自訂和預設設定的有效遠端網路設定
裝置連結是將遠端網路,例如分支位置連線到全域安全存取的實體路由器。 若在新增裝置連結時選擇 [自訂] 選項,則必須使用一組特定的組合。 若選擇 [預設] 選項,則必須在客戶駐地設備 (CPE) 上輸入特定的屬性組合。
自訂和預設詳細資料
可用的區域、裝置類型、自發系統編號 (ASN) 和邊界閘道協定 (BGP) 位址會用於預設和自訂設定。
可用的裝置選項
- barracudaNetworks
- checkPoint
- ciscoMeraki
- citrix
- fortinet
- hpeAruba
- netFoundry
- nuage
- openSystems
- paloAltoNetworks
- riverbedTechnology
- silverPeak
- vmWareSdWan
- versa
可以建立遠端網路的有效區域
| 歐洲、中東與非洲 (EMEA) | 亞太地區 (APAC) | 拉丁美洲 (LATAM) | 北美洲 (NA) |
|---|---|---|---|
| franceCentral | australiaEast | brazilSouth | canadaCentral |
| franceSouth | australiaSouthEast | canadaEast | |
| germanyWestCentral | centralIndia | centralUS | |
| israelCentral | japanEast | eastUS | |
| italyNorth | japanWest | northCentralUS | |
| northEurope | koreaCentral | southCentralUS | |
| polandCentral | koreaSouth | westCentralUS | |
| southAfricaNorth | southEastAsia | westUS | |
| southAfricaWest | southIndia | westUS2 | |
| swedenCentral | westUS3 | ||
| switzerlandNorth | |||
| uaeNorth | |||
| ukSouth | |||
| westEurope |
有效的 ASN
除了下列保留的 ASN 之外,您可以使用 2 個位元組的任何值 (介於 1 到 65534 之間):
- Azure 保留的 ASN:12076、65517、65518、65519、65520、8076、8075
- IANA 保留的 ASN:23456、>= 64496 && <= 64511、>= 65535 && <= 65551、4294967295
- 65476
有效的 BGP 位址
除了下列位址之外,您可以使用任何 BGP 位址:
- 0.0.0.0/32
- 127.0.0.0/8
- 224.0.0.0/4
- 255.255.255.255/32
預設 IPSec/IKE 設定
在 Microsoft Entra 系統管理中心中設定遠端網路裝置連結時,選取 [預設] 作為 IPsec/IKE 原則時,預期通道交握中有下列組合。 組合中的每個值都會在您的 CPE 上輸入。
重要
您必須在 CPE 上同時指定階段 1 和階段 2 組合。
IKE 階段 1 組合
| 屬性 | 組合 1 | 組合 2 | 組合 3 | 組合 4 |
|---|---|---|---|---|
| IKE 加密 | GCMAES256 | GCMAES128 | AES256 | AES128 |
| IKE 完整性 | SHA384 | SHA256 | SHA384 | SHA256 |
| DH 群組 | DHGroup24 | DHGroup24 | DHGroup24 | DHGroup24 |
IKE 階段 2 組合
| 屬性 | 組合 1 | 組合 2 | 組合 3 |
|---|---|---|---|
| IPsec 加密 | GCMAES256 | GCMAES192 | GCMAES128 |
| IPsec 完整性 | GCMAES256 | GCMAES192 | GCMAES128 |
| PFS 群組 | 無 | None | 無 |
自訂 IPSec/IKE 組合
在 Microsoft Entra 系統管理中心中設定遠端網路裝置連結時,選取 [自訂] 作為 IPSec/IKE 設定時,您必須使用下列其中一個組合。
IKE 階段 1 組合
IKE 階段 1 組合沒有限制。 加密、完整性和 DH 群組的任何混合和比對都是有效的。
IKE 階段 2 組合
下表提供 IPSec 加密和完整性設定:
| IPsec 加密 | IPsec 完整性 |
|---|---|
| GCMAES128 | GCMAES128 |
| GCMAES192 | GCMAES192 |
| GCMAES256 | GCMAES256 |
| 無 | SHA256 |
- PFS 群組:沒有限制。
- SA 存留期:必須是 >300 秒。
有效列舉
下列值可用於 IKE、IPSec、DH 群組和 PFS 群組屬性。
IKE 加密
| 值 | 列舉 |
|---|---|
| AES128 | 0 |
| AES192 | 1 |
| AES256 | 2 |
| GCMAES128 | 3 |
| GCMAES256 | 4 |
IKE 完整性
| 值 | 列舉 |
|---|---|
| SHA256 | 0 |
| SHA384 | 1 |
| GCMAES256 | 2 |
| GCMAES256 | 3 |
DH 群組
| 值 | 列舉 |
|---|---|
| DHGroup14 | 0 |
| DHGroup2048 | 1 |
| ECP256 | 2 |
| ECP384 | 3 |
| DHGroup24 | 4 |
IPsec 加密
| 值 | 列舉 |
|---|---|
| GCMAES128 | 0 |
| GCMAES192 | 1 |
| GCMAES256 | 2 |
| 無 | 3 |
IPsec 完整性
| 值 | 列舉 |
|---|---|
| GCMAES128 | 0 |
| GCMAES192 | 1 |
| GCMAES256 | 2 |
| SHA256 | 3 |
PFS 群組
| 值 | 列舉 |
|---|---|
| PFS1 | 0 |
| 無 | 1 |
| PFS2 | 2 |
| PFS2048 | 3 |
| ECP256 | 4 |
| ECP384 | 5 |
| PFSMM | 6 |
| PFS24 | 7 |
| PFS14 | 8 |