güvenlik gereksinimlerinizi karşılamanız için Azure Stack Hub'da hangi parametrelerin desteklendiğine bakmak için bkz. IPsec/IKE parametreleri.
Bu makalede, IPsec/IKE ilkesi oluşturma ve yapılandırma ve bunu yeni veya var olan bir bağlantıya uygulama hakkında yönergeler sağlanır.
Dikkat edilmesi gerekenler
Bu ilkeleri kullanırken aşağıdaki önemli noktalara dikkat edin:
IPsec/IKE ilkesi yalnızca Standart ve HighPerformance (rota tabanlı) ağ geçidi SKU'larında çalışır.
Belirli bir bağlantı için yalnızca bir ilke birleşimi belirtebilirsiniz.
Hem IKE (Ana Mod) hem de IPsec (Hızlı Mod) için tüm algoritmaları ve parametreleri belirtmeniz gerekir. Kısmi ilke belirtimine izin verilmez.
İlkenin şirket içi VPN cihazlarınızda desteklendiğinden emin olmak için VPN cihazı satıcı belirtimlerinize başvurun. İlkeler uyumsuzsa siteden siteye bağlantılar kurulamaz.
Önkoşullar
Başlamadan önce aşağıdaki önkoşullara sahip olduğunuzdan emin olun:
Azure aboneliği. Henüz bir Azure aboneliğiniz yoksa MSDN abone avantajlarınızı etkinleştirebilir veya ücretsiz bir hesaba kaydolabilirsiniz.
Azure Resource Manager PowerShell cmdlet'leri. PowerShell cmdlet'lerini yükleme hakkında daha fazla bilgi için bkz. Azure Stack Hub için PowerShell'i yükleme.
Bölüm 1 - IPsec/IKE ilkesi oluşturma ve ayarlama
Bu bölümde, siteden siteye VPN bağlantısında IPsec/IKE ilkesini oluşturmak ve güncelleştirmek için gereken adımlar açıklanmaktadır:
Sanal ağ ve VPN ağ geçidi oluşturma.
Şirket içi bağlantılar için yerel bir ağ geçidi oluşturun.
Seçili algoritmalar ve parametrelerle bir IPsec/IKE ilkesi oluşturun.
IPsec/IKE ilkesiyle bir IPSec bağlantısı oluşturun.
Var olan bir bağlantı için IPsec/IKE ilkesi ekleme/güncelleştirme/kaldırma.
Bu makaledeki yönergeler, aşağıdaki şekilde gösterildiği gibi IPsec/IKE ilkelerini ayarlamanıza ve yapılandırmanıza yardımcı olur:
Bölüm 2 - Desteklenen şifreleme algoritmaları ve anahtar güçlü yönleri
Aşağıdaki tabloda Azure Stack Hub tarafından yapılandırılabilen desteklenen şifreleme algoritmaları ve anahtar güçlü yönleri listelenmektedir:
| IPsec/IKEv2 | Seçenekler |
|---|---|
| IKEv2 Şifrelemesi | AES256, AES192, AES128, DES3, DES |
| IKEv2 Bütünlüğü | SHA384, SHA256, SHA1, MD5 |
| DH Grubu | ECP384, DHGroup14, DHGroup2, DHGroup1, ECP256*, DHGroup24* |
| IPsec Şifrelemesi | GCMAES256, GCMAES192, GCMAES128, AES256, AES192, AES128, DES3, DES, None |
| IPsec Bütünlüğü | GCMAES256, GCMAES192, GCMAES128, SHA256 |
| PFS Grubu | PFS24, ECP384, ECP256, PFS2048, PFS2, PFS1, PFSMM, Yok |
| QM SA Yaşam Süresi | (İsteğe bağlı: belirtilmezse varsayılan değerler kullanılır) Saniye (tamsayı; en az 300/varsayılan 27000 saniye) Kilobayt (tamsayı; en az 1024/varsayılan 102400000 kilobayt) |
| Trafik Seçicisi | İlke tabanlı Trafik Seçicileri Azure Stack Hub'da desteklenmez. |
Not
QM SA ömrünün çok düşük ayarlanması gereksiz yeniden anahtarlama gerektirir ve bu da performansı düşürebilir.
* Bu parametreler yalnızca 2002 ve sonraki derlemelerde kullanılabilir.
Şirket içi VPN cihazı yapılandırmanızın Azure IPsec/IKE ilkesinde belirttiğiniz şu algoritmalar ve parametrelerle eşleşmesi ya da bunları içermesi gerekir:
- IKE şifreleme algoritması (Ana Mod/1. Aşama).
