S2S VPN veya VNet-VNet bağlantıları için IPsec/IKE bağlantı ilkeleri yapılandırma

  • Makale

Bu makalede, PowerShell kullanarak VPN Ağ Geçidi Siteden Siteye VPN veya Sanal Ağdan Sanal Ağa bağlantılar için özel bir IPsec/IKE ilkesi yapılandırma adımları açıklamaktadır.

İş Akışı

Bu makaledeki yönergeler, aşağıdaki diyagramda gösterildiği gibi IPsec/IKE ilkelerini ayarlamanıza ve yapılandırmanıza yardımcı olur.

Hem Sanal Ağdan Sanal Ağa hem de Siteden Siteye VPN ağ geçitleri için IPsec/IKE ilkelerini gösteren diyagram.

  1. Sanal ağ ve VPN ağ geçidi oluşturma.
  2. Şirket içi bağlantılar için yerel bir ağ geçidi veya sanal ağdan sanal ağa bağlantı için başka bir sanal ağ ve ağ geçidi oluşturun.
  3. Seçili algoritmalar ve parametrelerle bir IPsec/IKE ilkesi oluşturun.
  4. IPsec/IKE ilkesiyle bir bağlantı (IPsec veya VNet2VNet) oluşturun.
  5. Var olan bir bağlantı için IPsec/IKE ilkesi ekleyin/güncelleştirin/kaldırın.

İlke parametreleri

IPsec ve IKE protokol standardı, çeşitli kombinasyonlarda çok çeşitli şifreleme algoritmalarını destekler. Bunun uyumluluk veya güvenlik gereksinimlerinizi karşılamak için şirket içi ve sanal ağdan sanal ağa bağlantı sağlamaya nasıl yardımcı olabileceğini görmek için Şifreleme gereksinimleri ve Azure VPN ağ geçitleri hakkında konusuna bakın. Aşağıdaki önemli noktalara dikkat edin:

  • IPsec/IKE ilkesi yalnızca aşağıdaki ağ geçidi SKU'larında çalışır:
    • VpnGw1~5 ve VpnGw1AZ~5AZ
    • Standart ve Yüksek Performans
  • Belirli bir bağlantı için yalnızca bir ilke birleşimi belirtebilirsiniz.
  • Hem IKE (Ana Mod) hem de IPsec (Hızlı Mod) için tüm algoritmaları ve parametreleri belirtmeniz gerekir. Kısmi ilke belirtimine izin verilmez.
  • İlkenin şirket içi VPN cihazlarınızda desteklendiğinden emin olmak için VPN cihazı satıcı belirtimlerinize başvurun. İlkeler uyumsuzsa S2S veya Sanal Ağdan Sanal Ağa bağlantılar kurulamaz.

Şifreleme algoritmaları ve anahtar güçlü yönleri

Aşağıdaki tabloda desteklenen yapılandırılabilir şifreleme algoritmaları ve anahtar güçlü yönleri listelenmektedir.

IPsec/IKEv2 Seçenekler
IKEv2 şifrelemesi GCMAES256, GCMAES128, AES256, AES192, AES128
IKEv2 bütünlüğü SHA384, SHA256, SHA1, MD5
DH grubu DHGroup24, ECP384, ECP256, DHGroup14, DHGroup2048, DHGroup2, DHGroup1, None
IPsec şifrelemesi GCMAES256, GCMAES192, GCMAES128, AES256, AES192, AES128, DES3, DES, None
IPsec bütünlüğü GCMAES256, GCMAES192, GCMAES128, SHA256, SHA1, MD5
PFS grubu PFS24, ECP384, ECP256, PFS2048, PFS2, PFS1, Hiçbiri
Hızlı Mod SA ömrü (İsteğe bağlı; belirtilmezse varsayılan değerler)
Saniye (tamsayı; en az 300, varsayılan 27.000)
Kilobayt (tamsayı; en az 1.024, varsayılan 10.2400.000)
Trafik seçici UsePolicyBasedTrafficSelectors ($True veya $False, ancak isteğe bağlı; belirtilmezse varsayılan $False )
DPD zaman aşımı Saniye (tamsayı; en az 9, en fazla 3.600, varsayılan 45)

