为点到站点连接创建和设置自定义 IPsec 策略

如果你的点到站点 (P2S) VPN 环境需要自定义 IPsec 策略来用于加密，则可以轻松地使用所需设置来配置策略对象。 本文可帮助你创建自定义策略对象，然后使用 PowerShell 对其进行设置。

准备阶段

先决条件

验证你的环境是否满足以下先决条件：

• 你已配置正常运行的点到站点 VPN。 如果未配置，请使用 PowerShell 或 Azure 门户，按照“创建点到站点 VPN”一文中的步骤配置一个。

使用 Azure PowerShell

可以在计算机本地安装并运行 Azure PowerShell cmdlet。 PowerShell cmdlet 经常更新。 如果尚未安装最新版本，说明中指定的值可能会失败。 若要查找计算机上安装的 Azure PowerShell 版本，请使用 Get-Module -ListAvailable Az cmdlet。 若要进行安装或更新，请参阅安装 Azure PowerShell 模块。

创建和设置策略

1. 声明要使用的变量。 使用以下示例，根据需要将值替换为自己的值。 如果在练习期间的任何时候关闭了 PowerShell 会话，只需再次复制和粘贴这些值，以重新声明变量。

   $RG = "TestRG"
   $GWName = "VNet1GW"
   

2. 创建自定义 IPsec 策略对象。 调整示例中的值以满足你的要求。

   $vpnclientipsecpolicy = New-AzVpnClientIpsecPolicy -IpsecEncryption AES256 -IpsecIntegrity SHA256 -SALifeTime 86471 -SADataSize 429496 -IkeEncryption AES256 -IkeIntegrity SHA384 -DhGroup DHGroup2 -PfsGroup PFS2
   

3. 更新现有 P2S VPN 网关，并设置 IPsec 策略。

   $gateway = Get-AzVirtualNetworkGateway -ResourceGroupName $RG -name $GWName
   Set-AzVirtualNetworkGateway -VirtualNetworkGateway $gateway -VpnClientIpsecPolicy $vpnclientipsecpolicy
   

后续步骤

有关 P2S 配置的详细信息，请参阅关于点到站点 VPN。