S2S VPN ve VNet-VNet için özel IPsec/IKE bağlantı ilkelerini yapılandırma: PowerShell

Bu makalede, PowerShell kullanarak VPN Ağ Geçidi Siteden Siteye VPN veya Sanal Ağdan Sanal Ağa bağlantılar için özel bir IPsec/IKE ilkesi yapılandırma adımları açıklamaktadır.

İş Akışı

Bu makaledeki yönergeler, aşağıdaki diyagramda gösterildiği gibi IPsec/IKE ilkelerini ayarlamanıza ve yapılandırmanıza yardımcı olur.

Diagram showing IPsec/IKE policy architecture.

  1. Sanal ağ ve VPN ağ geçidi oluşturma.
  2. Şirket içi bağlantılar için yerel bir ağ geçidi veya sanal ağdan sanal ağa bağlantı için başka bir sanal ağ ve ağ geçidi oluşturun.
  3. Seçili algoritmalar ve parametrelerle bir IPsec/IKE ilkesi oluşturun.
  4. IPsec/IKE ilkesiyle bir bağlantı (IPsec veya VNet2VNet) oluşturun.
  5. Var olan bir bağlantı için IPsec/IKE ilkesi ekleyin/güncelleştirin/kaldırın.

İlke parametreleri

IPsec ve IKE protokol standardı, çeşitli kombinasyonlarda çok çeşitli şifreleme algoritmalarını destekler. Bunun uyumluluk veya güvenlik gereksinimlerinizi karşılamak için şirket içi ve sanal ağdan sanal ağa bağlantı sağlamaya nasıl yardımcı olabileceğini görmek için Şifreleme gereksinimleri ve Azure VPN ağ geçitleri hakkında konusuna bakın. Aşağıdaki önemli noktalara dikkat edin:

  • IPsec/IKE ilkesi yalnızca aşağıdaki ağ geçidi SKU'larında çalışır:
    • VpnGw1~5 ve VpnGw1AZ~5AZ
    • Standart ve Yüksek Performans
  • Belirli bir bağlantı için yalnızca bir ilke birleşimi belirtebilirsiniz.
  • Hem IKE (Ana Mod) hem de IPsec (Hızlı Mod) için tüm algoritmaları ve parametreleri belirtmeniz gerekir. Kısmi ilke belirtimine izin verilmez.
  • İlkenin şirket içi VPN cihazlarınızda desteklendiğinden emin olmak için VPN cihazı satıcı belirtimlerinize başvurun. İlkeler uyumsuzsa S2S veya Sanal Ağdan Sanal Ağa bağlantılar kurulamaz.

Şifreleme algoritmaları ve anahtar güçlü yönleri

Aşağıdaki tabloda desteklenen yapılandırılabilir şifreleme algoritmaları ve anahtar güçlü yönleri listelenmektedir.

IPsec/IKEv2 Seçenekler
IKEv2 Şifrelemesi GCMAES256, GCMAES128, AES256, AES192, AES128
IKEv2 Bütünlüğü SHA384, SHA256, SHA1, MD5
DH Grubu DHGroup24, ECP384, ECP256, DHGroup14, DHGroup2048, DHGroup2, DHGroup1, None
IPsec Şifrelemesi GCMAES256, GCMAES192, GCMAES128, AES256, AES192, AES128, DES3, DES, None
IPsec Bütünlüğü GCMAES256, GCMAES192, GCMAES128, SHA256, SHA1, MD5
PFS Grubu PFS24, ECP384, ECP256, PFS2048, PFS2, PFS1, Hiçbiri
QM SA Yaşam Süresi (İsteğe bağlı: belirtilmezse varsayılan değerler kullanılır)
Saniye (tamsayı; en az 300/varsayılan 27000 saniye)
Kilobayt (tamsayı; en az 1024/varsayılan 102400000 kilobayt)
Trafik Seçicisi UsePolicyBasedTrafficSelectors** ($True/$False; İsteğe bağlı, belirtilmezse varsayılan $False)
DPD zaman aşımı Saniye (tamsayı: en az 9/maks. 3600; varsayılan 45 saniye)
  • Şirket içi VPN cihazı yapılandırmanızın Azure IPsec/IKE ilkesinde belirttiğiniz şu algoritmalar ve parametrelerle eşleşmesi ya da bunları içermesi gerekir:

    • IKE şifreleme algoritması (Ana Mod / 1. Aşama)
    • IKE bütünlük algoritması (Ana Mod / 1. Aşama)
    • DH Grubu (Ana Mod / 1. Aşama)
    • IPsec şifreleme algoritması (Hızlı Mod / 2. Aşama)
    • IPsec bütünlük algoritması (Hızlı Mod / 2. Aşama)
    • PFS Grubu (Hızlı Mod / 2. Aşama)
    • Trafik Seçici (UsePolicyBasedTrafficSelectors kullanılıyorsa)
    • SA yaşam süreleri yalnızca yerel belirtimlerdir ve eşleşmesi gerekmez.
  • GCMAES, IPsec Şifreleme algoritması için kullanılıyorsa, IPsec Bütünlüğü için aynı GCMAES algoritmasını ve anahtar uzunluğunu seçmeniz gerekir; örneğin, her ikisi için de GCMAES128 kullanma.

  • Algoritmalar ve anahtarlar tablosunda:

    • IKE, Ana Moda veya 1. Aşamaya karşılık gelir.
    • IPsec, Hızlı Moda veya 2. Aşamaya karşılık gelir.
    • DH Grubu, Ana Modda veya 1. Aşamada kullanılan Diffie-Hellman Grubunu belirtir.
    • PFS Grubu, Hızlı Modda veya 2. Aşamada kullanılan Diffie-Hellman Grubunu belirtti.
  • IKE Ana Mod SA ömrü, Azure VPN ağ geçitlerinde 28.800 saniyede sabittir.

  • 'UsePolicyBasedTrafficSelectors' bağlantıda isteğe bağlı bir parametredir. UsePolicyBasedTrafficSelectors'ı bir bağlantıda $True olarak ayarlarsanız, Azure VPN ağ geçidini şirket içi ilke tabanlı VPN güvenlik duvarına bağlanacak şekilde yapılandıracaktır. PolicyBasedTrafficSelectors'ı etkinleştirirseniz, VPN cihazınızın azure sanal ağ ön ekleri yerine şirket içi ağ (yerel ağ geçidi) ön eklerinizin tüm birleşimleriyle tanımlanan eşleşen trafik seçicilerine sahip olduğundan emin olmanız gerekir. Azure VPN ağ geçidi, Azure VPN ağ geçidinde yapılandırılanlardan bağımsız olarak uzak VPN ağ geçidi tarafından önerilen trafik seçiciyi kabul eder.

    Örneğin, şirket içi ağınızın ön ekleri 10.1.0.0/16 ve 10.2.0.0/16; sanal ağınızın ön ekleriyse 192.168.0.0/16 ve 172.16.0.0/16 şeklindeyse, aşağıdaki trafik seçicileri belirtmeniz gerekir:

    • 10.1.0.0/16 <====> 192.168.0.0/16
    • 10.1.0.0/16 <====> 172.16.0.0/16
    • 10.2.0.0/16 <====> 192.168.0.0/16
    • 10.2.0.0/16 <====> 172.16.0.0/16

    İlke tabanlı trafik seçicileri hakkında daha fazla bilgi için bkz. birden çok şirket içi ilke tabanlı VPN cihazı Bağlan.

  • DPD zaman aşımı - Azure VPN ağ geçitlerinde varsayılan değer 45 saniyedir. Zaman aşımının daha kısa sürelere ayarlanması IKE'nin daha agresif bir şekilde yeniden anahtar oluşturmasına neden olur ve bazı durumlarda bağlantının kesilmiş gibi görünmesine neden olur. Şirket içi konumlarınız VPN ağ geçidinin bulunduğu Azure bölgesinden uzaktaysa veya fiziksel bağlantı koşulu paket kaybına neden olabilirse bu durum istenmeyebilir. Genel öneri, zaman aşımının 30 ila 45 saniye arasında ayarlanmasıdır.

