Compartilhar via


Configurar políticas de conexão IPsec/IKE personalizadas para VPN S2S e VNet para VNet: PowerShell

Este artigo orienta as etapas para configurar uma política personalizada IPsec/IKE para VPN Site a Site do gateway de VPN ou conexões VNet a VNet usando o PowerShell.

Fluxo de trabalho

As instruções neste artigo ajudam você a instalar e configurar políticas de IPsec/IKE, conforme mostrado no diagrama a seguir.

Diagrama mostrando políticas IPsec/IKE para gateways de VPN VNet para VNet e Site a Site.

  1. Crie uma rede virtual e um gateway de VPN.
  2. Crie um gateway de rede local para a conexão cruzada local ou outra rede virtual e o gateway de conexão VNet a VNet.
  3. Criar uma política de IPsec/IKE com parâmetros e algoritmos selecionados.
  4. Criar uma conexão (IPsec ou VNet para VNet) com a política de IPsec/IKE.
  5. Adicionar/atualizar/remover uma política de IPsec/IKE para uma conexão existente.

Parâmetros da política

O padrão de protocolo IKE e IPsec suporta uma ampla gama de algoritmos criptográficos em várias combinações. Veja Sobre os requisitos de criptografia e gateways de VPN do Azure para ver como isso pode ajudar a garantir a conectividade entre locais e VNet a VNet para atender aos seus requisitos de conformidade ou segurança. Lembre-se das seguintes considerações:

  • A política IPsec/IKE só funciona nas seguintes SKUs de gateway:
    • VpnGw1~5 and VpnGw1AZ~5AZ
    • Standard e HighPerformance
  • Você só pode especificar uma combinação de políticas para uma determinada conexão.
  • Você deve especificar todos os algoritmos e parâmetros para IKE (modo principal) e IPsec (modo rápido). A especificação de política parcial não é permitida.
  • Consulte as especificações do fornecedor do dispositivo VPN para garantir que a política tem suporte em seus dispositivos VPN local. As conexões S2S ou VNet a VNet não podem ser estabelecidas se as políticas são incompatíveis.

Algoritmos de criptografia e restrições de chave

A tabela a seguir lista as forças da chave e os algoritmos de criptografia configuráveis compatíveis.

IPsec/IKEv2 Opções
Criptografia IKEv2 GCMAES256, GCMAES128, AES256, AES192, AES128
Integridade IKEv2 SHA384, SHA256, SHA1, MD5
Grupo DH DHGroup24, ECP384, ECP256, DHGroup14, DHGroup2048, DHGroup2, DHGroup1, Nenhum
Criptografia IPsec GCMAES256, GCMAES192, GCMAES128, AES256, AES192, AES128, DES3, DES, nenhum
Integridade IPsec GCMAES256, GCMAES192, GCMAES128, SHA256, SHA1, MD5
Grupo PFS PFS24, ECP384, ECP256, PFS2048, PFS2, PFS1, nenhum
Tempo de vida de SA do Modo Rápido (Opcional; valores padrão, se não for especificado)
Segundos (inteiro; mínimo 300, padrão 27.000)
Quilobytes (inteiro; mínimo 1.024, padrão 10.2400.000)
Seletor de tráfego UsePolicyBasedTrafficSelectors($True ou $False, mas opcional; $False padrão, se não for especificado)
Tempo limite de DPD Segundos (inteiro; mínimo 9, máximo 3.600, padrão 45)
  • A configuração do dispositivo VPN local precisa corresponder ou conter os seguintes algoritmos e parâmetros que você especifica na política de IPsec ou IKE do Azure:

    • Algoritmo de criptografia IKE (Modo Principal, Fase 1)
    • Algoritmo de integridade IKE (Modo Principal, Fase 1)
    • Grupo DH (Modo Principal, Fase 1)
    • Algoritmo de criptografia IPsec (Modo Rápido, Fase 2)
    • Algoritmo de integridade IPsec (Modo Rápido, Fase 2)
    • Grupo PFS (Modo Rápido, fase 2)
    • Seletor de tráfego (se você usar UsePolicyBasedTrafficSelectors)
    • Tempos de vida de SA (especificações locais que não precisam ser correspondentes)
  • Se você usar GCMAES para o algoritmo de criptografia IPsec, precisará selecionar o mesmo algoritmo GCMAES e comprimento de chave para integridade IPsec. Por exemplo, use GCMAES128 para ambos.