  • Şirket içi VPN cihaz yapılandırmanız, Azure IPsec veya IKE ilkesinde belirttiğiniz aşağıdaki algoritmalar ve parametrelerle eşleşmeli veya bu algoritmaları içermelidir:

    • IKE şifreleme algoritması (Ana Mod, 1. Aşama)
    • IKE bütünlük algoritması (Ana Mod, 1. Aşama)
    • DH grubu (Ana Mod, 1. Aşama)
    • IPsec şifreleme algoritması (Hızlı Mod, 2. Aşama)
    • IPsec bütünlük algoritması (Hızlı Mod, 2. Aşama)
    • PFS grubu (Hızlı Mod, 2. Aşama)
    • Trafik seçici (kullanıyorsanız UsePolicyBasedTrafficSelectors)
    • SA yaşam süreleri (eşleşmesi gerekmeyen yerel belirtimler)

  • IPsec şifreleme algoritması için GCMAES kullanıyorsanız, IPsec bütünlüğü için aynı GCMAES algoritmasını ve anahtar uzunluğunu seçmeniz gerekir. Örneğin, her ikisi için de GCMAES128 kullanın.

  • Algoritmalar ve anahtarlar tablosunda:

    • IKE, Ana Moda veya 1. Aşamaya karşılık gelir.
    • IPsec, Hızlı Moda veya 2. Aşamaya karşılık gelir.
    • DH grubu, Ana Modda veya 1. Aşamada kullanılan Diffie-Hellman grubunu belirtir.
    • PFS grubu, Hızlı Modda veya 2. Aşamada kullanılan Diffie-Hellman grubunu belirtir.

  • IKE Ana Mod SA ömrü, Azure VPN ağ geçitlerinde 28.800 saniyede sabittir.

  • UsePolicyBasedTrafficSelectors , bağlantıda isteğe bağlı bir parametredir. Bir bağlantıda olarak $True ayarlarsanızUsePolicyBasedTrafficSelectors, VPN ağ geçidini şirket içi ilke tabanlı vpn güvenlik duvarına bağlanacak şekilde yapılandırılır.

    'yi etkinleştirirseniz UsePolicyBasedTrafficSelectors, VPN cihazınızın herhangi bir yerine Azure sanal ağ ön eklerine veya Azure sanal ağ ön eklerinden gelen tüm şirket içi ağ (yerel ağ geçidi) ön eklerinin tüm birleşimleriyle tanımlanan eşleşen trafik seçicilerine sahip olduğundan emin olun. VPN ağ geçidi, VPN ağ geçidinde yapılandırılanlardan bağımsız olarak uzak VPN ağ geçidinin önerdiği trafik seçiciyi kabul eder.

    Örneğin, şirket içi ağınızın ön ekleri 10.1.0.0/16 ve 10.2.0.0/16; sanal ağınızın ön ekleriyse 192.168.0.0/16 ve 172.16.0.0/16 şeklindeyse, aşağıdaki trafik seçicileri belirtmeniz gerekir:

    • 10.1.0.0/16 <====> 192.168.0.0/16
    • 10.1.0.0/16 <====> 172.16.0.0/16
    • 10.2.0.0/16 <====> 192.168.0.0/16
    • 10.2.0.0/16 <====> 172.16.0.0/16

    İlke tabanlı trafik seçicileri hakkında daha fazla bilgi için bkz . Vpn ağ geçidini birden çok şirket içi ilke tabanlı VPN cihazına bağlama.