Not

IKEv2 Bütünlük, hem Bütünlük hem de PRF (sahte-rastgele işlev) için kullanılır. Belirtilen IKEv2 Şifreleme algoritması GCM* ise, IKEv2 Bütünlüğü'nde geçirilen değer yalnızca PRF için kullanılır ve örtük olarak IKEv2 Bütünlüğünü GCM* olarak ayarlarız. Diğer tüm durumlarda, IKEv2 Bütünlüğü'nde geçirilen değer hem IKEv2 Bütünlüğü hem de PRF için kullanılır.

Diffie-Hellman grupları

Aşağıdaki tabloda, özel ilke tarafından desteklenen ilgili Diffie-Hellman grupları listelenmektedir:

Diffie-Hellman Grubu DHGroup PFSGroup Anahtar uzunluğu
1 DHGroup1 PFS1 768 bit MODP
2 DHGroup2 PFS2 1024 bit MODP
14 DHGroup14
DHGroup2048
PFS2048 2048 bit MODP
19 ECP256 ECP256 256 bit ECP
20 ECP384 ECP384 384 bit ECP
24 DHGroup24 PFS24 2048 bit MODP

Diğer ayrıntılar için RFC3526ve RFC5114’e bakın.

IPsec/IKE ilkesiyle S2S VPN bağlantısı oluşturma

Bu bölüm, IPsec/IKE ilkesiyle S2S VPN bağlantısı oluşturma adımlarında size yol gösterir. Aşağıdaki adımlar, diyagramda gösterildiği gibi bağlantıyı oluşturur:

Diagram showing policy architecture.

S2S VPN bağlantısı oluşturmaya yönelik daha ayrıntılı adım adım yönergeler için bkz. S2S VPN bağlantısı oluşturma.

Bu alıştırmanın adımlarını tarayıcınızda Azure Cloud Shell kullanarak çalıştırabilirsiniz. Bunun yerine PowerShell'i doğrudan bilgisayarınızdan kullanmak istiyorsanız Azure Resource Manager PowerShell cmdlet'lerini yükleyin. PowerShell cmdlet'lerini yükleme hakkında daha fazla bilgi için bkz. Azure PowerShell'i yükleme ve yapılandırma.

1. Adım - Sanal ağ, VPN ağ geçidi ve yerel ağ geçidi kaynaklarını oluşturma

Azure Cloud Shell kullanıyorsanız hesabınıza otomatik olarak bağlanırsınız ve aşağıdaki komutu çalıştırmanız gerekmez.

Bilgisayarınızdan PowerShell kullanıyorsanız PowerShell konsolunuzu açın ve hesabınıza bağlanın. Daha fazla bilgi için Windows PowerShell’i Resource Manager ile kullanma konusuna bakın. Bağlanmanıza yardımcı olması için aşağıdaki örneği kullanın:

Connect-AzAccount
Select-AzSubscription -SubscriptionName <YourSubscriptionName>

1. Değişkenlerinizi bildirme

Bu alıştırma için değişkenleri bildirerek başlayacağız. Komutları çalıştırmadan önce değişkenleri kendi değişkenlerinizle değiştirebilirsiniz.