  • Na tabela de algoritmos e chaves:

    • O IKE corresponde ao Modo Principal ou à Fase 1.
    • O IPsec corresponde ao Modo Rápido ou à Fase 2.
    • O grupo DH especifica o grupo Diffie-Hellman usando no Modo Principal ou na Fase 1.
    • O grupo PFS especifica o grupo Diffie-Hellman usado no Modo Rápido ou na Fase 2.
  • O tempo de vida da SA de modo principal IKE é fixo em 28.800 segundos nos gateways de VPN do Azure.

  • UsePolicyBasedTrafficSelectors é um parâmetro opcional na conexão. Se você definir UsePolicyBasedTrafficSelectors para $True em uma conexão, ele configurará o gateway de VPN para se conectar a um firewall VPN baseado em políticas locais.

    Se você habilitar UsePolicyBasedTrafficSelectors, verifique se o seu dispositivo VPN tem os seletores de tráfego correspondentes com todas as combinações dos prefixos de rede local (gateway de rede local) de ou para os prefixos de rede virtual do Azure, em vez de any-to-any. O gateway de VPN aceita qualquer seletor de tráfego proposto pelo gateway de VPN remoto, independentemente do que está configurado no gateway de VPN.

    Por exemplo, se os prefixos da rede local são 10.1.0.0/16 e 10.2.0.0/16, e os prefixos da rede virtual são 192.168.0.0/16 e 172.16.0.0/16, você precisa especificar os seguintes seletores de tráfego:

    • 10.1.0.0/16 <====> 192.168.0.0/16
    • 10.1.0.0/16 <====> 172.16.0.0/16
    • 10.2.0.0/16 <====> 192.168.0.0/16
    • 10.2.0.0/16 <====> 172.16.0.0/16

    Para obter mais informações sobre seletores de tráfego baseados em política, confira Conectar um gateway de VPN a vários dispositivos VPN baseados em políticas locais.

  • Definir o tempo limite como períodos mais curtos faz com que o IKE faça o rechaveamento de forma mais agressiva. Em seguida, a conexão pode parecer estar desconectada em algumas instâncias. Essa situação pode não ser desejável se os locais estiverem distantes da região do Azure onde o gateway de VPN reside ou se a condição de link físico puder causar perda de pacotes. Geralmente, recomendamos que você defina o tempo limite entre 30 e 45 segundos.

Observação

A Integridade do IKEv2 é usada para Integridade e PRF (função pseudo-aleatória). Se o algoritmo de criptografia IKEv2 especificado for GCM*, o valor passado na Integridade do IKEv2 será usado apenas para PRF e, implicitamente, definiremos a Integridade do IKEv2 como GCM*. Em todos os outros casos, o valor passado na Integridade do IKEv2 será usado tanto para a Integridade do IKEv2 quanto para PRF.

Grupos Diffie-Hellman

A tabela a seguir lista os grupos Diffie-Hellman correspondentes que têm suporte na política personalizada:

Grupo Diffie-Hellman DHGroup PFSGroup Comprimento da chave
1 DHGroup1 PFS1 MODP de 768 bits
2 DHGroup2 PFS2 MODP de 1024 bits
14 DHGroup14
DHGroup2048
PFS2048 MODP de 2048 bits
19 ECP256 ECP256 ECP de 256 bits
20 ECP384 ECP384 ECP de 384 bits
24 DHGroup24 PFS24 MODP de 2048 bits

Consulte a RFC3526 e a RFC5114 para obter mais detalhes.

