Vytvoření vzdálené sítě pomocí globálního zabezpečeného přístupu
Vzdálené sítě jsou vzdálená umístění, jako je pobočka nebo sítě, které vyžadují připojení k internetu. Nastavení vzdálených sítí propojuje uživatele ve vzdálených umístěních s globálním zabezpečeným přístupem. Jakmile je vzdálená síť nakonfigurovaná, můžete přiřadit profil přesměrování provozu pro správu provozu v podnikové síti. Globální zabezpečený přístup poskytuje možnosti vzdáleného připojení k síti, abyste mohli použít zásady zabezpečení sítě na odchozí provoz.
Existují různé způsoby připojení vzdálených sítí k globálnímu zabezpečenému přístupu. V maticovém příkladu vytváříte tunel IPSec (Internet Protocol Security) mezi základním směrovačem, kterému se říká místní zařízení zákazníka (CPE), ve vzdálené síti a nejbližším koncovém bodu globálního zabezpečeného přístupu. Veškerý internetový provoz je směrován přes základní směrovač vzdálené sítě pro vyhodnocení zásad zabezpečení v cloudu. Instalace klienta se nevyžaduje na jednotlivých zařízeních.
Tento článek vysvětluje, jak vytvořit vzdálenou síť pro globální zabezpečený přístup.
Požadavky
Pokud chcete konfigurovat vzdálené sítě, musíte mít:
- Role globálního správce zabezpečeného přístupu v Microsoft Entra ID.
- Produkt vyžaduje licencování. Podrobnosti najdete v části Licencování globálního zabezpečeného přístupu. V případě potřeby si můžete koupit licence nebo získat zkušební licence.
- Místní zařízení zákazníka (CPE) musí podporovat následující protokoly:
- Protokol IPSec (Internet Protocol Security)
- GCMEAES128, GCMAES 192 nebo GCMAES256 algoritmy pro vyjednávání protokolu IKE (Internet Key Exchange) fáze 2
- Internet Key Exchange verze 2 (IKEv2)
- Border Gateway Protocol (BGP)
- Zkontrolujte platné konfigurace pro nastavení vzdálených sítí.
- Řešení vzdáleného připojení k síti používá konfiguraci sítě VPN RouteBased se selektory provozu typu any-to-any (zástupný znak nebo 0.0.0.0/0). Ujistěte se, že váš CPE má správnou sadu selektoru provozu.
- Řešení vzdáleného připojení k síti používá režimy Respondér . Vaše CPE musí zahájit připojení.
Známá omezení
Tato funkce má jedno nebo více známých omezení. Podrobnější informace o známých problémech a omezeních této funkce najdete v tématu Známá omezení globálního zabezpečení přístupu.
Základní kroky
Vzdálenou síť můžete vytvořit v Centru pro správu Microsoft Entra nebo prostřednictvím rozhraní Microsoft Graph API.
Na vysoké úrovni je pět kroků pro vytvoření vzdálené sítě a konfiguraci aktivního tunelu IPsec:
Základy: Zadejte základní podrobnosti, jako je název a oblast vzdálené sítě. Oblast určuje, kam chcete použít druhý konec tunelu IPsec. Druhým koncem tunelu je směrovač nebo CPE.
Připojení: Přidejte propojení zařízení (nebo tunel IPsec) do vzdálené sítě. V tomto kroku zadáte podrobnosti o směrovači do Centra pro správu Microsoft Entra, které Microsoftu řekne, odkud mají přijít jednání o protokolu IKE.
Profil předávání přenosů: Přidružte profil přesměrování provozu ke vzdálené síti, který určuje, jaký provoz se má získat přes tunel IPsec. Dynamické směrování používáme prostřednictvím protokolu BGP.
Zobrazení konfigurace připojení CPE: Načtěte podrobnosti tunelu IPsec konce tunelu Microsoftu. V kroku Připojení jste do Microsoftu zadali podrobnosti o směrovači. V tomto kroku načtete stranu Microsoftu s konfigurací připojení.
Nastavení CPE: Proveďte konfiguraci připojení Microsoftu z předchozího kroku a zadejte ji do konzoly pro správu vašeho směrovače nebo CPE. Tento krok není v Centru pro správu Microsoft Entra.
