Добавление и удаление ссылок на устройства удаленных сетей

Локальное оборудование клиента, например маршрутизаторы, добавляется в удаленную сеть. При создании удаленной сети можно создать ссылки на устройства или добавить их после создания удаленной сети. В этой статье объясняется, как добавлять и удалять ссылки устройств для удаленных сетей для глобального безопасного доступа.

Предварительные условия

Чтобы настроить удаленные сети, необходимо:

• Роль глобального администратора безопасного доступа в идентификаторе Microsoft Entra.
• Создана удаленная сеть.
• Продукту требуется лицензирование. Дополнительные сведения см. в разделе лицензирования "Что такое глобальный безопасный доступ". При необходимости вы можете приобрести лицензии или получить пробные лицензии.

Добавление ссылки на устройство

Вы можете добавить ссылку на устройство из Центра администрирования Microsoft Entra или с помощью API Microsoft Graph.

Центр администрирования Microsoft Entra

Вы можете в любое время добавить ссылку на устройство в удаленную сеть.

1. Перейдите к Global Secure Access>Connect>Удаленные сети.

2. Выберите удаленную сеть из списка.

3. Выберите ссылки в меню.

4. Нажмите кнопку +Добавить ссылку.

Добавление ссылки — вкладка "Общие"

На вкладке "Общие" можно ввести несколько сведений. Обратите внимание на адреса однорангового и локального пограничного шлюза (BGP). Одноранговые и локальные сведения будут изменены в зависимости от того, где будет завершена конфигурация.

1. Введите следующие сведения.
   • Имя ссылки: имя локального оборудования клиента (CPE).
   • Тип устройства: выберите вариант устройства из раскрывающегося списка.
   • IP-адрес устройства: общедоступный IP-адрес устройства CPE (локального оборудования клиента).
   • Адрес BGP устройства: Введите IP-адрес BGP вашего CPE.
     • Этот адрес вводится в качестве локального IP-адреса BGP в CPE.
   • ASN устройства: укажите номер автономной системы (ASN) CPE.
     • Для подключения с поддержкой BGP между двумя сетевыми шлюзами требуется, чтобы они имели разные ASN.
     • Дополнительные сведения см. в разделе "Допустимые ASN" статьи "Конфигурации удаленной сети".
   • Избыточность: Выберите либо Отсутствие избыточности, либо Избыточность зоны для вашего туннеля IPSec.
   • Локальный BGP-адрес для избыточности зоны: Это необязательное поле отображается только при выборе избыточности зоны.
     • Введите IP-адрес BGP, который не входит в локальную сеть, где находится CPE, и отличается от адреса BGP устройства.
   • Емкость пропускной способности (Мбит/с):укажите пропускную способность туннеля. Доступные варианты: 250, 500, 750 и 1000 Мбит/с.
   • Локальный адрес BGP: введите IP-адрес BGP, который не является частью локальной сети, в которой находится CPE.
     • Например, если локальная сеть имеет значение 10.1.0.0/16, вы можете использовать 10.2.0.4 в качестве локального адреса BGP.
     • Этот адрес вводится в качестве ОДНОрангового IP-адреса BGP в CPE.
     • Ознакомьтесь со списком допустимых адресов BGP для зарезервированных значений, которые нельзя использовать.
2. Выберите Далее.

Добавление ссылки — вкладка "Сведения"

Вкладка "Сведения" позволяет установить двунаправленный канал обмена данными между глобальным безопасным доступом и CPE. Настройте политику IPSec/IKE и нажмите кнопку "Далее".

• По умолчанию выбран IKEv2 . В настоящее время поддерживается только IKEv2.
• Политика IPSec/IKE имеет значение Default , но вы можете изменить его на Custom.
• Если выбрать настраиваемую политику IPSec/IKE, сначала ознакомьтесь со статьей о создании удаленной сети с помощью пользовательской политики обмена ключами Интернета (IKE).
• При выборе "Настраиваемый" необходимо использовать сочетание параметров, поддерживаемых глобальным безопасным доступом. Допустимые конфигурации, которые можно использовать, сопоставляются в справочной статье о допустимых конфигурациях удаленной сети.
• Независимо от того, выберете ли вы Default или Custom, политика IPSec/IKE, которую вы укажете, должна соответствовать политике, введенной на вашем CPE.

Добавление ссылки — вкладка "Безопасность"

1. Введите предварительно общий ключ (PSK) и общий ключ резервирования зоны (PSK). Тот же секретный ключ должен использоваться в соответствующем CPE. Поле "Ключ предварительного общего доступа (PSK) для избыточности зоны" отображается только при настройке резервирования на первой странице при создании ссылки.
2. Выберите кнопку Сохранить.

API Microsoft Graph

Удаленные сети с настраиваемой политикой IKE можно создать с помощью Microsoft Graph в конечной точке /beta .

1. Войдите в Graph Explorer.

2. Выберите POST в качестве метода HTTP в раскрывающемся списке.

3. Установите версию API на beta.

4. Выполните следующий запрос, чтобы получить список удаленных сетей и их сведения.

   GET https://graph.microsoft.com/beta/networkAccess/connectivity/remoteNetworks
   

5. Выполните следующий запрос, чтобы получить данные о ссылке устройства.

   POST https://graph.microsoft.com/beta/networkAccess/connectivity/remoteNetworks/{remoteNetworkId}/deviceLinks
   

Пример ответа:

{
    "name": "CPE3",
    "ipAddress": "20.55.91.42",
    "deviceVendor": "ciscoMeraki",
    "bandwidthCapacityInMbps": "mbps1000",
    "bgpConfiguration": {
        "localIpAddress": "192.168.1.2",
        "peerIpAddress": "10.2.2.2",
        "asn": 65533
    },
    "redundancyConfiguration": {
        "redundancyTier": "zoneRedundancy",
        "zoneLocalIpAddress": "192.168.1.3"
    },
    "tunnelConfiguration": {
        "@odata.type": "#microsoft.graph.networkaccess.tunnelConfigurationIKEv2Default",
        "preSharedKey": "test123"
    }
}

Как удалить ссылки устройства

Вы можете удалить ссылки на устройства через Центр администрирования Microsoft Entra и с помощью API Microsoft Graph.

Центр администрирования Microsoft Entra

1. Войдите в Центр администрирования Microsoft Entra в качестве глобального администратора безопасного доступа.

2. Перейдите к Global Secure Access>Connect>Удаленные сети. Ссылки на устройства отображаются в столбце "Ссылки" в списке удаленных сетей.

3. Выберите ссылку устройства из столбца "Ссылки" , чтобы получить доступ к странице сведений о ссылке устройства.

4. Выберите "Удалить " для ссылки устройства, которую вы хотите удалить. Открывается диалог запроса подтверждения. Выберите Удалить для подтверждения удаления.

   

API Microsoft Graph

1. Войдите в Graph Explorer.

2. Выберите DELETE в качестве метода HTTP в раскрывающемся списке.

3. Установите версию API на бета.

4. Введите следующий запрос.

   DELETE https://graph.microsoft.com/beta/networkAccess/connectivity/remotenetworks/{remoteNetworkId}/deviceLinks/{deviceLinkId}