Criar uma conexão de VPN S2S com a política de IPsec/IKE

Esta seção orienta você pelas etapas de criação de uma conexão VPN S2S com uma política de IPsec/IKE. As etapas a seguir criarão a conexão, conforme mostrado no diagrama:

Diagrama que mostra a arquitetura da política.

Consulte Criar uma conexão VPN S2S para obter instruções passo a passo mais detalhadas para criar uma conexão VPN S2S.

Execute as etapas deste exercício usando o Azure Cloud Shell em seu navegador. Caso queira usar o PowerShell diretamente do computador, instale os cmdlets do PowerShell do Azure Resource Manager. Para saber mais sobre como instalar os cmdlets do PowerShell, consulte Como instalar e configurar o Azure PowerShell.

Etapa 1 - Criar a rede virtual, o gateway de VPN e recursos do gateway de rede local

Se você usar o Azure Cloud Shell, se conectará automaticamente à conta e não precisará executar o comando a seguir.

Caso use o PowerShell no computador, abra o console do PowerShell e conecte-se à sua conta. Para obter mais informações, consulte Usando o Windows PowerShell com o Gerenciador de Recursos. Use o exemplo a seguir para ajudar com a conexão:

Connect-AzAccount
Select-AzSubscription -SubscriptionName <YourSubscriptionName>

1. Declarar as variáveis

Para este exercício, começaremos declarando as variáveis. Você pode substituir as variáveis por suas próprias antes de executar os comandos.

$RG1           = "TestRG1"
$Location1     = "EastUS"
$VNetName1     = "TestVNet1"
$FESubName1    = "FrontEnd"
$BESubName1    = "Backend"
$GWSubName1    = "GatewaySubnet"
$VNetPrefix11  = "10.1.0.0/16"
$FESubPrefix1  = "10.1.0.0/24"
$BESubPrefix1  = "10.1.1.0/24"
$GWSubPrefix1  = "10.1.255.0/27"
$DNS1          = "8.8.8.8"
$GWName1       = "VNet1GW"
$GW1IPName1    = "VNet1GWIP1"
$GW1IPconf1    = "gw1ipconf1"
$Connection16  = "VNet1toSite6"
$LNGName6      = "Site6"
$LNGPrefix61   = "10.61.0.0/16"
$LNGPrefix62   = "10.62.0.0/16"
$LNGIP6        = "131.107.72.22"

2. Criar a rede virtual, o gateway de VPN e o gateway de rede local

Os exemplos a seguir criam a rede virtual, TestVNet1, com três sub-redes e o gateway de VPN. Ao substituir valores, é importante você sempre nomear sua sub-rede de gateway especificamente como GatewaySubnet. Se você usar outro nome, a criação do gateway falhará. Pode levar 45 minutos ou mais até que o gateway de rede virtual seja criado. Durante esse tempo, se você estiver usando o Azure Cloud Shell, sua conexão poderá atingir o tempo limite. Isso não afeta o comando de criação de gateway.

New-AzResourceGroup -Name $RG1 -Location $Location1

$fesub1 = New-AzVirtualNetworkSubnetConfig -Name $FESubName1 -AddressPrefix $FESubPrefix1
$besub1 = New-AzVirtualNetworkSubnetConfig -Name $BESubName1 -AddressPrefix $BESubPrefix1
$gwsub1 = New-AzVirtualNetworkSubnetConfig -Name $GWSubName1 -AddressPrefix $GWSubPrefix1

New-AzVirtualNetwork -Name $VNetName1 -ResourceGroupName $RG1 -Location $Location1 -AddressPrefix $VNetPrefix11 -Subnet $fesub1,$besub1,$gwsub1

