Konfigurera IPsec/IKE-princip för plats-till-plats-VPN-anslutningar
I den här artikeln beskrivs stegen för att konfigurera en IPsec/IKE-princip för VPN-anslutningar (plats-till-plats) i Azure Stack Hub.
IPsec- och IKE-principparametrar för VPN-gatewayer
IPsec- och IKE-protokollstandarden stöder en mängd olika kryptografiska algoritmer i olika kombinationer. Om du vill se vilka parametrar som stöds i Azure Stack Hub så att du kan uppfylla dina efterlevnads- eller säkerhetskrav kan du läsa IPsec/IKE-parametrar.
Den här artikeln innehåller instruktioner om hur du skapar och konfigurerar en IPsec/IKE-princip och tillämpar den på en ny eller befintlig anslutning.
Överväganden
Observera följande viktiga överväganden när du använder dessa principer:
- IPsec/IKE-principen fungerar bara på gateway-SKU:erna Standard och HighPerformance (routningsbaserad).
- Du kan bara ange en principkombination för en viss anslutning.
- Du måste ange alla algoritmer och parametrar för både IKE (huvudläge) och IPsec (snabbläge). Partiell principspecifikation tillåts inte.
- Kontakta vpn-enhetsleverantörens specifikationer för att säkerställa att principen stöds på dina lokala VPN-enheter. Plats-till-plats-anslutningar kan inte upprättas om principerna är inkompatibla.
Förutsättningar
Kontrollera att du har följande förutsättningar innan du börjar:
- En Azure-prenumeration. Om du inte redan har en Azure-prenumeration kan du registrera dig för ett kostnadsfritt konto.
- Azure Resource Manager PowerShell-cmdlets. Mer information om hur du installerar PowerShell-cmdletar finns i Installera PowerShell för Azure Stack Hub.
Del 1 – Skapa och ange IPsec/IKE-princip
I det här avsnittet beskrivs de steg som krävs för att skapa och uppdatera IPsec/IKE-principen för en PLATS-till-plats-VPN-anslutning:
- Skapa ett virtuellt nätverk och en VPN-gateway.
- Skapa en lokal nätverksgateway för anslutning mellan platser.
- Skapa en IPsec/IKE-princip med valda algoritmer och parametrar.
- Skapa en IPSec-anslutning med IPsec/IKE-principen.
- Lägg till/uppdatera/ta bort en IPsec/IKE-princip för en befintlig anslutning.
Anvisningarna i den här artikeln hjälper dig att konfigurera IPsec/IKE-principer enligt följande bild:
Del 2 – Kryptografiska algoritmer och viktiga styrkor som stöds
I följande tabell visas de kryptografiska algoritmer och nyckelstyrkor som kan konfigureras av Azure Stack Hub:
| IPsec/IKEv2 | Alternativ |
|---|---|
| IKEv2-kryptering | AES256, AES192, AES128, DES3, DES |
| IKEv2-integritet | SHA384, SHA256, SHA1, MD5 |
| DH-grupp | ECP384, DHGroup14, DHGroup2, DHGroup1, ECP256, DHGroup24 |
| IPsec-kryptering | GCMAES256, GCMAES192, GCMAES128, AES256, AES192, AES128, DES3, DES, Ingen |
| IPsec-integritet | GCMAES256, GCMAES192, GCMAES128, SHA256 |
| PFS-grupp | PFS24, ECP384, ECP256, PFS2048, PFS2, PFS1, PFSMM, Ingen |
| QM SA-livslängd | (Valfritt: standardvärden används om de inte anges) Sekunder (heltal, min. 300/standard 27 000 sekunder) KByte (heltal; min. 1024/standard 102400000 KByte) |
| Trafikväljare | Principbaserade trafikväljare stöds inte i Azure Stack Hub. |
Notera
Att ställa in QM SA-livslängden för lågt kräver onödig omnyckling, vilket kan försämra prestandan.
Din lokala VPN-enhetskonfiguration måste matcha eller innehålla följande algoritmer och parametrar som du anger i Azure IPsec/IKE-principen:
- IKE-krypteringsalgoritm (huvudläge/fas 1).
