共用方式為


為 S2S VPN 和 VNet 對 VNet 設定自訂 IPsec/IKE 連線原則:PowerShell

本文將逐步引導您使用 PowerShell,為 VPN 閘道的站對站 VPN 或 VNet 對 VNet 連線設定自訂 IPsec/IKE 原則。

工作流程

本文中的指示可協助您安裝和設定 IPsec/IKE 原則,如下圖所示:

此圖顯示 VNet 對 VNet 和站對站 VPN 閘道的 IPsec/IKE 原則。

  1. 建立虛擬網路和 VPN 閘道。
  2. 建立區域網路閘道以進行跨單位連線,或建立另一個虛擬網路和閘道以進行 VNet 對 VNet 連線。
  3. 使用選取的演算法和參數建立 IPsec/IKE 原則。
  4. 使用 IPsec/IKE 原則建立連線 (IPsec 或 VNet2VNet)。
  5. 新增/更新/移除現有連線的 IPsec/IKE 原則。

原則參數

IPsec 和 IKE 通訊協定標準支援各種不同的密碼編譯演算法的各種組合。 請參閱關於密碼編譯需求和 Azure VPN 閘道,以查看這如何協助確保跨單位和 VNet 對 VNet 連線滿足合規性或安全性需求。 請注意下列考量:

  • IPsec/IKE 原則僅適用於下列閘道 SKU:
    • VpnGw1~5 和 VpnGw1AZ~5AZ
    • StandardHighPerformance
  • 您只能針對指定的連線指定「一個」原則組合。
  • 對於 IKE (主要模式) 和 IPsec (快速模式),您都必須指定所有演算法和參數。 系統不允許只指定一部分原則。
  • 請確認 VPN 裝置廠商規格,確保內部部署 VPN 裝置支援原則。 如果原則不相容,則無法建立 S2S 或 VNet 對 VNet 連線。

密碼編譯演算法和金鑰強度

下表列出可設定的支援密碼編譯演算法和金鑰強度。

IPsec/IKEv2 選項。
IKEv2 加密 GCMAES256、GCMAES128、AES256、AES192、AES128
IKEv2 完整性 SHA384、SHA256、SHA1、MD5
DH 群組 DHGroup24、ECP384、ECP256、DHGroup14、DHGroup2048、DHGroup2、DHGroup1、無
IPsec 加密 GCMAES256、GCMAES192、GCMAES128、AES256、AES192、AES128、DES3、DES、無
IPsec 完整性 GCMAES256、GCMAES192、GCMAES128、SHA256、SHA1、MD5
PFS 群組 PFS24、ECP384、ECP256、PFS2048、PFS2、PFS1、無
快速模式 SA 存留期 (選用;若未指定則為預設值)
秒數 (整數;最小值 300,預設值 27,000)
KB (整數;最小值 1,024,預設值 10,2400,000)
流量選取器 UsePolicyBasedTrafficSelectors ($True$False,但為選用;若未指定則為預設值 $False)
DPD 逾時 秒數 (整數;最小值 9,最大值 3,600,預設值 45)
  • 內部部署 VPN 裝置設定必須符合或包含您在 Azure IPsec 或 IKE 原則中指定的下列演算法和參數:

    • IKE 加密演算法 (主要模式,第 1 階段)
    • IKE 完整性演算法 (主要模式,第 1 階段)
    • DH 群組 (主要模式,第 1 階段)
    • IPsec 加密演算法 (快速模式,第 2 階段)
    • IPsec 完整性演算法 (快速模式,第 2 階段)
    • PFS 群組 (快速模式,第 2 階段)
    • 流量選取器 (如果您使用 UsePolicyBasedTrafficSelectors)
    • SA 存留期 (不需要相符的本機規格)
  • 如果您將 GCMAES 用於 IPsec 加密演算法,則必須基於 IPsec 完整性選取相同的 GCMAES 演算法和金鑰長度。 例如,針對這兩者使用 GCMAES128。

  • 在演算法與金鑰的表格中:

    • IKE 會對應至主要模式或第 1 階段。
    • IPsec 會對應到快速模式或第 2 階段。
    • DH 群組會指定在主要模式或第 1 階段中使用的 Diffie-Hellman 群組。
    • PFS 群組會指定在快速模式或第 2 階段中使用的 Diffie-Hellman 群組。
  • IKE 主要模式 SA 存留期在 Azure VPN 閘道上固定為 28,800 秒。