$gw1pip1 = New-AzPublicIpAddress -Name $GW1IPName1 -ResourceGroupName $RG1 -Location $Location1 -AllocationMethod Dynamic
$vnet1 = Get-AzVirtualNetwork -Name $VNetName1 -ResourceGroupName $RG1
$subnet1 = Get-AzVirtualNetworkSubnetConfig -Name "GatewaySubnet" -VirtualNetwork $vnet1
$gw1ipconf1 = New-AzVirtualNetworkGatewayIpConfig -Name $GW1IPconf1 -Subnet $subnet1 -PublicIpAddress $gw1pip1

New-AzVirtualNetworkGateway -Name $GWName1 -ResourceGroupName $RG1 -Location $Location1 -IpConfigurations $gw1ipconf1 -GatewayType Vpn -VpnType RouteBased -GatewaySku VpnGw1

Crie o gateway de rede local. Talvez seja necessário reconectar e declarar as variáveis a seguir novamente se o Azure Cloud Shell tiver atingido o tempo limite.

Declare variáveis.

$RG1           = "TestRG1"
$Location1     = "EastUS"
$LNGName6      = "Site6"
$LNGPrefix61   = "10.61.0.0/16"
$LNGPrefix62   = "10.62.0.0/16"
$LNGIP6        = "131.107.72.22"
$GWName1       = "VNet1GW"
$Connection16  = "VNet1toSite6"

Crie gateway de rede local Site6.

New-AzLocalNetworkGateway -Name $LNGName6 -ResourceGroupName $RG1 -Location $Location1 -GatewayIpAddress $LNGIP6 -AddressPrefix $LNGPrefix61,$LNGPrefix62

Parte 2 - Criar uma nova conexão de VPN S2S com a política de IPsec/IKE

1. Criar uma política de IPsec/IKE

O script de exemplo a seguir cria uma política de IPsec/IKE com os parâmetros e os algoritmos seguintes:

  • IKEv2: AES256, SHA384, DHGroup24
  • IPsec: AES256, SHA256, PFS Nenhum, Tempo de Vida da SA de 14400 segundos e 102400000 KB
$ipsecpolicy6 = New-AzIpsecPolicy -IkeEncryption AES256 -IkeIntegrity SHA384 -DhGroup DHGroup24 -IpsecEncryption AES256 -IpsecIntegrity SHA256 -PfsGroup None -SALifeTimeSeconds 14400 -SADataSizeKilobytes 102400000

Se você usar GCMAES para IPsec, deverá usar o mesmo algoritmo GCMAES e comprimento de chave tanto para criptografia quanto para integridade IPsec. Por o exemplo acima, os parâmetros correspondentes serão "-IpsecEncryption GCMAES256 - IpsecIntegrity GCMAES256" ao usar GCMAES256.

2. Criar a nova conexão de VPN S2S com a política de IPsec/IKE

Criar uma conexão VPN S2S e aplicar a política de IPsec/IKE criada anteriormente.

$vnet1gw = Get-AzVirtualNetworkGateway -Name $GWName1  -ResourceGroupName $RG1
$lng6 = Get-AzLocalNetworkGateway  -Name $LNGName6 -ResourceGroupName $RG1

New-AzVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1 -VirtualNetworkGateway1 $vnet1gw -LocalNetworkGateway2 $lng6 -Location $Location1 -ConnectionType IPsec -IpsecPolicies $ipsecpolicy6 -SharedKey 'AzureA1b2C3'

Opcionalmente, você pode adicionar "-UsePolicyBasedTrafficSelectors $True" ao criar conexão cmdlet para habilitar o gateway de VPN do Azure para se conectar a dispositivos VPN baseado em políticas locais.

Importante

Quando uma política de IPsec/IKE é especificada em uma conexão, o gateway de VPN do Azure só irá enviar ou aceitar a proposta de IPsec/IKE com algoritmos de criptografia especificados e as restrições de chave naquela conexão determinada. Garanta que o dispositivo VPN local para a conexão use ou aceite a combinação de política exata, caso contrário, o túnel VPN S2S não será estabelecido.