  • Zaman aşımının daha kısa sürelere ayarlanması, IKE'nin daha agresif bir şekilde yeniden anahtarlar açmasına neden olur. Daha sonra bazı durumlarda bağlantı kesiliyor gibi görünebilir. Şirket içi konumlarınız VPN ağ geçidinin bulunduğu Azure bölgesinden uzaktaysa veya fiziksel bağlantı koşulu paket kaybına neden olabilirse bu durum istenmeyebilir. Zaman aşımını genellikle 30 ile 45 saniye arasında ayarlamanızı öneririz.

Not

IKEv2 Bütünlük, hem Bütünlük hem de PRF (sahte-rastgele işlev) için kullanılır. Belirtilen IKEv2 Şifreleme algoritması GCM* ise, IKEv2 Bütünlüğü'nde geçirilen değer yalnızca PRF için kullanılır ve örtük olarak IKEv2 Bütünlüğünü GCM* olarak ayarlarız. Diğer tüm durumlarda, IKEv2 Bütünlüğü'nde geçirilen değer hem IKEv2 Bütünlüğü hem de PRF için kullanılır.

Diffie-Hellman grupları

Aşağıdaki tabloda, özel ilke tarafından desteklenen ilgili Diffie-Hellman grupları listelenmektedir:

Diffie-Hellman grubu DHGroup PFSGroup Anahtar uzunluğu
1 DHGroup1 PFS1 768 bit MODP
2 DHGroup2 PFS2 1024 bit MODP
14 DHGroup14
DHGroup2048		 PFS2048 2048 bit MODP
19 ECP256 ECP256 256 bit ECP
20 ECP384 ECP384 384 bit ECP
24 DHGroup24 PFS24 2048 bit MODP

Diğer ayrıntılar için RFC3526ve RFC5114’e bakın.

IPsec/IKE ilkesiyle S2S VPN bağlantısı oluşturma

Bu bölüm, IPsec/IKE ilkesiyle S2S VPN bağlantısı oluşturma adımlarında size yol gösterir. Aşağıdaki adımlar, diyagramda gösterildiği gibi bağlantıyı oluşturur:

İlke mimarisini gösteren diyagram.

S2S VPN bağlantısı oluşturmaya yönelik daha ayrıntılı adım adım yönergeler için bkz. S2S VPN bağlantısı oluşturma.

Bu alıştırmanın adımlarını tarayıcınızda Azure Cloud Shell kullanarak çalıştırabilirsiniz. Bunun yerine PowerShell'i doğrudan bilgisayarınızdan kullanmak istiyorsanız Azure Resource Manager PowerShell cmdlet'lerini yükleyin. PowerShell cmdlet'lerini yükleme hakkında daha fazla bilgi için bkz. Azure PowerShell'i yükleme ve yapılandırma.

1. Adım - Sanal ağ, VPN ağ geçidi ve yerel ağ geçidi kaynaklarını oluşturma

Azure Cloud Shell kullanıyorsanız hesabınıza otomatik olarak bağlanırsınız ve aşağıdaki komutu çalıştırmanız gerekmez.

Bilgisayarınızdan PowerShell kullanıyorsanız PowerShell konsolunuzu açın ve hesabınıza bağlanın. Daha fazla bilgi için Windows PowerShell’i Resource Manager ile kullanma konusuna bakın. Bağlanmanıza yardımcı olması için aşağıdaki örneği kullanın:

Connect-AzAccount
Select-AzSubscription -SubscriptionName <YourSubscriptionName>

1. Değişkenlerinizi bildirme

Bu alıştırma için değişkenleri bildirerek başlayacağız. Komutları çalıştırmadan önce değişkenleri kendi değişkenlerinizle değiştirebilirsiniz.

