设备链路是将远程网络(例如分支机构位置)连接到全球安全访问的物理路由器。 如果在添加设备链路时选择“自定义”选项,则必须使用一组特定的组合。 如果选择“默认”选项,则必须在客户本地设备 (CPE) 上输入特定的属性组合。
自定义和默认详细信息
在默认配置和自定义配置中使用可用的区域、设备类型、自治系统编号 (ASN) 和边界网关协议 (BGP) 地址。
可用的设备选项
- 梭子鱼网络
- 检查站
- 思科Meraki
- 思杰
- Fortinet 公司
- hpeAruba
- 网络铸造
- 无聊
- 开放系统
- paloAltoNetworks
- 河床技术
- 银峰
- vmWareSdWan
- 反之亦然
可在其中创建远程网络的有效区域
| 欧洲、中东和非洲 (EMEA) | 亚太地区(APAC) | 拉丁美洲 (LATAM) | 北美 (NA) |
|---|---|---|---|
| 法国中部 | 澳大利亚东部 | 巴西南部 | 加拿大中部 |
| franceSouth | 澳大利亚东南部 | 加拿大东部 | |
| 德国西中部 | 印度中部 | 美国中部 | |
| 以色列中央 | japanEast (日本东方) | 东美国 | |
| 意大利北部 | 日本西部 | 美国中北部 | |
| 北欧 | 韩国中部 | 美国中南部 | |
| 波兰中心 | 韩国韩国 | 美国中西部 | |
| 南非北部 | 东南亚 | 美国西部 | |
| 南非西部 | 南印度 | westUS2 (西部美国2) | |
| 瑞典中部 | 西美国3 | ||
| 瑞士北部 | |||
| 阿联酋北部 | |||
| ukSouth | |||
| 西欧 |
有效 ASN
可以使用任何 2 字节值(1 到 65534 之间),以下保留 ASN 除外:
- Azure 保留 ASN:12076、65517、65518、65519、65520、8076、8075
- IANA 保留 ASN:23456、>= 64496 且 <= 64511、>= 65535 且 <= 65551、4294967295
- 65476
有效 BGP 地址
可使用除以下地址以外的任何 BGP 地址:
- 0.0.0.0/32
- 127.0.0.0/8
- 224.0.0.0/4
- 255.255.255.255/32
默认 IPSec/IKE 配置
如果你在 Microsoft Entra 管理中心配置远程网络设备链路时选择“默认”作为 IPsec/IKE 策略,我们预计隧道握手中会出现以下组合。 组合中的每个值都输入到 CPE 上。
重要
必须在 CPE 上指定第 1 阶段和第 2 阶段的组合。
IKE 第 1 阶段组合
| 属性 | 组合 1 | 组合 2 | 组合 3 | 组合 4 |
|---|---|---|---|---|
| IKE 加密 | GCMAES256 | GCMAES128 | AES256 | AES128 |
| IKE 完整性 | SHA384 | SHA256 | SHA384 | SHA256 |
| DH 组 | DHGroup24 | DHGroup24 | DHGroup24 | DHGroup24 |
IKE 第 2 阶段组合
| 属性 | 组合 1 | 组合 2 | 组合 3 |
|---|---|---|---|
| IPSec 加密 | GCMAES256 | GCMAES192 | GCMAES128 |
| IPSec 完整性 | GCMAES256 | GCMAES192 | GCMAES128 |
| PFS 组 | 无 | 无 | 无 |
自定义 IPSec/IKE 组合
如果在 Microsoft Entra 管理中心配置远程网络设备链路时选择“自定义”作为 IPSec/IKE 配置,则必须使用以下组合之一。
IKE 第 1 阶段组合
IKE 第 1 阶段组合没有限制。 加密、完整性和 DH 组的任何混合和匹配都是有效的。
IKE 第 2 阶段组合
下表提供了 IPSec 加密和完整性配置:
| IPSec 加密 | IPSec 完整性 |
|---|---|
| GCMAES128 | GCMAES128 |
| GCMAES192 | GCMAES192 |
| GCMAES256 | GCMAES256 |
| 无 | SHA256 |
- PFS 组 - 无限制。
- SA 生存期 - 必须 >300 秒。
有效枚举
以下值可用于 IKE、IPSec、DH 组和 PFS 组属性。
IKE 加密
| 值 | 枚举 |
|---|---|
| AES128 | 0 |
| AES192 系列 | 1 |
| AES256 | 2 |
| GCMAES128 | 3 |
| GCMAES256 | 4 |
IKE 完整性
| 值 | 枚举 |
|---|---|
| SHA256 | 0 |
| SHA384 | 1 |
| GCMAES256 | 2 |
| GCMAES256 | 3 |
DH 组
| 值 | 枚举 |
|---|---|
| DHGroup14 | 0 |
| DHGroup2048 | 1 |
| ECP256 | 2 |
| ECP384 | 3 |
| DHGroup24 | 4 |
IPSec 加密
| 值 | 枚举 |
|---|---|
| GCMAES128 | 0 |
| GCMAES192 | 1 |
| GCMAES256 | 2 |
| 无 | 3 |
IPSec 完整性
| 值 | 枚举 |
|---|---|
| GCMAES128 | 0 |
| GCMAES192 | 1 |
| GCMAES256 | 2 |
| SHA256 | 3 |
PFS 组
| 值 | 枚举 |
|---|---|
| PFS1 | 0 |
| 无 | 1 |
| PFS2 | 2 |
| PFS2048 | 3 |
| ECP256 | 4 |
| ECP384 | 5 |
| PFSMM | 6 |
| PFS24 | 7 |
| PFS14 | 8 |