$RG1           = "TestRG1"
$Location1     = "EastUS"
$VNetName1     = "TestVNet1"
$FESubName1    = "FrontEnd"
$BESubName1    = "Backend"
$GWSubName1    = "GatewaySubnet"
$VNetPrefix11  = "10.1.0.0/16"
$FESubPrefix1  = "10.1.0.0/24"
$BESubPrefix1  = "10.1.1.0/24"
$GWSubPrefix1  = "10.1.255.0/27"
$DNS1          = "8.8.8.8"
$GWName1       = "VNet1GW"
$GW1IPName1    = "VNet1GWIP1"
$GW1IPconf1    = "gw1ipconf1"
$Connection16  = "VNet1toSite6"
$LNGName6      = "Site6"
$LNGPrefix61   = "10.61.0.0/16"
$LNGPrefix62   = "10.62.0.0/16"
$LNGIP6        = "131.107.72.22"

2. Sanal ağı, VPN ağ geçidini ve yerel ağ geçidini oluşturma

Aşağıdaki örnekler üç alt ağ ile TestVNet1 sanal ağını ve VPN ağ geçidini oluşturur. Kendi değerlerinizi yerleştirirken ağ geçidi alt ağınızı özellikle GatewaySubnet olarak adlandırmanız önem taşır. Başka bir ad kullanırsanız ağ geçidi oluşturma işleminiz başarısız olur. Sanal ağ geçidinin oluşturulması 45 dakika veya daha uzun sürebilir. Bu süre boyunca Azure Cloud Shell kullanıyorsanız bağlantınız zaman aşımına neden olabilir. Bu, ağ geçidi oluşturma komutunu etkilemez.

New-AzResourceGroup -Name $RG1 -Location $Location1

$fesub1 = New-AzVirtualNetworkSubnetConfig -Name $FESubName1 -AddressPrefix $FESubPrefix1
$besub1 = New-AzVirtualNetworkSubnetConfig -Name $BESubName1 -AddressPrefix $BESubPrefix1
$gwsub1 = New-AzVirtualNetworkSubnetConfig -Name $GWSubName1 -AddressPrefix $GWSubPrefix1

New-AzVirtualNetwork -Name $VNetName1 -ResourceGroupName $RG1 -Location $Location1 -AddressPrefix $VNetPrefix11 -Subnet $fesub1,$besub1,$gwsub1

$gw1pip1 = New-AzPublicIpAddress -Name $GW1IPName1 -ResourceGroupName $RG1 -Location $Location1 -AllocationMethod Dynamic
$vnet1 = Get-AzVirtualNetwork -Name $VNetName1 -ResourceGroupName $RG1
$subnet1 = Get-AzVirtualNetworkSubnetConfig -Name "GatewaySubnet" -VirtualNetwork $vnet1
$gw1ipconf1 = New-AzVirtualNetworkGatewayIpConfig -Name $GW1IPconf1 -Subnet $subnet1 -PublicIpAddress $gw1pip1

New-AzVirtualNetworkGateway -Name $GWName1 -ResourceGroupName $RG1 -Location $Location1 -IpConfigurations $gw1ipconf1 -GatewayType Vpn -VpnType RouteBased -GatewaySku VpnGw1

Yerel ağ geçidini oluşturun. Azure Cloud Shell zaman aşımına uğradıysa aşağıdaki değişkenleri yeniden bağlamanız ve bildirmeniz gerekebilir.

Değişkenleri bildirin.

$RG1           = "TestRG1"
$Location1     = "EastUS"
$LNGName6      = "Site6"
$LNGPrefix61   = "10.61.0.0/16"
$LNGPrefix62   = "10.62.0.0/16"
$LNGIP6        = "131.107.72.22"
$GWName1       = "VNet1GW"
$Connection16  = "VNet1toSite6"

Yerel ağ geçidi Sitesi6 oluşturun.

