客户本地设备(如路由器)将添加到远程网络。 可以在新建远程网络时创建设备链接,也可以在创建远程网络后添加这些链接。 本文介绍了如何为远程网络添加和删除设备链接,以进行全局安全访问。
先决条件
若要配置远程网络,必须具有:
- Microsoft Entra ID 中的全局安全访问管理员角色。
- 已创建远程网络。
- 产品需要经过许可。 有关详细信息,请参阅什么是全球安全访问的许可部分。 如果需要,可以购买许可证或获取试用许可证。
添加设备链接
可以从 Microsoft Entra 管理中心或使用 Microsoft Graph API 添加设备链接。
可以随时将设备链接添加到远程网络。
浏览到“全球安全访问” “连接” “远程网络” 。
从列表中选择远程网络。
从菜单中选择“链接”。
选择“+ 添加链接”。
添加链接 -“常规”选项卡
在“常规”选项卡上需要输入多个详细信息。需要特别注意对等方和本地边界网关协议 (BGP) 地址。 对等方与本地详细信息可能会对调,具体取决于配置完成的位置。
- 输入以下详细信息。
- 链接名称:客户本地设备 (CPE) 的名称。
- 设备类型:从下拉列表中选择设备选项。
- 设备 IP 地址:CPE(客户端设备)设备的公共 IP 地址。
-
设备 BGP 地址:输入 CPE 的 BGP IP 地址。
- 输入此地址作为 CPE 上的本地 BGP IP 地址。
- 设备 ASN:提供 CPE 的自治系统编号 (ASN)。
- 两个网关之间启用了 BGP 的连接要求它们具有不同的 ASN。
- 有关详细信息,请参阅远程网络配置一文中的有效 ASN部分。
- 冗余:为 IPSec 隧道选择“无冗余”或“区域冗余”。
-
区域冗余本地 BGP 地址:此可选字段仅在选择“区域冗余”时显示。
- 输入 BGP IP 地址,该地址不属于 CPE 驻留的本地网络,并且不同于设备 BGP 地址。
- 带宽容量 (Mbps):指定隧道带宽。 可用选项有 250、500、750 和 1,000 Mbps。
-
本地 BGP 地址:输入一个 BGP IP 地址,该地址不属于您的 CPE 所在的本地网络。
- 例如,如果你的本地网络为 10.1.0.0/16,则可以使用 10.2.0.4 作为本地 BGP 地址。
- 输入此地址作为 CPE 上的对端 BGP IP 地址。
- 有关无法使用的保留值,请参阅有效的 BGP 地址列表。
- 选择下一步。
添加链接 -“详细信息”选项卡
“详细信息”选项卡是您在 Global Secure Access 和 CPE 之间建立双向通信通道的位置。 配置 IPSec/IKE 策略,然后选择“下一步”。
- IKEv2默认选中。 目前仅支持 IKEv2。
- IPSec/IKE 策略设置为默认,但可以更改为自定义。
- 如果选择自定义 IPSec/IKE 策略,请先查看《如何使用自定义 Internet 密钥交换 (IKE) 策略创建远程网络》一文。
- 如果选择“自定义”,则必须使用由全局安全访问支持的设置组合。 远程网络有效配置参考一文中列出了可以使用的有效配置。
- 无论是选择“默认”还是“自定义”,指定的 IPSec/IKE 策略都必须与你在 CPE 上输入的策略匹配。
添加链接 -“安全”选项卡
- 输入预共享密钥 (PSK) 和区域冗余预共享密钥 (PSK)。 必须在各个 CPE 上使用同一个密钥。 只有在创建链接的第一页上设置了冗余时,才会显示“区域冗余预共享密钥(PSK)”字段。
- 选择“保存”按钮。
如何删除设备链接
可以通过 Microsoft Entra 管理中心和使用 Microsoft Graph API 删除设备链接。
以全局安全访问管理员身份登录到 Microsoft Entra 管理中心。
浏览到“全球安全访问” “连接” “远程网络” 。 设备链接显示在远程网络列表的“链接”列中。
从“链接”列中选择设备链接以访问设备链接详细信息页。
选择要删除的设备链接并点击删除。 此时会出现确认对话框。 选择“删除”,确认删除操作。
