Compartir a través de


Creación de una red remota con una directiva de IKE personalizada para el Acceso global seguro

El túnel IPSec es una comunicación bidireccional. En este artículo se proporcionan los pasos para configurar el canal de comunicación en Microsoft Entra centro de administración y Microsoft Graph API. El otro lado de la comunicación se configura en el equipo local del cliente (CPE).

Requisitos previos

Para crear una red remota con una directiva de intercambio de claves de Internet (IKE) personalizada, debe tener:

Creación de una red remota con una directiva de IKE personalizada

Si prefiere agregar detalles de la directiva de IKE personalizados a una red remota, puede hacerlo al agregar el vínculo del dispositivo a la red remota. Este paso se puede completar en el centro de administración de Microsoft Entra o mediante Microsoft Graph API.

Para crear una red remota con una directiva de IKE personalizada en el centro de administración de Microsoft Entra:

  1. Inicie sesión en el Centro de administración de Microsoft Entra como Administrador de Global Secure Access.

  2. Vaya a Acceso global seguro>Conectar>Redes remotas.

  3. Seleccione Crear red remota.

  4. Proporcione un nombre y una región para la red remota y seleccione Siguiente: Conectividad.

  5. Seleccione + Agregar un vínculo para agregar los detalles de conectividad del CPE.

En la pestaña General hay varios detalles para rellenar. Preste mucha atención a las direcciones del Protocolo de puerta de enlace de borde local y del mismo nivel (BGP). Se invierten los detalles del mismo nivel y local, en función de dónde se complete la configuración.

Captura de pantalla de la pestaña General con ejemplos en cada campo.

  1. Escriba la siguiente información:

    • Nombre del vínculo: nombre del CPE.
    • Tipo de dispositivo: elija una de las opciones de dispositivo de la lista desplegable.
    • Dirección IP del dispositivo: dirección IP pública del dispositivo.
    • Dirección BGP del dispositivo: escriba la dirección IP de BGP del CPE.
      • Introduzca esta dirección como la dirección IP BGP local en el CPE.
    • ASN del dispositivo: proporcione el número de sistema autónomo (ASN) del CPE.
      • Una conexión habilitada para BGP entre dos puertas de enlace de red requiere que tengan diferentes ASN.
      • Consulte la lista de valores ASN válidos para obtener los valores reservados que no se pueden usar.
    • Redundancia: seleccione Sin redundancia o Redundancia de zona para el túnel IPSec.
    • Dirección BGP local con redundancia de zona: se trata de un campo opcional que solo se muestra si se selecciona Redundancia de zona.
      • Introduzca una dirección IP BGP que no forme parte de la red del entorno local donde reside el CPE y que sea diferente de la dirección BGP local.
    • Capacidad de ancho de banda (Mbps): especifique el ancho de banda del túnel. Las opciones disponibles son 250, 500, 750 y 1000 Mbps.
    • Dirección BGP local: introduzca una dirección IP de BGP que no forme parte de la red local donde reside el CPE.
      • Por ejemplo, si su red local es 10.1.0.0/16, entonces puede utilizar 10.2.0.4 como dirección BGP local.
      • Esta dirección se escribe como BGP del mismo nivelObtener la dirección IP en el CPE.
      • Consulte la lista de direcciones BGP válidas para obtener los valores reservados que no se pueden usar.
  2. Seleccione Siguiente.

Importante

Debe especificar una combinación de fase 1 y fase 2 en el CPE.

  1. IKEv2está seleccionada de manera predeterminada. Actualmente solo se admite IKEv2.

  2. Cambie la directiva IPSec/IKE a Personalizada.

  3. Seleccione los detalles de la combinación de fase 1 para Cifrado, integridad de IKEv2 y DHGroup.

  4. Seleccione las combinaciones de fase 2 para Cifrado de IPsec, Integridad de IPsec, Grupo PFS y Duración de SA (en segundos).

  5. Tanto si elige predeterminado como personalizado, la directiva IPSec/IKE que especifique debe coincidir con la directiva criptográfica en el CPE.

  6. Seleccione Siguiente.

    Captura de pantalla de los detalles personalizados del vínculo de dispositivo.

  1. Escriba la clave precompartida (PSK) y la clave precompartida de redundancia de zona (PSK). Se debe usar la misma clave secreta en el CPE correspondiente. El campo Clave precompartida de redundancia de zona (PSK) solo aparece si la redundancia se establece en la primera página para crear el vínculo.
  2. Seleccione Guardar.

Captura de pantalla de la pestaña Seguridad para agregar un vínculo de dispositivo.

Pasos siguientes