Skapa ett fjärrnätverk med en anpassad IKE-princip för global säker åtkomst

IPSec-tunnel är en dubbelriktad kommunikation. Den här artikeln innehåller stegen för att konfigurera kommunikationskanalen i administrationscentret för Microsoft Entra och Microsoft Graph-API:et. Den andra sidan av kommunikationen konfigureras på kundens lokala utrustning (CPE).

Förutsättningar

Om du vill skapa ett fjärrnätverk med en anpassad IKE-princip (Internet Key Exchange) måste du ha:

• En global administratörsroll för säker åtkomst i Microsoft Entra-ID.
• Tog emot anslutningsinformationen från Global Secure Access-registrering.
• Produkten kräver licensiering. Mer information finns i avsnittet om licensiering i Vad är global säker åtkomst. Om det behövs kan du köpa licenser eller få utvärderingslicenser.

Så här skapar du ett fjärrnätverk med en anpassad IKE-princip

Om du föredrar att lägga till anpassad IKE-principinformation i fjärrnätverket kan du göra det när du lägger till enhetslänken till fjärrnätverket. Du kan slutföra det här steget i administrationscentret för Microsoft Entra eller med hjälp av Microsoft Graph API.

Administrationscenter för Microsoft Entra

Så här skapar du ett fjärrnätverk med en anpassad IKE-princip i administrationscentret för Microsoft Entra:

1. Logga in på administrationscentret för Microsoft Entra som global administratör för säker åtkomst.

2. Bläddra till Globala fjärrnätverk för säker åtkomstanslutning>>.

3. Välj Skapa fjärrnätverk.

4. Ange ett namn och en region för fjärrnätverket och välj Nästa: Anslutning.

5. Välj + Lägg till en länk för att lägga till anslutningsinformationen för din CPE.

Lägg till en länk – fliken Allmänt

Det finns flera detaljer att ange på fliken Allmänt. Var uppmärksam på BGP-adresserna (Peer and Local Border Gateway Protocol). Peer-informationen och den lokala informationen är omvända beroende på var konfigurationen har slutförts.

1. Ange följande detaljerad information:

   • Länknamn: Namnet på din CPE.
   • Enhetstyp: Välj ett enhetsalternativ i listrutan.
   • Enhetens IP-adress: Enhetens offentliga IP-adress.
   • Enhetens BGP-adress: Ange BGP IP-adressen för din CPE.
     • Den här adressen anges som den lokala BGP IP-adressen i CPE.
   • Enhets-ASN: Ange det autonoma systemnumret (ASN) för CPE.
     • En BGP-aktiverad anslutning mellan två nätverksgatewayer kräver att de har olika ASN.
     • Se listan med giltiga ASN-värden för reserverade värden som inte kan användas.
   • Redundans: Välj antingen Ingen redundans eller Zonredundans för DIN IPSec-tunnel.
   • Lokal BGP-adress för zonredundans: Det här valfria fältet visas endast när du väljer Zonredundans.
     • Ange en BGP IP-adress som inte är en del av ditt lokala nätverk där CPE finns och skiljer sig från lokal BGP-adress.
   • Bandbreddskapacitet (Mbit/s): Ange tunnelbandbredd. Tillgängliga alternativ är 250, 500, 750 och 1 000 Mbit/s.
   • Lokal BGP-adress: Ange en BGP IP-adress som inte ingår i ditt lokala nätverk där CPE finns.
     • Om ditt lokala nätverk till exempel är 10.1.0.0/16 kan du använda 10.2.0.4 som din lokala BGP-adress.
     • Den här adressen anges som peer-BGP IP-adress i din CPE.
     • Se listan över giltiga BGP-adresser för reserverade värden som inte kan användas.

2. Välj Nästa.

Lägg till en länk – fliken Information

Viktigt!

Du måste ange både en fas 1 - och fas 2-kombination på din CPE.

1. IKEv2 är valt som standard. För närvarande stöds endast IKEv2.

2. Ändra IPSec/IKE-principen till Anpassad.

3. Välj kombinationsinformation för fas 1 för Kryptering, IKEv2-integritet och DHGroup.

   • Kombinationen av information som du väljer måste överensstämma med de tillgängliga alternativen i referensartikeln För fjärrnätverks giltiga konfigurationer .

4. Välj dina fas 2-kombinationer för IPsec-kryptering, IPsec-integritet, PFS-grupp och SA-livslängd (sekunder).

   • Kombinationen av information som du väljer måste överensstämma med de tillgängliga alternativen i referensartikeln För fjärrnätverks giltiga konfigurationer .

5. Oavsett om du väljer Standard eller Anpassad måste den IPSec/IKE-princip som du anger matcha kryptoprincipen i din CPE.

6. Välj Nästa.

   

Lägg till en länk på fliken Säkerhet

1. Ange den i förväg delade nyckeln (PSK) och zonredundans i förväg delad nyckel (PSK). Samma hemliga nyckel måste användas på din respektive CPE. Fältet Zonredundans i förväg delad nyckel (PSK) visas bara om redundans anges på den första sidan när länken skapas.
2. Välj Spara.

Microsoft Graph API

Fjärrnätverk med en anpassad IKE-princip kan skapas med hjälp av Microsoft Graph på /beta slutpunkten.

1. Logga in på Graph Explorer.
2. Välj POST som HTTP-metod i listrutan.
3. Ange API-versionen till betaversion.
4. Lägg till följande fråga och välj sedan Kör fråga.

    POST https://graph.microsoft.com/beta/networkAccess/connectivity/remoteNetworks/dc6a7efd-6b2b-4c6a-84e7-5dcf97e62e04/deviceLinks
Content-Type: application/json

{
    "name": "custom link",
    "ipAddress": "114.20.4.14",
    "deviceVendor": "ciscoMeraki",
    "tunnelConfiguration": {
        "saLifeTimeSeconds": 300,
        "ipSecEncryption": "gcmAes128",
        "ipSecIntegrity": "gcmAes128",
        "ikeEncryption": "aes128",
        "ikeIntegrity": "sha256",
        "dhGroup": "ecp384",
        "pfsGroup": "ecp384",
        "@odata.type": "#microsoft.graph.networkaccess.tunnelConfigurationIKEv2Custom",
        "preSharedKey": "SHAREDKEY"
    },
    "bgpConfiguration": {
        "localIpAddress": "10.1.1.11",
        "peerIpAddress": "10.6.6.6",
        "asn": 65000
    },
    "redundancyConfiguration": {
        "redundancyTier": "zoneRedundancy",
        "zoneLocalIpAddress": "10.1.1.12"
    },
    "bandwidthCapacityInMbps": "mbps250"
}

Nästa steg

• Hantera fjärrnätverk
• Så här hanterar du länkar till fjärrnätverksenheter