Távoli hálózat létrehozása globális biztonságos hozzáféréssel

A távoli hálózatok távoli helyek, például fiókirodák vagy internetkapcsolatot igénylő hálózatok. A távoli hálózatok beállítása a távoli helyeken lévő felhasználókat globális biztonságos hozzáféréshez köti. A távoli hálózat konfigurálása után hozzárendelhet egy forgalomátirányítási profilt a vállalati hálózati forgalom kezeléséhez. A globális biztonságos hozzáférés távoli hálózati kapcsolatot biztosít, így hálózati biztonsági szabályzatokat alkalmazhat a kimenő forgalomra.

A távoli hálózatokat többféleképpen is csatlakoztathatja a globális biztonságos hozzáféréshez. Dióhéjban egy IPSec-alagutat hoz létre egy mag útválasztó, más néven az ügyfél helyszíni berendezése (CPE) között a távoli hálózaton és a legközelebbi globális biztonságos hozzáférési végponton. Az internethez kötött összes forgalom a távoli hálózat fő útválasztón keresztül irányítja át a felhőbeli biztonsági szabályzatok kiértékelése céljából. Az ügyfél telepítése nem szükséges az egyes eszközökön.

Ez a cikk bemutatja, hogyan hozhat létre távoli hálózatot a globális biztonságos hozzáféréshez.

Előfeltételek

A távoli hálózatok konfigurálásához az alábbiakra van szükség:

• Globális biztonságos hozzáférés-rendszergazdai szerepkör a Microsoft Entra ID-ban.
• A termék licencelést igényel. További részletekért tekintse meg a Mi a globális biztonságos hozzáférés licencelési szakaszát. Szükség esetén licenceket vásárolhat , vagy próbaverziós licenceket szerezhet be.
• A Microsoft forgalomtovábbítási profiljának használatához microsoft 365 E3-licenc használata ajánlott.
• Az ügyfél helyszíni berendezéseinek (CPE) a következő protokollokat kell támogatniuk:
  • Internet Protocol Security (IPSec)
  • GCMEAES128, GCMAES 192 vagy GCMAES256 algoritmusok az Internet Key Exchange (IKE) 2. fázisának egyeztetéséhez
  • Internet key Exchange Version 2 (IKEv2)
  • Border Gateway Protocol (BGP)
• Tekintse át a távoli hálózatok beállításának érvényes konfigurációit.
• A távoli hálózati kapcsolati megoldás a RouteBased VPN-konfigurációt használja tetszőleges (helyettesítő vagy 0.0.0.0/0) forgalomválasztókkal. Győződjön meg arról, hogy a CPE rendelkezik a megfelelő forgalomválasztóval.
• A távoli hálózati kapcsolati megoldás Válasz módokat használ. A CPE-nek kezdeményeznie kell a kapcsolatot.

Ismert korlátozások

• A bérlőnkénti távoli hálózatok száma legfeljebb 10 lehet. Az eszközkapcsolatok száma távoli hálózatonként négyre korlátozódik.
• A Microsoft-forgalom távoli hálózati kapcsolaton keresztül érhető el a Global Secure Access-ügyfél nélkül. A feltételes hozzáférési szabályzat azonban nincs kényszerítve. Más szóval a Globális biztonságos hozzáférés Microsoft-forgalmára vonatkozó feltételes hozzáférési szabályzatok csak akkor lesznek kikényszeríthetők, ha egy felhasználó rendelkezik globális biztonságos hozzáférési ügyfélprogrammal.
• A Global Secure Access-ügyfelet kell használnia a Microsoft Entra privát hozzáférés. A távoli hálózati kapcsolat csak a Microsoft Entra internet-hozzáférés támogatja.

Magas szintű lépések

Távoli hálózatot a Microsoft Entra felügyeleti központban vagy a Microsoft Graph API-n keresztül hozhat létre.

Magas szinten öt lépés áll rendelkezésre egy távoli hálózat létrehozásához és egy aktív IPsec-alagút konfigurálásához:

1. Alapismeretek: Adja meg az alapadatokat, például a távoli hálózat nevét és régióját . A régió megadja, hogy hol szeretné használni az IPsec-alagút másik végét. Az alagút másik vége az útválasztó vagy a CPE.

2. Kapcsolat: Eszközkapcsolat (vagy IPsec-alagút) hozzáadása a távoli hálózathoz. Ebben a lépésben meg kell adnia az útválasztó adatait a Microsoft Entra felügyeleti központban, amely tájékoztatja a Microsoftot arról, hogy honnan várják az IKE-tárgyalásokat.

