為全球安全存取使用自訂 IKE 原則建立遠端網路
IPSec 通道是雙向通訊。 本文提供在 Microsoft Entra 系統管理中心和 Microsoft Graph API 中設定通訊通道的步驟。 通訊的另一端設定於客戶駐地設備 (CPE) 上。
必要條件
若要使用自訂網際網路金鑰交換 (IKE) 原則建立遠端網路,您必須具備:
- Microsoft Entra ID 中的全球安全存取管理員角色。
- 已收到來自全球安全存取上線的連線資訊。
- 產品需要授權。 如需詳細資訊,請參閱什麼是全球安全存取的授權一節。 如有需要,您可以購買授權或取得試用版授權。
使用自訂 IKE 原則建立遠端網路的方式
若要將自訂 IKE 原則詳細資料新增至遠端網路,您可以在將裝置連結新增至遠端網路時執行此動作。 您可以在 Microsoft Entra 系統管理中心或使用 Microsoft Graph API 來完成此步驟。
若要在 Microsoft Entra 系統管理中心建立具有自訂 IKE 原則的遠端網路:
以全球安全存取管理員的身分登入 Microsoft Entra 系統管理中心。
瀏覽至 [全球安全存取] > [連線] > [遠端網路]。
選取 [建立遠端網路]。
提供遠端網路的名稱和區域,然後選取 [下一步:連線能力]。
選取 [+ 新增連結],以新增 CPE 的連線詳細資料。
新增連結 - 一般索引標籤
有一些詳細資料需要輸入至 [一般] 索引標籤。請密切注意對等和本地邊界閘道協定 (BGP) 位址。 視完成設定的位置而定,對等和本機詳細資料可能會顛倒。
![[一般] 索引標籤的螢幕擷取畫面,其中每個欄位中都包含範例。](media/how-to-create-remote-network-custom-ike-policy/add-device-link.png)
輸入下列詳細資料:
- 連結名稱:您 CPE 的名稱。
- 裝置類型:從下拉式清單中選擇裝置選項。
- 裝置 IP 位址:裝置的公用 IP 位址。
- 裝置 BGP 位址:輸入 CPE 的 BGP IP 位址。
- 此位址會輸入為 CPE 上的本機 BGP IP 位址。
- 裝置 ASN:提供 CPE 自發的系統編號 (ASN)。
- 兩個網路閘道之間已啟用 BGP 的連線要求這兩個閘道具有不同的 ASN。
- 如需無法使用的保留值,請參閱有效的 ASN 值清單。
- 備援:針對您的 IPSec 通道選取 [無備援] 或 [區域備援]。
- 區域備援本機 BGP 位址:此選用欄位只會在您選取 [區域備援] 時顯示。
- 輸入 BGP IP 位址,其「不」屬於您的 CPE 所在的內部部署網路,且不同於本機 BGP 位址。
- 頻寬容量 (Mbps):指定通道頻寬。 可用的選項為 250、500、750 和 1,000 Mbps。
- 本機 BGP 位址:輸入 BGP IP 位址,其不屬於 CPE 所在的內部部署網路。
- 例如,若您的內部部署網路是 10.1.0.0/16,則可以使用 10.2.0.4 作為本機 BGP 位址。
- 此位址會輸入為對等 BGPCPE 上的 IP 位址。
- 如需無法使用的保留值,請參閱有效的 BGP 位址清單。
選取 [下一步]。
新增連結 - 詳細資料索引標籤
重要
您必須在 CPE 上同時指定階段 1 和階段 2 組合。
預設會選取 [IKEv2]。 目前只支援 IKEv2。
將 [IPSec/IKE 原則] 變更為 [自訂]。
對於 [加密]、[IKEv2 完整性] 和 [DHGroup],選取您的階段 1 組合詳細資料。
- 您選取的詳細資料組合必須符合遠端網路有效設定參考一文中所列出的可用選項。
對於 [IPsec 加密]、[IPsec 完整性]、[PFS 群組] 和 [SA 存留期 (秒)],選取您的階段 2 組合。
- 您選取的詳細資料組合必須符合遠端網路有效設定參考一文中所列出的可用選項。
無論您選擇 [預設] 或 [自訂],您指定的 IPSec/IKE 原則都必須符合您 CPE 上的密碼編譯原則。
選取 [下一步]。
新增連結 [安全性] 索引標籤
- 輸入預先共用金鑰 (PSK) 和區域備援預先共用金鑰 (PSK)。 您必須在各自的 CPE 上使用相同的祕密金鑰。 只有在建立連結的第一個頁面上設定備援時,才會顯示 [區域備援預先共用金鑰 (PSK)] 欄位。
- 選取 [儲存]。
![新增裝置連結之 [安全性] 索引標籤的螢幕擷取畫面。](media/how-to-create-remote-network-custom-ike-policy/pre-shared-key.png)