$RG1           = "TestRG1"
$Location1     = "EastUS"
$VNetName1     = "TestVNet1"
$FESubName1    = "FrontEnd"
$BESubName1    = "Backend"
$GWSubName1    = "GatewaySubnet"
$VNetPrefix11  = "10.1.0.0/16"
$FESubPrefix1  = "10.1.0.0/24"
$BESubPrefix1  = "10.1.1.0/24"
$GWSubPrefix1  = "10.1.255.0/27"
$DNS1          = "8.8.8.8"
$GWName1       = "VNet1GW"
$GW1IPName1    = "VNet1GWIP1"
$GW1IPconf1    = "gw1ipconf1"
$Connection16  = "VNet1toSite6"
$LNGName6      = "Site6"
$LNGPrefix61   = "10.61.0.0/16"
$LNGPrefix62   = "10.62.0.0/16"
$LNGIP6        = "131.107.72.22"

2. Sanal ağı, VPN ağ geçidini ve yerel ağ geçidini oluşturma

Aşağıdaki örnekler üç alt ağ ile TestVNet1 sanal ağını ve VPN ağ geçidini oluşturur. Kendi değerlerinizi yerleştirirken ağ geçidi alt ağınızı özellikle GatewaySubnet olarak adlandırmanız önem taşır. Başka bir ad kullanırsanız ağ geçidi oluşturma işleminiz başarısız olur. Sanal ağ geçidinin oluşturulması 45 dakika veya daha uzun sürebilir. Bu süre boyunca Azure Cloud Shell kullanıyorsanız bağlantınız zaman aşımına neden olabilir. Bu, ağ geçidi oluşturma komutunu etkilemez.

New-AzResourceGroup -Name $RG1 -Location $Location1

$fesub1 = New-AzVirtualNetworkSubnetConfig -Name $FESubName1 -AddressPrefix $FESubPrefix1
$besub1 = New-AzVirtualNetworkSubnetConfig -Name $BESubName1 -AddressPrefix $BESubPrefix1
$gwsub1 = New-AzVirtualNetworkSubnetConfig -Name $GWSubName1 -AddressPrefix $GWSubPrefix1

New-AzVirtualNetwork -Name $VNetName1 -ResourceGroupName $RG1 -Location $Location1 -AddressPrefix $VNetPrefix11 -Subnet $fesub1,$besub1,$gwsub1

$gw1pip1 = New-AzPublicIpAddress -Name $GW1IPName1 -ResourceGroupName $RG1 -Location $Location1 -AllocationMethod Dynamic
$vnet1 = Get-AzVirtualNetwork -Name $VNetName1 -ResourceGroupName $RG1
$subnet1 = Get-AzVirtualNetworkSubnetConfig -Name "GatewaySubnet" -VirtualNetwork $vnet1
$gw1ipconf1 = New-AzVirtualNetworkGatewayIpConfig -Name $GW1IPconf1 -Subnet $subnet1 -PublicIpAddress $gw1pip1

New-AzVirtualNetworkGateway -Name $GWName1 -ResourceGroupName $RG1 -Location $Location1 -IpConfigurations $gw1ipconf1 -GatewayType Vpn -VpnType RouteBased -GatewaySku VpnGw1

Yerel ağ geçidini oluşturun. Azure Cloud Shell zaman aşımına uğradıysa aşağıdaki değişkenleri yeniden bağlamanız ve bildirmeniz gerekebilir.

Değişkenleri bildirin.

$RG1           = "TestRG1"
$Location1     = "EastUS"
$LNGName6      = "Site6"
$LNGPrefix61   = "10.61.0.0/16"
$LNGPrefix62   = "10.62.0.0/16"
$LNGIP6        = "131.107.72.22"
$GWName1       = "VNet1GW"
$Connection16  = "VNet1toSite6"

Yerel ağ geçidi Sitesi6 oluşturun.