3. Forgalomtovábbítási profil: Forgalomtovábbítási profil társítása a távoli hálózathoz, amely meghatározza, hogy milyen forgalmat kell beolvasni az IPsec-alagúton keresztül. Dinamikus útválasztást használunk a BGP-vel.

4. A CPE kapcsolati konfigurációjának megtekintése: Az IPsec-alagút adatainak lekérése a Microsoft alagútvégzésekor. A kapcsolati lépésben megadta az útválasztó adatait a Microsoftnak. Ebben a lépésben lekéri a Microsoft kapcsolati konfigurációjának oldalát.

5. A CPE beállítása: Vegye figyelembe a Microsoft előző lépésben megadott kapcsolati konfigurációját, és adja meg az útválasztó vagy a CPE felügyeleti konzolján. Ez a lépés nem a Microsoft Entra Felügyeleti központban található.

Microsoft Entra Felügyeleti központ

A távoli hálózatok három lapon vannak konfigurálva. Minden lapot sorrendben kell kitöltenie. A lap befejezése után vagy a lap tetején válassza a következő lapot, vagy kattintson a Lap alján található Tovább gombra.

Alapkifejezések

Az első lépés a távoli hálózat nevének és helyének megadása. A lap kitöltése kötelező.

1. Jelentkezzen be a Microsoft Entra felügyeleti központba globális biztonságos hozzáférésű rendszergazdaként.
2. Keresse meg a Global Secure Access>Connect>távoli hálózatokat.
3. Válassza a Távoli hálózat létrehozása gombot, és adja meg a részleteket.
   • Név
   • Régió

Hálózati csatlakozás

A Kapcsolat lapon adhatja hozzá a távoli hálózathoz tartozó eszközhivatkozásokat. A távoli hálózat létrehozása után hozzáadhat eszközhivatkozásokat. Minden eszközkapcsolathoz meg kell adnia az eszköz típusát, a CPE nyilvános IP-címét, a border gateway protocol (BGP) címet és az autonóm rendszerszámot (ASN).

A Kapcsolat lap kitöltéséhez szükséges részletek összetettek lehetnek. További információ: Távoli hálózati eszközök kapcsolatainak kezelése.

Forgalomtovábbítási profilok

A távoli hálózat létrehozásakor hozzárendelheti a távoli hálózatot egy forgalomtovábbítási profilhoz. A távoli hálózatot később is hozzárendelheti. További információ: Forgalomtovábbítási profilok.

1. Válassza a Tovább gombot, vagy válassza a Traffic profiles (Forgalmi profilok ) lapot.
2. Válassza ki a megfelelő forgalomátirányítási profilt.
3. Válassza a Véleményezés + Létrehozás gombot.

A folyamat utolsó lapja az összes megadott beállítás áttekintése. Tekintse át az itt megadott részleteket, és válassza a Távoli hálózat létrehozása gombot.

CPE-kapcsolat konfigurációjának megtekintése

Az összes távoli hálózat megjelenik a Távoli hálózat lapon. Válassza a Konfiguráció megtekintése hivatkozást a Kapcsolat részletei oszlopban a konfiguráció részleteinek megtekintéséhez.

Ezek a részletek a CpE beállításához használt kétirányú kommunikációs csatorna Microsoft általi kapcsolati adatait tartalmazzák.

Ez a folyamat részletesen bemutatja, hogyan konfigurálhatja az ügyfél helyszíni berendezéseit.

A CPE beállítása

Ez a lépés a CPE felügyeleti konzolján történik, nem a Microsoft Entra Felügyeleti központban. Amíg nem hajtja végre ezt a lépést, az IPsec nincs beállítva. Az IPsec kétirányú kommunikáció. Az IKE-tárgyalások két fél között az alagút sikeres beállítása előtt zajlanak. Szóval, ne hagyja ki ezt a lépést.

Microsoft Graph API

A globális biztonságos hozzáférésű távoli hálózatok a Microsoft Graph használatával tekinthetők meg és kezelhetők a /beta végponton. A távoli hálózat létrehozása és a forgalomtovábbítási profil hozzárendelése külön API-hívások.