Criar uma conexão de VNet para VNet com a política de IPsec/IKE

As etapas de criação de uma conexão VNet para VNet com uma política de IPsec/IKE são semelhantes de uma conexão VPN S2S. Os scripts de exemplo a seguir criam a conexão, conforme mostrado no diagrama:

Diagrama que mostra a arquitetura VNet-a-VNet.

Consulte Criar uma conexão VNet para VNet para obter etapas mais detalhadas para criar uma conexão VNet para VNet.

Etapa 1: Criar a segunda rede virtual e um gateway de VPN

1. Declarar as variáveis

$RG2          = "TestRG2"
$Location2    = "EastUS"
$VNetName2    = "TestVNet2"
$FESubName2   = "FrontEnd"
$BESubName2   = "Backend"
$GWSubName2   = "GatewaySubnet"
$VNetPrefix21 = "10.21.0.0/16"
$VNetPrefix22 = "10.22.0.0/16"
$FESubPrefix2 = "10.21.0.0/24"
$BESubPrefix2 = "10.22.0.0/24"
$GWSubPrefix2 = "10.22.255.0/27"
$DNS2         = "8.8.8.8"
$GWName2      = "VNet2GW"
$GW2IPName1   = "VNet2GWIP1"
$GW2IPconf1   = "gw2ipconf1"
$Connection21 = "VNet2toVNet1"
$Connection12 = "VNet1toVNet2"

2. Criar a segunda rede virtual e um gateway de VPN

New-AzResourceGroup -Name $RG2 -Location $Location2

$fesub2 = New-AzVirtualNetworkSubnetConfig -Name $FESubName2 -AddressPrefix $FESubPrefix2
$besub2 = New-AzVirtualNetworkSubnetConfig -Name $BESubName2 -AddressPrefix $BESubPrefix2
$gwsub2 = New-AzVirtualNetworkSubnetConfig -Name $GWSubName2 -AddressPrefix $GWSubPrefix2

New-AzVirtualNetwork -Name $VNetName2 -ResourceGroupName $RG2 -Location $Location2 -AddressPrefix $VNetPrefix21,$VNetPrefix22 -Subnet $fesub2,$besub2,$gwsub2

$gw2pip1    = New-AzPublicIpAddress -Name $GW2IPName1 -ResourceGroupName $RG2 -Location $Location2 -AllocationMethod Dynamic
$vnet2      = Get-AzVirtualNetwork -Name $VNetName2 -ResourceGroupName $RG2
$subnet2    = Get-AzVirtualNetworkSubnetConfig -Name "GatewaySubnet" -VirtualNetwork $vnet2
$gw2ipconf1 = New-AzVirtualNetworkGatewayIpConfig -Name $GW2IPconf1 -Subnet $subnet2 -PublicIpAddress $gw2pip1

New-AzVirtualNetworkGateway -Name $GWName2 -ResourceGroupName $RG2 -Location $Location2 -IpConfigurations $gw2ipconf1 -GatewayType Vpn -VpnType RouteBased -VpnGatewayGeneration Generation2 -GatewaySku VpnGw2

Pode levar cerca de 45 minutos ou mais para criar o gateway de VPN.

Etapa 2: Criar uma conexão VNet para VNet com a política de IPsec/IKE

Semelhante à conexão VPN S2S, criar uma política de IPsec/IKE e em seguida aplicar à política para a nova conexão. Se você usou o Azure Cloud Shell, sua conexão pode ter atingido o tempo limite. Nesse caso, conecte-se e declare as variáveis necessárias novamente.

