Vytvoření vzdálené sítě s vlastními zásadami IKE pro globální zabezpečený přístup

Tunel IPSec je obousměrná komunikace. Tento článek obsahuje postup nastavení komunikačního kanálu v Centru pro správu Microsoft Entra a rozhraní Microsoft Graph API. Druhá strana komunikace se konfiguruje na místním zařízení zákazníka (CPE).

Požadavky

Pokud chcete vytvořit vzdálenou síť s vlastní zásadou protokolu IKE (Internet Key Exchange), musíte mít:

• Role globálního správce zabezpečeného přístupu v Microsoft Entra ID.
• Obdrželi jste informace o připojení z onboardingu globálního zabezpečeného přístupu.
• Produkt vyžaduje licencování. Podrobnosti najdete v části Licencování globálního zabezpečeného přístupu. V případě potřeby si můžete koupit licence nebo získat zkušební licence.

Vytvoření vzdálené sítě pomocí vlastních zásad IKE

Pokud dáváte přednost přidání vlastních podrobností o zásadách IKE do vzdálené sítě, můžete to udělat, když přidáte propojení zařízení se vzdálenou sítí. Tento krok můžete provést v Centru pro správu Microsoft Entra nebo pomocí rozhraní Microsoft Graph API.

Centrum pro správu Microsoft Entra

Vytvoření vzdálené sítě s vlastní zásadou IKE v Centru pro správu Microsoft Entra:

1. Přihlaste se do Centra pro správu Microsoft Entra jako globální správce zabezpečeného přístupu.

2. Přejděte ke vzdáleným sítím globálního zabezpečeného přístupu.>>

3. Vyberte Vytvořit vzdálenou síť.

4. Zadejte název a oblast vzdálené sítě a vyberte Další: Připojení.

5. Výběrem + Přidat odkaz přidejte podrobnosti o připojení vašeho CPE.

Přidání odkazu – karta Obecné

Na kartě Obecné můžete zadat několik podrobností. Věnujte pozornost adresům protokolu BGP (Peer And Local Border Gateway Protocol). Partnerské a místní podrobnosti jsou obrácené v závislosti na tom, kde je konfigurace dokončena.

1. Zadejte následující údaje:

   • Název odkazu: Název cpe.
   • Typ zařízení: V rozevíracím seznamu zvolte možnost zařízení.
   • IP adresa zařízení: Veřejná IP adresa vašeho zařízení.
   • Adresa protokolu BGP zařízení: Zadejte IP adresu protokolu BGP vašeho CPE.
     • Tato adresa se zadává jako místní IP adresa protokolu BGP v CPE.
   • ASN zařízení: Zadejte číslo autonomního systému (ASN) CPE.
     • Připojení s povoleným protokolem BGP mezi dvěma síťovými bránami vyžaduje, aby měly různé sítě ASN.
     • Projděte si platný seznam hodnot ASN pro rezervované hodnoty, které se nedají použít.
   • Redundance: Pro tunel IPSec vyberte buď žádnou redundanci, nebo zónovou redundanci.
   • Místní adresa protokolu BGP zóny redundance: Toto volitelné pole se zobrazí jenom v případě, že vyberete redundanci zóny.
     • Zadejte IP adresu protokolu BGP, která není součástí vaší místní sítě, kde se nachází vaše cpe, a liší se od místní adresy protokolu BGP.
   • Kapacita šířky pásma (Mb/s):Zadejte šířku pásma tunelu. Dostupné možnosti jsou 250, 500, 750 a 1 000 Mb/s.
   • Místní adresa protokolu BGP: Zadejte IP adresu protokolu BGP, která není součástí vaší místní sítě, ve které se nachází vaše cpe.
     • Pokud je například vaše místní síť 10.1.0.0/16, můžete jako místní adresu BGP použít adresu 10.2.0.4.
     • Tato adresa se zadává jako IP adresa protokolu BGP partnerského uzlu v CPE.
     • Projděte si platný seznam adres protokolu BGP pro rezervované hodnoty, které se nedají použít.

2. Vyberte další.

Přidání odkazu – karta Podrobnosti

Důležité

U cpe musíte zadat kombinaci fáze 1 i fáze 2.

1. Ve výchozím nastavení je vybraný protokol IKEv2 . V současné době se podporuje jenom IKEv2.

2. Změňte zásadu IPSec/IKE na vlastní.

3. Vyberte podrobnosti o kombinaci fáze 1 pro šifrování, integritu IKEv2 a skupinu DHGroup.

   • Kombinace vybraných podrobností musí odpovídat dostupným možnostem uvedeným v referenčním článku o platných konfiguracích vzdálené sítě.

4. Vyberte kombinace fází 2 pro šifrování IPsec, integritu protokolu IPsec, skupinu PFS a životnost přidružení zabezpečení (sekundy).

   • Kombinace vybraných podrobností musí odpovídat dostupným možnostem uvedeným v referenčním článku o platných konfiguracích vzdálené sítě.

5. Bez ohledu na to, jestli zvolíte Výchozí nebo Vlastní, musí zásady IPSec/IKE, které zadáte, odpovídat kryptografickým zásadám na vašem CPE.

6. Vyberte Další.

   

Přidání odkazu Na kartu Zabezpečení

1. Zadejte předsdílený klíč (PSK) a předsdílený klíč zóny (PSK). Stejný tajný klíč musí být použit u příslušného CPE. Pole Předsdílený klíč zóny (PSK) se zobrazí pouze v případě, že je redundance nastavená na první stránce při vytváření odkazu.
2. Zvolte Uložit.

Microsoft Graph API

Vzdálené sítě s vlastní zásadou IKE je možné vytvořit pomocí Microsoft Graphu na koncovém /beta bodu.

1. Přihlaste se k Graph Exploreru.
2. V rozevíracím seznamu vyberte metodu POST jako metodu HTTP.
3. Nastavte verzi rozhraní API na beta.
4. Přidejte následující dotaz a pak vyberte Spustit dotaz.

    POST https://graph.microsoft.com/beta/networkAccess/connectivity/remoteNetworks/dc6a7efd-6b2b-4c6a-84e7-5dcf97e62e04/deviceLinks
Content-Type: application/json

{
    "name": "custom link",
    "ipAddress": "114.20.4.14",
    "deviceVendor": "ciscoMeraki",
    "tunnelConfiguration": {
        "saLifeTimeSeconds": 300,
        "ipSecEncryption": "gcmAes128",
        "ipSecIntegrity": "gcmAes128",
        "ikeEncryption": "aes128",
        "ikeIntegrity": "sha256",
        "dhGroup": "ecp384",
        "pfsGroup": "ecp384",
        "@odata.type": "#microsoft.graph.networkaccess.tunnelConfigurationIKEv2Custom",
        "preSharedKey": "SHAREDKEY"
    },
    "bgpConfiguration": {
        "localIpAddress": "10.1.1.11",
        "peerIpAddress": "10.6.6.6",
        "asn": 65000
    },
    "redundancyConfiguration": {
        "redundancyTier": "zoneRedundancy",
        "zoneLocalIpAddress": "10.1.1.12"
    },
    "bandwidthCapacityInMbps": "mbps250"
}

Další kroky

• Správa vzdálených sítí
• Správa propojení vzdálených síťových zařízení