1. Jelentkezzen be a Graph Explorerbe.

2. Válassza ki POST a metódust HTTP .

3. Válassza ki BETA verzióként.AP

4. Futtassa a lekérdezést.

   POST https://graph.microsoft.com/beta/networkAccess/connectivity/remoteNetworks
   Content-Type: application/json
   
   {
       "name": "Bellevue branch w/ device link",
       "region": "canadaEast",
       "forwardingProfiles": [
           {
               "id": "1adaf535-1e31-4e14-983f-2270408162bf"
           }
       ],
       "deviceLinks": [
           {
               "name": "CPE1",
               "ipAddress": "52.13.21.25",
               "bandwidthCapacityInMbps": "mbps500",
               "deviceVendor": "barracudaNetworks",
               "bgpConfiguration": {
                   "localIpAddress": "192.168.1.2",
                   "peerIpAddress": "10.1.1.2",
                   "asn": 65533
               },
               "redundancyConfiguration": {
                   "zoneLocalIpAddress": null,
                   "redundancyTier": "noRedundancy"
               },
               "tunnelConfiguration": {
                   "@odata.type": "#microsoft.graph.networkaccess.tunnelConfigurationIKEv2Default",
                   "preSharedKey": "test123"
               }
           }
       ]
   }
   

Forgalomtovábbítási profil hozzárendelése

A forgalomtovábbítási profil társítása a távoli hálózathoz a Microsoft Graph API használatával két lépésből áll. Először keresse meg a forgalmi profil azonosítóját. Az azonosító minden bérlő esetében eltérő. Másodszor társítsa a forgalomtovábbítási profilt a kívánt távoli hálózathoz.

1. Jelentkezzen be a Graph Explorerbe.

2. Válassza ki PATCH a HTTP legördülő listából a metódust.

3. Válassza ki a API bétaverziót.

4. Adja meg a lekérdezést.

   GET https://graph.microsoft.com/beta/networkaccess/forwardingprofiles 
   

5. Válassza a Lekérdezés futtatása lehetőséget.

6. Keresse meg a ID kívánt forgalomátirányítási profilt.

7. Válassza ki PATCH a HTTP legördülő listából a metódust.

8. Adja meg a lekérdezést.

       PATCH https://graph.microsoft.com/beta/networkAccess/connectivity/remoteNetworks/dc6a7efd-6b2b-4c6a-84e7-5dcf97e62e04
       Content-Type: application/json
   
       {
           "name": "Test Redmond branch"
       }
   

A távoli hálózati konfigurációk ellenőrzése

A távoli hálózatok létrehozásakor figyelembe kell venni és ellenőrizni kell néhány dolgot. Előfordulhat, hogy bizonyos beállításokat duplán kell ellenőriznie.

• IKE-titkosítási profil ellenőrzése: Az eszközhivatkozáshoz beállított titkosítási profilnak (IKE 1. és 2. fázisú algoritmusoknak) meg kell egyeznie a CPE-n beállított adatoknak. Ha az alapértelmezett IKE-szabályzatot választotta, győződjön meg arról, hogy a CPE a távoli hálózati konfigurációk referenciacikkében megadott titkosítási profillal van beállítva.

• Az előmegosztott kulcs ellenőrzése: Hasonlítsa össze a Microsoft Global Secure Access eszközhivatkozásának létrehozásakor megadott előmegosztott kulcsot (PSK) a CPE-ben megadott PSK-val. Ez a részlet a Hivatkozás hozzáadása folyamat során a Biztonság lapon jelenik meg. További információ: Távoli hálózati eszközök kapcsolatainak kezelése.

• Ellenőrizze a helyi és a társ BGP IP-címeit: A CPE konfigurálásához használt nyilvános IP-címnek és BGP-címnek meg kell egyeznie azzal, amit a Microsoft Global Secure Access eszközhivatkozásának létrehozásakor használ.

  • Tekintse meg a nem használható fenntartott értékek érvényes BGP-címlistáját .
  • A helyi és a társ BGP-címek fordítottak a CPE és a globális biztonságos hozzáférésben megadottak között.
    • CPE: Helyi BGP IP-cím = IP1, társ BGP IP-címe = IP2
    • Globális biztonságos hozzáférés: Helyi BGP IP-cím = IP2, társ BGP IP-címe = IP1
  • Olyan IP-címet válasszon a globális biztonságos hozzáféréshez, amely nem fedi egymást a helyszíni hálózattal.

• ASN ellenőrzése: A globális biztonságos hozzáférés BGP használatával hirdeti meg az útvonalakat két autonóm rendszer között: a hálózat és a Microsoft között. Ezeknek az autonóm rendszereknek különböző autonóm rendszerszámokkal (ASN-ekkel) kell rendelkezniük.