New-AzLocalNetworkGateway -Name $LNGName6 -ResourceGroupName $RG1 -Location $Location1 -GatewayIpAddress $LNGIP6 -AddressPrefix $LNGPrefix61,$LNGPrefix62

2. Adım - IPsec/IKE ilkesiyle S2S VPN bağlantısı oluşturma

1. IPsec/IKE ilkesi oluşturma

Aşağıdaki örnek betik, aşağıdaki algoritmalara ve parametrelere sahip bir IPsec/IKE ilkesi oluşturur:

  • IKEv2: AES256, SHA384, DHGroup24
  • IPsec: AES256, SHA256, PFS Yok, SA Yaşam Süresi 14400 saniye ve 102400000 KB
$ipsecpolicy6 = New-AzIpsecPolicy -IkeEncryption AES256 -IkeIntegrity SHA384 -DhGroup DHGroup24 -IpsecEncryption AES256 -IpsecIntegrity SHA256 -PfsGroup None -SALifeTimeSeconds 14400 -SADataSizeKilobytes 102400000

IPsec için GCMAES kullanıyorsanız, hem IPsec şifrelemesi hem de bütünlüğü için aynı GCMAES algoritmasını ve anahtar uzunluğunu kullanmanız gerekir. Örneğin, GCMAES256 kullanılırken ilgili parametreler "-IpsecEncryption GCMAES256 -IpsecIntegrity GCMAES256" olacaktır.

2. IPsec/IKE ilkesiyle S2S VPN bağlantısı oluşturun

S2S VPN bağlantısı oluşturun ve daha önce oluşturulan IPsec/IKE ilkesini uygulayın.

$vnet1gw = Get-AzVirtualNetworkGateway -Name $GWName1  -ResourceGroupName $RG1
$lng6 = Get-AzLocalNetworkGateway  -Name $LNGName6 -ResourceGroupName $RG1

New-AzVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1 -VirtualNetworkGateway1 $vnet1gw -LocalNetworkGateway2 $lng6 -Location $Location1 -ConnectionType IPsec -IpsecPolicies $ipsecpolicy6 -SharedKey 'AzureA1b2C3'

İsteğe bağlı olarak, Azure VPN ağ geçidinin ilke tabanlı şirket içi VPN cihazlarına bağlanmasını sağlamak için bağlantı oluşturma cmdlet'ine "-UsePolicyBasedTrafficSelectors $True" ekleyebilirsiniz.

Önemli

Bir bağlantıda bir IPsec/IKE ilkesi belirtildiğinde, Azure VPN ağ geçidi yalnızca belirli bir bağlantıda belirtilen şifreleme algoritmaları ve anahtar güçlü yönleriyle IPsec/IKE teklifini gönderir veya kabul eder. Bağlantı için şirket içi VPN cihazınızın tam ilke bileşimini kullandığından veya kabuldiğinden emin olun; aksi takdirde S2S VPN tüneli kurulmayacaktır.

IPsec/IKE ilkesiyle sanal ağdan sanal ağa bağlantı oluşturma

IPsec/IKE ilkesiyle sanal ağdan sanal ağa bağlantı oluşturma adımları, S2S VPN bağlantısına benzer. Aşağıdaki örnek betikler, diyagramda gösterildiği gibi bağlantıyı oluşturur:

Diagram shows vnet-to-vnet architecture.

Sanal ağdan sanal ağa bağlantı oluşturmaya yönelik daha ayrıntılı adımlar için bkz. Sanal ağdan sanal ağa bağlantı oluşturma.

1. Adım: İkinci sanal ağı ve VPN ağ geçidini oluşturma

1. Değişkenlerinizi bildirme

$RG2          = "TestRG2"
$Location2    = "EastUS"
$VNetName2    = "TestVNet2"
$FESubName2   = "FrontEnd"
$BESubName2   = "Backend"
$GWSubName2   = "GatewaySubnet"
$VNetPrefix21 = "10.21.0.0/16"
$VNetPrefix22 = "10.22.0.0/16"
$FESubPrefix2 = "10.21.0.0/24"
$BESubPrefix2 = "10.22.0.0/24"
$GWSubPrefix2 = "10.22.255.0/27"
$DNS2         = "8.8.8.8"
$GWName2      = "VNet2GW"
$GW2IPName1   = "VNet2GWIP1"
$GW2IPconf1   = "gw2ipconf1"
$Connection21 = "VNet2toVNet1"
$Connection12 = "VNet1toVNet2"