  • UsePolicyBasedTrafficSelectors 是此連線上的選擇性參數。 如果您在連線上將 UsePolicyBasedTrafficSelectors 設為 $True,則會設定 VPN 閘道以連線至內部部署原則式 VPN 防火牆。

    如果您啟用 UsePolicyBasedTrafficSelectors,請確定 VPN 裝置已使用內部部署網路 (區域網路閘道) 首碼與 Azure 虛擬網路首碼的各種組合 (而不是任意對任意) 定義了相符的流量選取器。 VPN 閘道接受遠端 VPN 閘道建議的任何流量選取器,無論 VPN 閘道上的設定為何。

    例如,如果內部部署網路的前置詞為 10.1.0.0/16 和 10.2.0.0/16,而虛擬網路的前置詞為 192.168.0.0/16 和 172.16.0.0/16,則需要指定下列流量選取器︰

    • 10.1.0.0/16 <====> 192.168.0.0/16
    • 10.1.0.0/16 <====> 172.16.0.0/16
    • 10.2.0.0/16 <====> 192.168.0.0/16
    • 10.2.0.0/16 <====> 172.16.0.0/16

    如需原則式流量選取器的詳細資訊,請參閱將 VPN 閘道連線至多個內部部署原則式 VPN 裝置

  • 將逾時設定為較短的期間,會導致 IKE 更積極地重設金鑰。 然後,在某些情況下,連線可能會顯示為已中斷。 如果內部部署位置離 VPN 閘道所在的 Azure 區域較遠,或如果實體連結條件可能會導致封包遺失,這就可能不是理想的情況。 我們通常建議將逾時設定為介於 30 到 45 秒

注意

IKEv2 完整性用於 Integrity 和 PRF (虛擬隨機函式)。 如果指定的 IKEv2 加密演算法是 GCM*,則傳入 IKEv2 完整性的值只會用於 PRF,並以隱含方式將 IKEv2 完整性設定為 GCM*。 在其他所有情況下,傳入 IKEv2 完整性的值會同時用於 IKEv2 完整性和 PRF。

Diffie-Hellman 群組

下表列出自訂原則所支援的對應 Diffie-Hellman 群組:

Diffie-Hellman 群組 DHGroup PFSGroup 金鑰長度
1 DHGroup1 PFS1 768 位元 MODP
2 DHGroup2 PFS2 1024 位元 MODP
14 DHGroup14
DHGroup2048
PFS2048 2048 位元 MODP
19 ECP256 ECP256 256 位元 ECP
20 ECP384 ECP384 384 位元 ECP
24 DHGroup24 PFS24 2048 位元 MODP

如需詳細資訊,請參閱 RFC3526RFC5114

使用 IPsec/IKE 原則建立 S2S VPN 連線

本節將逐步引導您使用 IPsec/IKE 原則建立 S2S VPN 連線。 下列步驟將建立連線,如圖所示:

顯示原則架構的圖表。

如需建立 S2S VPN 連線的詳細逐步指示,請參閱建立 S2S VPN 連線

您可以在瀏覽器中使用 Azure Cloud Shell 來執行此練習的步驟。 如果您想要直接從電腦使用 PowerShell,請安裝 Azure Resource Manager PowerShell Cmdlet。 如需如何安裝 PowerShell Cmdlet 的詳細資訊,請參閱如何安裝和設定 Azure PowerShell

步驟 1 - 建立虛擬網路、VPN 閘道和區域網路閘道資源

如果您使用 Azure Cloud Shell,則會自動連線到您的帳戶,不需要執行下列命令。

如果您使用電腦的 PowerShell,請開啟 PowerShell 主控台並連線到您的帳戶。 如需詳細資訊,請參閱 搭配使用 Windows PowerShell 與 Resource Manager。 使用下列範例來協助您連接:

Connect-AzAccount
Select-AzSubscription -SubscriptionName <YourSubscriptionName>

1.宣告變數

對於此練習,一開始先宣告變數。 在執行命令之前,可以將變數取代為您自己的變數。

$RG1           = "TestRG1"
$Location1     = "EastUS"
$VNetName1     = "TestVNet1"
$FESubName1    = "FrontEnd"
$BESubName1    = "Backend"
$GWSubName1    = "GatewaySubnet"
$VNetPrefix11  = "10.1.0.0/16"
$FESubPrefix1  = "10.1.0.0/24"
$BESubPrefix1  = "10.1.1.0/24"
$GWSubPrefix1  = "10.1.255.0/27"
$DNS1          = "8.8.8.8"
$GWName1       = "VNet1GW"
$GW1IPName1    = "VNet1GWIP1"
$GW1IPconf1    = "gw1ipconf1"
$Connection16  = "VNet1toSite6"
$LNGName6      = "Site6"
$LNGPrefix61   = "10.61.0.0/16"
$LNGPrefix62   = "10.62.0.0/16"
$LNGIP6        = "131.107.72.22"

2.建立虛擬網路、VPN 閘道和區域網路閘道

下列範例會建立有三個子網路的虛擬網路 TestVNet1 和 VPN 閘道。 替代值時,務必一律將您的閘道子網路特定命名為 GatewaySubnet。 如果您將其命名為其他名稱,閘道建立會失敗。 建立虛擬網路閘道可能需要花費超過 45 分鐘。 在此期間,如果您使用 Azure Cloud Shell,連線可能會逾時。這不會影響閘道建立命令。

New-AzResourceGroup -Name $RG1 -Location $Location1

$fesub1 = New-AzVirtualNetworkSubnetConfig -Name $FESubName1 -AddressPrefix $FESubPrefix1
$besub1 = New-AzVirtualNetworkSubnetConfig -Name $BESubName1 -AddressPrefix $BESubPrefix1
$gwsub1 = New-AzVirtualNetworkSubnetConfig -Name $GWSubName1 -AddressPrefix $GWSubPrefix1

New-AzVirtualNetwork -Name $VNetName1 -ResourceGroupName $RG1 -Location $Location1 -AddressPrefix $VNetPrefix11 -Subnet $fesub1,$besub1,$gwsub1

$gw1pip1 = New-AzPublicIpAddress -Name $GW1IPName1 -ResourceGroupName $RG1 -Location $Location1 -AllocationMethod Dynamic
$vnet1 = Get-AzVirtualNetwork -Name $VNetName1 -ResourceGroupName $RG1
$subnet1 = Get-AzVirtualNetworkSubnetConfig -Name "GatewaySubnet" -VirtualNetwork $vnet1
$gw1ipconf1 = New-AzVirtualNetworkGatewayIpConfig -Name $GW1IPconf1 -Subnet $subnet1 -PublicIpAddress $gw1pip1

New-AzVirtualNetworkGateway -Name $GWName1 -ResourceGroupName $RG1 -Location $Location1 -IpConfigurations $gw1ipconf1 -GatewayType Vpn -VpnType RouteBased -GatewaySku VpnGw1

建立區域網路閘道。 如果 Azure Cloud Shell 逾時,您可能需要重新連線並再次宣告下列變數。

宣告變數。

$RG1           = "TestRG1"
$Location1     = "EastUS"
$LNGName6      = "Site6"
$LNGPrefix61   = "10.61.0.0/16"
$LNGPrefix62   = "10.62.0.0/16"
$LNGIP6        = "131.107.72.22"
$GWName1       = "VNet1GW"
$Connection16  = "VNet1toSite6"

建立區域網路閘道 Site6。

New-AzLocalNetworkGateway -Name $LNGName6 -ResourceGroupName $RG1 -Location $Location1 -GatewayIpAddress $LNGIP6 -AddressPrefix $LNGPrefix61,$LNGPrefix62

步驟 2 - 使用 IPsec/IKE 原則建立 S2S VPN 連線

1.建立 IPsec/IKE 原則

下列範例指令碼會使用下列演算法和參數來建立 IPsec/IKE 原則:

  • IKEv2:AES256、SHA384、DHGroup24
  • IPsec:AES256、SHA256、PFS 無、SA 存留期 14400 秒和 102400000 KB
$ipsecpolicy6 = New-AzIpsecPolicy -IkeEncryption AES256 -IkeIntegrity SHA384 -DhGroup DHGroup24 -IpsecEncryption AES256 -IpsecIntegrity SHA256 -PfsGroup None -SALifeTimeSeconds 14400 -SADataSizeKilobytes 102400000