- IKE-integritetsalgoritm (huvudläge/fas 1).
- DH-grupp (huvudläge/fas 1).
- IPsec-krypteringsalgoritm (snabbläge/fas 2).
- IPsec-integritetsalgoritm (snabbläge/fas 2).
- PFS Group (snabbläge/fas 2).
- SA-livslängderna är endast lokala specifikationer och behöver inte överensstämma.
Om GCMAES används som IPsec-krypteringsalgoritm måste du välja samma GCMAES-algoritm och nyckellängd för IPsec-integritet. till exempel att använda GCMAES128 för båda.
I föregående tabell:
- IKEv2 motsvarar huvudläget eller fas 1.
- IPsec motsvarar snabbläge eller fas 2.
- DH-gruppen anger den Diffie-Hellmen grupp som används i huvudläget eller fas 1.
- PFS-gruppen anger den Diffie-Hellmen grupp som används i snabbläge eller fas 2.
IKEv2 Main Mode SA-livslängden är fast i 28 800 sekunder på Azure Stack Hub VPN-gatewayerna.
I följande tabell visas motsvarande Diffie-Hellman grupper som stöds av den anpassade principen:
| Diffie-Hellman Grupp | DHGroup | PFSGroup | Nyckellängd |
|---|---|---|---|
| 1 | DHGroup1 | PFS1 | 768-bit MODP |
| 2 | DHGroup2 | PFS2 | 1024-bit MODP |
| 14 | DHGroup14 DHGroup2048 |
PFS2048 | 2048-bit MODP |
| 19 | ECP256 | ECP256 | 256-bit ECP |
| 20 | ECP384 | ECP384 | 384-bit ECP |
| 24 | DHGroup24 | PFS24 | 2048-bit MODP |
Mer information finns i RFC3526 och RFC5114.
Del 3 – Skapa en ny plats-till-plats-VPN-anslutning med IPsec/IKE-princip
Det här avsnittet går igenom stegen för att skapa en plats-till-plats VPN-anslutning med en IPsec/IKE-princip. Följande steg skapar anslutningen enligt följande bild:
Mer detaljerade stegvisa instruktioner för hur du skapar en PLATS-till-plats VPN-anslutning finns i Skapa en plats-till-plats VPN-anslutning.
Steg 1 – Skapa det virtuella nätverket, VPN-gatewayen och den lokala nätverksgatewayen
Deklarera variabler
I den här övningen börjar du med att deklarera följande variabler. Ersätt platshållarna med dina egna värden när du konfigurerar för produktion:
$Sub1 = "<YourSubscriptionName>"
$RG1 = "TestPolicyRG1"
$Location1 = "East US 2"
$VNetName1 = "TestVNet1"
$FESubName1 = "FrontEnd"
$BESubName1 = "Backend"
$GWSubName1 = "GatewaySubnet"
$VNetPrefix11 = "10.11.0.0/16"
$VNetPrefix12 = "10.12.0.0/16"
$FESubPrefix1 = "10.11.0.0/24"
$BESubPrefix1 = "10.12.0.0/24"
$GWSubPrefix1 = "10.12.255.0/27"
$DNS1 = "8.8.8.8"
$GWName1 = "VNet1GW"
$GW1IPName1 = "VNet1GWIP1"
$GW1IPconf1 = "gw1ipconf1"
$Connection16 = "VNet1toSite6"
$LNGName6 = "Site6"
$LNGPrefix61 = "10.61.0.0/16"
$LNGPrefix62 = "10.62.0.0/16"
$LNGIP6 = "131.107.72.22"
Anslut till din prenumeration och skapa en ny resursgrupp
Kontrollera att du växlar till PowerShell-läge för att använda Resource Manager-cmdletarna. Mer information finns i Ansluta till Azure Stack Hub med PowerShell som användare.
