自定义和默认配置的有效远程网络配置
设备链路是将远程网络(例如分支机构位置)连接到全球安全访问的物理路由器。 如果在添加设备链路时选择“自定义”选项,则必须使用一组特定的组合。 如果选择“默认”选项,则必须在客户本地设备 (CPE) 上输入特定的属性组合。
自定义和默认详细信息
在默认配置和自定义配置中使用可用的区域、设备类型、自治系统编号 (ASN) 和边界网关协议 (BGP) 地址。
可用的设备选项
- barracudaNetworks
- checkPoint
- ciscoMeraki
- citrix
- fortinet
- hpeAruba
- netFoundry
- nuage
- openSystems
- paloAltoNetworks
- riverbedTechnology
- silverPeak
- vmWareSdWan
- versa
可在其中创建远程网络的有效区域
| 欧洲、中东和非洲 (EMEA) | 亚太地区(APAC) | 拉丁美洲 (LATAM) | 北美 (NA) |
|---|---|---|---|
| franceCentral | australiaEast | brazilSouth | canadaCentral |
| franceSouth | australiaSouthEast | canadaEast | |
| germanyWestCentral | centralIndia | centralUS | |
| israelCentral | japanEast | eastUS | |
| italyNorth | japanWest | northCentralUS | |
| northEurope | koreaCentral | southCentralUS | |
| polandCentral | koreaSouth | westCentralUS | |
| southAfricaNorth | southEastAsia | westUS | |
| southAfricaWest | southIndia | westUS2 | |
| swedenCentral | westUS3 | ||
| switzerlandNorth | |||
| uaeNorth | |||
| ukSouth | |||
| westEurope |
有效 ASN
可以使用任何 2 字节值(1 到 65534 之间),以下保留 ASN 除外:
- Azure 保留 ASN:12076、65517、65518、65519、65520、8076、8075
- IANA 保留 ASN:23456、>= 64496 且 <= 64511、>= 65535 且 <= 65551、4294967295
- 65476
有效 BGP 地址
可使用除以下地址以外的任何 BGP 地址:
- 0.0.0.0/32
- 127.0.0.0/8
- 224.0.0.0/4
- 255.255.255.255/32
默认 IPSec/IKE 配置
如果你在 Microsoft Entra 管理中心配置远程网络设备链路时选择“默认”作为 IPsec/IKE 策略,我们预计隧道握手中会出现以下组合。 组合中的每个值都输入到 CPE 上。
重要
必须在 CPE 上指定第 1 阶段和第 2 阶段的组合。
IKE 第 1 阶段组合
| 属性 | 组合 1 | 组合 2 | 组合 3 | 组合 4 |
|---|---|---|---|---|
| IKE 加密 | GCMAES256 | GCMAES128 | AES256 | AES128 |
| IKE 完整性 | SHA384 | SHA256 | SHA384 | SHA256 |
| DH 组 | DHGroup24 | DHGroup24 | DHGroup24 | DHGroup24 |
IKE 第 2 阶段组合
| 属性 | 组合 1 | 组合 2 | 组合 3 |
|---|---|---|---|
| IPSec 加密 | GCMAES256 | GCMAES192 | GCMAES128 |
| IPSec 完整性 | GCMAES256 | GCMAES192 | GCMAES128 |
| PFS 组 | 无 | None | 无 |
自定义 IPSec/IKE 组合
如果在 Microsoft Entra 管理中心配置远程网络设备链路时选择“自定义”作为 IPSec/IKE 配置,则必须使用以下组合之一。
IKE 第 1 阶段组合
IKE 第 1 阶段组合没有限制。 加密、完整性和 DH 组的任何混合和匹配都是有效的。
IKE 第 2 阶段组合
下表提供了 IPSec 加密和完整性配置:
| IPSec 加密 | IPSec 完整性 |
|---|---|
| GCMAES128 | GCMAES128 |
| GCMAES192 | GCMAES192 |
| GCMAES256 | GCMAES256 |
| 无 | SHA256 |
- PFS 组 - 无限制。
- SA 生存期 - 必须 >300 秒。
有效枚举
以下值可用于 IKE、IPSec、DH 组和 PFS 组属性。
IKE 加密
| 值 | Enum |
|---|---|
| AES128 | 0 |
| AES192 | 1 |
| AES256 | 2 |
| GCMAES128 | 3 |
| GCMAES256 | 4 |
IKE 完整性
| 值 | Enum |
|---|---|
| SHA256 | 0 |
| SHA384 | 1 |
| GCMAES256 | 2 |
| GCMAES256 | 3 |
DH 组
| 值 | Enum |
|---|---|
| DHGroup14 | 0 |
| DHGroup2048 | 1 |
| ECP256 | 2 |
| ECP384 | 3 |
| DHGroup24 | 4 |
IPSec 加密
| 值 | Enum |
|---|---|
| GCMAES128 | 0 |
| GCMAES192 | 1 |
| GCMAES256 | 2 |
| 无 | 3 |
IPSec 完整性
| 值 | Enum |
|---|---|
| GCMAES128 | 0 |
| GCMAES192 | 1 |
| GCMAES256 | 2 |
| SHA256 | 3 |
PFS 组
| 值 | Enum |
|---|---|
| PFS1 | 0 |
| 无 | 1 |
| PFS2 | 2 |
| PFS2048 | 3 |
| ECP256 | 4 |
| ECP384 | 5 |
| PFSMM | 6 |
| PFS24 | 7 |
| PFS14 | 8 |