Een extern netwerk maken met een aangepast IKE-beleid voor globale beveiligde toegang

IPSec-tunnel is een bidirectionele communicatie. Dit artikel bevat de stappen voor het instellen van het communicatiekanaal in het Microsoft Entra-beheercentrum en de Microsoft Graph API. De andere kant van de communicatie wordt geconfigureerd op uw klantapparatuur (CPE).

Vereisten

Als u een extern netwerk wilt maken met een aangepast IKE-beleid (Internet Key Exchange), moet u het volgende hebben:

• Een globale rol Secure Access Administrator in Microsoft Entra ID.
• De connectiviteitsgegevens ontvangen van onboarding van Global Secure Access.
• Voor het product is licentie vereist. Zie de licentiesectie van Wat is wereldwijde beveiligde toegang. Indien nodig kunt u licenties kopen of proeflicenties krijgen.

Een extern netwerk maken met een aangepast IKE-beleid

Als u liever aangepaste IKE-beleidsdetails aan uw externe netwerk wilt toevoegen, kunt u dit doen wanneer u de apparaatkoppeling aan uw externe netwerk toevoegt. U kunt deze stap uitvoeren in het Microsoft Entra-beheercentrum of met behulp van de Microsoft Graph API.

Microsoft Entra-beheercentrum

Een extern netwerk maken met een aangepast IKE-beleid in het Microsoft Entra-beheercentrum:

1. Meld u aan bij het Microsoft Entra-beheercentrum als globale beheerder voor beveiligde toegang.

2. Blader naar global Secure Access>Connect>Remote Networks.

3. Selecteer Extern netwerk maken.

4. Geef een naam en regio op voor uw externe netwerk en selecteer Volgende: Connectiviteit.

5. Selecteer + Een koppeling toevoegen om de connectiviteitsgegevens van uw CPE toe te voegen.

Een koppeling toevoegen - tabblad Algemeen

Er zijn verschillende gegevens die u kunt invoeren op het tabblad Algemeen. Let goed op de BGP-adressen (Peer and Local Border Gateway Protocol). De peer- en lokale gegevens worden omgekeerd, afhankelijk van waar de configuratie is voltooid.

1. Voer de volgende gegevens in:

   • Koppelingsnaam: naam van uw CPE.
   • Apparaattype: Kies een apparaatoptie in de vervolgkeuzelijst.
   • IP-adres van apparaat: openbaar IP-adres van uw apparaat.
   • BGP-adres van apparaat: voer het BGP-IP-adres van uw CPE in.
     • Dit adres wordt ingevoerd als het lokale BGP IP-adres op de CPE.
   • Apparaat-ASN: geef het autonome systeemnummer (ASN) van de CPE op.
     • Een BGP-verbinding tussen twee netwerkgateways vereist dat ze verschillende ASN's hebben.
     • Raadpleeg de lijst met geldige ASN-waarden voor gereserveerde waarden die niet kunnen worden gebruikt.
   • Redundantie: Selecteer geen redundantie of zoneredundantie voor uw IPSec-tunnel.
   • Lokaal BGP-adres voor zoneredundantie: dit optionele veld wordt alleen weergegeven wanneer u zoneredundantie selecteert.
     • Voer een BGP-IP-adres in dat geen deel uitmaakt van uw on-premises netwerk waar uw CPE zich bevindt en verschilt van het lokale BGP-adres.
   • Bandbreedtecapaciteit (Mbps): geef tunnelbandbreedte op. Beschikbare opties zijn 250, 500, 750 en 1000 Mbps.
   • Lokaal BGP-adres: Voer een BGP-IP-adres in dat geen deel uitmaakt van uw on-premises netwerk waar uw CPE zich bevindt.
     • Als uw on-premises netwerk bijvoorbeeld 10.1.0.0/16 is, kunt u 10.2.0.4 gebruiken als uw lokale BGP-adres.
     • Dit adres wordt ingevoerd als het IP-adres van de peer BGP op uw CPE.
     • Raadpleeg de geldige BGP-adressenlijst voor gereserveerde waarden die niet kunnen worden gebruikt.

2. Selecteer de volgende.

Een koppeling toevoegen - tabblad Details

Belangrijk

U moet zowel een combinatie van fase 1 als fase 2 opgeven op uw CPE.

1. IKEv2 is standaard geselecteerd. Momenteel wordt alleen IKEv2 ondersteund.

2. Wijzig het IPSec-/IKE-beleid in Aangepast.

3. Selecteer de combinatiedetails van fase 1 voor versleuteling, IKEv2-integriteit en DHGroup.

   • De combinatie van details die u selecteert, moet overeenkomen met de beschikbare opties die worden vermeld in het naslagartikel over geldige configuraties voor externe netwerken.

4. Selecteer uw combinaties van fase 2 voor IPsec-versleuteling, IPsec-integriteit, PFS-groep en SA-levensduur (seconden).

   • De combinatie van details die u selecteert, moet overeenkomen met de beschikbare opties die worden vermeld in het naslagartikel over geldige configuraties voor externe netwerken.

5. Of u nu Standaard of Aangepast kiest, het IPSec-/IKE-beleid dat u opgeeft, moet overeenkomen met het cryptobeleid op uw CPE.

6. Selecteer Volgende.

   

Een tabblad Beveiliging toevoegen

1. Voer de vooraf gedeelde sleutel (PSK) en zoneredundantie vooraf gedeelde sleutel (PSK) in. Dezelfde geheime sleutel moet worden gebruikt voor uw respectieve CPE. Het veld Zoneredundantie vooraf gedeelde sleutel (PSK) wordt alleen weergegeven als redundantie is ingesteld op de eerste pagina bij het maken van de koppeling.
2. Selecteer Opslaan.

Microsoft Graph API

Externe netwerken met een aangepast IKE-beleid kunnen worden gemaakt met Behulp van Microsoft Graph op het /beta eindpunt.

1. Meld u aan bij Graph Explorer.
2. Selecteer POST als de HTTP-methode in de vervolgkeuzelijst.
3. Stel de API-versie in op bèta.
4. Voeg de volgende query toe en selecteer Query uitvoeren.

    POST https://graph.microsoft.com/beta/networkAccess/connectivity/remoteNetworks/dc6a7efd-6b2b-4c6a-84e7-5dcf97e62e04/deviceLinks
Content-Type: application/json

{
    "name": "custom link",
    "ipAddress": "114.20.4.14",
    "deviceVendor": "ciscoMeraki",
    "tunnelConfiguration": {
        "saLifeTimeSeconds": 300,
        "ipSecEncryption": "gcmAes128",
        "ipSecIntegrity": "gcmAes128",
        "ikeEncryption": "aes128",
        "ikeIntegrity": "sha256",
        "dhGroup": "ecp384",
        "pfsGroup": "ecp384",
        "@odata.type": "#microsoft.graph.networkaccess.tunnelConfigurationIKEv2Custom",
        "preSharedKey": "SHAREDKEY"
    },
    "bgpConfiguration": {
        "localIpAddress": "10.1.1.11",
        "peerIpAddress": "10.6.6.6",
        "asn": 65000
    },
    "redundancyConfiguration": {
        "redundancyTier": "zoneRedundancy",
        "zoneLocalIpAddress": "10.1.1.12"
    },
    "bandwidthCapacityInMbps": "mbps250"
}

Volgende stappen

• Externe netwerken beheren
• Koppelingen naar externe netwerkapparaten beheren