Cara membuat jaringan jarak jauh dengan Akses Aman Global

Jaringan jarak jauh adalah lokasi jarak jauh, seperti kantor cabang, atau jaringan yang memerlukan konektivitas internet. Menyiapkan jaringan jarak jauh menghubungkan pengguna Anda di lokasi jarak jauh ke Akses Aman Global. Setelah jaringan jarak jauh dikonfigurasi, Anda dapat menetapkan profil penerusan lalu lintas untuk mengelola lalu lintas jaringan perusahaan Anda. Akses Aman Global menyediakan konektivitas jaringan jarak jauh sehingga Anda dapat menerapkan kebijakan keamanan jaringan ke lalu lintas keluar Anda.

Ada beberapa cara untuk menyambungkan jaringan jarak jauh ke Akses Aman Global. Singkatnya, Anda membuat terowongan Internet Protocol Security (IPSec) antara router inti, yang dikenal sebagai peralatan lokal pelanggan (CPE), di jaringan jarak jauh Anda dan titik akhir Akses Aman Global terdekat. Semua lalu lintas yang terikat internet dirutekan melalui router inti jaringan jarak jauh untuk evaluasi kebijakan keamanan di cloud. Penginstalan klien tidak diperlukan pada masing-masing perangkat.

Artikel ini menjelaskan cara membuat jaringan jarak jauh untuk Akses Aman Global.

Prasyarat

Untuk mengonfigurasi jaringan jarak jauh, Anda harus memiliki:

• Peran Administrator Akses Aman Global di ID Microsoft Entra.
• Produk ini membutuhkan lisensi. Untuk detailnya, lihat bagian lisensi dari Apa itu Akses Aman Global. Jika diperlukan, Anda dapat membeli lisensi atau mendapatkan lisensi uji coba.
• Untuk menggunakan profil penerusan lalu lintas Microsoft, lisensi Microsoft 365 E3 disarankan.
• Peralatan lokal pelanggan (CPE) harus mendukung protokol berikut:
  • Keamanan Protokol Internet (IPSec)
  • GCMEAES128, algoritma GCMAES 192, atau GCMAES256 untuk negosiasi fase 2 Internet Key Exchange (IKE)
  • Pertukaran Kunci Internet Versi 2 (IKEv2)
  • Protokol Gateway Batas (BGP)
• Tinjau konfigurasi yang valid untuk menyiapkan jaringan jarak jauh.
• Solusi konektivitas jaringan jarak jauh menggunakan konfigurasi VPN RouteBased dengan pemilih lalu lintas any-to-any (wildcard atau 0.0.0.0/0). Pastikan CPE Anda memiliki set pemilih lalu lintas yang benar.
• Solusi konektivitas jaringan jarak jauh menggunakan mode Responder . CPE Anda harus memulai koneksi.

Pembatasan yang diketahui

• Jumlah jaringan jarak jauh per penyewa dibatasi hingga 10. Jumlah tautan perangkat per jaringan jarak jauh dibatasi hingga empat.
• Lalu lintas Microsoft diakses melalui konektivitas jaringan jarak jauh tanpa klien Akses Aman Global. Namun, kebijakan Akses Bersyar tidak diberlakukan. Dengan kata lain, kebijakan Akses Bersyar untuk lalu lintas Microsoft Akses Aman Global hanya diberlakukan saat pengguna memiliki klien Akses Aman Global.
• Anda harus menggunakan klien Akses Aman Global untuk Akses Privat Microsoft Entra. Konektivitas jaringan jarak jauh hanya mendukung Akses Internet Microsoft Entra.

Langkah-langkah tingkat tinggi

Anda dapat membuat jaringan jarak jauh di pusat admin Microsoft Entra atau melalui Microsoft Graph API.

Pada tingkat tinggi, ada lima langkah untuk membuat jaringan jarak jauh dan mengonfigurasi terowongan IPsec aktif:

1. Dasar-dasar: Masukkan detail dasar seperti Nama dan Wilayah jaringan jarak jauh Anda. Wilayah menentukan di mana Anda menginginkan ujung terowongan IPsec lainnya. Ujung terowongan lainnya adalah router atau CPE Anda.

2. Konektivitas: Tambahkan tautan perangkat (atau terowongan IPsec) ke jaringan jarak jauh. Dalam langkah ini, Anda memasukkan detail router di pusat admin Microsoft Entra, yang memberi tahu Microsoft tempat asal negosiasi IKE.

