Creare una rete remota con un criterio IKE personalizzato per l'Accesso globale sicuro

Il tunnel IPSec è una comunicazione bidirezionale. Questo articolo illustra i passaggi per configurare il canale di comunicazione nell’Interfaccia di amministrazione di Microsoft Entra e l’API di Microsoft Graph. L'altra parte della comunicazione è configurata nelle apparecchiature locali del cliente (CPE).

Prerequisiti

Per creare una rete remota con criteri Internet Key Exchange (IKE) personalizzati, è necessario:

• Un ruolo di Amministratore dell'Accesso Globale Sicuro in Microsoft Entra ID.
• Ho ricevuto le informazioni di connettività dall'onboarding di Global Secure Access.
• Il prodotto richiede licenze. Per informazioni dettagliate, vedi la sezione relativa alle licenze di Che cos'è l'accesso sicuro globale. Se necessario è possibile acquistare licenze o ottenere licenze di test.

Come creare una rete remota con criteri IKE personalizzati

Se si preferisce aggiungere i dettagli dei criteri IKE personalizzati alla rete remota, è possibile farlo quando si aggiunge il collegamento del dispositivo alla rete remota. È possibile completare questo passaggio nell'interfaccia di amministrazione di Microsoft Entra o usando l'API Microsoft Graph.

Interfaccia di amministrazione di Microsoft Entra

Per creare una rete remota con un criterio IKE personalizzato nell'Interfaccia di amministrazione di Microsoft Entra:

1. Accedere al Centro di amministrazione di Microsoft Entra come Amministratore dell’Accesso globale sicuro.

2. Passare ad Accesso globale sicuro>Connetti>Reti remote.

3. Selezionare Creare delle reti remote.

4. Specificare un nome e un'area per la rete remota e selezionare il pulsante Avanti: Connettività.

5. Selezionare + Aggiungi un collegamento per aggiungere i dettagli della connettività del CPE.

Aggiungere un collegamento - Scheda Generale

Nella scheda Generale è possibile immettere diverse informazioni. Prestare particolare attenzione agli indirizzi BGP (Peer and Local Border Gateway Protocol). I dettagli peer e locali vengono invertiti, a seconda di dove viene completata la configurazione.

1. Immetti i dettagli seguenti:

   • Nome collegamento: nome del CPE.
   • Nome dispositivo: scegliere un’opzione del dispositivo dall’elenco a discesa.
   • Indirizzo IP dispositivo: indirizzo IP pubblico del dispositivo.
   • Indirizzo BGP dispositivo: immettere l'indirizzo IP BGP del CPE.
     • Questo indirizzo viene immesso come indirizzo IP locale BGP nel CPE.
   • ASN dispositivo: specificare il numero di sistema autonomo (ASN) del CPE.
     • Una connessione abilitata per BGP tra due gateway di rete richiede che abbiano ASN diversi.
     • Fare riferimento all'elenco indirizzi ASN validi per i valori riservati che non possono essere usati.
   • Ridondanza: selezionare Nessuna ridondanza o Ridondanza della zona per il tunnel IPSec.
   • Indirizzo BGP locale con ridondanza della zona: questo campo facoltativo viene visualizzato solo quando si seleziona Ridondanza della zona.
     • Inserire un indirizzo IP BGP locale che non faccia parte della rete locale dove si trova il CPE e che sia diverso dall’Indirizzo BGP locale.
   • Capacità della larghezza di banda (Mbps): specificare la larghezza di banda del tunnel. Le opzioni disponibili sono: 250, 500, 750 e 1.000 Mbps.
   • Indirizzo BGP locale: immettere un indirizzo IP BGP che non fa parte della rete locale in cui si trova il CPE.
     • Ad esempio, se la rete locale è 10.1.0.0/16, è possibile usare 10.2.0.4 come indirizzo BGP locale.
     • Questo indirizzo viene immesso come indirizzo IP BGP peersul CPE.
     • Fare riferimento all'elenco di indirizzi BGP validi per i valori riservati che non possono essere usati.

2. Selezionare Avanti.

Aggiungere un collegamento - Scheda Dettagli

Importante

È necessario specificare una combinazione sia della fase 1 che della fase 2 nel CPE.

1. IKEv2 è selezionato per impostazione predefinita. Al momento solo IKEv2 è supportato.

2. Modificare il criterio IPSec/IKE in Personalizzato.

3. Seleziona i dettagli della combinazione della fase 1 per la Crittografia, l'Integrità IKEv2 e il DHGroup.

   • La combinazione di dettagli selezionati deve essere allineata alle opzioni disponibili elencate nell'articolo di riferimento Configurazioni valide per la rete remota.

4. Selezionare le combinazioni della fase 2 per Crittografia IPsec, Integrità IPsec, Gruppo PFS e Durata SA (secondi).

   • La combinazione di dettagli selezionati deve essere allineata alle opzioni disponibili elencate nell'articolo di riferimento Configurazioni valide per la rete remota.

5. Sia che si scelga Predefinito o Personalizzato, il criterio IPSec/IKE specificato deve corrispondere ai criteri di crittografia nel CPE.

6. Selezionare Avanti.

   

Aggiungere un collegamento alla scheda Sicurezza

1. Immettere la chiave precondivisa (PSK) e quella della ridondanza della zona. La stessa chiave privata deve essere usata nel rispettivo CPE. Il campo Chiave precondivisa di ridondanza della zona viene visualizzato solo se la ridondanza è impostata nella prima pagina durante la creazione del collegamento.
2. Seleziona Salva.

API di Microsoft Graph

È possibile creare reti remote con criteri IKE personalizzati usando Microsoft Graph nell'endpoint /beta.

1. Accedere a Graph explorer.
2. Selezionare POST come metodo HTTP nell'elenco a discesa.
3. Impostare la versione dell'API su beta.
4. Aggiungere la query seguente e selezionare il pulsante Esegui query.

    POST https://graph.microsoft.com/beta/networkAccess/connectivity/remoteNetworks/dc6a7efd-6b2b-4c6a-84e7-5dcf97e62e04/deviceLinks
Content-Type: application/json

{
    "name": "custom link",
    "ipAddress": "114.20.4.14",
    "deviceVendor": "ciscoMeraki",
    "tunnelConfiguration": {
        "saLifeTimeSeconds": 300,
        "ipSecEncryption": "gcmAes128",
        "ipSecIntegrity": "gcmAes128",
        "ikeEncryption": "aes128",
        "ikeIntegrity": "sha256",
        "dhGroup": "ecp384",
        "pfsGroup": "ecp384",
        "@odata.type": "#microsoft.graph.networkaccess.tunnelConfigurationIKEv2Custom",
        "preSharedKey": "SHAREDKEY"
    },
    "bgpConfiguration": {
        "localIpAddress": "10.1.1.11",
        "peerIpAddress": "10.6.6.6",
        "asn": 65000
    },
    "redundancyConfiguration": {
        "redundancyTier": "zoneRedundancy",
        "zoneLocalIpAddress": "10.1.1.12"
    },
    "bandwidthCapacityInMbps": "mbps250"
}

Passaggi successivi

• Informazioni su come gestire le reti remote
• Come gestire i collegamenti dei dispositivi di rete remota