New-AzLocalNetworkGateway -Name $LNGName6 -ResourceGroupName $RG1 -Location $Location1 -GatewayIpAddress $LNGIP6 -AddressPrefix $LNGPrefix61,$LNGPrefix62

2. Adım - IPsec/IKE ilkesiyle S2S VPN bağlantısı oluşturma

1. IPsec/IKE ilkesi oluşturma

Aşağıdaki örnek betik, aşağıdaki algoritmalara ve parametrelere sahip bir IPsec/IKE ilkesi oluşturur:

  • IKEv2: AES256, SHA384, DHGroup24
  • IPsec: AES256, SHA256, PFS Yok, SA Yaşam Süresi 14400 saniye ve 102400000 KB
$ipsecpolicy6 = New-AzIpsecPolicy -IkeEncryption AES256 -IkeIntegrity SHA384 -DhGroup DHGroup24 -IpsecEncryption AES256 -IpsecIntegrity SHA256 -PfsGroup None -SALifeTimeSeconds 14400 -SADataSizeKilobytes 102400000

IPsec için GCMAES kullanıyorsanız, hem IPsec şifrelemesi hem de bütünlüğü için aynı GCMAES algoritmasını ve anahtar uzunluğunu kullanmanız gerekir. Örneğin, GCMAES256 kullanılırken ilgili parametreler "-IpsecEncryption GCMAES256 -IpsecIntegrity GCMAES256" olacaktır.

2. IPsec/IKE ilkesiyle S2S VPN bağlantısı oluşturun

S2S VPN bağlantısı oluşturun ve daha önce oluşturulan IPsec/IKE ilkesini uygulayın.

$vnet1gw = Get-AzVirtualNetworkGateway -Name $GWName1  -ResourceGroupName $RG1
$lng6 = Get-AzLocalNetworkGateway  -Name $LNGName6 -ResourceGroupName $RG1

New-AzVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1 -VirtualNetworkGateway1 $vnet1gw -LocalNetworkGateway2 $lng6 -Location $Location1 -ConnectionType IPsec -IpsecPolicies $ipsecpolicy6 -SharedKey 'AzureA1b2C3'

İsteğe bağlı olarak, Azure VPN ağ geçidinin ilke tabanlı şirket içi VPN cihazlarına bağlanmasını sağlamak için bağlantı oluşturma cmdlet'ine "-UsePolicyBasedTrafficSelectors $True" ekleyebilirsiniz.

Önemli

Bir bağlantıda bir IPsec/IKE ilkesi belirtildiğinde, Azure VPN ağ geçidi yalnızca belirli bir bağlantıda belirtilen şifreleme algoritmaları ve anahtar güçlü yönleriyle IPsec/IKE teklifini gönderir veya kabul eder. Bağlantı için şirket içi VPN cihazınızın tam ilke bileşimini kullandığından veya kabuldiğinden emin olun; aksi takdirde S2S VPN tüneli kurulmayacaktır.

IPsec/IKE ilkesiyle sanal ağdan sanal ağa bağlantı oluşturma

IPsec/IKE ilkesiyle sanal ağdan sanal ağa bağlantı oluşturma adımları, S2S VPN bağlantısına benzer. Aşağıdaki örnek betikler, diyagramda gösterildiği gibi bağlantıyı oluşturur:

Diyagram sanal ağdan sanal ağa mimariyi gösterir.

Sanal ağdan sanal ağa bağlantı oluşturmaya yönelik daha ayrıntılı adımlar için bkz. Sanal ağdan sanal ağa bağlantı oluşturma.

1. Adım: İkinci sanal ağı ve VPN ağ geçidini oluşturma

1. Değişkenlerinizi bildirme

$RG2          = "TestRG2"
$Location2    = "EastUS"
$VNetName2    = "TestVNet2"
$FESubName2   = "FrontEnd"
$BESubName2   = "Backend"
$GWSubName2   = "GatewaySubnet"
$VNetPrefix21 = "10.21.0.0/16"
$VNetPrefix22 = "10.22.0.0/16"
$FESubPrefix2 = "10.21.0.0/24"
$BESubPrefix2 = "10.22.0.0/24"
$GWSubPrefix2 = "10.22.255.0/27"
$DNS2         = "8.8.8.8"
$GWName2      = "VNet2GW"
$GW2IPName1   = "VNet2GWIP1"
$GW2IPconf1   = "gw2ipconf1"
$Connection21 = "VNet2toVNet1"
$Connection12 = "VNet1toVNet2"