2. İkinci sanal ağı ve VPN ağ geçidini oluşturma

New-AzResourceGroup -Name $RG2 -Location $Location2

$fesub2 = New-AzVirtualNetworkSubnetConfig -Name $FESubName2 -AddressPrefix $FESubPrefix2
$besub2 = New-AzVirtualNetworkSubnetConfig -Name $BESubName2 -AddressPrefix $BESubPrefix2
$gwsub2 = New-AzVirtualNetworkSubnetConfig -Name $GWSubName2 -AddressPrefix $GWSubPrefix2

New-AzVirtualNetwork -Name $VNetName2 -ResourceGroupName $RG2 -Location $Location2 -AddressPrefix $VNetPrefix21,$VNetPrefix22 -Subnet $fesub2,$besub2,$gwsub2

$gw2pip1    = New-AzPublicIpAddress -Name $GW2IPName1 -ResourceGroupName $RG2 -Location $Location2 -AllocationMethod Dynamic
$vnet2      = Get-AzVirtualNetwork -Name $VNetName2 -ResourceGroupName $RG2
$subnet2    = Get-AzVirtualNetworkSubnetConfig -Name "GatewaySubnet" -VirtualNetwork $vnet2
$gw2ipconf1 = New-AzVirtualNetworkGatewayIpConfig -Name $GW2IPconf1 -Subnet $subnet2 -PublicIpAddress $gw2pip1

New-AzVirtualNetworkGateway -Name $GWName2 -ResourceGroupName $RG2 -Location $Location2 -IpConfigurations $gw2ipconf1 -GatewayType Vpn -VpnType RouteBased -VpnGatewayGeneration Generation2 -GatewaySku VpnGw2

VPN ağ geçidinin oluşturulması yaklaşık 45 dakika veya daha uzun sürebilir.

2. Adım: IPsec/IKE ilkesiyle VNet-VNet bağlantısı oluşturma

S2S VPN bağlantısına benzer şekilde bir IPsec/IKE ilkesi oluşturun ve ilkeyi yeni bağlantıya uygulayın. Azure Cloud Shell kullandıysanız bağlantınız zaman aşımına uğradı. Bu durumda yeniden bağlanın ve gerekli değişkenleri yeniden belirtin.

$GWName1 = "VNet1GW"
$GWName2 = "VNet2GW"
$RG1     = "TestRG1"
$RG2     = "TestRG2"
$Location1     = "EastUS"
$Location2    = "EastUS"
$Connection21 = "VNet2toVNet1"
$Connection12 = "VNet1toVNet2"

1. IPsec/IKE ilkesini oluşturma

Aşağıdaki örnek betik, şu algoritmalar ve parametreler ile farklı bir IPsec/IKE ilkesi oluşturur:

  • IKEv2: AES128, SHA1, DHGroup14
  • IPsec: GCMAES128, GCMAES128, PFS24, SA Yaşam Süresi 14400 saniye ve 102400000 KB
$ipsecpolicy2 = New-AzIpsecPolicy -IkeEncryption AES128 -IkeIntegrity SHA1 -DhGroup DHGroup14 -IpsecEncryption GCMAES128 -IpsecIntegrity GCMAES128 -PfsGroup PFS24 -SALifeTimeSeconds 14400 -SADataSizeKilobytes 102400000

2. IPsec/IKE ilkesiyle sanal ağdan sanal ağa bağlantılar oluşturma

Sanal ağdan sanal ağa bağlantı oluşturun ve oluşturduğunuz IPsec/IKE ilkesini uygulayın. Bu örnekte her iki ağ geçidi de aynı aboneliktedir. Bu nedenle, aynı PowerShell oturumunda aynı IPsec/IKE ilkesiyle her iki bağlantıyı da oluşturmak ve yapılandırmak mümkündür.

