Şifreleme gereksinimleri ve Azure VPN ağ geçitleri hakkında
Bu makalede hem şirket içi S2S VPN tünelleri hem de Azure içindeki sanal ağdan sanal ağa bağlantılar için şifreleme gereksinimlerinizi karşılamak üzere Azure VPN ağ geçitlerini nasıl yapılandırabileceğiniz açıklanır.
Azure VPN bağlantıları için IKEv1 ve IKEv2 hakkında
Geleneksel olarak yalnızca Temel SKU'lar için IKEv1 bağlantılarına ve Temel SKU'lar dışındaki tüm VPN ağ geçidi SKU'ları için IKEv2 bağlantılarına izin verdik. Temel SKU'lar yalnızca 1 bağlantıya izin verir ve performans gibi diğer sınırlamalarla birlikte yalnızca IKEv1 protokollerini destekleyen eski cihazları kullanan müşteriler sınırlı deneyime sahip oldu. IKEv1 protokollerini kullanan müşterilerin deneyimini geliştirmek için artık Temel SKU hariç tüm VPN ağ geçidi SKU'ları için IKEv1 bağlantılarına izin vermekteyiz. Daha fazla bilgi için bkz . VPN Gateway SKU'ları. IKEv1 kullanan VPN ağ geçitlerinin Ana mod yeniden anahtarlar sırasında tünel yeniden bağlantılarıyla karşılaşabileceğini unutmayın.
IKEv1 ve IKEv2 bağlantıları aynı VPN ağ geçidine uygulandığında, bu iki bağlantı arasındaki geçiş otomatik olarak yapılabilir.
Azure VPN ağ geçitleri için IPsec ve IKE ilke parametreleri hakkında
IPsec ve IKE protokol standardı, çeşitli kombinasyonlarda çok çeşitli şifreleme algoritmalarını destekler. Şifreleme algoritmaları ve parametrelerin belirli bir bileşimini istemezseniz, Azure VPN ağ geçitleri bir dizi varsayılan teklif kullanır. Varsayılan ilke kümeleri, varsayılan yapılandırmalarda çok çeşitli üçüncü taraf VPN cihazlarıyla birlikte çalışabilirliği en üst düzeye çıkarmak için seçilmiştir. Sonuç olarak, ilkeler ve teklif sayısı kullanılabilir şifreleme algoritmalarının ve anahtar güçlü yönlerinin tüm olası birleşimlerini kapsamaz.
Varsayılan ilke
Azure VPN ağ geçidi için varsayılan ilke kümesi şu makalede listelenmiştir: Siteden Siteye VPN Gateway bağlantıları için VPN cihazları ve IPsec/IKE parametreleri hakkında.
Şifreleme gereksinimleri
Genellikle uyumluluk veya güvenlik gereksinimleri nedeniyle belirli şifreleme algoritmaları veya parametreleri gerektiren iletişimler için artık Azure VPN ağ geçitlerini Azure varsayılan ilke kümeleri yerine belirli şifreleme algoritmaları ve anahtar güçlü yönleriyle özel bir IPsec/IKE ilkesi kullanacak şekilde yapılandırabilirsiniz.
Örneğin, Azure VPN ağ geçitleri için IKEv2 ana mod ilkeleri yalnızca Diffie-Hellman Grup 2'yi (1024 bit) kullanır, ancak IKE'de kullanılacak daha güçlü grupları belirtmeniz gerekebilir. Grup 14 (2048 bit), Grup 24 (2048 bit MODP Grubu) veya ECP (üç nokta eğri grupları) 256 veya 384 bit (Grup 19 ve Grup 20, sırasıyla). Benzer gereksinimler IPsec hızlı mod ilkeleri için de geçerlidir.