2. İkinci sanal ağı ve VPN ağ geçidini oluşturma

New-AzResourceGroup -Name $RG2 -Location $Location2

$fesub2 = New-AzVirtualNetworkSubnetConfig -Name $FESubName2 -AddressPrefix $FESubPrefix2
$besub2 = New-AzVirtualNetworkSubnetConfig -Name $BESubName2 -AddressPrefix $BESubPrefix2
$gwsub2 = New-AzVirtualNetworkSubnetConfig -Name $GWSubName2 -AddressPrefix $GWSubPrefix2

New-AzVirtualNetwork -Name $VNetName2 -ResourceGroupName $RG2 -Location $Location2 -AddressPrefix $VNetPrefix21,$VNetPrefix22 -Subnet $fesub2,$besub2,$gwsub2

$gw2pip1    = New-AzPublicIpAddress -Name $GW2IPName1 -ResourceGroupName $RG2 -Location $Location2 -AllocationMethod Dynamic
$vnet2      = Get-AzVirtualNetwork -Name $VNetName2 -ResourceGroupName $RG2
$subnet2    = Get-AzVirtualNetworkSubnetConfig -Name "GatewaySubnet" -VirtualNetwork $vnet2
$gw2ipconf1 = New-AzVirtualNetworkGatewayIpConfig -Name $GW2IPconf1 -Subnet $subnet2 -PublicIpAddress $gw2pip1

New-AzVirtualNetworkGateway -Name $GWName2 -ResourceGroupName $RG2 -Location $Location2 -IpConfigurations $gw2ipconf1 -GatewayType Vpn -VpnType RouteBased -VpnGatewayGeneration Generation2 -GatewaySku VpnGw2

VPN ağ geçidinin oluşturulması yaklaşık 45 dakika veya daha uzun sürebilir.

2. Adım: IPsec/IKE ilkesiyle VNet-VNet bağlantısı oluşturma

S2S VPN bağlantısına benzer şekilde bir IPsec/IKE ilkesi oluşturun ve ilkeyi yeni bağlantıya uygulayın. Azure Cloud Shell kullandıysanız bağlantınız zaman aşımına uğradı. Bu durumda yeniden bağlanın ve gerekli değişkenleri yeniden belirtin.

$GWName1 = "VNet1GW"
$GWName2 = "VNet2GW"
$RG1     = "TestRG1"
$RG2     = "TestRG2"
$Location1     = "EastUS"
$Location2    = "EastUS"
$Connection21 = "VNet2toVNet1"
$Connection12 = "VNet1toVNet2"

1. IPsec/IKE ilkesini oluşturma

Aşağıdaki örnek betik, şu algoritmalar ve parametreler ile farklı bir IPsec/IKE ilkesi oluşturur:

  • IKEv2: AES128, SHA1, DHGroup14
  • IPsec: GCMAES128, GCMAES128, PFS24, SA Yaşam Süresi 14400 saniye ve 102400000 KB
$ipsecpolicy2 = New-AzIpsecPolicy -IkeEncryption AES128 -IkeIntegrity SHA1 -DhGroup DHGroup14 -IpsecEncryption GCMAES128 -IpsecIntegrity GCMAES128 -PfsGroup PFS24 -SALifeTimeSeconds 14400 -SADataSizeKilobytes 102400000

2. IPsec/IKE ilkesiyle sanal ağdan sanal ağa bağlantılar oluşturma

Sanal ağdan sanal ağa bağlantı oluşturun ve oluşturduğunuz IPsec/IKE ilkesini uygulayın. Bu örnekte her iki ağ geçidi de aynı aboneliktedir. Bu nedenle, aynı PowerShell oturumunda aynı IPsec/IKE ilkesiyle her iki bağlantıyı da oluşturmak ve yapılandırmak mümkündür.

