IPsec-/IKE-beleid configureren voor site-naar-site-VPN-verbindingen
In dit artikel worden de stappen beschreven voor het configureren van een IPsec-/IKE-beleid voor site-naar-site-VPN-verbindingen (S2S) in Azure Stack Hub.
IPsec- en IKE-beleidsparameters voor VPN-gateways
De IPsec- en IKE-protocolstandaard ondersteunt een breed scala aan cryptografische algoritmen in verschillende combinaties. Zie IPsec-/IKE-parametersom te zien welke parameters worden ondersteund in Azure Stack Hub, zodat u aan uw nalevings- of beveiligingsvereisten kunt voldoen.
Dit artikel bevat instructies voor het maken en configureren van een IPsec-/IKE-beleid en het toepassen ervan op een nieuwe of bestaande verbinding.
Overwegingen
Houd rekening met de volgende belangrijke overwegingen bij het gebruik van dit beleid:
- Het IPsec-/IKE-beleid werkt alleen op de Standard- en HighPerformance (routegebaseerde) gateway-SKU's.
- U kunt slechts één beleidscombinatie opgeven voor een bepaalde verbinding.
- U moet alle algoritmen en parameters opgeven voor zowel IKE (main mode) als IPsec (snelle modus). Gedeeltelijke beleidsspecificatie is niet toegestaan.
- Raadpleeg de specificaties van de leverancier van uw VPN-apparaat om ervoor te zorgen dat het beleid wordt ondersteund op uw on-premises VPN-apparaten. Site-naar-site-verbindingen kunnen niet tot stand worden gebracht als het beleid niet compatibel is.
Voorwaarden
Voordat u begint, moet u ervoor zorgen dat u over de volgende vereisten beschikt:
- Een Azure-abonnement. Als u nog geen Azure-abonnement hebt, kunt u zich aanmelden voor een gratis account.
- De PowerShell-cmdlets van Azure Resource Manager. Zie PowerShell installeren voor Azure Stack Hubvoor meer informatie over het installeren van de PowerShell-cmdlets.
Deel 1: IPsec-/IKE-beleid maken en instellen
In deze sectie worden de stappen beschreven die nodig zijn voor het maken en bijwerken van het IPsec-/IKE-beleid op een site-naar-site-VPN-verbinding:
- Maak een virtueel netwerk en een VPN-gateway.
- Maak een lokale netwerkgateway voor cross-premises verbindingen.
- Maak een IPsec-/IKE-beleid met geselecteerde algoritmen en parameters.
- Maak een IPSec-verbinding met het IPsec-/IKE-beleid.
- Een IPsec-/IKE-beleid voor een bestaande verbinding toevoegen/bijwerken/verwijderen.
De instructies in dit artikel helpen u bij het instellen en configureren van IPsec-/IKE-beleid, zoals wordt weergegeven in de volgende afbeelding:
Deel 2: Ondersteunde cryptografische algoritmen en belangrijke sterke punten
De volgende tabel bevat de ondersteunde cryptografische algoritmen en belangrijke sterke punten die kunnen worden geconfigureerd door Azure Stack Hub:
| IPsec/IKEv2 | Opties |
|---|---|
| IKEv2-versleuteling | AES256, AES192, AES128, DES3, DES |
| IKEv2-integriteit | SHA384, SHA256, SHA1, MD5 |
| DH-groep | ECP384, DHGroup14, DHGroup2, DHGroup1, ECP256, DHGroup24 |
| IPsec-versleuteling | GCMAES256, GCMAES192, GCMAES128, AES256, AES192, AES128, DES3, DES, Geen |
| IPsec-integriteit | GCMAES256, GCMAES192, GCMAES128, SHA256 |
| PFS-groep | PFS24, ECP384, ECP256, PFS2048, PFS2, PFS1, PFSMM, Geen |
| QM SA-levensduur | (Optioneel: standaardwaarden worden gebruikt indien niet opgegeven) Seconden (geheel getal; min. 300 seconden/standaard 27000 seconden) KBytes (geheel getal; min. 1024/standaard 102400000 KBytes) |
| Verkeersselector | Verkeerskiezers op basis van beleid worden niet ondersteund in Azure Stack Hub. |
Notitie
Als u de QM SA-levensduur te laag instelt, moet u onnodig opnieuw versleutelen, wat de prestaties kan verminderen.