3. Profil penerusan lalu lintas: Kaitkan profil penerusan lalu lintas dengan jaringan jarak jauh, yang menentukan lalu lintas apa yang akan diperoleh melalui terowongan IPsec. Kami menggunakan perutean dinamis melalui BGP.

4. Lihat konfigurasi konektivitas CPE: Ambil detail terowongan IPsec dari akhir terowongan Microsoft. Pada langkah Konektivitas, Anda memberikan detail router Anda kepada Microsoft. Dalam langkah ini, Anda mengambil sisi konfigurasi konektivitas Microsoft.

5. Siapkan CPE Anda: Ambil konfigurasi konektivitas Microsoft dari langkah sebelumnya dan masukkan di konsol manajemen router atau CPE Anda. Langkah ini tidak ada di pusat admin Microsoft Entra.

Pusat admin Microsoft Entra

Jaringan jarak jauh dikonfigurasi pada tiga tab. Anda harus menyelesaikan setiap tab secara berurutan. Setelah menyelesaikan tab, pilih tab berikutnya dari bagian atas halaman, atau pilih tombol Berikutnya di bagian bawah halaman.

Dasar

Langkah pertama adalah memberikan nama dan lokasi jaringan jarak jauh Anda. Menyelesaikan tab ini diperlukan.

1. Masuk ke pusat admin Microsoft Entra sebagai Administrator Akses Aman Global.

2. Telusuri jaringan Jarak Jauh Global Secure Access>Connect>.

3. Pilih tombol Buat jaringan jarak jauh dan berikan detailnya.

   • Nama
   • Wilayah

   

Konektivitas

Tab konektivitas adalah tempat Anda menambahkan tautan perangkat untuk jaringan jarak jauh. Anda dapat menambahkan tautan perangkat setelah membuat jaringan jarak jauh. Anda perlu menyediakan jenis perangkat, alamat IP publik CPE Anda, alamat protokol gateway perbatasan (BGP), dan nomor sistem otonom (ASN) untuk setiap tautan perangkat.

Detail yang diperlukan untuk menyelesaikan tab ini bisa kompleks, sehingga proses ini tercakup secara rinci dalam cara mengelola tautan perangkat jaringan jarak jauh.

Profil penerusan lalu lintas

Anda dapat menetapkan jaringan jarak jauh ke profil penerusan lalu lintas saat membuat jaringan jarak jauh. Anda juga dapat menetapkan jaringan jarak jauh di lain waktu. Untuk informasi selengkapnya, lihat Profil penerusan lalu lintas.

1. Pilih tombol Berikutnya atau pilih tab Profil lalu lintas.
2. Pilih profil penerusan lalu lintas yang sesuai.
3. Pilih tombol Tinjau + Buat.

Tab akhir dalam proses ini adalah meninjau semua pengaturan yang Anda berikan. Tinjau detail yang disediakan di sini dan pilih tombol Buat jaringan jarak jauh.

Menampilkan konfigurasi konektivitas CPE

Semua jaringan jarak jauh Anda muncul pada halaman Jaringan jarak jauh. Pilih tautan Tampilkan konfigurasi di kolom Detail konektivitas untuk melihat detail konfigurasi Anda.

Detail ini berisi informasi konektivitas dari sisi Microsoft dari saluran komunikasi dua arah yang Anda gunakan untuk menyiapkan CPE Anda.

Proses ini tercakup secara rinci dalam Cara mengonfigurasi peralatan lokal pelanggan Anda.

Menyiapkan CPE Anda

Langkah ini dilakukan di konsol manajemen CPE Anda, bukan di pusat admin Microsoft Entra. Hingga Anda menyelesaikan langkah ini, IPsec Anda tidak disiapkan. IPsec adalah komunikasi dua arah. Negosiasi IKE terjadi antara dua pihak sebelum terowongan berhasil disiapkan. Jadi, jangan lewatkan langkah ini.

API Microsoft Graph

Jaringan jarak jauh Akses Aman Global dapat dilihat dan dikelola menggunakan Microsoft Graph di /beta titik akhir. Membuat jaringan jarak jauh dan menetapkan profil penerusan lalu lintas adalah panggilan API terpisah.