$vnet1gw = Get-AzVirtualNetworkGateway -Name $GWName1  -ResourceGroupName $RG1
$vnet2gw = Get-AzVirtualNetworkGateway -Name $GWName2  -ResourceGroupName $RG2

New-AzVirtualNetworkGatewayConnection -Name $Connection12 -ResourceGroupName $RG1 -VirtualNetworkGateway1 $vnet1gw -VirtualNetworkGateway2 $vnet2gw -Location $Location1 -ConnectionType Vnet2Vnet -IpsecPolicies $ipsecpolicy2 -SharedKey 'AzureA1b2C3'

New-AzVirtualNetworkGatewayConnection -Name $Connection21 -ResourceGroupName $RG2 -VirtualNetworkGateway1 $vnet2gw -VirtualNetworkGateway2 $vnet1gw -Location $Location2 -ConnectionType Vnet2Vnet -IpsecPolicies $ipsecpolicy2 -SharedKey 'AzureA1b2C3'

Önemli

Bir bağlantıda bir IPsec/IKE ilkesi belirtildiğinde, Azure VPN ağ geçidi yalnızca belirli bir bağlantıda belirtilen şifreleme algoritmaları ve anahtar güçlü yönleriyle IPsec/IKE teklifini gönderir veya kabul eder. Her iki bağlantı için de IPsec ilkelerinin aynı olduğundan emin olun, aksi takdirde sanal ağdan sanal ağa bağlantı kurulmayacak.

Bu adımları tamamladıktan sonra bağlantı birkaç dakika içinde kurulur ve başlangıçta gösterildiği gibi aşağıdaki ağ topolojisine sahip olursunuz:

Diyagramda IPsec/IKE ilkesi gösterilir.

Bağlantı için IPsec/IKE ilkesini güncelleştirme

Son bölümde, mevcut bir S2S veya sanal ağdan sanal ağa bağlantı için IPsec/IKE ilkesinin nasıl yönetileceğini gösterir. Aşağıdaki alıştırmada, bir bağlantı üzerinde aşağıdaki işlemlerde size yol gösterilir:

  1. Bağlantının IPsec/IKE ilkesini gösterme
  2. IPsec/IKE ilkesini bir bağlantıya ekleme veya güncelleştirme
  3. Bağlantıdan IPsec/IKE ilkesini kaldırma

Aynı adımlar hem S2S hem de sanal ağdan sanal ağa bağlantılar için geçerlidir.

Önemli

IPsec/IKE ilkesi yalnızca Standart ve HighPerformance rota tabanlı VPN ağ geçitlerinde desteklenir. Temel ağ geçidi SKU'su veya ilke tabanlı VPN ağ geçidi üzerinde çalışmaz.

1. Bağlantı için IPsec/IKE ilkesi gösterme

Aşağıdaki örnekte, bir bağlantıda yapılandırılan IPsec/IKE ilkesinin nasıl alın aldığı gösterilmektedir. Betikler ayrıca yukarıdaki alıştırmalardan devam eder.

$RG1          = "TestRG1"
$Connection16 = "VNet1toSite6"
$connection6  = Get-AzVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1
$connection6.IpsecPolicies

Son komut, varsa bağlantıda yapılandırılan geçerli IPsec/IKE ilkesini listeler. Aşağıdaki örnek, bağlantı için örnek bir çıkıştır:

SALifeTimeSeconds   : 14400
SADataSizeKilobytes : 102400000
IpsecEncryption     : AES256
IpsecIntegrity      : SHA256
IkeEncryption       : AES256
IkeIntegrity        : SHA384
DhGroup             : DHGroup24
PfsGroup            : PFS24

Yapılandırılmış bir IPsec/IKE ilkesi yoksa, komutu (PS> $connection 6. IpsecPolicies) boş bir dönüş alır. Bu, bağlantıda IPsec/IKE'nin yapılandırılmadığı, ancak özel IPsec/IKE ilkesi olmadığı anlamına gelmez. Gerçek bağlantı, şirket içi VPN cihazınızla Azure VPN ağ geçidi arasında belirlenen varsayılan ilkeyi kullanır.