- IKE bütünlük algoritması (Ana Mod/Aşama 1).
- DH Grubu (Ana Mod/1. Aşama).
- IPsec şifreleme algoritması (Hızlı Mod/2. Aşama).
- IPsec bütünlük algoritması (Hızlı Mod/Aşama 2).
- PFS Grubu (Hızlı Mod/2. Aşama).
- SA yaşam süreleri yalnızca yerel belirtimlerdir ve eşleşmesi gerekmez.
GCMAES IPsec şifreleme algoritması olarak kullanılıyorsa, IPsec bütünlüğü için aynı GCMAES algoritmasını ve anahtar uzunluğunu seçmeniz gerekir; örneğin, her ikisi için de GCMAES128 kullanma.
Yukarıdaki tabloda:
- IKEv2, Ana Moda veya 1. Aşamaya karşılık gelir.
- IPsec, Hızlı Mod veya 2. Aşama'ya karşılık gelir.
- DH Grubu, Ana Modda veya 1. Aşamada kullanılan Diffie-Hellmen Grubunu belirtir.
- PFS Grubu, Hızlı Mod veya 2. Aşama'da kullanılan Diffie-Hellmen Grubunu belirtir.
IKEv2 Ana Mod SA ömrü, Azure Stack Hub VPN ağ geçitlerinde 28.800 saniyede sabittir.
Aşağıdaki tabloda, özel ilke tarafından desteklenen ilgili Diffie-Hellman Grupları listelenmektedir:
| Diffie-Hellman Grubu | DHGroup | PFSGroup | Anahtar uzunluğu |
|---|---|---|---|
| 1 | DHGroup1 | PFS1 | 768 bit MODP |
| 2 | DHGroup2 | PFS2 | 1024 bit MODP |
| 14 | DHGroup14 DHGroup2048 |
PFS2048 | 2048 bit MODP |
| 19 | ECP256* | ECP256 | 256 bit ECP |
| 20 | ECP384 | ECP384 | 384 bit ECP |
| 24 | DHGroup24* | PFS24 | 2048 bit MODP |
* Bu parametreler yalnızca 2002 ve üzeri derlemelerde kullanılabilir.
Daha fazla bilgi için bkz. RFC3526 ve RFC5114.
Bölüm 3 - IPsec/IKE ilkesiyle yeni bir siteden siteye VPN bağlantısı oluşturma
Bu bölümde, IPsec/IKE ilkesiyle siteden siteye VPN bağlantısı oluşturma adımları açıklanmıştır. Aşağıdaki adımlar, aşağıdaki şekilde gösterildiği gibi bağlantıyı oluşturur:
Siteden siteye VPN bağlantısı oluşturmaya yönelik daha ayrıntılı adım adım yönergeler için bkz. Siteden siteye VPN bağlantısı oluşturma.
1. Adım - Sanal ağı, VPN ağ geçidini ve yerel ağ geçidini oluşturma
1. Değişkenleri bildirme
Bu alıştırma için aşağıdaki değişkenleri bildirerek başlayın. Üretim için yapılandırırken yer tutucuları kendi değerlerinizle değiştirdiğinizden emin olun:
$Sub1 = "<YourSubscriptionName>"
$RG1 = "TestPolicyRG1"
$Location1 = "East US 2"
$VNetName1 = "TestVNet1"
$FESubName1 = "FrontEnd"
$BESubName1 = "Backend"
$GWSubName1 = "GatewaySubnet"
$VNetPrefix11 = "10.11.0.0/16"
$VNetPrefix12 = "10.12.0.0/16"
$FESubPrefix1 = "10.11.0.0/24"
$BESubPrefix1 = "10.12.0.0/24"
$GWSubPrefix1 = "10.12.255.0/27"
$DNS1 = "8.8.8.8"
$GWName1 = "VNet1GW"
$GW1IPName1 = "VNet1GWIP1"
$GW1IPconf1 = "gw1ipconf1"
$Connection16 = "VNet1toSite6"
$LNGName6 = "Site6"
$LNGPrefix61 = "10.61.0.0/16"
$LNGPrefix62 = "10.62.0.0/16"
$LNGIP6 = "131.107.72.22"
2. Aboneliğinize bağlanın ve yeni bir kaynak grubu oluşturun
Resource Manager cmdlet’lerini kullanmak için PowerShell moduna geçtiğinizden emin olun. Daha fazla bilgi için bkz. PowerShell ile Azure Stack Hub'a kullanıcı olarak bağlanma.
