Prawidłowe konfiguracje sieci zdalnej dla konfiguracji niestandardowych i domyślnych
Łącza urządzeń to fizyczne routery łączące sieci zdalne, takie jak lokalizacje oddziałów, z globalnym bezpiecznym dostępem. Istnieje określony zestaw kombinacji, których należy użyć w przypadku wybrania opcji Niestandardowe podczas dodawania linków urządzeń. Jeśli wybierzesz opcję Domyślna, musisz wprowadzić określoną kombinację właściwości na sprzęcie lokalnym klienta (CPE).
Szczegóły niestandardowe i domyślne
Dostępne regiony, typy urządzeń, autonomiczny numer systemu (ASN) i adresy protokołu BGP (Border Gateway Protocol) są używane zarówno w konfiguracjach domyślnych, jak i niestandardowych.
Dostępne opcje urządzenia
- barracudaNetworks
- punkt kontrolny
- ciscoMeraki
- citrix
- fortinet
- hpeAruba
- netFoundry
- nuage
- openSystems
- PaloAltoNetworks
- riverbedTechnology
- silverPeak
- vmWareSdWan
- Versa
Prawidłowe regiony, w których można tworzyć sieci zdalne
| Europa Bliski Wschód Afryka (EMEA) | Region Azji i Pacyfiku (APAC) | Ameryka Łacińska (LATAM) | Ameryka Północna (NA) |
|---|---|---|---|
| franceCentral | australiaEast | brazilSouth | canadaCentral |
| franceSouth | australiaSouthEast | canadaEast | |
| germanyWestCentral | centralIndia | centralUS | |
| israelCentral | japanEast | eastUS | |
| włochyNorth | japanWest | northCentralUS | |
| northEurope | koreaCentral | southCentralUS | |
| polandCentral | koreaSouth | westCentralUS | |
| southAfricaNorth | southEastAsia | westUS | |
| southAfricaWest | southIndia | westUS2 | |
| swedenCentral | westUS3 | ||
| szwajcariaNorth | |||
| uaeNorth | |||
| ukSouth | |||
| westEurope |
Prawidłowa nazwa ASN
Można użyć dowolnych wartości 2-bajtowych (od 1 do 65534) z wyjątkiem następujących zarezerwowanych numerów ASN:
- Zarezerwowane numery ASN platformy Azure: 12076, 65517, 65518, 65519, 65520, 8076, 8075
- Zarezerwowane numery ASN IANA: 23456, >= 64496 && <= 64511, >= 65535 && <= 65551, 4294967295
- 65476
Prawidłowe adresy protokołu BGP
Możesz użyć dowolnego adresu BGP z wyjątkiem następujących adresów:
- 0.0.0.0/32
- 127.0.0.0/8
- 224.0.0.0/4
- 255.255.255.255/32
Domyślne konfiguracje protokołu IPSec/IKE
Po wybraniu pozycji Domyślne jako zasady protokołu IPsec/IKE podczas konfigurowania linków urządzeń sieciowych zdalnych w centrum administracyjnym firmy Microsoft Entra oczekujemy następujących kombinacji w uzgadnianiu tunelu. Każda wartość w kombinacji jest wprowadzana w środowisku CPE.
Ważne
Należy określić zarówno kombinację fazy 1 , jak i fazy 2 w procesorze CPE.
Kombinacje fazy 1 IKE
| Właściwości | Kombinacja 1 | Kombinacja 2 | Kombinacja 3 | Kombinacja 4 |
|---|---|---|---|---|
| Szyfrowanie IKE | GCMAES256 | GCMAES128 | AES256 | AES128 |
| Integralność IKE | SHA384 | SHA256 | SHA384 | SHA256 |
| Grupa DH | DHGroup24 | DHGroup24 | DHGroup24 | DHGroup24 |
Kombinacje fazy 2 IKE
| Właściwości | Kombinacja 1 | Kombinacja 2 | Kombinacja 3 |
|---|---|---|---|
| Szyfrowanie IPSec | GCMAES256 | GCMAES192 | GCMAES128 |
| Integralność protokołu IPSec | GCMAES256 | GCMAES192 | GCMAES128 |
| Grupa PFS | Brak | None | Brak |
Niestandardowe kombinacje protokołu IPSec/IKE
Po wybraniu pozycji Niestandardowy jako konfiguracja protokołu IPSec/IKE podczas konfigurowania linków urządzeń sieciowych zdalnych w centrum administracyjnym firmy Microsoft Entra należy użyć jednej z następujących kombinacji.
Kombinacje fazy 1 IKE
Nie ma żadnych ograniczeń dla kombinacji fazy IKE 1. Każda kombinacja i dopasowanie szyfrowania, integralności i grupy DH jest prawidłowa.
Kombinacje fazy 2 IKE
Konfiguracje szyfrowania i integralności protokołu IPSec znajdują się w poniższej tabeli:
| Szyfrowanie IPSec | Integralność protokołu IPSec |
|---|---|
| GCMAES128 | GCMAES128 |
| GCMAES192 | GCMAES192 |
| GCMAES256 | GCMAES256 |
| Brak | SHA256 |
- Grupa PFS — brak ograniczeń.
- Okres istnienia skojarzenia zabezpieczeń — musi być >300 sekund.
Prawidłowe wyliczenia
Następujące wartości mogą być używane dla właściwości grupy IKE, IPSec, DH i PFS.
Szyfrowanie IKE
| Wartość | Wyliczenie |
|---|---|
| AES128 | 0 |
| AES192 | 1 |
| AES256 | 2 |
| GCMAES128 | 3 |
| GCMAES256 | 100 |
Integralność IKE
| Wartość | Wyliczenie |
|---|---|
| SHA256 | 0 |
| SHA384 | 1 |
| GCMAES256 | 2 |
| GCMAES256 | 3 |
Grupa DH
| Wartość | Wyliczenie |
|---|---|
| DHGroup14 | 0 |
| DHGroup2048 | 1 |
| ECP256 | 2 |
| ECP384 | 3 |
| DHGroup24 | 100 |
Szyfrowanie IPSec
| Wartość | Wyliczenie |
|---|---|
| GCMAES128 | 0 |
| GCMAES192 | 1 |
| GCMAES256 | 2 |
| Brak | 3 |
Integralność protokołu IPSec
| Wartość | Wyliczenie |
|---|---|
| GCMAES128 | 0 |
| GCMAES192 | 1 |
| GCMAES256 | 2 |
| SHA256 | 3 |
Grupa PFS
| Wartość | Wyliczenie |
|---|---|
| PFS1 | 0 |
| Brak | 1 |
| PFS2 | 2 |
| PFS2048 | 3 |
| ECP256 | 100 |
| ECP384 | 5 |
| PFSMM | 6 |
| PFS24 | 7 |
| PFS14 | 8 |