Vzdálené sítě se konfigurují na třech kartách. Každou kartu musíte dokončit v pořadí. Po dokončení karty buď vyberte další kartu v horní části stránky, nebo vyberte tlačítko Další v dolní části stránky.
Základy
Prvním krokem je zadání názvu a umístění vzdálené sítě. Dokončení této karty je povinné.
- Přihlaste se do Centra pro správu Microsoft Entra jako globální správce zabezpečeného přístupu.
- Přejděte ke vzdáleným sítím globálního zabezpečeného přístupu.>>
-
Vyberte tlačítko Vytvořit vzdálenou síť a zadejte podrobnosti.
- Název
- Oblast
Připojení
Na kartě Připojení přidáte propojení zařízení pro vzdálenou síť. Po vytvoření vzdálené sítě můžete přidat propojení zařízení. Musíte zadat typ zařízení, veřejnou IP adresu cpe, adresu protokolu BGP (Border Gateway Protocol) a číslo autonomního systému (ASN) pro každé propojení zařízení.
Podrobnosti potřebné k dokončení karty Připojení můžou být složité. Další informace naleznete v tématu Správa propojení vzdálených síťových zařízení.
Profily předávání přenosů
Při vytváření vzdálené sítě můžete přiřadit vzdálenou síť k profilu předávání přenosů. Vzdálenou síť můžete přiřadit také později. Další informace najdete v tématu Profily předávání přenosů.
- Vyberte tlačítko Další nebo vyberte kartu Profily provozu.
- Vyberte příslušný profil přesměrování provozu.
- Vyberte tlačítko Zkontrolovat a vytvořit.
Poslední kartou v procesu je zkontrolovat všechna nastavení, která jste zadali. Projděte si zde uvedené podrobnosti a vyberte tlačítko Vytvořit vzdálenou síť .
Zobrazení konfigurace připojení CPE
Všechny vzdálené sítě se zobrazí na stránce Vzdálená síť . Výběrem odkazu Zobrazit konfiguraci ve sloupci Podrobnosti připojení zobrazíte podrobnosti o konfiguraci.
Tyto podrobnosti obsahují informace o připojení ze strany Microsoftu obousměrného komunikačního kanálu, který používáte k nastavení cpe.
Tento proces je podrobně popsaný v tématu Postup konfigurace místního vybavení zákazníka.
Nastavení cpe
Tento krok se provádí v konzole pro správu vašeho CPE, nikoli v Centru pro správu Microsoft Entra. Dokud tento krok nedokončíte, váš protokol IPsec není nastavený. IPsec je obousměrná komunikace. Jednání o protokolu IKE probíhají mezi dvěma stranami před tím, než se tunel úspěšně nastaví. Nenechte si ujít tento krok.
Ověření konfigurace vzdálené sítě
Při vytváření vzdálených sítí je potřeba zvážit a ověřit několik věcí. Možná budete muset zkontrolovat některá nastavení.
Ověřte kryptografický profil IKE: Kryptografický profil (algoritmy IKE fáze 1 a fáze 2) nastavené pro propojení zařízení by se měly shodovat s nastavením v CPE. Pokud jste zvolili výchozí zásadu IKE, ujistěte se, že je váš CPE nastavený s kryptografickým profilem zadaným v referenčním článku o konfiguracích vzdálené sítě.
Ověřte předsdílený klíč: Porovnejte předsdílený klíč (PSK), který jste zadali při vytváření odkazu na zařízení v aplikaci Microsoft Global Secure Access s psK, který jste zadali v cpE. Tyto podrobnosti se přidají na kartě Zabezpečení během procesu přidání odkazu . Další informace naleznete v tématu Správa propojení vzdálených síťových zařízení..
Ověřte místní a partnerské IP adresy protokolu BGP: Veřejná IP adresa a adresa BGP, které používáte ke konfiguraci CPE, musí odpovídat tomu, co používáte při vytváření propojení zařízení v globálním zabezpečeném přístupu Microsoftu.
- Projděte si platný seznam adres protokolu BGP pro rezervované hodnoty, které se nedají použít.
- Adresy protokolu BGP místního a partnerského uzlu se mezi cpe a tím, co se zadává v globálním zabezpečeném přístupu, se obrátí.
- CPE: Místní IP adresa protokolu BGP = IP1, IP adresa partnerského protokolu BGP = IP2
- Globální zabezpečený přístup: Místní IP adresa protokolu BGP = IP2, IP adresa protokolu BGP partnerského uzlu = IP1
- Zvolte IP adresu pro globální zabezpečený přístup, který se nepřekrývá s vaší místní sítí.