如果您針對 IPsec 使用 GCMAES,就必須針對 IPsec 加密和完整性使用相同的 GCMAES 演算法和金鑰長度。 就上述範例而言,當使用 GCMAES256 時,對應參數將會是"-IpsecEncryption GCMAES256 -IpsecIntegrity GCMAES256"。

2.使用 IPsec/IKE 原則建立 S2S VPN 連線

建立 S2S VPN 連線,並套用稍早建立的 IPsec/IKE 原則。

$vnet1gw = Get-AzVirtualNetworkGateway -Name $GWName1  -ResourceGroupName $RG1
$lng6 = Get-AzLocalNetworkGateway  -Name $LNGName6 -ResourceGroupName $RG1

New-AzVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1 -VirtualNetworkGateway1 $vnet1gw -LocalNetworkGateway2 $lng6 -Location $Location1 -ConnectionType IPsec -IpsecPolicies $ipsecpolicy6 -SharedKey 'AzureA1b2C3'

您可以選擇性地將 "-UsePolicyBasedTrafficSelectors $True" 新增至建立連線 Cmdlet,讓 Azure VPN 閘道連線至以原則為基礎的內部部署 VPN 裝置。

重要

在連線上指定 IPsec/IKE 原則之後,Azure VPN 閘道只會傳送或接受該特定連線上的 IPsec/IKE 提案,而提案具有所指定的密碼編譯演算法和金鑰長度。 確定連線的內部部署 VPN 裝置使用或接受確切原則組合,否則不會建立 S2S VPN 通道。

使用 IPsec/IKE 原則建立 VNet 對 VNet 連線

使用 IPsec/IKE 原則建立 VNet 對 VNet 連線的步驟,與使用 IPsec/IKE 原則建立 S2S VPN 連線的步驟相同。 下列範例指令碼將建立連線,如圖所示:

圖表顯示 vnet 對 vnet 架構。

如需建立 VNet 對 VNet 連線的詳細步驟,請參閱建立 VNet 對 VNet 連線

步驟 1:建立第二個虛擬網路和 VPN 閘道

1.宣告變數

$RG2          = "TestRG2"
$Location2    = "EastUS"
$VNetName2    = "TestVNet2"
$FESubName2   = "FrontEnd"
$BESubName2   = "Backend"
$GWSubName2   = "GatewaySubnet"
$VNetPrefix21 = "10.21.0.0/16"
$VNetPrefix22 = "10.22.0.0/16"
$FESubPrefix2 = "10.21.0.0/24"
$BESubPrefix2 = "10.22.0.0/24"
$GWSubPrefix2 = "10.22.255.0/27"
$DNS2         = "8.8.8.8"
$GWName2      = "VNet2GW"
$GW2IPName1   = "VNet2GWIP1"
$GW2IPconf1   = "gw2ipconf1"
$Connection21 = "VNet2toVNet1"
$Connection12 = "VNet1toVNet2"

2.建立第二個虛擬網路和 VPN 閘道

New-AzResourceGroup -Name $RG2 -Location $Location2

$fesub2 = New-AzVirtualNetworkSubnetConfig -Name $FESubName2 -AddressPrefix $FESubPrefix2
$besub2 = New-AzVirtualNetworkSubnetConfig -Name $BESubName2 -AddressPrefix $BESubPrefix2
$gwsub2 = New-AzVirtualNetworkSubnetConfig -Name $GWSubName2 -AddressPrefix $GWSubPrefix2

New-AzVirtualNetwork -Name $VNetName2 -ResourceGroupName $RG2 -Location $Location2 -AddressPrefix $VNetPrefix21,$VNetPrefix22 -Subnet $fesub2,$besub2,$gwsub2

$gw2pip1    = New-AzPublicIpAddress -Name $GW2IPName1 -ResourceGroupName $RG2 -Location $Location2 -AllocationMethod Dynamic
$vnet2      = Get-AzVirtualNetwork -Name $VNetName2 -ResourceGroupName $RG2
$subnet2    = Get-AzVirtualNetworkSubnetConfig -Name "GatewaySubnet" -VirtualNetwork $vnet2
$gw2ipconf1 = New-AzVirtualNetworkGatewayIpConfig -Name $GW2IPconf1 -Subnet $subnet2 -PublicIpAddress $gw2pip1

