Creare una rete remota con un criterio IKE personalizzato per l'Accesso globale sicuro

Il tunnel IPSec è una comunicazione bidirezionale. Questo articolo illustra i passaggi per configurare il canale di comunicazione nell’Interfaccia di amministrazione di Microsoft Entra e l’API di Microsoft Graph. L'altra parte della comunicazione è configurata nelle apparecchiature locali del cliente (CPE).

Prerequisiti

Per creare una rete remota con criteri Internet Key Exchange (IKE) personalizzati, è necessario:

• Disporre di ruolo di Amministratore dell'Accesso globale sicuro in Microsoft Entra ID.
• Aver ricevuto le informazioni di connettività dall'onboarding di Accesso globale sicuro.
• Il prodotto richiede licenze. Per informazioni dettagliate, vedi la sezione relativa alle licenze di Che cos'è l'accesso sicuro globale. Se necessario è possibile acquistare licenze o ottenere licenze di test.

Come creare una rete remota con criteri IKE personalizzati

Se si preferisce aggiungere i dettagli dei criteri IKE personalizzati alla rete remota, è possibile farlo quando si aggiunge il collegamento del dispositivo alla rete remota. È possibile completare questo passaggio nell'interfaccia di amministrazione di Microsoft Entra o usando l'API Microsoft Graph.

Interfaccia di amministrazione di Microsoft Entra

Per creare una rete remota con un criterio IKE personalizzato nell'Interfaccia di amministrazione di Microsoft Entra:

1. Accedere al Centro di amministrazione di Microsoft Entra come Amministratore dell’Accesso globale sicuro.

2. Passare ad Accesso globale sicuro>Connetti>Reti remote.

3. Selezionare Creare delle reti remote.

4. Specificare un nome e un'area per la rete remota e selezionare il pulsante Avanti: Connettività.

5. Selezionare + Aggiungi un collegamento per aggiungere i dettagli della connettività del CPE.

Aggiungere un collegamento - Scheda Generale

Nella scheda Generale è possibile immettere diverse informazioni. Prestare particolare attenzione agli indirizzi BGP (Peer and Local Border Gateway Protocol). I dettagli peer e locali vengono invertiti, a seconda della posizione in cui viene completata la configurazione.

1. Immetti i dettagli seguenti:

   • Nome collegamento: nome del CPE.
   • Nome dispositivo: scegliere un’opzione del dispositivo dall’elenco a discesa.
   • Indirizzo IP dispositivo: indirizzo IP pubblico del dispositivo.
   • Indirizzo BGP dispositivo: immettere l'indirizzo IP BGP del CPE.
     • Questo indirizzo viene immesso come indirizzo IP locale BGP nel CPE.
   • ASN dispositivo: specificare il numero di sistema autonomo (ASN) del CPE.
     • Una connessione abilitata per BGP tra due gateway di rete richiede che abbiano ASN diversi.
     • Fare riferimento all'elenco indirizzi ASN validi per i valori riservati che non possono essere usati.
   • Ridondanza: selezionare Nessuna ridondanza o Ridondanza della zona per il tunnel IPSec.
   • Indirizzo BGP locale con ridondanza della zona: questo campo facoltativo viene visualizzato solo quando si seleziona Ridondanza della zona.
     • Inserire un indirizzo IP BGP locale che non faccia parte della rete locale dove si trova il CPE e che sia diverso dall’Indirizzo BGP locale.
   • Capacità della larghezza di banda (Mbps): specificare la larghezza di banda del tunnel. Le opzioni disponibili sono: 250, 500, 750 e 1.000 Mbps.
   • Indirizzo BGP locale: immettere un indirizzo IP BGP che non fa parte della rete locale in cui si trova il CPE.
     • Ad esempio, se la rete locale è 10.1.0.0/16, è possibile usare 10.2.0.4 come indirizzo BGP locale.
     • Questo indirizzo viene immesso come indirizzo IP BGP peersul CPE.
     • Fare riferimento all'elenco di indirizzi BGP validi per i valori riservati che non possono essere usati.

2. Selezionare Avanti.

Aggiungere un collegamento - Scheda Dettagli

Importante

È necessario specificare sia una combinazione di fase 1 che di fase 2 nel CPE.

1. IKEv2 è selezionato per impostazione predefinita. Al momento solo IKEv2 è supportato.

2. Modificare il criterio IPSec/IKE in Personalizzato.

3. Selezionare i dettagli della combinazione fase 1 per Crittografia, Integrità IKEv2 e DHGroup.

   • La combinazione di dettagli selezionati deve essere allineata alle opzioni disponibili elencate nell'articolo di riferimento Configurazioni valide per la rete remota.

4. Selezionare le combinazioni della fase 2 per Crittografia IPsec, Integrità IPsec, Gruppo PFS e Durata SA (secondi).

   • La combinazione di dettagli selezionati deve essere allineata alle opzioni disponibili elencate nell'articolo di riferimento Configurazioni valide per la rete remota.

5. Sia che si scelga Predefinito o Personalizzato, il criterio IPSec/IKE specificato deve corrispondere ai criteri di crittografia nel CPE.

6. Selezionare Avanti.

   

Aggiungere un collegamento alla scheda Sicurezza

1. Immettere la chiave precondivisa (PSK) e la chiave precondivisa (PSK) della ridondanza della zona. La stessa chiave privata deve essere usata nel rispettivo CPE. Il campo Chiave precondivisa di ridondanza della zona viene visualizzato solo se la ridondanza è impostata nella prima pagina nella creazione del collegamento.
2. Seleziona Salva.

API di Microsoft Graph

È possibile creare reti remote con criteri IKE personalizzati usando Microsoft Graph nell'endpoint /beta.

1. Accedere a Graph explorer.
2. Selezionare POST come metodo HTTP nell'elenco a discesa.
3. Impostare la versione dell'API su beta.
4. Aggiungere la query seguente e selezionare il pulsante Esegui query.

    POST https://graph.microsoft.com/beta/networkAccess/connectivity/remoteNetworks/dc6a7efd-6b2b-4c6a-84e7-5dcf97e62e04/deviceLinks
Content-Type: application/json

{
    "name": "custom link",
    "ipAddress": "114.20.4.14",
    "deviceVendor": "ciscoMeraki",
    "tunnelConfiguration": {
        "saLifeTimeSeconds": 300,
        "ipSecEncryption": "gcmAes128",
        "ipSecIntegrity": "gcmAes128",
        "ikeEncryption": "aes128",
        "ikeIntegrity": "sha256",
        "dhGroup": "ecp384",
        "pfsGroup": "ecp384",
        "@odata.type": "#microsoft.graph.networkaccess.tunnelConfigurationIKEv2Custom",
        "preSharedKey": "SHAREDKEY"
    },
    "bgpConfiguration": {
        "localIpAddress": "10.1.1.11",
        "peerIpAddress": "10.6.6.6",
        "asn": 65000
    },
    "redundancyConfiguration": {
        "redundancyTier": "zoneRedundancy",
        "zoneLocalIpAddress": "10.1.1.12"
    },
    "bandwidthCapacityInMbps": "mbps250"
}

Passaggi successivi

• Informazioni su come gestire le reti remote
• Informazioni su come i collegamenti ai dispositivi con rete remota