Öppna PowerShell-konsolen och anslut till ditt konto. till exempel:
Connect-AzAccount
Select-AzSubscription -SubscriptionName $Sub1
New-AzResourceGroup -Name $RG1 -Location $Location1
Skapa det virtuella nätverket, VPN-gatewayen och den lokala nätverksgatewayen
I följande exempel skapas det virtuella nätverket, TestVNet1, tillsammans med tre undernät och VPN-gatewayen. När du ersätter värden är det viktigt att du specifikt namnger ditt gatewayundernät GatewaySubnet. Om du ger den ett annat namn, misslyckas det att skapa en gateway.
$fesub1 = New-AzVirtualNetworkSubnetConfig -Name $FESubName1 -AddressPrefix $FESubPrefix1
$besub1 = New-AzVirtualNetworkSubnetConfig -Name $BESubName1 -AddressPrefix $BESubPrefix1
$gwsub1 = New-AzVirtualNetworkSubnetConfig -Name $GWSubName1 -AddressPrefix $GWSubPrefix1
New-AzVirtualNetwork -Name $VNetName1 -ResourceGroupName $RG1 -Location $Location1 -AddressPrefix $VNetPrefix11,$VNetPrefix12 -Subnet $fesub1,$besub1,$gwsub1
$gw1pip1 = New-AzPublicIpAddress -Name $GW1IPName1 -ResourceGroupName $RG1 -Location $Location1 -AllocationMethod Dynamic
$vnet1 = Get-AzVirtualNetwork -Name $VNetName1 -ResourceGroupName $RG1
$subnet1 = Get-AzVirtualNetworkSubnetConfig -Name "GatewaySubnet" `
-VirtualNetwork $vnet1
$gw1ipconf1 = New-AzVirtualNetworkGatewayIpConfig -Name $GW1IPconf1 `
-Subnet $subnet1 -PublicIpAddress $gw1pip1
New-AzVirtualNetworkGateway -Name $GWName1 -ResourceGroupName $RG1 `
-Location $Location1 -IpConfigurations $gw1ipconf1 -GatewayType Vpn `
-VpnType RouteBased -GatewaySku VpnGw1
New-AzLocalNetworkGateway -Name $LNGName6 -ResourceGroupName $RG1 `
-Location $Location1 -GatewayIpAddress $LNGIP6 -AddressPrefix `
$LNGPrefix61,$LNGPrefix62
Steg 2 – Skapa en plats-till-plats-VPN-anslutning med en IPsec/IKE-princip
Skapa en IPsec/IKE-policy
Det här exempelskriptet skapar en IPsec/IKE-princip med följande algoritmer och parametrar:
- IKEv2: AES128, SHA1, DHGroup14
- IPsec: AES256, SHA256, none, SA-livstid 14400 sekunder och 102400000 KB
$ipsecpolicy6 = New-AzIpsecPolicy -IkeEncryption AES128 -IkeIntegrity SHA1 -DhGroup DHGroup14 -IpsecEncryption AES256 -IpsecIntegrity SHA256 -PfsGroup none -SALifeTimeSeconds 14400 -SADataSizeKilobytes 102400000
Om du använder GCMAES för IPsec måste du använda samma GCMAES-algoritm och nyckellängd för både IPsec-kryptering och integritet.
Skapa vpn-anslutningen plats-till-plats med IPsec/IKE-principen
Skapa en PLATS-till-plats-VPN-anslutning och tillämpa IPsec/IKE-principen som du skapade tidigare:
$vnet1gw = Get-AzVirtualNetworkGateway -Name $GWName1 -ResourceGroupName $RG1
$lng6 = Get-AzLocalNetworkGateway -Name $LNGName6 -ResourceGroupName $RG1
New-AzVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1 -VirtualNetworkGateway1 $vnet1gw -LocalNetworkGateway2 $lng6 -Location $Location1 -ConnectionType IPsec -IpsecPolicies $ipsecpolicy6 -SharedKey 'Azs123'
Viktig
När en IPsec/IKE-princip har angetts för en anslutning skickar eller godkänner Azure VPN-gatewayen endast IPsec/IKE-förslaget med angivna kryptografiska algoritmer och viktiga styrkor för just den anslutningen. Kontrollera att din lokala VPN-enhet för anslutningen använder eller accepterar den exakta principkombinationen, annars kan vpn-tunneln för plats-till-plats inte upprättas.