2. Bağlantı için IPsec/IKE ilkesi ekleme veya güncelleştirme

Bir bağlantıda yeni ilke ekleme veya var olan bir ilkeyi güncelleştirme adımları aynıdır: yeni bir ilke oluşturun ve ardından yeni ilkeyi bağlantıya uygulayın.

$RG1          = "TestRG1"
$Connection16 = "VNet1toSite6"
$connection6  = Get-AzVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1

$newpolicy6   = New-AzIpsecPolicy -IkeEncryption AES128 -IkeIntegrity SHA1 -DhGroup DHGroup14 -IpsecEncryption AES256 -IpsecIntegrity SHA256 -PfsGroup None -SALifeTimeSeconds 14400 -SADataSizeKilobytes 102400000

Set-AzVirtualNetworkGatewayConnection -VirtualNetworkGatewayConnection $connection6 -IpsecPolicies $newpolicy6

Şirket içi ilke tabanlı bir VPN cihazına bağlanırken "UsePolicyBasedTrafficSelectors" özelliğini etkinleştirmek için cmdlet'ine "-UsePolicyBaseTrafficSelectors" parametresini ekleyin veya seçeneği devre dışı bırakmak için $False olarak ayarlayın:

Set-AzVirtualNetworkGatewayConnection -VirtualNetworkGatewayConnection $connection6 -IpsecPolicies $newpolicy6 -UsePolicyBasedTrafficSelectors $True

"UsePolicyBasedTrafficSelectors" gibi, DPD zaman aşımını yapılandırmak, uygulanan IPsec ilkesinin dışında gerçekleştirilebilir:

Set-AzVirtualNetworkGatewayConnection -VirtualNetworkGatewayConnection $connection6 -IpsecPolicies $newpolicy6 -DpdTimeoutInSeconds 30

İsteğe bağlı olarak, İlke tabanlı trafik seçici ve DPD zaman aşımı seçenekleri, özel bir IPsec/IKE ilkesi olmadan Varsayılan ilke ile belirtilebilir.

Set-AzVirtualNetworkGatewayConnection -VirtualNetworkGatewayConnection $connection6 -UsePolicyBasedTrafficSelectors $True -DpdTimeoutInSeconds 30

İlkenin güncelleştirilip güncelleştirilmediğini denetlemek için bağlantıyı yeniden alabilirsiniz. Güncelleştirilmiş ilkenin bağlantısını denetlemek için aşağıdaki komutu çalıştırın.

$connection6  = Get-AzVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1
$connection6.IpsecPolicies

Örnek çıkış:

SALifeTimeSeconds   : 14400
SADataSizeKilobytes : 102400000
IpsecEncryption     : AES256
IpsecIntegrity      : SHA256
IkeEncryption       : AES128
IkeIntegrity        : SHA1
DhGroup             : DHGroup14
PfsGroup            : None

3. Bağlantıdan IPsec/IKE ilkesini kaldırma

Özel ilkeyi bir bağlantıdan kaldırdığınızda, Azure VPN ağ geçidi varsayılan IPsec/IKE teklifleri listesine geri döner ve şirket içi VPN cihazınızla yeniden görüşür.

$RG1           = "TestRG1"
$Connection16  = "VNet1toSite6"
$connection6   = Get-AzVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1

$currentpolicy = $connection6.IpsecPolicies[0]
$connection6.IpsecPolicies.Remove($currentpolicy)

Set-AzVirtualNetworkGatewayConnection -VirtualNetworkGatewayConnection $connection6

İlkenin bağlantıdan kaldırılıp kaldırılmadığını denetlemek için aynı betiği kullanabilirsiniz.

IPsec/IKE ilkesi hakkında SSS

Sık sorulan soruları görüntülemek için VPN Gateway SSS'nin IPsec/IKE ilkesi bölümüne gidin.

Sonraki adımlar

İlke tabanlı trafik seçicilerle ilgili daha fazla ayrıntı için bkz . Birden çok şirket içi ilke tabanlı VPN cihazı bağlama.