Gültige Remotenetzwerkkonfigurationen für benutzerdefinierte und Standardkonfigurationen
Geräteverbindungen sind die physischen Router, die Ihre Remotenetzwerke wie z. B. Zweigstellenstandorte mit „globaler sicherer Zugriff“ verbinden. Es gibt bestimmte Kombinationen von Eigenschaften, die Sie verwenden müssen, wenn Sie beim Hinzufügen von Geräteverbindungen die Option Benutzerdefiniert auswählen. Wenn Sie die Option Standard auswählen, müssen Sie eine bestimmte Kombination von Eigenschaften auf den lokalen Kundengeräten (Customer Premises Equipment, CPE) eingeben.
Benutzerdefinierte Details und Standarddetails
Die verfügbaren Regionen, Gerätetypen, autonomen Systemnummern (ASN) und BGP-Adressen (Border Gateway Protocol) werden sowohl in den Standardkonfigurationen als auch in benutzerdefinierten Konfigurationen verwendet.
Verfügbare Geräteoptionen
- barracudaNetworks
- checkPoint
- ciscoMeraki
- citrix
- fortinet
- hpeAruba
- netFoundry
- nuage
- openSystems
- paloAltoNetworks
- riverbedTechnology
- silverPeak
- vmWareSdWan
- versa
Gültige Regionen, in denen Remotenetzwerke erstellt werden können
| Europa, Naher Osten und Afrika (EMEA) | Asien-Pazifik (APAC) | Lateinamerika (LATAM) | Nordamerika (NA) |
|---|---|---|---|
| franceCentral | australiaEast | brazilSouth | canadaCentral |
| franceSouth | australiaSouthEast | canadaEast | |
| germanyWestCentral | centralIndia | centralUS | |
| israelCentral | japanEast | eastUS | |
| italyNorth | japanWest | northCentralUS | |
| northEurope | koreaCentral | southCentralUS | |
| polandCentral | koreaSouth | westCentralUS | |
| southAfricaNorth | southEastAsia | westUS | |
| southAfricaWest | southIndia | westUS2 | |
| swedenCentral | westUS3 | ||
| switzerlandNorth | |||
| uaeNorth | |||
| ukSouth | |||
| westEurope |
Gültige ASN
Sie können beliebige 2-Byte-Werte (zwischen 1 und 65534) außer den folgenden reservierten ASNs verwenden:
- Reservierte Azure-ASNs: 12076, 65517, 65518, 65519, 65520, 8076, 8075
- Für IANA reservierte ASNs: 23456, >= 64496 && <= 64511, >= 65535 && <= 65551, 4294967295
- 65476
Benutzerdefinierte BGP-Adressen
Sie können jede BGP-Adresse außer die folgenden Adressen verwenden:
- 0.0.0.0/32
- 127.0.0.0/8
- 224.0.0.0/4
- 255.255.255.255/32
Standardkonfigurationen für IPSec/IKE
Wenn Sie beim Konfigurieren von Remotenetzwerk-Geräteverbindungen im Microsoft Entra Admin Center Standard als IPsec/IKE-Richtlinie auswählen, werden die folgenden Kombinationen im Tunnelhandshake erwartet. Jeder Wert in der Kombination wird in Ihrem Kundengerät (CPE) eingegeben.
Wichtig
Sie müssen sowohl eine Kombination mit Phase 1 als auch eine Kombination mit Phase 2 für Ihre CPE angeben.
Kombinationen für IKE, Phase 1
| Eigenschaften | Kombination 1 | Kombination 2 | Kombination 3 | Kombination 4 |
|---|---|---|---|---|
| IKE-Verschlüsselung | GCMAES256 | GCMAES128 | AES256 | AES128 |
| IKE-Integrität | SHA384 | SHA256 | SHA384 | SHA256 |
| DH-Gruppe | DHGroup24 | DHGroup24 | DHGroup24 | DHGroup24 |
Kombinationen für IKE, Phase 2
| Eigenschaften | Kombination 1 | Kombination 2 | Kombination 3 |
|---|---|---|---|
| IPsec-Verschlüsselung | GCMAES256 | GCMAES192 | GCMAES128 |
| IPsec-Integrität | GCMAES256 | GCMAES192 | GCMAES128 |
| PFS-Gruppe | Keine | Nein | Keine |
Benutzerdefinierte IPSec/IKE-Kombinationen
Wenn Sie beim Konfigurieren von Remotenetzwerk-Geräteverbindungen im Microsoft Entra Admin Center Benutzerdefiniert als IPSec/IKE-Konfiguration auswählen, müssen Sie eine der folgenden Kombinationen verwenden.
Kombinationen für IKE, Phase 1
Es gibt keine Einschränkungen bei den Kombinationen für IKE, Phase 1. Jede Kombination aus Verschlüsselung, Integrität und DH-Gruppe ist gültig.
Kombinationen für IKE, Phase 2
Die Konfigurationen für IPSec-Verschlüsselung und -Integrität sind in der folgenden Tabelle aufgeführt:
| IPsec-Verschlüsselung | IPsec-Integrität |
|---|---|
| GCMAES128 | GCMAES128 |
| GCMAES192 | GCMAES192 |
| GCMAES256 | GCMAES256 |
| None | SHA256 |
- PFS-Gruppe: keine Einschränkung.
- SA-Lebensdauer: muss > 300 Sekunden betragen.
Gültige Enumerationen
Die folgenden Werte können für die Eigenschaften IKE, IPSec, DH- und PFS-Gruppen verwendet werden.
IKE-Verschlüsselung
| Wert | Enum |
|---|---|
| AES128 | 0 |
| AES192 | 1 |
| AES256 | 2 |
| GCMAES128 | 3 |
| GCMAES256 | 4 |
IKE-Integrität
| Wert | Enum |
|---|---|
| SHA256 | 0 |
| SHA384 | 1 |
| GCMAES256 | 2 |
| GCMAES256 | 3 |
DH-Gruppe
| Wert | Enum |
|---|---|
| DHGroup14 | 0 |
| DHGroup2048 | 1 |
| ECP256 | 2 |
| ECP384 | 3 |
| DHGroup24 | 4 |
IPsec-Verschlüsselung
| Wert | Enum |
|---|---|
| GCMAES128 | 0 |
| GCMAES192 | 1 |
| GCMAES256 | 2 |
| None | 3 |
IPsec-Integrität
| Wert | Enum |
|---|---|
| GCMAES128 | 0 |
| GCMAES192 | 1 |
| GCMAES256 | 2 |
| SHA256 | 3 |
PFS-Gruppe
| Wert | Enum |
|---|---|
| PFS1 | 0 |
| Keine | 1 |
| PFS2 | 2 |
| PFS2048 | 3 |
| ECP256 | 4 |
| ECP384 | 5 |
| PFSMM | 6 |
| PFS24 | 7 |
| PFS14 | 8 |