Del 4 – Uppdatera IPsec/IKE-principen för en anslutning
I föregående avsnitt visades hur du hanterar IPsec/IKE-principer för en befintlig plats-till-plats-anslutning. Det här avsnittet går igenom följande åtgärder för en anslutning:
- Visa IPsec/IKE-principen för en anslutning.
- Lägg till eller uppdatera IPsec/IKE-principen till en anslutning.
- Ta bort IPsec/IKE-principen från en anslutning.
Anteckning
IPsec/IKE-principen stöds endast på Standard och HighPerformance routningsbaserade VPN-gatewayer. Det fungerar inte på SKU:n Basic gateway.
Visa IPsec/IKE-principen för en anslutning
I följande exempel visas hur du konfigurerar IPsec/IKE-principen för en anslutning. Skripten fortsätter också från föregående övningar.
$RG1 = "TestPolicyRG1"
$Connection16 = "VNet1toSite6"
$connection6 = Get-AzVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1
$connection6.IpsecPolicies
Det sista kommandot visar den aktuella IPsec/IKE-principen som konfigurerats för anslutningen, om någon. Följande exempel är ett exempel på utdata för anslutningen:
SALifeTimeSeconds : 14400
SADataSizeKilobytes : 102400000
IpsecEncryption : AES256
IpsecIntegrity : SHA256
IkeEncryption : AES128
IkeIntegrity : SHA1
DhGroup : DHGroup14
PfsGroup : None
Om ingen IPsec/IKE-princip har konfigurerats får kommandot $connection6.policy en tom retur. Det betyder inte att IPsec/IKE inte har konfigurerats för anslutningen. Det innebär att det inte finns någon anpassad IPsec/IKE-princip. Den faktiska anslutningen använder standardprincipen som förhandlats fram mellan din lokala VPN-enhet och Azure VPN-gatewayen.
Lägga till eller uppdatera en IPsec/IKE-princip för en anslutning
Stegen för att lägga till en ny princip eller uppdatera en befintlig princip på en anslutning är desamma: skapa en ny princip och tillämpa sedan den nya principen på anslutningen.
$RG1 = "TestPolicyRG1"
$Connection16 = "VNet1toSite6"
$connection6 = Get-AzVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1
$newpolicy6 = New-AzIpsecPolicy -IkeEncryption AES128 -IkeIntegrity SHA1 -DhGroup DHGroup14 -IpsecEncryption AES256 -IpsecIntegrity SHA256 -PfsGroup None -SALifeTimeSeconds 14400 -SADataSizeKilobytes 102400000
$connection6.SharedKey = "AzS123"
Set-AzVirtualNetworkGatewayConnection -VirtualNetworkGatewayConnection $connection6 -IpsecPolicies $newpolicy6
Du kan hämta anslutningen igen för att kontrollera om policyn har uppdaterats.
$connection6 = Get-AzVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1
$connection6.IpsecPolicies
Du bör se utdata från den sista raden, som du ser i följande exempel:
SALifeTimeSeconds : 14400
SADataSizeKilobytes : 102400000
IpsecEncryption : AES256
IpsecIntegrity : SHA256
IkeEncryption : AES128
IkeIntegrity : SHA1
DhGroup : DHGroup14
PfsGroup : None
3. Ta bort en IPsec/IKE-princip från en anslutning
När du tar bort den anpassade principen från en anslutning återgår Azure VPN-gateway till standard-IPsec/IKE-förslagetoch omförhandlar med din lokala VPN-enhet.
$RG1 = "TestPolicyRG1"
$Connection16 = "VNet1toSite6"
$connection6 = Get-AzVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1
$connection6.SharedKey = "AzS123"
$currentpolicy = $connection6.IpsecPolicies[0]
$connection6.IpsecPolicies.Remove($currentpolicy)
Set-AzVirtualNetworkGatewayConnection -VirtualNetworkGatewayConnection $connection6
Du kan använda samma skript för att kontrollera om principen har tagits bort från anslutningen.
Nästa steg
- konfigurationsinställningar för VPN-gateway för Azure Stack Hub