Azure VPN ağ geçitleriyle özel IPsec/IKE ilkesi
Azure VPN ağ geçitleri artık bağlantı başına, özel IPsec/IKE ilkesini destekliyor. Siteden Siteye veya Sanal Ağdan Sanal Ağa bağlantı için, aşağıdaki örnekte gösterildiği gibi, IPsec ve IKE için istenen anahtar gücüne sahip şifreleme algoritmalarının belirli bir bileşimini seçebilirsiniz:
Bir IPsec/IKE ilkesi oluşturabilir ve yeni veya mevcut bir bağlantıya uygulayabilirsiniz.
İş Akışı
- Diğer nasıl yapılır belgelerinde açıklandığı gibi bağlantı topolojiniz için sanal ağları, VPN ağ geçitlerini veya yerel ağ geçitlerini oluşturun.
- Bir IPsec/IKE ilkesi oluşturun.
- S2S veya sanal ağdan sanal ağa bağlantı oluştururken ilkeyi uygulayabilirsiniz.
- Bağlantı zaten oluşturulduysa, ilkeyi mevcut bir bağlantıya uygulayabilir veya güncelleştirebilirsiniz.
IPsec/IKE ilkesi hakkında SSS
Özel IPsec/IKE ilkesi tüm Azure VPN Gateway SKU’larında desteklenir mi?
Özel IPsec/IKE ilkesi, Temel SKU dışında tüm Azure SKU'larında desteklenir.
Bir bağlantıda kaç tane ilke belirtebilirim?
Belirli bir bağlantı için yalnızca bir ilke birleşimi belirtebilirsiniz.
Bir bağlantıda kısmi bir ilke belirtebilir miyim? (örneğin IPsec olmadan yalnızca IKE algoritmaları)
Hayır, hem IKE (Ana Mod) hem de IPsec (Hızlı Mod) için tüm algoritmaları ve parametreleri belirtmeniz gerekir. Kısmi ilke belirtimine izin verilmez.
Özel ilkede desteklenen algoritmalar ve anahtar güçleri nelerdir?
Aşağıdaki tabloda, yapılandırabileceğiniz desteklenen şifreleme algoritmaları ve anahtar güçlü yönleri listelenmektedir. Her alan için bir seçeneği belirlemeniz gerekir.
| IPsec/IKEv2 | Seçenekler |
|---|---|
| IKEv2 Şifrelemesi | GCMAES256, GCMAES128, AES256, AES192, AES128 |
| IKEv2 Bütünlüğü | SHA384, SHA256, SHA1, MD5 |
| DH Grubu | DHGroup24, ECP384, ECP256, DHGroup14, DHGroup2048, DHGroup2, DHGroup1, None |
| IPsec Şifrelemesi | GCMAES256, GCMAES192, GCMAES128, AES256, AES192, AES128, DES3, DES, None |
| IPsec Bütünlüğü | GCMAES256, GCMAES192, GCMAES128, SHA256, SHA1, MD5 |
| PFS Grubu | PFS24, ECP384, ECP256, PFS2048, PFS2, PFS1, Hiçbiri |
| QM SA Yaşam Süresi | (İsteğe bağlı: belirtilmezse varsayılan değerler kullanılır) Saniye (tamsayı; en az 300/varsayılan 27000 saniye) Kilobayt (tamsayı; en az 1024/varsayılan 102400000 kilobayt) |
| Trafik Seçicisi | UsePolicyBasedTrafficSelectors** ($True/$False; İsteğe bağlı, belirtilmezse varsayılan $False) |
| DPD zaman aşımı | Saniye (tamsayı: en az 9/maks. 3600; varsayılan 45 saniye) |
Şirket içi VPN cihazı yapılandırmanızın Azure IPsec/IKE ilkesinde belirttiğiniz şu algoritmalar ve parametrelerle eşleşmesi ya da bunları içermesi gerekir:
- IKE şifreleme algoritması (Ana Mod / 1. Aşama)
- IKE bütünlük algoritması (Ana Mod / 1. Aşama)
- DH Grubu (Ana Mod / 1. Aşama)
- IPsec şifreleme algoritması (Hızlı Mod / 2. Aşama)
- IPsec bütünlük algoritması (Hızlı Mod / 2. Aşama)
- PFS Grubu (Hızlı Mod / 2. Aşama)
- Trafik Seçici (UsePolicyBasedTrafficSelectors kullanılıyorsa)
- SA yaşam süreleri yalnızca yerel belirtimlerdir ve eşleşmesi gerekmez.
GCMAES, IPsec Şifreleme algoritması için kullanılıyorsa, IPsec Bütünlüğü için aynı GCMAES algoritmasını ve anahtar uzunluğunu seçmeniz gerekir; örneğin, her ikisi için de GCMAES128 kullanma.
Algoritmalar ve anahtarlar tablosunda:
- IKE, Ana Moda veya 1. Aşamaya karşılık gelir.
- IPsec, Hızlı Moda veya 2. Aşamaya karşılık gelir.
- DH Grubu, Ana Modda veya 1. Aşamada kullanılan Diffie-Hellman Grubunu belirtir.
- PFS Grubu, Hızlı Modda veya 2. Aşamada kullanılan Diffie-Hellman Grubunu belirtti.
IKE Ana Mod SA ömrü, Azure VPN ağ geçitlerinde 28.800 saniyede sabittir.
'UsePolicyBasedTrafficSelectors' bağlantıda isteğe bağlı bir parametredir. UsePolicyBasedTrafficSelectors'ı bir bağlantıda $True olarak ayarlarsanız, Azure VPN ağ geçidini şirket içi ilke tabanlı VPN güvenlik duvarına bağlanacak şekilde yapılandıracaktır. PolicyBasedTrafficSelectors'ı etkinleştirirseniz, VPN cihazınızın azure sanal ağ ön ekleri yerine şirket içi ağ (yerel ağ geçidi) ön eklerinizin tüm birleşimleriyle tanımlanan eşleşen trafik seçicilerine sahip olduğundan emin olmanız gerekir. Azure VPN ağ geçidi, Azure VPN ağ geçidinde yapılandırılanlardan bağımsız olarak uzak VPN ağ geçidi tarafından önerilen trafik seçiciyi kabul eder.
Örneğin, şirket içi ağınızın ön ekleri 10.1.0.0/16 ve 10.2.0.0/16; sanal ağınızın ön ekleriyse 192.168.0.0/16 ve 172.16.0.0/16 şeklindeyse, aşağıdaki trafik seçicileri belirtmeniz gerekir:
- 10.1.0.0/16 <====> 192.168.0.0/16
- 10.1.0.0/16 <====> 172.16.0.0/16
- 10.2.0.0/16 <====> 192.168.0.0/16
- 10.2.0.0/16 <====> 172.16.0.0/16
İlke tabanlı trafik seçicileri hakkında daha fazla bilgi için bkz. birden çok şirket içi ilke tabanlı VPN cihazı Bağlan.
DPD zaman aşımı - Azure VPN ağ geçitlerinde varsayılan değer 45 saniyedir. Zaman aşımının daha kısa sürelere ayarlanması IKE'nin daha agresif bir şekilde yeniden anahtar oluşturmasına neden olur ve bazı durumlarda bağlantının kesilmiş gibi görünmesine neden olur. Şirket içi konumlarınız VPN ağ geçidinin bulunduğu Azure bölgesinden uzaktaysa veya fiziksel bağlantı koşulu paket kaybına neden olabilirse bu durum istenmeyebilir. Genel öneri, zaman aşımının 30 ila 45 saniye arasında ayarlanmasıdır.
Daha fazla bilgi için bkz. Birden çok şirket içi ilke tabanlı VPN cihazını bağlama.
Hangi Diffie-Hellman Grupları desteklenir?
Aşağıdaki tabloda, özel ilke tarafından desteklenen ilgili Diffie-Hellman grupları listelenmektedir:
| Diffie-Hellman Grubu | DHGroup | PFSGroup | Anahtar uzunluğu |
|---|---|---|---|
| 1 | DHGroup1 | PFS1 | 768 bit MODP |
| 2 | DHGroup2 | PFS2 | 1024 bit MODP |
| 14 | DHGroup14 DHGroup2048 |
PFS2048 | 2048 bit MODP |
| 19 | ECP256 | ECP256 | 256 bit ECP |
| 20 | ECP384 | ECP384 | 384 bit ECP |
| 24 | DHGroup24 | PFS24 | 2048 bit MODP |
Diğer ayrıntılar için RFC3526ve RFC5114’e bakın.
Özel ilke, Azure VPN ağ geçitleri için IPsec/IKE ilke kümelerinin yerini mi alır?
Evet, bir bağlantıda özel bir ilke belirtildiğinde VPN ağ geçidi, bağlantıda hem IKE başlatıcı hem de IKE yanıtlayıcısı olarak yalnızca bu ilkeyi kullanır.
Özel bir IPsec/IKE ilkesini kaldırırsam bağlantı korumasız hale mi gelir?
Hayır, bağlantı IPsec/IKE tarafından korunmaya devam eder. Bir bağlantıdan özel bir ilkeyi kaldırdığınızda, Azure VPN ağ geçidi varsayılan IPsec/IKE teklifleri listesine döner ve şirket içi VPN cihazınızla IKE el sıkışmasını yeniden başlatır.
Bir IPsec/IKE ilkesinin eklenmesi veya güncelleştirilmesi, VPN bağlantımı kesintiye uğratır mı?
Evet, Azure VPN ağ geçidi tarafından mevcut bağlantı yıkılıp yeni şifreleme algoritmaları ve parametrelerle IPsec tünelini yeniden kurmak üzere IKE el sıkışması yeniden başlatılırken kısa bir kesinti (birkaç saniye) gerçekleşebilir. Kesinti süresini mümkün olduğunca azaltmak için şirket içi VPN cihazınızın da eşleşen algoritmalar ve anahtar güçleriyle yapılandırıldığından emin olun.
Farklı bağlantılarda farklı ilkeler kullanabilir miyim?
Evet. Özel ilkeler, bağlantı başına bir ilke temelinde uygulanır. Farklı bağlantılarda farklı IPsec/IKE ilkeleri oluşturabilir ve uygulayabilirsiniz. Bağlantıların bir alt kümesinde özel ilkeler uygulamayı da tercih edebilirsiniz. Geriye kalan bağlantılar, Azure’daki varsayılan IPsec/IKE ilke kümelerin kullanır.
Özel ilkeyi VNet-VNet bağlantısında da kullanabilir miyim?
Evet, hem IPsec şirket içi ve dışı karışık bağlantılarda hem de Vnet-Vnet bağlantılarında özel ilke uygulayabilirsiniz.
Her iki VNet-VNet bağlantı kaynağında aynı ilkeyi belirtmem mi gerekir?
Evet. VNet-VNet tüneli, her iki yön için birer tane olmak üzere Azure’daki iki bağlantı kaynağından oluşur. Her iki bağlantı kaynağının da aynı ilkeye sahip olduğundan emin olun, aksi takdirde VNet-VNet bağlantısı kurulamaz.
Varsayılan DPD zaman aşımı değeri nedir? Farklı bir DPD zaman aşımı belirtebilir miyim?
Varsayılan DPD zaman aşımı 45 saniyedir. Her IPsec veya sanal ağdan sanal ağa bağlantıda 9 saniyeden 3600 saniyeye kadar farklı bir DPD zaman aşımı değeri belirtebilirsiniz.