1. Masuk ke Graph Explorer.

2. Pilih POST sebagai HTTP metode .

3. Pilih BETA sebagai AP versi.

4. Jalankan kueri.

   POST https://graph.microsoft.com/beta/networkaccess/connectivity/branches 
   { 
       "name": "ContosoBranch", 
       "region": "East US", 
       "deviceLinks": [ 
       { 
           "name": "CPE Link 1", 
           "ipAddress": "20.125.118.219", 
           "deviceVendor": "Other", 
           "bgpConfiguration": { 
               "localIpAddress": "172.16.11.5",
               "peerIpAddress": "10.16.11.5", 
               "asn": 8888 
             },
           "redundancyConfiguration": {
               "redundancyTier": "noRedundancy",
               "zoneLocalIpAddress": "1.2.1.1"
           },
           "bandwidthCapacityInMbps": "mbps250"
           "tunnelConfiguration": { 
                 "@odata.type": "#microsoft.graph.networkaccess.tunnelConfigurationIKEv2Default", 
                 "preSharedKey": "Detective5OutgrowDiligence" 
             } 
       }] 
   }  
   

Menetapkan profil penerusan lalu lintas

Mengaitkan profil penerusan lalu lintas ke jaringan jarak jauh Anda menggunakan Microsoft Graph API adalah proses dua langkah. Pertama, temukan ID profil lalu lintas. ID berbeda untuk semua penyewa. Kedua, kaitkan profil penerusan lalu lintas dengan jaringan jarak jauh yang Anda inginkan.

1. Masuk ke Graph Explorer.
2. Pilih PATCH sebagai HTTP metode dari menu dropdown.
3. Pilih versi untuk API beta.
4. Masukkan kueri.

   GET https://graph.microsoft.com/beta/networkaccess/forwardingprofiles 
   

5. Pilih Jalankan kueri.
6. ID Temukan profil penerusan lalu lintas yang diinginkan.
7. Pilih PATCH sebagai HTTP metode dari menu dropdown.
8. Masukkan kueri.

       PATCH https://graph.microsoft.com/beta/networkaccess/connectivity/branches/d2b05c5-1e2e-4f1d-ba5a-1a678382ef16/forwardingProfiles
       {
           "@odata.context": "#$delta",
           "value":
           [{
               "ID": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee"
           }]
       }
   

Memverifikasi konfigurasi jaringan jarak jauh Anda

Ada beberapa hal yang perlu dipertimbangkan dan diverifikasi saat membuat jaringan jarak jauh. Anda mungkin perlu memeriksa kembali beberapa pengaturan.

• Verifikasi profil kripto IKE: Profil kripto (algoritma fase 1 dan fase 2 IKE) yang ditetapkan untuk tautan perangkat harus cocok dengan apa yang diatur pada CPE. Jika Anda memilih kebijakan IKE default, pastikan CPE Anda disiapkan dengan profil kripto yang ditentukan dalam artikel Referensi konfigurasi jaringan jarak jauh.

• Verifikasi kunci pra-berbagi: Bandingkan kunci pra-berbagi (PSK) yang Anda tentukan saat membuat tautan perangkat di Microsoft Global Secure Access dengan PSK yang Anda tentukan di CPE Anda. Detail ini ditambahkan pada tab Keamanan selama proses Tambahkan tautan . Untuk informasi selengkapnya, lihat Cara mengelola tautan perangkat jaringan jarak jauh..

• Verifikasi alamat IP BGP lokal dan serekan: ALAMAT IP publik dan BGP yang Anda gunakan untuk mengonfigurasi CPE harus cocok dengan apa yang Anda gunakan saat membuat tautan perangkat di Microsoft Global Secure Access.

  • Lihat daftar alamat BGP yang valid untuk nilai cadangan yang tidak dapat digunakan.
  • Alamat BGP lokal dan serekan dibalik antara CPE dan apa yang dimasukkan dalam Akses Aman Global.
    • CPE: Alamat IP BGP lokal = IP1, Alamat IP BGP Serekan = IP2
    • Akses Aman Global: Alamat IP BGP Lokal = IP2, Alamat IP BGP Serekan = IP1
  • Pilih alamat IP untuk Akses Aman Global yang tidak tumpang tindih dengan jaringan lokal Anda.

