使用自定义 IKE 策略创建适用于全球安全访问的远程网络
IPSec 隧道是双向通信。 本文介绍在 Microsoft Entra 管理中心和 Microsoft Graph API 中设置信道的步骤。 通信的另一端在客户本地设备 (CPE) 上配置。
先决条件
要使用自定义 Internet 密钥交换 (IKE) 策略创建远程网络,必须:
- Microsoft Entra ID 中的全局安全访问管理员角色。
- 已从全球安全访问加入团队接收到连接信息。
- 产品需要经过许可。 有关详细信息,请参阅什么是全球安全访问的许可部分。 如果需要,可以购买许可证或获取试用许可证。
如何使用自定义 IKE 策略创建远程网络
如果你倾向于将自定义 IKE 策略详细信息添加到远程网络,则可以在将设备链接添加到远程网络时执行此操作。 可以在 Microsoft Entra 管理中心或使用 Microsoft Graph API 完成此步骤。
若要在 Microsoft Entra 管理中心使用自定义 IKE 策略创建远程网络,请执行以下操作:
以全球安全访问管理员身份登录到 Microsoft Entra 管理中心。
浏览到“全球安全访问”>“连接”>“远程网络”。
选择“创建远程网络”。
为远程网络提供名称和区域,然后选择“下一步: 连接性”。
选择“+ 添加链接”以添加 CPE 的连接详细信息。
“添加链接 - 常规”选项卡
在“常规”选项卡上可输入多个详细信息。请密切关注对等机和本地边界网关协议 (BGP) 地址。 对等和本地详细信息相反,具体取决于配置完成的位置。
输入以下详细信息:
- 链接名称:CPE 名称。
- 设备类型:从下拉列表中选择设备选项。
- 设备 IP 地址:设备的公共 IP 地址。
- 设备 BGP 地址:输入 CPE 的 BGP IP 地址。
- 输入此地址作为 CPE 上的本地 BGP IP 地址。
- 设备 ASN:提供 CPE 的自治系统编号 (ASN)。
- 两个网关之间启用了 BGP 的连接要求它们具有不同的 ASN。
- 有关无法使用的保留值,请参阅有效的 ASN 值列表。
- 冗余:为 IPSec 隧道选择“无冗余”或“区域冗余”。
- 区域冗余本地 BGP 地址:此可选字段仅在选择“区域冗余”时显示。
- 输入 BGP IP 地址,该地址不属于 CPE 驻留的本地网络,并且不同于本地 BGP 地址。
- 带宽容量 (Mbps):指定隧道带宽。 可用选项有 250、500、750 和 1,000 Mbps。
- 本地 BGP 地址:输入不属于 CPE 所在本地网络的 BGP IP 地址。
- 例如,如果你的本地网络为 10.1.0.0/16,则可以使用 10.2.0.4 作为本地 BGP 地址。
- 输入此地址作为 CPE 上的对等 BGPIP 地址。
- 有关无法使用的保留值,请参阅有效的 BGP 地址列表。
选择“下一步”。
“添加链接 - 详细信息”选项卡
重要
必须在 CPE 上指定第 1 阶段和第 2 阶段的组合。
IKEv2默认选中。 目前仅支持 IKEv2。
将 IPSec/IKE 策略更改为“自定义”。
选择以下第 1 阶段组合详细信息:加密、IKEv2 完整性和 DHGroup。
- 所选详细信息的组合必须与远程网络有效配置参考文章中列出的可用选项保持一致。
选择以下第 2 阶段组合:“IPsec 加密”、“IPsec 完整性”、“PFS 组”和“SA 生存期(秒)”。
- 所选详细信息的组合必须与远程网络有效配置参考文章中列出的可用选项保持一致。
无论选择“默认”还是“自定义”,指定的 IPSec/IKE 策略都必须与 CPE 上的加密策略匹配。
选择“下一步”。
“添加链接 - 安全性”选项卡
- 输入预共享密钥 (PSK) 和区域冗余预共享密钥 (PSK)。 必须在各个 CPE 上使用同一个密钥。 只有在创建链接的第一页上设置了冗余时,才会显示“区域冗余预共享密钥(PSK)”字段。
- 选择“保存”。
