Допустимые конфигурации удаленной сети для пользовательских и стандартных конфигураций
Ссылки на устройства — это физические маршрутизаторы, которые подключают удаленные сети, такие как расположения филиалов, к глобальному безопасному доступу. При добавлении ссылок на устройство необходимо использовать определенный набор сочетаний. При выборе параметра по умолчанию необходимо ввести определенное сочетание свойств на локальном оборудовании клиента (CPE).
Пользовательские и стандартные сведения
Доступные регионы, типы устройств, номер автономной системы (ASN) и адреса протокола BGP используются как в конфигурациях по умолчанию, так и в пользовательских конфигурациях.
Доступные параметры устройства
- barracudaNetworks
- контрольная точка
- ciscoMeraki
- Citrix
- fortinet
- hpeAruba
- netFoundry
- nuage
- openSystems
- paloAltoNetworks
- riverbedTechnology
- silverPeak
- vmWareSdWan
- Наоборот
Допустимые регионы, в которых можно создать удаленные сети
| Европа Ближнего Востока Африки (EMEA) | Азиатско-Тихоокеанский (APAC) | Латинская Америка (ЛАТАМ) | Северная Америка (NA) |
|---|---|---|---|
| franceCentral | австралияEast | бразилия | canadaCentral |
| franceSouth | australiaSouthEast | canadaEast | |
| germanyWestCentral | centralIndia | centralUS | |
| israelCentral | japanEast | eastUS | |
| италияНорт | japanWest | northCentralUS | |
| northEurope | koreaCentral | southCentralUS | |
| польшаCentral | koreaSouth | westCentralUS | |
| southAfricaNorth | southEastAsia | westUS | |
| southAfricaWest | southIndia | westUS2 | |
| ШвецияCentral | westUS3 | ||
| switzerlandNorth | |||
| оаэНорт | |||
| ukSouth | |||
| westEurope |
Допустимый ASN
Можно использовать любые 2-байтовые значения (от 1 до 65534), за исключением следующих зарезервированных ASN:
- Зарезервированные ASN Azure: 12076, 65517, 65518, 65519, 65520, 8076, 8075
- Зарезервированные ASN IANA: 23456, >= 64496 && <= 64511, >= 65535 && <= 65551, 4294967295
- 65476
Допустимые адреса BGP
Вы можете использовать любой адрес BGP, кроме следующих адресов:
- 0.0.0.0/32
- 127.0.0.0/8
- 224.0.0.0/4
- 255.255.255.255/32
Конфигурации IPSec/IKE по умолчанию
При выборе по умолчанию политики IPsec/IKE при настройке ссылок на удаленные сетевые устройства в Центре администрирования Microsoft Entra мы ожидаем следующие сочетания в подтверждении туннеля. Каждое значение в сочетании вводится в CPE.
Внимание
Необходимо указать сочетание этапов 1 и 2 в CPE.
Сочетания этапов IKE 1
| Свойства | Сочетание 1 | Сочетание 2 | Сочетание 3 | Сочетание 4 |
|---|---|---|---|---|
| Шифрование IKE | GCMAES256 | GCMAES128 | AES256 | AES128 |
| Целостность IKE | SHA384 | SHA256 | SHA384 | SHA256 |
| Группа DH | DHGroup24 | DHGroup24 | DHGroup24 | DHGroup24 |
Сочетания этапов IKE 2
| Свойства | Сочетание 1 | Сочетание 2 | Сочетание 3 |
|---|---|---|---|
| Шифрование IPSec | GCMAES256 | GCMAES192 | GCMAES128 |
| Целостность IPSec | GCMAES256 | GCMAES192 | GCMAES128 |
| Группа PFS | нет | None | нет |
Пользовательские сочетания IPSec/IKE
При выборе конфигурации Custom as IPSec/IKE при настройке ссылок на удаленное сетевое устройство в Центре администрирования Microsoft Entra необходимо использовать одно из следующих сочетаний.
Сочетания этапов IKE 1
Ограничения для сочетаний IKE 1 не существуют. Допустимы любые сочетания и совпадения шифрования, целостности и группы DH.
Сочетания этапов IKE 2
Конфигурации шифрования и целостности IPSec приведены в следующей таблице:
| Шифрование IPSec | Целостность IPSec |
|---|---|
| GCMAES128 | GCMAES128 |
| GCMAES192 | GCMAES192 |
| GCMAES256 | GCMAES256 |
| нет | SHA256 |
- Группа PFS — нет ограничений.
- Время существования SA — должно быть >300 секунд.
Допустимые перечисления
Следующие значения можно использовать для свойств группы IKE, IPSec, DH и PFS.
Шифрование IKE
| Значение | Перечисление |
|---|---|
| AES128 | 0 |
| AES192 | 1 |
| AES256 | 2 |
| GCMAES128 | 3 |
| GCMAES256 | 4 |
Целостность IKE
| Значение | Перечисление |
|---|---|
| SHA256 | 0 |
| SHA384 | 1 |
| GCMAES256 | 2 |
| GCMAES256 | 3 |
Группа DH
| Значение | Перечисление |
|---|---|
| DHGroup14 | 0 |
| DHGroup2048 | 1 |
| ECP256 | 2 |
| ECP384 | 3 |
| DHGroup24 | 4 |
Шифрование IPSec
| Значение | Перечисление |
|---|---|
| GCMAES128 | 0 |
| GCMAES192 | 1 |
| GCMAES256 | 2 |
| нет | 3 |
Целостность IPSec
| Значение | Перечисление |
|---|---|
| GCMAES128 | 0 |
| GCMAES192 | 1 |
| GCMAES256 | 2 |
| SHA256 | 3 |
Группа PFS
| Значение | Перечисление |
|---|---|
| PFS1 | 0 |
| None | 1 |
| PFS2 | 2 |
| PFS2048 | 3 |
| ECP256 | 4 |
| ECP384 | 5 |
| PFSMM | 6 |
| PFS24 | 7 |
| PFS14 | 8 |