New-AzVirtualNetworkGateway -Name $GWName2 -ResourceGroupName $RG2 -Location $Location2 -IpConfigurations $gw2ipconf1 -GatewayType Vpn -VpnType RouteBased -VpnGatewayGeneration Generation2 -GatewaySku VpnGw2

建立 VPN 閘道約需要 45 分鐘或以上時間。

步驟 2:使用 IPsec/IKE 原則建立 VNet 對 VNet 連線

與 S2S VPN 連線類似,請建立 IPsec/IKE 原則,然後將原則套用至新的連線。 如果您使用 Azure Cloud Shell,您的連線可能會逾時。如果逾時,請重新連線並再次陳述必要的變數。

$GWName1 = "VNet1GW"
$GWName2 = "VNet2GW"
$RG1     = "TestRG1"
$RG2     = "TestRG2"
$Location1     = "EastUS"
$Location2    = "EastUS"
$Connection21 = "VNet2toVNet1"
$Connection12 = "VNet1toVNet2"

1.建立 IPsec/IKE 原則

下列範例指令碼會使用下列演算法和參數來建立不同的 IPsec/IKE 原則:

  • IKEv2:AES128、SHA1、DHGroup14
  • IPsec:GCMAES128、GCMAES128、PFS24、SA 存留期 14400 秒和 102400000KB
$ipsecpolicy2 = New-AzIpsecPolicy -IkeEncryption AES128 -IkeIntegrity SHA1 -DhGroup DHGroup14 -IpsecEncryption GCMAES128 -IpsecIntegrity GCMAES128 -PfsGroup PFS24 -SALifeTimeSeconds 14400 -SADataSizeKilobytes 102400000

2.使用 IPsec/IKE 原則建立 VNet 對 VNet 連線

建立 VNet 對 VNet 連線,並套用您建立的 IPsec/IKE 原則。 在此範例中,兩個閘道位於相同的訂用帳戶。 因此,可以在相同的 PowerShell 工作階段中建立和設定兩個具有相同 IPsec/IKE 原則的連線。

$vnet1gw = Get-AzVirtualNetworkGateway -Name $GWName1  -ResourceGroupName $RG1
$vnet2gw = Get-AzVirtualNetworkGateway -Name $GWName2  -ResourceGroupName $RG2

New-AzVirtualNetworkGatewayConnection -Name $Connection12 -ResourceGroupName $RG1 -VirtualNetworkGateway1 $vnet1gw -VirtualNetworkGateway2 $vnet2gw -Location $Location1 -ConnectionType Vnet2Vnet -IpsecPolicies $ipsecpolicy2 -SharedKey 'AzureA1b2C3'

New-AzVirtualNetworkGatewayConnection -Name $Connection21 -ResourceGroupName $RG2 -VirtualNetworkGateway1 $vnet2gw -VirtualNetworkGateway2 $vnet1gw -Location $Location2 -ConnectionType Vnet2Vnet -IpsecPolicies $ipsecpolicy2 -SharedKey 'AzureA1b2C3'

重要

在連線上指定 IPsec/IKE 原則之後,Azure VPN 閘道只會傳送或接受該特定連線上的 IPsec/IKE 提案,而提案具有所指定的密碼編譯演算法和金鑰長度。 確定這兩個連線的 IPsec 原則相同,否則不會建立 VNet 對 VNet 連線。

完成這些步驟之後,將會在幾分鐘內建立連線,且您會有下列網路拓撲,如開頭所示:

圖表顯示 IPsec/IKE 原則。

更新連線的 IPsec/IKE 原則

最後一節會說明如何管理現有 S2S 或 VNet 對 VNet 連線的 IPsec/IKE 原則。 下列練習將引導您在連線上進行下列作業:

  1. 顯示連線的 IPsec/IKE 原則
  2. 新增或更新連線的 IPsec/IKE 原則
  3. 移除連線的 IPsec/IKE 原則

相同的步驟適用於 S2S 和 VNet 對 VNet 連線。

重要

只有 Standard 和 HighPerformance 以路由為基礎的 VPN 閘道才支援 IPsec/IKE 原則。 它不適用於 Basic 閘道 SKU 或以原則為基礎的 VPN 閘道。

