Tworzenie sieci zdalnej przy użyciu niestandardowych zasad IKE dla globalnego bezpiecznego dostępu

Tunel IPSec to dwukierunkowa komunikacja. Ten artykuł zawiera kroki konfigurowania kanału komunikacyjnego w centrum administracyjnym firmy Microsoft Entra i interfejsu API programu Microsoft Graph. Druga strona komunikacji jest skonfigurowana na sprzęcie lokalnym klienta (CPE).

Wymagania wstępne

Aby utworzyć sieć zdalną z niestandardowymi zasadami internetowego programu Internet Key Exchange (IKE), musisz mieć następujące elementy:

• Rola administratora globalnego bezpiecznego dostępu w usłudze Microsoft Entra ID.
• Odebrano informacje o łączności z dołączania globalnego bezpiecznego dostępu.
• Produkt wymaga licencjonowania. Aby uzyskać szczegółowe informacje, zobacz sekcję licencjonowania Co to jest globalny bezpieczny dostęp. W razie potrzeby możesz kupić licencje lub uzyskać licencje próbne.

Jak utworzyć sieć zdalną przy użyciu niestandardowych zasad IKE

Jeśli wolisz dodać niestandardowe szczegóły zasad IKE do sieci zdalnej, możesz to zrobić po dodaniu linku urządzenia do sieci zdalnej. Ten krok można wykonać w centrum administracyjnym firmy Microsoft Entra lub przy użyciu interfejsu API programu Microsoft Graph.

Centrum administracyjne firmy Microsoft Entra

Aby utworzyć sieć zdalną z niestandardowymi zasadami IKE w centrum administracyjnym firmy Microsoft Entra:

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako administrator globalnego bezpiecznego dostępu.

2. Przejdź do lokalizacji Global Secure Access Connect Remote Networks (Global Secure Access>Connect>Remote Networks).

3. Wybierz pozycję Utwórz sieć zdalną.

4. Podaj nazwę i region dla sieci zdalnej, a następnie wybierz pozycję Dalej: Łączność.

5. Wybierz pozycję + Dodaj link , aby dodać szczegóły łączności środowiska CPE.

Dodawanie linku — karta Ogólne

Na karcie Ogólne należy wprowadzić kilka szczegółów. Zwróć szczególną uwagę na adresy protokołu BGP (Peer and Local Border Gateway Protocol). Szczegóły elementu równorzędnego i lokalnego są odwracane w zależności od tego, gdzie konfiguracja została ukończona.

1. Wprowadź następujące informacje:

   • Nazwa łącza: nazwa cpe.
   • Typ urządzenia: wybierz opcję urządzenia z listy rozwijanej.
   • Adres IP urządzenia: publiczny adres IP urządzenia.
   • Adres protokołu BGP urządzenia: wprowadź adres IP protokołu BGP procesora CPE.
     • Ten adres jest wprowadzany jako lokalny adres IP protokołu BGP w środowisku CPE.
   • Numer ASN urządzenia: podaj numer systemu autonomicznego (ASN) CPE.
     • Połączenie Z protokołem BGP między dwiema bramami sieciowymi wymaga, aby miały różne sieci ASN.
     • Zapoznaj się z listą prawidłowych wartości usługi ASN dla wartości zarezerwowanych, których nie można użyć.
   • Nadmiarowość: wybierz opcję Brak nadmiarowości lub Nadmiarowość strefy dla tunelu IPSec.
   • Lokalny adres protokołu BGP nadmiarowości strefy: to pole opcjonalne jest wyświetlane tylko w przypadku wybrania opcji Nadmiarowość strefy.
     • Wprowadź adres IP protokołu BGP, który nie jest częścią sieci lokalnej, w której znajduje się serwer CPE i różni się od lokalnego adresu BGP.
   • Pojemność przepustowości (Mb/s): określ przepustowość tunelu. Dostępne opcje to 250, 500, 750 i 1000 Mb/s.
   • Lokalny adres protokołu BGP: wprowadź adres IP protokołu BGP, który nie jest częścią sieci lokalnej, w której znajduje się serwer CPE.
     • Jeśli na przykład sieć lokalna to 10.1.0.0/16, możesz użyć adresu 10.2.0.4 jako lokalnego adresu protokołu BGP.
     • Ten adres jest wprowadzany jako adres IP protokołu BGP elementu równorzędnego na serwerze CPE.
     • Zapoznaj się z prawidłową listą adresów BGP, aby użyć wartości zarezerwowanych, których nie można użyć.