PowerShell konsolunuzu açın ve hesabınıza bağlanın; örneğin:
Connect-AzAccount
Select-AzSubscription -SubscriptionName $Sub1
New-AzResourceGroup -Name $RG1 -Location $Location1
3. Sanal ağı, VPN ağ geçidini ve yerel ağ geçidini oluşturma
Aşağıdaki örnek, üç alt ağ ve VPN ağ geçidiyle birlikte TestVNet1 adlı sanal ağı oluşturur. Değerleri değiştirdiğinizde ağ geçidi alt ağınızı GatewaySubnet olarak adlandırmanız önemlidir. Başka bir ad kullanırsanız ağ geçidi oluşturma işleminiz başarısız olur.
$fesub1 = New-AzVirtualNetworkSubnetConfig -Name $FESubName1 -AddressPrefix $FESubPrefix1
$besub1 = New-AzVirtualNetworkSubnetConfig -Name $BESubName1 -AddressPrefix $BESubPrefix1
$gwsub1 = New-AzVirtualNetworkSubnetConfig -Name $GWSubName1 -AddressPrefix $GWSubPrefix1
New-AzVirtualNetwork -Name $VNetName1 -ResourceGroupName $RG1 -Location $Location1 -AddressPrefix $VNetPrefix11,$VNetPrefix12 -Subnet $fesub1,$besub1,$gwsub1
$gw1pip1 = New-AzPublicIpAddress -Name $GW1IPName1 -ResourceGroupName $RG1 -Location $Location1 -AllocationMethod Dynamic
$vnet1 = Get-AzVirtualNetwork -Name $VNetName1 -ResourceGroupName $RG1
$subnet1 = Get-AzVirtualNetworkSubnetConfig -Name "GatewaySubnet" `
-VirtualNetwork $vnet1
$gw1ipconf1 = New-AzVirtualNetworkGatewayIpConfig -Name $GW1IPconf1 `
-Subnet $subnet1 -PublicIpAddress $gw1pip1
New-AzVirtualNetworkGateway -Name $GWName1 -ResourceGroupName $RG1 `
-Location $Location1 -IpConfigurations $gw1ipconf1 -GatewayType Vpn `
-VpnType RouteBased -GatewaySku VpnGw1
New-AzLocalNetworkGateway -Name $LNGName6 -ResourceGroupName $RG1 `
-Location $Location1 -GatewayIpAddress $LNGIP6 -AddressPrefix `
$LNGPrefix61,$LNGPrefix62
2. Adım - IPsec/IKE ilkesiyle siteden siteye VPN bağlantısı oluşturma
1. IPsec/IKE ilkesi oluşturma
Bu örnek betik, aşağıdaki algoritmalar ve parametrelerle bir IPsec/IKE ilkesi oluşturur:
- IKEv2: AES128, SHA1, DHGroup14
- IPsec: AES256, SHA256, hiçbiri, SA Yaşam Süresi 14400 saniye ve 102400000 KB
$ipsecpolicy6 = New-AzIpsecPolicy -IkeEncryption AES128 -IkeIntegrity SHA1 -DhGroup DHGroup14 -IpsecEncryption AES256 -IpsecIntegrity SHA256 -PfsGroup none -SALifeTimeSeconds 14400 -SADataSizeKilobytes 102400000
IPsec için GCMAES kullanıyorsanız, hem IPsec şifrelemesi hem de bütünlüğü için aynı GCMAES algoritmasını ve anahtar uzunluğunu kullanmanız gerekir.
2. IPsec/IKE ilkesiyle siteden siteye VPN bağlantısını oluşturun
Siteden siteye VPN bağlantısı oluşturun ve daha önce oluşturduğunuz IPsec/IKE ilkesini uygulayın:
$vnet1gw = Get-AzVirtualNetworkGateway -Name $GWName1 -ResourceGroupName $RG1
$lng6 = Get-AzLocalNetworkGateway -Name $LNGName6 -ResourceGroupName $RG1
New-AzVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1 -VirtualNetworkGateway1 $vnet1gw -LocalNetworkGateway2 $lng6 -Location $Location1 -ConnectionType IPsec -IpsecPolicies $ipsecpolicy6 -SharedKey 'Azs123'
Önemli
Bir bağlantıda bir IPsec/IKE ilkesi belirtildiğinde, Azure VPN ağ geçidi yalnızca belirli bir bağlantıda belirtilen şifreleme algoritmaları ve anahtar güçlü yönleriyle IPsec/IKE teklifini gönderir veya kabul eder. Bağlantı için şirket içi VPN cihazınızın ilke bileşimini kullandığından veya kabuldiğinden emin olun, aksi takdirde siteden siteye VPN tüneli oluşturulamaz.