$vnet1gw = Get-AzVirtualNetworkGateway -Name $GWName1  -ResourceGroupName $RG1
$vnet2gw = Get-AzVirtualNetworkGateway -Name $GWName2  -ResourceGroupName $RG2

New-AzVirtualNetworkGatewayConnection -Name $Connection12 -ResourceGroupName $RG1 -VirtualNetworkGateway1 $vnet1gw -VirtualNetworkGateway2 $vnet2gw -Location $Location1 -ConnectionType Vnet2Vnet -IpsecPolicies $ipsecpolicy2 -SharedKey 'AzureA1b2C3'

New-AzVirtualNetworkGatewayConnection -Name $Connection21 -ResourceGroupName $RG2 -VirtualNetworkGateway1 $vnet2gw -VirtualNetworkGateway2 $vnet1gw -Location $Location2 -ConnectionType Vnet2Vnet -IpsecPolicies $ipsecpolicy2 -SharedKey 'AzureA1b2C3'

Önemli

Bir bağlantıda bir IPsec/IKE ilkesi belirtildiğinde, Azure VPN ağ geçidi yalnızca belirli bir bağlantıda belirtilen şifreleme algoritmaları ve anahtar güçlü yönleriyle IPsec/IKE teklifini gönderir veya kabul eder. Her iki bağlantı için de IPsec ilkelerinin aynı olduğundan emin olun, aksi takdirde sanal ağdan sanal ağa bağlantı kurulmayacak.

Bu adımları tamamladıktan sonra bağlantı birkaç dakika içinde kurulur ve başlangıçta gösterildiği gibi aşağıdaki ağ topolojisine sahip olursunuz:

Diagram shows IPsec/IKE policy.

Bağlantı için IPsec/IKE ilkesini güncelleştirme

Son bölümde, mevcut bir S2S veya sanal ağdan sanal ağa bağlantı için IPsec/IKE ilkesinin nasıl yönetileceğini gösterir. Aşağıdaki alıştırmada, bir bağlantı üzerinde aşağıdaki işlemlerde size yol gösterilir:

  1. Bağlantının IPsec/IKE ilkesini gösterme
  2. IPsec/IKE ilkesini bir bağlantıya ekleme veya güncelleştirme
  3. Bağlantıdan IPsec/IKE ilkesini kaldırma

Aynı adımlar hem S2S hem de sanal ağdan sanal ağa bağlantılar için geçerlidir.

Önemli

IPsec/IKE ilkesi yalnızca Standart ve HighPerformance rota tabanlı VPN ağ geçitlerinde desteklenir. Temel ağ geçidi SKU'su veya ilke tabanlı VPN ağ geçidi üzerinde çalışmaz.

1. Bağlantı için IPsec/IKE ilkesi gösterme

Aşağıdaki örnekte, bir bağlantıda yapılandırılan IPsec/IKE ilkesinin nasıl alın aldığı gösterilmektedir. Betikler ayrıca yukarıdaki alıştırmalardan devam eder.

$RG1          = "TestRG1"
$Connection16 = "VNet1toSite6"
$connection6  = Get-AzVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1
$connection6.IpsecPolicies

Son komut, varsa bağlantıda yapılandırılan geçerli IPsec/IKE ilkesini listeler. Aşağıdaki örnek, bağlantı için örnek bir çıkıştır:

SALifeTimeSeconds   : 14400
SADataSizeKilobytes : 102400000
IpsecEncryption     : AES256
IpsecIntegrity      : SHA256
IkeEncryption       : AES256
IkeIntegrity        : SHA384
DhGroup             : DHGroup24
PfsGroup            : PFS24

Yapılandırılmış bir IPsec/IKE ilkesi yoksa, komutu (PS> $connection 6. IpsecPolicies) boş bir dönüş alır. Bu, bağlantıda IPsec/IKE'nin yapılandırılmadığı, ancak özel IPsec/IKE ilkesi olmadığı anlamına gelmez. Gerçek bağlantı, şirket içi VPN cihazınızla Azure VPN ağ geçidi arasında belirlenen varsayılan ilkeyi kullanır.