2. Wybierz przycisk Dalej.

Dodawanie linku — karta Szczegóły

Ważne

Należy określić zarówno kombinację fazy 1 , jak i fazy 2 w procesorze CPE.

1. Protokół IKEv2 jest domyślnie wybierany. Obecnie obsługiwany jest tylko protokół IKEv2.

2. Zmień zasady PROTOKOŁU IPSec/IKE na Niestandardowe.

3. Wybierz szczegóły kombinacji fazy 1 dla pozycji Szyfrowanie, integralność IKEv2 i DHGroup.

   • Wybrana kombinacja szczegółów musi być zgodna z dostępnymi opcjami wymienionymi w artykule Dokumentacja prawidłowych konfiguracji sieci zdalnej .

4. Wybierz kombinacje fazy 2 dla szyfrowania IPsec, integralności IPsec, grupy PFS i okresu istnienia sa (w sekundach).

   • Wybrana kombinacja szczegółów musi być zgodna z dostępnymi opcjami wymienionymi w artykule Dokumentacja prawidłowych konfiguracji sieci zdalnej .

5. Niezależnie od tego, czy wybrano opcję Domyślne, czy niestandardowe, określone zasady PROTOKOŁU IPSec/IKE muszą być zgodne z zasadami kryptograficznymi w cpE.

6. Wybierz Dalej.

   

Dodawanie karty Zabezpieczenia linku

1. Wprowadź klucz wstępny (PSK) i klucz wstępny nadmiarowości strefy (PSK). Ten sam klucz tajny musi być używany w odpowiednim procesorze CPE. Pole Klucz wstępny nadmiarowości strefy (PSK) jest wyświetlane tylko wtedy, gdy nadmiarowość jest ustawiona na pierwszej stronie podczas tworzenia linku.
2. Wybierz pozycję Zapisz.

Interfejs API programu Microsoft Graph

Sieci zdalne z niestandardowymi zasadami IKE można utworzyć przy użyciu programu Microsoft Graph w punkcie /beta końcowym.

1. Zaloguj się do Eksploratora programu Graph.
2. Wybierz pozycję POST jako metodę HTTP z listy rozwijanej.
3. Ustaw wersję interfejsu API na wersję beta.
4. Dodaj następujące zapytanie, a następnie wybierz pozycję Uruchom zapytanie.

    POST https://graph.microsoft.com/beta/networkAccess/connectivity/remoteNetworks/dc6a7efd-6b2b-4c6a-84e7-5dcf97e62e04/deviceLinks
Content-Type: application/json

{
    "name": "custom link",
    "ipAddress": "114.20.4.14",
    "deviceVendor": "ciscoMeraki",
    "tunnelConfiguration": {
        "saLifeTimeSeconds": 300,
        "ipSecEncryption": "gcmAes128",
        "ipSecIntegrity": "gcmAes128",
        "ikeEncryption": "aes128",
        "ikeIntegrity": "sha256",
        "dhGroup": "ecp384",
        "pfsGroup": "ecp384",
        "@odata.type": "#microsoft.graph.networkaccess.tunnelConfigurationIKEv2Custom",
        "preSharedKey": "SHAREDKEY"
    },
    "bgpConfiguration": {
        "localIpAddress": "10.1.1.11",
        "peerIpAddress": "10.6.6.6",
        "asn": 65000
    },
    "redundancyConfiguration": {
        "redundancyTier": "zoneRedundancy",
        "zoneLocalIpAddress": "10.1.1.12"
    },
    "bandwidthCapacityInMbps": "mbps250"
}

Następne kroki

• Jak zarządzać sieciami zdalnymi
• Jak zarządzać linkami zdalnych urządzeń sieciowych