$GWName1 = "VNet1GW"
$GWName2 = "VNet2GW"
$RG1     = "TestRG1"
$RG2     = "TestRG2"
$Location1     = "EastUS"
$Location2    = "EastUS"
$Connection21 = "VNet2toVNet1"
$Connection12 = "VNet1toVNet2"

1. Criar a política IPsec/IKE

O script de exemplo a seguir cria uma política de IPsec/IKE diferente com os parâmetros e os algoritmos seguintes:

  • IKEv2: AES128, SHA1, DHGroup14
  • IPsec: GCMAES128, GCMAES128, PFS24, tempo de vida do SA 14400 segundos e 102400000KB
$ipsecpolicy2 = New-AzIpsecPolicy -IkeEncryption AES128 -IkeIntegrity SHA1 -DhGroup DHGroup14 -IpsecEncryption GCMAES128 -IpsecIntegrity GCMAES128 -PfsGroup PFS24 -SALifeTimeSeconds 14400 -SADataSizeKilobytes 102400000

2. Criar conexões VNet para VNet com a política de IPsec/IKE

Crie uma conexão VNet para VNet e apliaque a política de IPsec/IKE criada por você. Neste exemplo, ambos os gateways estão na mesma assinatura. Portanto, é possível criar e configurar ambas as conexões com a mesma política de IPsec/IKE na mesma sessão do PowerShell.

$vnet1gw = Get-AzVirtualNetworkGateway -Name $GWName1  -ResourceGroupName $RG1
$vnet2gw = Get-AzVirtualNetworkGateway -Name $GWName2  -ResourceGroupName $RG2

New-AzVirtualNetworkGatewayConnection -Name $Connection12 -ResourceGroupName $RG1 -VirtualNetworkGateway1 $vnet1gw -VirtualNetworkGateway2 $vnet2gw -Location $Location1 -ConnectionType Vnet2Vnet -IpsecPolicies $ipsecpolicy2 -SharedKey 'AzureA1b2C3'

New-AzVirtualNetworkGatewayConnection -Name $Connection21 -ResourceGroupName $RG2 -VirtualNetworkGateway1 $vnet2gw -VirtualNetworkGateway2 $vnet1gw -Location $Location2 -ConnectionType Vnet2Vnet -IpsecPolicies $ipsecpolicy2 -SharedKey 'AzureA1b2C3'

Importante

Quando uma política de IPsec/IKE é especificada em uma conexão, o gateway de VPN do Azure só irá enviar ou aceitar a proposta de IPsec/IKE com algoritmos de criptografia especificados e as restrições de chave naquela conexão determinada. Garanta que as políticas de IPsec para as duas conexões sejam as mesmas, caso contrário, a conexão VNet para VNet não será estabelecida.

Depois de concluir essas etapas, a conexão é estabelecida em alguns minutos e você terá a seguinte topologia de rede conforme mostrado no início:

Diagrama que mostra a política de IPsec/IKE.

Atualize uma política de IPsec/IKE para uma conexão

A última seção mostra como gerenciar a política de IPsec/IKE para uma conexão existente S2S ou VNet para VNet. O seguinte exercício percorre as seguintes operações em uma conexão:

  1. Mostrar a política de IPsec/IKE de uma conexão
  2. Adicionar ou atualizar a política de IPsec/IKE para uma conexão
  3. Remover a política de IPsec/IKE de uma conexão

As mesmas etapas se aplicam a conexões S2S e VNet para VNet.

Importante

A política de IPsec/IKE tem suporte somente nos gateways de VPN baseados en rota Standard e HighPerformance. Ele não funciona no SKU de gateway básico ou o gateway de VPN baseado em políticas.

1. Mostrar uma política de IPsec/IKE para uma conexão

O exemplo a seguir mostra como obter a política de IPsec/IKE configurada em uma conexão. Os scripts também continuam de exercícios acima.

$RG1          = "TestRG1"
$Connection16 = "VNet1toSite6"
$connection6  = Get-AzVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1
$connection6.IpsecPolicies

O último comando lista a atual política de IPsec/IKE configurada sobre a conexão, se houver. O seguinte exemplo é uma saída para a conexão:

SALifeTimeSeconds   : 14400
SADataSizeKilobytes : 102400000
IpsecEncryption     : AES256
IpsecIntegrity      : SHA256
IkeEncryption       : AES256
IkeIntegrity        : SHA384
DhGroup             : DHGroup24
PfsGroup            : PFS24

Se não houver nenhuma política de IPsec/IKE configurado, o comando (PS> $connection6.IpsecPolicies) receberá retorno vazio. Isso não significa que IPsec/IKE não está configurado na conexão, mas que não há nenhuma política de IPsec/IKE personalizada. A conexão real usa a política padrão negociada entre o dispositivo VPN no local e o gateway de VPN do Azure.

2. Adicionar e atualizar uma política de IPsec/IKE para uma conexão

As etapas para adicionar uma política nova ou atualizar uma política existente em uma conexão são as mesmas: criar uma nova política, aplicar a nova política para a conexão.

$RG1          = "TestRG1"
$Connection16 = "VNet1toSite6"
$connection6  = Get-AzVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1

$newpolicy6   = New-AzIpsecPolicy -IkeEncryption AES128 -IkeIntegrity SHA1 -DhGroup DHGroup14 -IpsecEncryption AES256 -IpsecIntegrity SHA256 -PfsGroup None -SALifeTimeSeconds 14400 -SADataSizeKilobytes 102400000

Set-AzVirtualNetworkGatewayConnection -VirtualNetworkGatewayConnection $connection6 -IpsecPolicies $newpolicy6

Para habilitar o "UsePolicyBasedTrafficSelectors" ao se conectar a um dispositivo VPN com base na política local, adicione o parâmetro "-UsePolicyBaseTrafficSelectors" ao cmdlet, ou defina-o como $False para desabilitar a opção:

Set-AzVirtualNetworkGatewayConnection -VirtualNetworkGatewayConnection $connection6 -IpsecPolicies $newpolicy6 -UsePolicyBasedTrafficSelectors $True

Semelhante a "UsePolicyBasedTrafficSelectors", a configuração do tempo limite do DPD pode ser executada fora da política IPsec que está sendo aplicada:

Set-AzVirtualNetworkGatewayConnection -VirtualNetworkGatewayConnection $connection6 -IpsecPolicies $newpolicy6 -DpdTimeoutInSeconds 30

As opções Seletor de tráfego baseado em política e Tempo limite de DPD podem ser especificadas em conjunto ou separadamente com a política Padrão, sem uma política de IPsec/IKE personalizada, se desejado.

Set-AzVirtualNetworkGatewayConnection -VirtualNetworkGatewayConnection $connection6 -UsePolicyBasedTrafficSelectors $True -DpdTimeoutInSeconds 30 

Você pode obter a conexão novamente para verificar se a política está atualizada. Para verificar a conexão com a política atualizada, execute o comando a seguir.

$connection6  = Get-AzVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1
$connection6.IpsecPolicies

Saída de exemplo:

SALifeTimeSeconds   : 14400
SADataSizeKilobytes : 102400000
IpsecEncryption     : AES256
IpsecIntegrity      : SHA256
IkeEncryption       : AES128
IkeIntegrity        : SHA1
DhGroup             : DHGroup14
PfsGroup            : None

3. Remover uma política de IPsec/IKE de uma conexão

Após a remoção da política personalizada de uma conexão, o gateway de VPN do Azure reverterá para a lista padrão de propostas de IPsec/IKE e renegociará novamente com o seu dispositivo VPN local.

$RG1           = "TestRG1"
$Connection16  = "VNet1toSite6"
$connection6   = Get-AzVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1

$currentpolicy = $connection6.IpsecPolicies[0]
$connection6.IpsecPolicies.Remove($currentpolicy)

Set-AzVirtualNetworkGatewayConnection -VirtualNetworkGatewayConnection $connection6

Você pode usar o mesmo script para verificar se a política foi removida da conexão.

FAQ sobre a política de IPsec/IKE

Para exibir perguntas frequentes, vá para a seção da política IPsec/IKE das Perguntas frequentes sobre Gateway de VPN.

Próximas etapas

Consulte Conectar dispositivos VPN baseados em várias políticas locais para obter mais detalhes sobre os seletores de tráfego baseado em políticas.