Creación de una red remota con una directiva de IKE personalizada para el Acceso global seguro
El túnel IPSec es una comunicación bidireccional. En este artículo se proporcionan los pasos para configurar el canal de comunicación en Microsoft Entra centro de administración y Microsoft Graph API. El otro lado de la comunicación se configura en el equipo local del cliente (CPE).
Requisitos previos
Para crear una red remota con una directiva de intercambio de claves de Internet (IKE) personalizada, debe tener:
- Un rol de Administrador de Acceso seguro global en Microsoft Entra ID.
- Recibida la información de conectividad de la incorporación de acceso seguro global.
- El producto requiere licencias. Para obtener más información, consulta la sección de licencias de Qué es el Acceso global seguro. Si es necesario, puede comprar una licencia u obtener licencias de prueba.
Creación de una red remota con una directiva de IKE personalizada
Si prefiere agregar detalles de la directiva de IKE personalizados a una red remota, puede hacerlo al agregar el vínculo del dispositivo a la red remota. Este paso se puede completar en el centro de administración de Microsoft Entra o mediante Microsoft Graph API.
Para crear una red remota con una directiva de IKE personalizada en el centro de administración de Microsoft Entra:
Inicie sesión en el Centro de administración de Microsoft Entra como Administrador de Global Secure Access.
Vaya a Acceso global seguro>Conectar>Redes remotas.
Seleccione Crear red remota.
Proporcione un nombre y una región para la red remota y seleccione Siguiente: Conectividad.
Seleccione + Agregar un vínculo para agregar los detalles de conectividad del CPE.
Agregar un vínculo: pestaña General
En la pestaña General hay varios detalles para rellenar. Preste mucha atención a las direcciones del Protocolo de puerta de enlace de borde local y del mismo nivel (BGP). Se invierten los detalles del mismo nivel y local, en función de dónde se complete la configuración.
Escriba la siguiente información:
- Nombre del vínculo: nombre del CPE.
- Tipo de dispositivo: elija una de las opciones de dispositivo de la lista desplegable.
- Dirección IP del dispositivo: dirección IP pública del dispositivo.
- Dirección BGP del dispositivo: escriba la dirección IP de BGP del CPE.
- Introduzca esta dirección como la dirección IP BGP local en el CPE.
- ASN del dispositivo: proporcione el número de sistema autónomo (ASN) del CPE.
- Una conexión habilitada para BGP entre dos puertas de enlace de red requiere que tengan diferentes ASN.
- Consulte la lista de valores ASN válidos para obtener los valores reservados que no se pueden usar.
- Redundancia: seleccione Sin redundancia o Redundancia de zona para el túnel IPSec.
- Dirección BGP local con redundancia de zona: se trata de un campo opcional que solo se muestra si se selecciona Redundancia de zona.
- Introduzca una dirección IP BGP que no forme parte de la red del entorno local donde reside el CPE y que sea diferente de la dirección BGP local.
- Capacidad de ancho de banda (Mbps): especifique el ancho de banda del túnel. Las opciones disponibles son 250, 500, 750 y 1000 Mbps.
- Dirección BGP local: introduzca una dirección IP de BGP que no forme parte de la red local donde reside el CPE.
- Por ejemplo, si su red local es 10.1.0.0/16, entonces puede utilizar 10.2.0.4 como dirección BGP local.
- Esta dirección se escribe como BGP del mismo nivelObtener la dirección IP en el CPE.
- Consulte la lista de direcciones BGP válidas para obtener los valores reservados que no se pueden usar.
Seleccione Siguiente.
Agregar un vínculo: pestaña Detalles
Importante
Debe especificar una combinación de fase 1 y fase 2 en el CPE.
IKEv2está seleccionada de manera predeterminada. Actualmente solo se admite IKEv2.
Cambie la directiva IPSec/IKE a Personalizada.
Seleccione los detalles de la combinación de fase 1 para Cifrado, integridad de IKEv2 y DHGroup.
- La combinación de detalles que seleccione debe alinearse con las opciones disponibles que aparecen en el artículo de referencia Configuraciones válidas de red remota.
Seleccione las combinaciones de fase 2 para Cifrado de IPsec, Integridad de IPsec, Grupo PFS y Duración de SA (en segundos).
- La combinación de detalles que seleccione debe alinearse con las opciones disponibles que aparecen en el artículo de referencia Configuraciones válidas de red remota.
Tanto si elige predeterminado como personalizado, la directiva IPSec/IKE que especifique debe coincidir con la directiva criptográfica en el CPE.
Seleccione Siguiente.
Agregar un vínculo: pestaña Seguridad
- Escriba la clave precompartida (PSK) y la clave precompartida de redundancia de zona (PSK). Se debe usar la misma clave secreta en el CPE correspondiente. El campo Clave precompartida de redundancia de zona (PSK) solo aparece si la redundancia se establece en la primera página para crear el vínculo.
- Seleccione Guardar.