De configuratie van uw on-premises VPN-apparaat moet overeenkomen met of de volgende algoritmen en parameters bevatten die u opgeeft in het Azure IPsec-/IKE-beleid:
- IKE-versleutelingsalgoritmen (hoofdmodus/fase 1).
- IKE-integriteitsalgoritmen (hoofdmodus/fase 1).
- DH-groep (hoofdmodus/fase 1).
- IPsec-versleutelingsalgoritmen (snelle modus/fase 2).
- IPsec-integriteitsalgoritmen (snelle modus/fase 2).
- PFS-groep (snelle modus/fase 2).
- De SA-levensduren zijn alleen lokale specificaties en hoeven niet overeen te komen.
Als GCMAES wordt gebruikt als het IPsec-versleutelingsalgoritmen, moet u dezelfde GCMAES-algoritme en sleutellengte voor IPsec-integriteit selecteren; Gebruik bijvoorbeeld GCMAES128 voor beide.
In de voorgaande tabel:
- IKEv2 komt overeen met de hoofdmodus of fase 1.
- IPsec komt overeen met de snelle modus of fase 2.
- DH-groep specificeert de Diffie-Hellmen-groep die in de hoofdmodus of fase 1 wordt gebruikt.
- PFS Groep specificeert de Diffie-Hellmen Groep die wordt gebruikt in de snelle modus of fase 2.
De SA-levensduur van DE IKEv2-hoofdmodus is vastgesteld op 28.800 seconden op de VPN-gateways van Azure Stack Hub.
De volgende tabel bevat de bijbehorende Diffie-Hellman Groepen die worden ondersteund door het aangepaste beleid:
| Diffie-Hellman groep | DHGroup | PFSGroup | Sleutellengte |
|---|---|---|---|
| 1 | DHGroup1 | PFS1 | 768-bit MODP |
| 2 | DHGroup2 | PFS2 | 1024-bit MODP |
| 14 | DHGroup14 DHGroup2048 |
PFS2048 | 2048-bits MODP |
| 19 | ECP256 | ECP256 | 256-bits ECP |
| 20 | ECP384 | ECP384 | 384-bits ECP |
| 24 | DHGroup24 | PFS24 | 2048-bits MODP |
Zie RFC3526 en RFC5114voor meer informatie.
Deel 3: Een nieuwe site-naar-site-VPN-verbinding maken met IPsec-/IKE-beleid
In deze sectie worden de stappen beschreven voor het maken van een site-naar-site-VPN-verbinding met een IPsec-/IKE-beleid. Met de volgende stappen maakt u de verbinding, zoals wordt weergegeven in de volgende afbeelding:
Zie Een site-naar-site-VPN-verbinding makenvoor gedetailleerde stapsgewijze instructies voor het maken van een site-naar-site-VPN-verbinding.
Stap 1: het virtuele netwerk, de VPN-gateway en de lokale netwerkgateway maken
Variabelen declareren
Voor deze oefening moet u eerst de volgende variabelen declareren. Zorg ervoor dat u de tijdelijke aanduidingen vervangt door uw eigen waarden bij het configureren voor productie:
$Sub1 = "<YourSubscriptionName>"
$RG1 = "TestPolicyRG1"
$Location1 = "East US 2"
$VNetName1 = "TestVNet1"
$FESubName1 = "FrontEnd"
$BESubName1 = "Backend"
$GWSubName1 = "GatewaySubnet"
$VNetPrefix11 = "10.11.0.0/16"
$VNetPrefix12 = "10.12.0.0/16"
$FESubPrefix1 = "10.11.0.0/24"
$BESubPrefix1 = "10.12.0.0/24"
$GWSubPrefix1 = "10.12.255.0/27"
$DNS1 = "8.8.8.8"
$GWName1 = "VNet1GW"
$GW1IPName1 = "VNet1GWIP1"
$GW1IPconf1 = "gw1ipconf1"
$Connection16 = "VNet1toSite6"
$LNGName6 = "Site6"
$LNGPrefix61 = "10.61.0.0/16"
$LNGPrefix62 = "10.62.0.0/16"
$LNGIP6 = "131.107.72.22"
Verbinding maken met uw abonnement en een nieuwe resourcegroep maken
Zorg ervoor dat u overschakelt naar de PowerShell-modus om de Resource Manager-cmdlets te gebruiken. Zie Verbinding maken met Azure Stack Hub met PowerShell als gebruikervoor meer informatie.
Open uw PowerShell-console en maak verbinding met uw account; bijvoorbeeld:
Connect-AzAccount
Select-AzSubscription -SubscriptionName $Sub1
New-AzResourceGroup -Name $RG1 -Location $Location1
Het virtuele netwerk, de VPN-gateway en de lokale netwerkgateway maken
In het volgende voorbeeld wordt het virtuele netwerk gemaakt, TestVNet1, samen met drie subnetten en de VPN-gateway. Als u waarden vervangt, is het belangrijk dat u uw gatewaysubnet specifiek een naam geeft GatewaySubnet. Als u een andere naam gebruikt, mislukt het aanmaken van de gateway.
$fesub1 = New-AzVirtualNetworkSubnetConfig -Name $FESubName1 -AddressPrefix $FESubPrefix1
$besub1 = New-AzVirtualNetworkSubnetConfig -Name $BESubName1 -AddressPrefix $BESubPrefix1
$gwsub1 = New-AzVirtualNetworkSubnetConfig -Name $GWSubName1 -AddressPrefix $GWSubPrefix1
New-AzVirtualNetwork -Name $VNetName1 -ResourceGroupName $RG1 -Location $Location1 -AddressPrefix $VNetPrefix11,$VNetPrefix12 -Subnet $fesub1,$besub1,$gwsub1
$gw1pip1 = New-AzPublicIpAddress -Name $GW1IPName1 -ResourceGroupName $RG1 -Location $Location1 -AllocationMethod Dynamic
$vnet1 = Get-AzVirtualNetwork -Name $VNetName1 -ResourceGroupName $RG1
$subnet1 = Get-AzVirtualNetworkSubnetConfig -Name "GatewaySubnet" `
-VirtualNetwork $vnet1
$gw1ipconf1 = New-AzVirtualNetworkGatewayIpConfig -Name $GW1IPconf1 `
-Subnet $subnet1 -PublicIpAddress $gw1pip1
New-AzVirtualNetworkGateway -Name $GWName1 -ResourceGroupName $RG1 `
-Location $Location1 -IpConfigurations $gw1ipconf1 -GatewayType Vpn `
-VpnType RouteBased -GatewaySku VpnGw1
New-AzLocalNetworkGateway -Name $LNGName6 -ResourceGroupName $RG1 `
-Location $Location1 -GatewayIpAddress $LNGIP6 -AddressPrefix `
$LNGPrefix61,$LNGPrefix62
Stap 2: een site-naar-site-VPN-verbinding maken met een IPsec-/IKE-beleid
Een IPsec-/IKE-beleid maken
Met dit voorbeeldscript maakt u een IPsec-/IKE-beleid met de volgende algoritmen en parameters:
- IKEv2: AES128, SHA1, DHGroup14
- IPsec: AES256, SHA256, none, SA Lifetime 14400 seconden en 102400000KB
$ipsecpolicy6 = New-AzIpsecPolicy -IkeEncryption AES128 -IkeIntegrity SHA1 -DhGroup DHGroup14 -IpsecEncryption AES256 -IpsecIntegrity SHA256 -PfsGroup none -SALifeTimeSeconds 14400 -SADataSizeKilobytes 102400000
Als u GCMAES voor IPsec gebruikt, moet u dezelfde GCMAES-algoritme en sleutellengte gebruiken voor zowel IPsec-versleuteling als integriteit.
De site-naar-site-VPN-verbinding maken met het IPsec-/IKE-beleid
Maak een site-naar-site-VPN-verbinding en pas het IPsec-/IKE-beleid toe dat u eerder hebt gemaakt:
$vnet1gw = Get-AzVirtualNetworkGateway -Name $GWName1 -ResourceGroupName $RG1
$lng6 = Get-AzLocalNetworkGateway -Name $LNGName6 -ResourceGroupName $RG1
New-AzVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1 -VirtualNetworkGateway1 $vnet1gw -LocalNetworkGateway2 $lng6 -Location $Location1 -ConnectionType IPsec -IpsecPolicies $ipsecpolicy6 -SharedKey 'Azs123'
Belangrijk
Zodra een IPsec-/IKE-beleid is opgegeven voor een verbinding, verzendt of accepteert de Azure VPN-gateway alleen het IPsec/IKE-voorstel met opgegeven cryptografische algoritmen en belangrijke sterke punten voor die specifieke verbinding. Zorg ervoor dat uw on-premises VPN-apparaat voor de verbinding de exacte beleidscombinatie gebruikt of accepteert, anders kan de site-naar-site-VPN-tunnel niet tot stand worden gebracht.
