Dodawanie i usuwanie linków urządzeń sieci zdalnych

Urządzenia lokalne klienta, takie jak routery, są dodawane do sieci zdalnej. Łącza urządzeń można tworzyć podczas tworzenia nowej sieci zdalnej lub dodawać je po utworzeniu sieci zdalnej. W tym artykule wyjaśniono, jak dodawać i usuwać łącza urządzeń dla sieci zdalnych dla globalnego bezpiecznego dostępu.

Wymagania wstępne

Aby skonfigurować sieci zdalne, musisz mieć następujące elementy:

• Rola administratora globalnego bezpiecznego dostępu w usłudze Microsoft Entra ID.
• Utworzono sieć zdalną.
• Produkt wymaga licencjonowania. Aby uzyskać szczegółowe informacje, zobacz sekcję licencjonowania Co to jest globalny bezpieczny dostęp. W razie potrzeby możesz kupić licencje lub uzyskać licencje próbne.

Dodawanie linku urządzenia

Możesz dodać link urządzenia z centrum administracyjnego firmy Microsoft Entra lub przy użyciu interfejsu API programu Microsoft Graph.

Centrum administracyjne firmy Microsoft Entra

W dowolnym momencie możesz dodać link urządzenia do sieci zdalnej.

1. Przejdź do lokalizacji Global Secure Access Connect Remote Networks (Global Secure Access>Connect>Remote Networks).

2. Wybierz sieć zdalną z listy.

3. Wybierz pozycję Łącza z menu.

4. Wybierz pozycję + Dodaj link.

Dodawanie linku — karta Ogólne

Na karcie Ogólne należy wprowadzić kilka szczegółów. Zwróć szczególną uwagę na adresy protokołu BGP (Peer and Local Border Gateway Protocol). Szczegóły elementu równorzędnego i lokalnego są odwracane w zależności od tego, gdzie konfiguracja została ukończona.

1. Wprowadź następujące informacje:
   • Nazwa łącza: Nazwa sprzętu lokalnego klienta (CPE).
   • Typ urządzenia: wybierz opcję urządzenia z listy rozwijanej.
   • Adres IP urządzenia: publiczny adres IP urządzenia CPE (sprzętu lokalnego klienta).
   • Adres protokołu BGP urządzenia: wprowadź adres IP protokołu BGP procesora CPE.
     • Ten adres jest wprowadzany jako lokalny adres IP protokołu BGP w środowisku CPE.
   • Numer ASN urządzenia: podaj numer systemu autonomicznego (ASN) CPE.
     • Połączenie Z protokołem BGP między dwiema bramami sieciowymi wymaga, aby miały różne sieci ASN.
     • Aby uzyskać więcej informacji, zobacz sekcję Valid ASNs (Prawidłowe numery ASN) artykułu Remote network configurations (Konfiguracje sieci zdalnej).
   • Nadmiarowość: wybierz opcję Brak nadmiarowości lub Nadmiarowość strefy dla tunelu IPSec.
   • Lokalny adres protokołu BGP nadmiarowości strefy: to pole opcjonalne jest wyświetlane tylko w przypadku wybrania opcji Nadmiarowość strefy.
     • Wprowadź adres IP protokołu BGP, który nie jest częścią sieci lokalnej, w której znajduje się serwer CPE i różni się od adresu BGP urządzenia.
   • Pojemność przepustowości (Mb/s): określ przepustowość tunelu. Dostępne opcje to 250, 500, 750 i 1000 Mb/s.
   • Lokalny adres protokołu BGP: wprowadź adres IP protokołu BGP, który nie jest częścią sieci lokalnej, w której znajduje się serwer CPE.
     • Jeśli na przykład sieć lokalna to 10.1.0.0/16, możesz użyć adresu 10.2.0.4 jako lokalnego adresu protokołu BGP.
     • Ten adres jest wprowadzany jako adres IP protokołu BGP elementu równorzędnego na serwerze CPE.
     • Zapoznaj się z prawidłową listą adresów BGP, aby użyć wartości zarezerwowanych, których nie można użyć.
2. Wybierz Dalej.

Dodawanie linku — karta Szczegóły

Karta Szczegóły umożliwia ustanowienie dwukierunkowego kanału komunikacyjnego między globalnym bezpiecznym dostępem a serwerem CPE. Skonfiguruj zasady protokołu IPSec/IKE i wybierz pozycję Dalej.