2. Bağlantı için IPsec/IKE ilkesi ekleme veya güncelleştirme

Bir bağlantıda yeni ilke ekleme veya var olan bir ilkeyi güncelleştirme adımları aynıdır: yeni bir ilke oluşturun ve ardından yeni ilkeyi bağlantıya uygulayın.

$RG1          = "TestRG1"
$Connection16 = "VNet1toSite6"
$connection6  = Get-AzVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1

$newpolicy6   = New-AzIpsecPolicy -IkeEncryption AES128 -IkeIntegrity SHA1 -DhGroup DHGroup14 -IpsecEncryption AES256 -IpsecIntegrity SHA256 -PfsGroup None -SALifeTimeSeconds 14400 -SADataSizeKilobytes 102400000

Set-AzVirtualNetworkGatewayConnection -VirtualNetworkGatewayConnection $connection6 -IpsecPolicies $newpolicy6

Şirket içi ilke tabanlı bir VPN cihazına bağlanırken "UsePolicyBasedTrafficSelectors" özelliğini etkinleştirmek için cmdlet'ine "-UsePolicyBaseTrafficSelectors" parametresini ekleyin veya seçeneği devre dışı bırakmak için $False olarak ayarlayın:

Set-AzVirtualNetworkGatewayConnection -VirtualNetworkGatewayConnection $connection6 -IpsecPolicies $newpolicy6 -UsePolicyBasedTrafficSelectors $True

"UsePolicyBasedTrafficSelectors" gibi, DPD zaman aşımını yapılandırmak, uygulanan IPsec ilkesinin dışında gerçekleştirilebilir:

Set-AzVirtualNetworkGatewayConnection -VirtualNetworkGatewayConnection $connection6 -IpsecPolicies $newpolicy6 -DpdTimeoutInSeconds 30

İsteğe bağlı olarak, İlke tabanlı trafik seçici ve DPD zaman aşımı seçenekleri, özel bir IPsec/IKE ilkesi olmadan Varsayılan ilke ile belirtilebilir.

Set-AzVirtualNetworkGatewayConnection -VirtualNetworkGatewayConnection $connection6 -UsePolicyBasedTrafficSelectors $True -DpdTimeoutInSeconds 30 

İlkenin güncelleştirilip güncelleştirilmediğini denetlemek için bağlantıyı yeniden alabilirsiniz. Güncelleştirilmiş ilkenin bağlantısını denetlemek için aşağıdaki komutu çalıştırın.

$connection6  = Get-AzVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1
$connection6.IpsecPolicies

Örnek çıkış:

SALifeTimeSeconds   : 14400
SADataSizeKilobytes : 102400000
IpsecEncryption     : AES256
IpsecIntegrity      : SHA256
IkeEncryption       : AES128
IkeIntegrity        : SHA1
DhGroup             : DHGroup14
PfsGroup            : None

3. Bağlantıdan IPsec/IKE ilkesini kaldırma

Özel ilkeyi bir bağlantıdan kaldırdığınızda, Azure VPN ağ geçidi varsayılan IPsec/IKE teklifleri listesine geri döner ve şirket içi VPN cihazınızla yeniden görüşür.

$RG1           = "TestRG1"
$Connection16  = "VNet1toSite6"
$connection6   = Get-AzVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1

$currentpolicy = $connection6.IpsecPolicies[0]
$connection6.IpsecPolicies.Remove($currentpolicy)

Set-AzVirtualNetworkGatewayConnection -VirtualNetworkGatewayConnection $connection6

İlkenin bağlantıdan kaldırılıp kaldırılmadığını denetlemek için aynı betiği kullanabilirsiniz.

IPsec/IKE ilkesi hakkında SSS

Sık sorulan soruları görüntülemek için VPN Gateway SSS'nin IPsec/IKE ilkesi bölümüne gidin.

Sonraki adımlar

İlke tabanlı trafik seçicilerle ilgili daha fazla bilgi için bkz. Bağlan birden çok şirket içi ilke tabanlı VPN cihazı.