Not
Azure VPN ağ geçitlerinde varsayılan değer 45 saniyedir. Zaman aşımının daha kısa sürelere ayarlanması IKE'nin daha agresif bir şekilde yeniden anahtar oluşturmasına neden olur ve bazı durumlarda bağlantının kesilmiş gibi görünmesine neden olur. Şirket içi konumlarınız VPN ağ geçidinin bulunduğu Azure bölgesinden daha uzaktaysa veya fiziksel bağlantı koşulu paket kaybına neden olabilirse bu durum istenmeyebilir. Genel öneri, zaman aşımının 30 ile 45 saniye arasında ayarlanmasıdır.
Özel IPsec/IKE ilkesi ExpressRoute bağlantısında çalışır mı?
Hayır IPsec/IKE ilkesi yalnızca Azure VPN ağ geçitleri aracılığıyla kurulan S2S VPN ve VNet-VNet bağlantılarında çalışır.
IKEv1 veya IKEv2 protokol türüyle bağlantı oluşturmak Nasıl yaparım??
IKEv1 bağlantıları Temel SKU, Standart SKU ve diğer eski SKU'lar dışında tüm RouteBased VPN türü SKU'larda oluşturulabilir. Bağlantı oluştururken IKEv1 veya IKEv2 bağlantı protokolü türünü belirtebilirsiniz. Bir bağlantı protokolü türü belirtmezseniz, IKEv2 varsa varsayılan seçenek olarak kullanılır. Daha fazla bilgi için PowerShell cmdlet belgelerine bakın. SKU türleri ve IKEv1/IKEv2 desteği için bkz. İlke tabanlı VPN cihazlarına Bağlan ağ geçitleri.
IKEv1 ile IKEv2 bağlantıları arasında geçişe izin veriliyor mu?
Evet. IKEv1 ve IKEv2 bağlantıları arasında geçiş desteklenir.
RouteBased VPN türünün Temel SKU'larında IKEv1 siteden siteye bağlantılarım olabilir mi?
Hayır Temel SKU bunu desteklemez.
Bağlantı oluşturulduktan sonra bağlantı protokolü türünü değiştirebilir miyim (IKEv1 -IKEv2 ve tam tersi)?
Hayır Bağlantı oluşturulduktan sonra IKEv1/IKEv2 protokolleri değiştirilemez. İstediğiniz protokol türüyle yeni bir bağlantıyı silmeniz ve yeniden oluşturmanız gerekir.
IKEv1 bağlantım neden sık sık yeniden bağlanıyor?
Statik yönlendirme veya yol tabanlı IKEv1 bağlantınız düzenli aralıklarla kesiliyorsa, bunun nedeni büyük olasılıkla VPN ağ geçitlerinin yerinde yeniden anahtarlar desteklememesidir. Ana mod yeniden anahtarlandığında, IKEv1 tünellerinizin bağlantısı kesilir ve yeniden bağlanması 5 saniye kadar sürer. Ana mod anlaşması zaman aşımı değeriniz, yeniden anahtar sıklığını belirler. Bu yeniden bağlantıları önlemek için yerinde yeniden anahtarlamaları destekleyen IKEv2'yi kullanmaya geçebilirsiniz.
Bağlantınız rastgele zamanlarda yeniden bağlanıyorsa sorun giderme kılavuzumuzu izleyin.
Yapılandırma bilgilerini ve adımlarını nerede bulabilirim?
Daha fazla bilgi ve yapılandırma adımları için aşağıdaki makalelere bakın.
- S2S veya Sanal Ağdan Sanal Ağa bağlantılar için IPsec/IKE ilkesini yapılandırma - Azure portalı
- S2S veya Sanal Ağdan Sanal Ağa bağlantılar için IPsec/IKE ilkesini yapılandırma - Azure PowerShell
Sonraki adımlar
Bağlantıda özel IPsec/IKE ilkesini yapılandırma hakkında adım adım yönergeler için bkz. IPsec/IKE ilkesini yapılandırma.
UsePolicyBasedTrafficSelectors seçeneği hakkında daha fazla bilgi edinmek için bkz. birden çok ilke tabanlı VPN cihazı Bağlan.