• Protokół IKEv2 jest domyślnie wybierany. Obecnie obsługiwany jest tylko protokół IKEv2.
• Zasady PROTOKOŁU IPSec/IKE są ustawione na Wartość domyślna , ale można zmienić na Wartość niestandardowa.
• Jeśli wybierzesz niestandardowe zasady protokołu IPSec/IKE, najpierw zapoznaj się z artykułem How to create remote network with custom Internet Key Exchange (IKE) policy (How to create remote network with custom Internet Key Exchange( IKE) (Jak utworzyć sieć zdalną za pomocą niestandardowych zasad internetowego programu Internet Key Exchange ( IKE).
• W przypadku wybrania pozycji Niestandardowy należy użyć kombinacji ustawień obsługiwanych przez globalny bezpieczny dostęp. Prawidłowe konfiguracje, których można użyć, są mapowane w artykule Dokumentacja prawidłowych konfiguracji sieci zdalnej .
• Niezależnie od tego, czy wybrano opcję Domyślne , czy niestandardowe, określone zasady IPSec/IKE muszą być zgodne z zasadami wprowadzonymi w cpe.

Dodawanie linku — karta Zabezpieczenia

1. Wprowadź klucz wstępny (PSK) i klucz wstępny nadmiarowości strefy (PSK). Ten sam klucz tajny musi być używany w odpowiednim procesorze CPE. Pole Klucz wstępny nadmiarowości strefy (PSK) jest wyświetlane tylko w przypadku skonfigurowania nadmiarowości na pierwszej stronie podczas tworzenia linku.
2. Wybierz przycisk zapisywania.

Interfejs API programu Microsoft Graph

Sieci zdalne z niestandardowymi zasadami IKE można utworzyć przy użyciu programu Microsoft Graph w punkcie /beta końcowym.

1. Zaloguj się do Eksploratora programu Graph.

2. Wybierz POST jako metodę HTTP z listy rozwijanej.

3. Ustaw wersję interfejsu API na wersję beta.

4. Uruchom następujące zapytanie, aby uzyskać listę sieci zdalnych i ich szczegóły.

   GET https://graph.microsoft.com/beta/networkAccess/connectivity/remoteNetworks
   

5. Uruchom następujące zapytanie, aby uzyskać szczegóły linku urządzenia.

   POST https://graph.microsoft.com/beta/networkAccess/connectivity/remoteNetworks/{remoteNetworkId}/deviceLinks
   

Przykładowa odpowiedź:

{
    "name": "CPE3",
    "ipAddress": "20.55.91.42",
    "deviceVendor": "ciscoMeraki",
    "bandwidthCapacityInMbps": "mbps1000",
    "bgpConfiguration": {
        "localIpAddress": "192.168.1.2",
        "peerIpAddress": "10.2.2.2",
        "asn": 65533
    },
    "redundancyConfiguration": {
        "redundancyTier": "zoneRedundancy",
        "zoneLocalIpAddress": "192.168.1.3"
    },
    "tunnelConfiguration": {
        "@odata.type": "#microsoft.graph.networkaccess.tunnelConfigurationIKEv2Default",
        "preSharedKey": "test123"
    }
}

Jak usunąć łącza urządzeń

Linki urządzeń można usuwać za pośrednictwem centrum administracyjnego firmy Microsoft Entra i przy użyciu interfejsu API programu Microsoft Graph.

Centrum administracyjne firmy Microsoft Entra

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako administrator globalnego bezpiecznego dostępu.

2. Przejdź do lokalizacji Global Secure Access Connect Remote Networks (Global Secure Access>Connect>Remote Networks). Łącza urządzeń są wyświetlane w kolumnie Łącza na liście sieci zdalnych.

3. Wybierz link urządzenia z kolumny Linki , aby uzyskać dostęp do strony szczegółów linku urządzenia.

4. Wybierz pozycję Usuń dla linku urządzenia, które chcesz usunąć. Pojawia się okno dialogowe potwierdzenia. Aby potwierdzić usunięcie, wybierz opcję Usuń.

   

Interfejs API programu Microsoft Graph

1. Zaloguj się do Eksploratora programu Graph.

2. Wybierz DELETE jako metodę HTTP z listy rozwijanej.

3. Ustaw wersję interfejsu API na wersję beta.

4. Wprowadź następujące zapytanie.

   DELETE https://graph.microsoft.com/beta/networkAccess/connectivity/remotenetworks/{remoteNetworkId}/deviceLinks/{deviceLinkId}