1.顯示連線的 IPsec/IKE 原則

下列範例示範如何取得連線上所設定的 IPsec/IKE 原則。 指令碼也會從上述練習繼續。

$RG1          = "TestRG1"
$Connection16 = "VNet1toSite6"
$connection6  = Get-AzVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1
$connection6.IpsecPolicies

最後一個命令會列出連線上所設定的目前 IPsec/IKE 原則 (如有)。 下列範例是連線的範例輸出:

SALifeTimeSeconds   : 14400
SADataSizeKilobytes : 102400000
IpsecEncryption     : AES256
IpsecIntegrity      : SHA256
IkeEncryption       : AES256
IkeIntegrity        : SHA384
DhGroup             : DHGroup24
PfsGroup            : PFS24

如果未設定任何 IPsec/IKE 原則,命令 (PS> $connection6.IpsecPolicies) 會收到空白傳回。 這並不表示連線上未設定 IPsec/IKE,而是表示沒有自訂的 IPsec/IKE 原則。 實際連線會使用內部部署 VPN 裝置與 Azure VPN 閘道之間交涉的預設原則。

2.新增或更新連線的 IPsec/IKE 原則

在連線上新增原則或更新現有原則的步驟相同:建立新的原則,然後將新的原則套用至連線。

$RG1          = "TestRG1"
$Connection16 = "VNet1toSite6"
$connection6  = Get-AzVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1

$newpolicy6   = New-AzIpsecPolicy -IkeEncryption AES128 -IkeIntegrity SHA1 -DhGroup DHGroup14 -IpsecEncryption AES256 -IpsecIntegrity SHA256 -PfsGroup None -SALifeTimeSeconds 14400 -SADataSizeKilobytes 102400000

Set-AzVirtualNetworkGatewayConnection -VirtualNetworkGatewayConnection $connection6 -IpsecPolicies $newpolicy6

若要在連線至內部部署以原則為基礎的 VPN 裝置時啟用 "UsePolicyBasedTrafficSelectors",請將 "-UsePolicyBaseTrafficSelectors" 參數新增至 Cmdlet,或將它設定為 $False 以停用此選項:

Set-AzVirtualNetworkGatewayConnection -VirtualNetworkGatewayConnection $connection6 -IpsecPolicies $newpolicy6 -UsePolicyBasedTrafficSelectors $True

類似於 "UsePolicyBasedTrafficSelectors",設定 DPD 逾時可以在套用的 IPsec 原則之外執行:

Set-AzVirtualNetworkGatewayConnection -VirtualNetworkGatewayConnection $connection6 -IpsecPolicies $newpolicy6 -DpdTimeoutInSeconds 30

如果需要,[原則式流量選取器] 和/或 [DPD 逾時] 選項可連同預設原則來指定,而不使用自訂的 IPsec/IKE 原則。

Set-AzVirtualNetworkGatewayConnection -VirtualNetworkGatewayConnection $connection6 -UsePolicyBasedTrafficSelectors $True -DpdTimeoutInSeconds 30 

您可以再次取得連線,以檢查是否已更新原則。 若要檢查更新原則的連線,請執行下列命令。

$connection6  = Get-AzVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1
$connection6.IpsecPolicies

範例輸出︰

SALifeTimeSeconds   : 14400
SADataSizeKilobytes : 102400000
IpsecEncryption     : AES256
IpsecIntegrity      : SHA256
IkeEncryption       : AES128
IkeIntegrity        : SHA1
DhGroup             : DHGroup14
PfsGroup            : None

3.移除連線的 IPsec/IKE 原則

移除連線的自訂原則後,Azure VPN 閘道會回復為使用預設的 IPsec/IKE 提案清單,並與內部部署 VPN 裝置重新進行交涉。

$RG1           = "TestRG1"
$Connection16  = "VNet1toSite6"
$connection6   = Get-AzVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1

$currentpolicy = $connection6.IpsecPolicies[0]
$connection6.IpsecPolicies.Remove($currentpolicy)

Set-AzVirtualNetworkGatewayConnection -VirtualNetworkGatewayConnection $connection6

您可以使用相同的指令碼,以檢查是否已從連線中移除原則。

IPsec/IKE 原則常見問題集

若要檢視常見問題,請前往 VPN 閘道常見問題的 [IPsec/IKE 原則] 一節。

下一步

如需以原則為基礎的流量選取器的詳細資訊,請參閱連線多個內部部署以原則為基礎的 VPN 裝置