Ověření ASN: Globální zabezpečený přístup používá protokol BGP k inzerování tras mezi dvěma autonomními systémy: vaší sítí a Microsoftem. Tyto autonomní systémy by měly mít různá čísla autonomního systému (ASN).
- Projděte si platný seznam hodnot ASN pro rezervované hodnoty, které se nedají použít.
- Při vytváření vzdálené sítě v Centru pro správu Microsoft Entra použijte ASN vaší sítě.
- Při konfiguraci CPE použijte ASN od Microsoftu. Přejděte do globálních vzdálených sítí zabezpečených přístupových>zařízení.> Vyberte Odkazy a potvrďte hodnotu ve sloupci Odkaz ASN .
Ověřte svou veřejnou IP adresu: V testovacím prostředí nebo nastavení testovacího prostředí se může neočekávaně změnit veřejná IP adresa vašeho CPE. Tato změna může způsobit selhání vyjednávání protokolu IKE, i když všechno zůstane stejné.
- Pokud narazíte na tento scénář, proveďte následující kroky:
- Aktualizujte veřejnou IP adresu v kryptografickém profilu vašeho CPE.
- Přejděte do vzdálených sítí globálního zabezpečeného přístupu>>.
- Vyberte příslušnou vzdálenou síť, odstraňte starý tunel a znovu vytvořte nový tunel s aktualizovanou veřejnou IP adresou.
- Pokud narazíte na tento scénář, proveďte následující kroky:
Ověřte veřejnou IP adresu Microsoftu: Když odstraníte propojení zařízení nebo vytvoříte nový, můžete získat jiný koncový bod veřejné IP adresy tohoto propojení v konfiguraci Zobrazení pro danou vzdálenou síť. Tato změna může způsobit selhání vyjednávání protokolu IKE. Pokud narazíte na tento scénář, aktualizujte veřejnou IP adresu v kryptografickém profilu vašeho CPE.
Ověřte nastavení připojení protokolu BGP v CPE: Předpokládejme, že vytvoříte propojení zařízení pro vzdálenou síť. Microsoft vám poskytne veřejnou IP adresu, například PIP1 a adresu protokolu BGP, například BGP1, její brány. Tyto informace o připojení jsou k dispozici v objektu
localConfigurations
blob jSON, který uvidíte, když vyberete Možnost Zobrazit konfiguraci pro danou vzdálenou síť. Na serveru CPE se ujistěte, že máte statickou trasu určenou pro protokol BGP1 odeslanou přes tunelové rozhraní vytvořené pomocí PIP1. Trasa je nezbytná, aby cpe naučila trasy protokolu BGP, které publikujeme přes tunel IPsec, který jste vytvořili s Microsoftem.Ověřte pravidla brány firewall: Povolte port UDP (User Datagram Protocol) 500 a 4500 a port TCP (Transmission Control Protocol) 179 pro tunel IPsec a připojení protokolu BGP ve vaší bráně firewall.
Přesměrování portů: V některých situacích je směrovač poskytovatele internetových služeb také zařízením pro překlad síťových adres (NAT). Překlad adres (NAT) převede privátní IP adresy domácích zařízení na veřejné internetové směrovatelné zařízení.
- Obecně platí, že zařízení NAT změní IP adresu i port. Tato změna portu je kořenem problému.
- Aby tunely IPsec fungovaly, používá globální zabezpečený přístup port 500. Tento port je místem, kde probíhá vyjednávání protokolu IKE.
- Pokud směrovač isP změní tento port na něco jiného, globální zabezpečený přístup nemůže identifikovat tento provoz a vyjednávání selže.
- V důsledku toho se fáze 1 vyjednávání protokolu IKE nezdaří a tunel se nenaváže.
- Pokud chcete toto selhání napravit, dokončete přesměrování portů na vašem zařízení, což směrovači isP říká, aby port nezměnil a přeposílejte ho tak, jak je.
Další kroky
Dalším krokem pro zahájení práce s Microsoft Entra Přístup k Internetu je cílení profilu provozu Microsoftu pomocí zásad podmíněného přístupu.
Další informace o vzdálených sítích najdete v následujících článcích: