Добавление и удаление ссылок на устройства удаленных сетей

Локальное оборудование клиента, например маршрутизаторы, добавляется в удаленную сеть. При создании удаленной сети можно создать ссылки на устройства или добавить их после создания удаленной сети. В этой статье объясняется, как добавлять и удалять ссылки устройств для удаленных сетей для глобального безопасного доступа.

Необходимые условия

Чтобы настроить удаленные сети, необходимо:

• Роль глобального администратора безопасного доступа в идентификаторе Microsoft Entra.
• Создана удаленная сеть.
• Продукту требуется лицензирование. Дополнительные сведения см. в разделе лицензирования "Что такое глобальный безопасный доступ". При необходимости вы можете приобрести лицензии или получить пробные лицензии.

Добавление ссылки на устройство

Вы можете добавить ссылку на устройство из Центра администрирования Microsoft Entra или с помощью API Microsoft Graph.

Центр администрирования Microsoft Entra

Вы можете в любое время добавить ссылку на устройство в удаленную сеть.

1. Перейдите к удаленным сетям Global Secure Access>Connect>.

2. Выберите удаленную сеть из списка.

3. Выберите ссылки в меню.

4. Нажмите кнопку +Добавить ссылку.

Добавление ссылки — вкладка "Общие"

На вкладке "Общие" можно ввести несколько сведений. Обратите внимание на адреса однорангового и локального пограничного шлюза (BGP). Одноранговые и локальные сведения будут изменены в зависимости от того, где будет завершена конфигурация.

1. Введите следующие сведения.
   • Имя ссылки: имя локального оборудования клиента (CPE).
   • Тип устройства: выберите вариант устройства из раскрывающегося списка.
   • IP-адрес устройства: общедоступный IP-адрес устройства CPE (локального оборудования клиента).
   • Адрес BGP устройства: введите IP-адрес BGP вашего CPE.
     • Этот адрес вводится в качестве локального IP-адреса BGP в CPE.
   • AsN устройства: укажите номер автономной системы (ASN) CPE.
     • Для подключения с поддержкой BGP между двумя сетевыми шлюзами требуется, чтобы они имели разные ASN.
     • Дополнительные сведения см. в разделе "Допустимые ASN" статьи "Конфигурации удаленной сети".
   • Избыточность. Выберите избыточность или избыточность зоны для туннеля IPSec.
   • Локальный адрес BGP для зоны избыточности. Это необязательное поле отображается только при выборе избыточности зоны.
     • Введите IP-адрес BGP, который не входит в локальную сеть, где находится CPE, и отличается от адреса BGP устройства.
   • Емкость пропускной способности (Мбит/с):укажите пропускную способность туннеля. Доступные варианты: 250, 500, 750 и 1000 Мбит/с.
   • Локальный адрес BGP: введите IP-адрес BGP, который не является частью локальной сети, в которой находится CPE.
     • Например, если локальная сеть имеет значение 10.1.0.0/16, вы можете использовать 10.2.0.4 в качестве локального адреса BGP.
     • Этот адрес вводится в качестве ОДНОрангового IP-адреса BGP в CPE.
     • Ознакомьтесь со списком допустимых адресов BGP для зарезервированных значений , которые нельзя использовать.
2. Нажмите кнопку "Далее".

Добавление ссылки — вкладка "Сведения"

Вкладка "Сведения" позволяет установить двунаправленный канал обмена данными между глобальным безопасным доступом и CPE. Настройте политику IPSec/IKE и нажмите кнопку "Далее".

• По умолчанию выбран IKEv2 . В настоящее время поддерживается только IKEv2.
• Политика IPSec/IKE имеет значение Default , но вы можете изменить его на Custom.
• Если выбрать настраиваемую политику IPSec/IKE, сначала ознакомьтесь со статьей о создании удаленной сети с помощью пользовательской политики обмена ключами Интернета (IKE).
• При выборе "Настраиваемый" необходимо использовать сочетание параметров, поддерживаемых глобальным безопасным доступом. Допустимые конфигурации, которые можно использовать, сопоставляются в справочной статье о допустимых конфигурациях удаленной сети.
• Независимо от того, выбрана ли политика default или Custom, политика IPSec/IKE должна соответствовать политике, введенной в CPE.

Добавление ссылки — вкладка "Безопасность"

1. Введите общий ключ (PSK) и общий ключ зоны (PSK). Тот же секретный ключ должен использоваться в соответствующем CPE. Поле "Избыточность зоны" отображается только при настройке избыточности на первой странице при создании ссылки.
2. Нажмите кнопку "Сохранить ".

Microsoft Graph API

Удаленные сети с настраиваемой политикой IKE можно создать с помощью Microsoft Graph в конечной точке /beta .

1. Войдите в обозреватель Graph.

2. Выберите POST в качестве метода HTTP в раскрывающемся списке.

3. Задайте для версии API бета-версию.

4. Выполните следующий запрос, чтобы получить список удаленных сетей и их сведения.

   GET https://graph.microsoft.com/beta/networkAccess/connectivity/remoteNetworks
   

5. Выполните следующий запрос, чтобы получить сведения о ссылке устройства.

   POST https://graph.microsoft.com/beta/networkAccess/connectivity/remoteNetworks/{remoteNetworkId}/deviceLinks
   

Пример ответа:

{
    "name": "CPE3",
    "ipAddress": "20.55.91.42",
    "deviceVendor": "ciscoMeraki",
    "bandwidthCapacityInMbps": "mbps1000",
    "bgpConfiguration": {
        "localIpAddress": "192.168.1.2",
        "peerIpAddress": "10.2.2.2",
        "asn": 65533
    },
    "redundancyConfiguration": {
        "redundancyTier": "zoneRedundancy",
        "zoneLocalIpAddress": "192.168.1.3"
    },
    "tunnelConfiguration": {
        "@odata.type": "#microsoft.graph.networkaccess.tunnelConfigurationIKEv2Default",
        "preSharedKey": "test123"
    }
}

Удаление ссылок устройства

Вы можете удалить ссылки на устройства через Центр администрирования Microsoft Entra и с помощью API Microsoft Graph.

Центр администрирования Microsoft Entra

1. Войдите в Центр администрирования Microsoft Entra в качестве глобального администратора безопасного доступа.

2. Перейдите к удаленным сетям Global Secure Access>Connect>. Ссылки на устройства отображаются в столбце "Ссылки" в списке удаленных сетей.

3. Выберите ссылку устройства из столбца "Ссылки" , чтобы получить доступ к странице сведений о ссылке устройства.

4. Выберите "Удалить " для ссылки устройства, которую вы хотите удалить. Откроется диалоговое окно подтверждения. Выберите "Удалить" , чтобы подтвердить удаление.

   

Microsoft Graph API

1. Войдите в обозреватель Graph.

2. Выберите DELETE в качестве метода HTTP в раскрывающемся списке.

3. Задайте для версии API бета-версию.

4. Введите следующий запрос.

   DELETE https://graph.microsoft.com/beta/networkAccess/connectivity/remotenetworks/{remoteNetworkId}/deviceLinks/{deviceLinkId}