Bölüm 4 - Bağlantı için IPsec/IKE ilkesini güncelleştirme
Önceki bölümde, mevcut bir siteden siteye bağlantı için IPsec/IKE ilkesinin nasıl yönetileceğini gösterildi. Bu bölümde, bir bağlantıda aşağıdaki işlemler açıklanmıştır:
- Bir bağlantının IPsec/IKE ilkesini gösterin.
- IPsec/IKE ilkesini bir bağlantıya ekleyin veya güncelleştirin.
- Bağlantıdan IPsec/IKE ilkesini kaldırın.
Not
IPsec/IKE ilkesi yalnızca Standart ve HighPerformance rota tabanlı VPN ağ geçitlerinde desteklenir. Temel ağ geçidi SKU'su üzerinde çalışmaz.
1. Bağlantının IPsec/IKE ilkesini gösterme
Aşağıdaki örnekte, bir bağlantıda yapılandırılan IPsec/IKE ilkesinin nasıl alınacakları gösterilmektedir. Betikler önceki alıştırmalardan da devam eder.
$RG1 = "TestPolicyRG1"
$Connection16 = "VNet1toSite6"
$connection6 = Get-AzVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1
$connection6.IpsecPolicies
Son komut, varsa bağlantıda yapılandırılan geçerli IPsec/IKE ilkesini listeler. Aşağıdaki örnek, bağlantı için örnek bir çıkıştır:
SALifeTimeSeconds : 14400
SADataSizeKilobytes : 102400000
IpsecEncryption : AES256
IpsecIntegrity : SHA256
IkeEncryption : AES128
IkeIntegrity : SHA1
DhGroup : DHGroup14
PfsGroup : None
Yapılandırılmış IPsec/IKE ilkesi yoksa, komut $connection6.policy boş bir dönüş alır. Bu, IPsec/IKE'nin bağlantıda yapılandırılmadığı anlamına gelmez; özel IPsec/IKE ilkesi olmadığı anlamına gelir. Gerçek bağlantı, şirket içi VPN cihazınızla Azure VPN ağ geçidi arasında anlaşılan varsayılan ilkeyi kullanır.
2. Bağlantı için IPsec/IKE ilkesi ekleme veya güncelleştirme
Bir bağlantıda yeni ilke ekleme veya var olan bir ilkeyi güncelleştirme adımları aynıdır: yeni bir ilke oluşturun ve ardından yeni ilkeyi bağlantıya uygulayın:
$RG1 = "TestPolicyRG1"
$Connection16 = "VNet1toSite6"
$connection6 = Get-AzVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1
$newpolicy6 = New-AzIpsecPolicy -IkeEncryption AES128 -IkeIntegrity SHA1 -DhGroup DHGroup14 -IpsecEncryption AES256 -IpsecIntegrity SHA256 -PfsGroup None -SALifeTimeSeconds 14400 -SADataSizeKilobytes 102400000
$connection6.SharedKey = "AzS123"
Set-AzVirtualNetworkGatewayConnection -VirtualNetworkGatewayConnection $connection6 -IpsecPolicies $newpolicy6
İlkenin güncelleştirilip güncelleştirilmediğini denetlemek için bağlantıyı yeniden alabilirsiniz:
$connection6 = Get-AzVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1
$connection6.IpsecPolicies
Aşağıdaki örnekte gösterildiği gibi son satırın çıkışını görmeniz gerekir:
SALifeTimeSeconds : 14400
SADataSizeKilobytes : 102400000
IpsecEncryption : AES256
IpsecIntegrity : SHA256
IkeEncryption : AES128
IkeIntegrity : SHA1
DhGroup : DHGroup14
PfsGroup : None
3. Bağlantıdan IPsec/IKE ilkesini kaldırma
Bir bağlantıdan özel ilkeyi kaldırdıktan sonra Azure VPN ağ geçidi varsayılan IPsec/IKE teklifine geri döner ve şirket içi VPN cihazınızla yeniden görüşür.
$RG1 = "TestPolicyRG1"
$Connection16 = "VNet1toSite6"
$connection6 = Get-AzVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1
$connection6.SharedKey = "AzS123"
$currentpolicy = $connection6.IpsecPolicies[0]
$connection6.IpsecPolicies.Remove($currentpolicy)
Set-AzVirtualNetworkGatewayConnection -VirtualNetworkGatewayConnection $connection6
İlkenin bağlantıdan kaldırılıp kaldırılmadığını denetlemek için aynı betiği kullanabilirsiniz.