Deel 4: IPsec-/IKE-beleid bijwerken voor een verbinding
In de vorige sectie hebt u gezien hoe u IPsec-/IKE-beleid voor een bestaande site-naar-site-verbinding beheert. In deze sectie worden de volgende bewerkingen voor een verbinding beschreven:
- Het IPsec-/IKE-beleid van een verbinding weergeven.
- Voeg het IPsec-/IKE-beleid toe of werk het bij voor een verbinding.
- Verwijder het IPsec-/IKE-beleid uit een verbinding.
Notitie
IPsec/IKE-beleid wordt alleen ondersteund op Standard-- en HighPerformance--route-gebaseerde VPN-gateways. Het werkt niet op de Basic gateway-SKU.
Het IPsec-/IKE-beleid van een verbinding weergeven
In het volgende voorbeeld ziet u hoe u het IPsec-/IKE-beleid configureert voor een verbinding. De scripts gaan ook verder vanaf de vorige oefeningen.
$RG1 = "TestPolicyRG1"
$Connection16 = "VNet1toSite6"
$connection6 = Get-AzVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1
$connection6.IpsecPolicies
Met de laatste opdracht wordt het huidige IPsec-/IKE-beleid weergegeven dat is geconfigureerd voor de verbinding, indien van toepassing. Het volgende voorbeeld is een voorbeelduitvoer voor de verbinding:
SALifeTimeSeconds : 14400
SADataSizeKilobytes : 102400000
IpsecEncryption : AES256
IpsecIntegrity : SHA256
IkeEncryption : AES128
IkeIntegrity : SHA1
DhGroup : DHGroup14
PfsGroup : None
Als er geen IPsec-/IKE-beleid is geconfigureerd, krijgt de opdracht $connection6.policy een lege retour. Het betekent niet dat IPsec/IKE niet is geconfigureerd voor de verbinding; dit betekent dat er geen aangepast IPsec-/IKE-beleid is. De werkelijke verbinding maakt gebruik van het standaardbeleid dat is onderhandeld tussen uw on-premises VPN-apparaat en de Azure VPN-gateway.
Een IPsec-/IKE-beleid voor een verbinding toevoegen of bijwerken
De stappen voor het toevoegen van een nieuw beleid of het bijwerken van een bestaand beleid voor een verbinding zijn hetzelfde: maak een nieuw beleid en pas vervolgens het nieuwe beleid toe op de verbinding.
$RG1 = "TestPolicyRG1"
$Connection16 = "VNet1toSite6"
$connection6 = Get-AzVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1
$newpolicy6 = New-AzIpsecPolicy -IkeEncryption AES128 -IkeIntegrity SHA1 -DhGroup DHGroup14 -IpsecEncryption AES256 -IpsecIntegrity SHA256 -PfsGroup None -SALifeTimeSeconds 14400 -SADataSizeKilobytes 102400000
$connection6.SharedKey = "AzS123"
Set-AzVirtualNetworkGatewayConnection -VirtualNetworkGatewayConnection $connection6 -IpsecPolicies $newpolicy6
U kunt de verbinding opnieuw ophalen om te controleren of het beleid is bijgewerkt:
$connection6 = Get-AzVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1
$connection6.IpsecPolicies
U ziet nu de uitvoer van de laatste regel, zoals wordt weergegeven in het volgende voorbeeld:
SALifeTimeSeconds : 14400
SADataSizeKilobytes : 102400000
IpsecEncryption : AES256
IpsecIntegrity : SHA256
IkeEncryption : AES128
IkeIntegrity : SHA1
DhGroup : DHGroup14
PfsGroup : None
3. Een IPsec-/IKE-beleid verwijderen uit een verbinding
Nadat u het aangepaste beleid uit een verbinding hebt verwijderd, wordt de Azure VPN-gateway teruggezet naar het standaard-IPsec-/IKE-voorstelen wordt opnieuw onderhandeld met uw on-premises VPN-apparaat.
$RG1 = "TestPolicyRG1"
$Connection16 = "VNet1toSite6"
$connection6 = Get-AzVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1
$connection6.SharedKey = "AzS123"
$currentpolicy = $connection6.IpsecPolicies[0]
$connection6.IpsecPolicies.Remove($currentpolicy)
Set-AzVirtualNetworkGatewayConnection -VirtualNetworkGatewayConnection $connection6
U kunt hetzelfde script gebruiken om te controleren of het beleid is verwijderd uit de verbinding.