• Verifikasi ASN: Akses Aman Global menggunakan BGP untuk mengiklankan rute antara dua sistem otonom: jaringan Anda dan Microsoft. Sistem otonom ini harus memiliki Nomor Sistem Otonom (ASN) yang berbeda.

  • Lihat daftar nilai ASN yang valid untuk nilai cadangan yang tidak dapat digunakan.
  • Saat membuat jaringan jarak jauh di pusat admin Microsoft Entra, gunakan ASN jaringan Anda.
  • Saat mengonfigurasi CPE Anda, gunakan ASN Microsoft. Buka Jaringan Jarak Jauh Perangkat>Akses>Aman Global. Pilih Tautan dan konfirmasi nilai di kolom Tautkan ASN .

• Verifikasi alamat IP publik Anda: Dalam lingkungan pengujian atau penyiapan lab, alamat IP publik CPE Anda mungkin berubah secara tidak terduga. Perubahan ini dapat menyebabkan negosiasi IKE gagal meskipun semuanya tetap sama.

  • Jika Anda mengalami skenario ini, selesaikan langkah-langkah berikut:
    • Perbarui alamat IP publik di profil kripto CPE Anda.
    • Buka Jaringan Jarak Jauh Perangkat>Akses>Aman Global.
    • Pilih jaringan jarak jauh yang sesuai, hapus terowongan lama, dan buat ulang terowongan baru dengan alamat IP publik yang diperbarui.

• Verifikasi alamat IP publik Microsoft: Saat Anda menghapus tautan perangkat dan/atau membuat yang baru, Anda mungkin mendapatkan titik akhir IP publik lain dari tautan tersebut di Menampilkan konfigurasi untuk jaringan jarak jauh tersebut. Perubahan ini dapat menyebabkan negosiasi IKE gagal. Jika Anda mengalami skenario ini, perbarui alamat IP publik di profil kripto CPE Anda.

• Verifikasi pengaturan konektivitas BGP di CPE Anda: Misalkan Anda membuat tautan perangkat untuk jaringan jarak jauh. Microsoft memberi Anda alamat IP publik, misalnya PIP1, dan alamat BGP, misalnya BGP1, dari gateway-nya. Informasi konektivitas ini tersedia di bawah localConfigurations di blob jSON yang Anda lihat saat Anda memilih Tampilkan Konfigurasi untuk jaringan jarak jauh tersebut. Pada CPE Anda, pastikan Anda memiliki rute statis yang ditujukan untuk BGP1 yang dikirim melalui antarmuka terowongan yang dibuat dengan PIP1. Rute ini diperlukan agar CPE dapat mempelajari rute BGP yang kami terbitkan melalui terowongan IPsec yang Anda buat dengan Microsoft.

• Verifikasi aturan firewall: Izinkan port Protokol Datagram Pengguna (UDP) 500 dan 4500 dan port Protokol Kontrol Transmisi (TCP) 179 untuk terowongan IPsec dan konektivitas BGP di firewall Anda.

• Penerusan port: Dalam beberapa situasi, router Penyedia Layanan Internet (ISP) juga merupakan perangkat terjemahan alamat jaringan (NAT). NAT mengonversi alamat IP privat perangkat rumah ke perangkat publik yang dapat dirutekan internet.

  • Umumnya, perangkat NAT mengubah alamat IP dan port. Perubahan port ini adalah akar masalah.
  • Agar terowongan IPsec berfungsi, Akses Aman Global menggunakan port 500. Port ini adalah tempat negosiasi IKE terjadi.
  • Jika router ISP mengubah port ini menjadi sesuatu yang lain, Akses Aman Global tidak dapat mengidentifikasi lalu lintas dan negosiasi ini gagal.
  • Akibatnya, fase 1 negosiasi IKE gagal dan terowongan tidak dibuat.
  • Untuk memulihkan kegagalan ini, selesaikan penerusan port pada perangkat Anda, yang memberi tahu router ISP untuk tidak mengubah port dan meneruskannya apa adanya.

Langkah berikutnya

Langkah selanjutnya untuk memulai Akses Internet Microsoft Entra adalah menargetkan profil lalu lintas Microsoft dengan kebijakan Akses Bersyar.

Untuk informasi selengkapnya tentang jaringan jarak jauh, lihat artikel berikut ini:

• Mencantumkan jaringan jarak jauh
• Mengelola jaringan jarak jauh
• Pelajari cara menambahkan tautan perangkat jaringan jarak jauh