  • Tekintse meg a nem használható fenntartott értékek érvényes ASN-értéklistáját .
  • Ha távoli hálózatot hoz létre a Microsoft Entra felügyeleti központban, használja a hálózat ASN-jét.
  • A CPE konfigurálásakor használja a Microsoft ASN-jét. Lépjen a globális biztonságos hozzáférésű>eszközök>távoli hálózataihoz. Válassza a Hivatkozások lehetőséget, és erősítse meg az értéket a Hivatkozás ASN oszlopban.

• Ellenőrizze a nyilvános IP-címét: Tesztkörnyezetben vagy tesztkörnyezetben előfordulhat, hogy a CPE nyilvános IP-címe váratlanul megváltozik. Ez a módosítás az IKE-egyeztetés meghiúsulását okozhatja, annak ellenére, hogy minden ugyanaz marad.

  • Ha ezt a forgatókönyvet tapasztalja, hajtsa végre a következő lépéseket:
    • Frissítse a nyilvános IP-címet a CPE titkosítási profiljában.
    • Lépjen a globális biztonságos hozzáférésű>eszközök>távoli hálózataihoz.
    • Válassza ki a megfelelő távoli hálózatot, törölje a régi alagutat, és hozza létre újra az új alagutat a frissített nyilvános IP-címmel.

• Ellenőrizze a Microsoft nyilvános IP-címét: Ha töröl egy eszközhivatkozást, és/vagy újat hoz létre, előfordulhat, hogy a hivatkozás egy másik nyilvános IP-végpontja is megjelenik a távoli hálózat konfigurációjának megtekintése nézetben. Ez a módosítás az IKE-egyeztetés meghiúsulását okozhatja. Ha ezt a forgatókönyvet tapasztalja, frissítse a nyilvános IP-címet a CPE titkosítási profiljában.

• Ellenőrizze a BGP kapcsolati beállítását a CPE-n: Tegyük fel, hogy létrehoz egy eszközhivatkozást egy távoli hálózathoz. A Microsoft az átjáró nyilvános IP-címét( például PIP1) és BGP-címét (például BGP1) biztosítja. Ez a kapcsolati információ a távoli hálózat konfigurációjának megtekintése lehetőség kiválasztásakor látható jSON-blobban localConfigurations érhető el. A CPE-n győződjön meg arról, hogy a BGP1-nek küldött statikus útvonal a PIP1-sel létrehozott alagút-interfészen keresztül van elküldve. Az útvonalra azért van szükség, hogy a CPE megismerhesse a Microsofttal létrehozott IPsec-alagúton keresztül közzétett BGP-útvonalakat.

• Tűzfalszabályok ellenőrzése: Engedélyezze a User Datagram Protocol (UDP) 500-s és 4500-s portját, valamint az IPsec-alagúthoz és a BGP-kapcsolathoz tartozó 179-ös TCP-portot a tűzfalon.

• Porttovábbítás: Bizonyos esetekben az Internet Service Provider (ISP) útválasztó hálózati címfordító (NAT) eszköz is. A NAT az otthoni eszközök magánhálózati IP-címeit nyilvános, internetezhető eszközzé alakítja.

  • A NAT-eszközök általában az IP-címet és a portot is módosítják. Ez a portmódosítás a probléma gyökere.
  • Az IPsec-alagutak működéséhez a Global Secure Access az 500-os portot használja. Ezen a porton történik az IKE-egyeztetés.
  • Ha az internetszolgáltató útválasztója valami másra módosítja ezt a portot, a globális biztonságos hozzáférés nem tudja azonosítani ezt a forgalmat, és a tárgyalás meghiúsul.
  • Ennek eredményeképpen az IKE-tárgyalások 1. fázisa meghiúsul, és az alagút nem jön létre.
  • A hiba elhárításához végezze el a porttovábbítást az eszközön, amely arra utasítja az internetszolgáltató útválasztóját, hogy ne módosítsa a portot, és ne továbbítsa a portot.

Következő lépések

A Microsoft Entra internet-hozzáférés használatának következő lépése a Microsoft forgalmi profiljának megcélzása feltételes hozzáférési szabályzattal.

A távoli hálózatokkal kapcsolatos további információkért tekintse meg a következő cikkeket:

• Távoli hálózatok listázása
• Távoli hálózatok kezelése
• Megtudhatja, hogyan vehet fel távoli hálózati eszközhivatkozásokat