Jak utworzyć sieć zdalną za pomocą globalnego bezpiecznego dostępu

Artykuł
10/04/2024

Sieci zdalne to lokalizacje zdalne, takie jak oddział lub sieci wymagające łączności z Internetem. Konfigurowanie sieci zdalnych łączy użytkowników w lokalizacjach zdalnych z globalnym bezpiecznym dostępem. Po skonfigurowaniu sieci zdalnej można przypisać profil przekazywania ruchu w celu zarządzania ruchem sieci firmowym. Globalny bezpieczny dostęp zapewnia łączność sieci zdalnej, dzięki czemu można stosować zasady zabezpieczeń sieci do ruchu wychodzącego.

Istnieje wiele sposobów łączenia sieci zdalnych z globalnym bezpiecznym dostępem. W skrócie opisano tworzenie tunelu zabezpieczeń protokołu internetowego (IPSec) między routerem podstawowym, znanym jako sprzęt lokalny klienta (CPE), w sieci zdalnej i najbliższego globalnego punktu końcowego bezpiecznego dostępu. Cały ruch związany z Internetem jest kierowany przez router podstawowy sieci zdalnej na potrzeby oceny zasad zabezpieczeń w chmurze. Instalacja klienta nie jest wymagana na poszczególnych urządzeniach.

W tym artykule wyjaśniono, jak utworzyć sieć zdalną dla globalnego bezpiecznego dostępu.

Warunki wstępne

Aby skonfigurować sieci zdalne, musisz mieć następujące elementy:

Rola administratora globalnego bezpiecznego dostępu w usłudze Microsoft Entra ID.
Produkt wymaga licencjonowania. Aby uzyskać szczegółowe informacje, zobacz sekcję licencjonowania Co to jest globalny bezpieczny dostęp. W razie potrzeby możesz kupić licencje lub uzyskać licencje próbne.
Aby korzystać z profilu przekazywania ruchu firmy Microsoft, zaleca się licencję platformy Microsoft 365 E3.
Sprzęt lokalny klienta (CPE) musi obsługiwać następujące protokoły:
- Zabezpieczenia protokołu internetowego (IPSec)
- GCMEAES128, GCMAES 192 lub algorytmy GCMAES256 dla negocjacji w fazie 2 programu Internet Key Exchange (IKE)
- Internet Key Exchange w wersji 2 (IKEv2)
- Border Gateway Protocol (BGP)
Przejrzyj prawidłowe konfiguracje konfigurowania sieci zdalnych.
Rozwiązanie do łączności sieciowej zdalnej używa konfiguracji sieci VPN RouteBased z selektorami ruchu dowolne-dowolne (symbol wieloznaczny lub 0.0.0.0/0). Upewnij się, że procesor CPE ma prawidłowy zestaw selektorów ruchu.
Rozwiązanie do łączności sieciowej zdalnej używa trybów odpowiedzi . CpE musi zainicjować połączenie.

Znane ograniczenia

Liczba sieci zdalnych na dzierżawę jest ograniczona do 10. Liczba łączy urządzeń na sieć zdalną jest ograniczona do czterech.
Ruch firmy Microsoft jest uzyskiwany za pośrednictwem zdalnej łączności sieciowej bez klienta globalnego bezpiecznego dostępu. Jednak zasady dostępu warunkowego nie są wymuszane. Innymi słowy, zasady dostępu warunkowego dla ruchu globalnego bezpiecznego dostępu firmy Microsoft są wymuszane tylko wtedy, gdy użytkownik ma klienta globalnego bezpiecznego dostępu.
Należy użyć klienta globalnego bezpiecznego dostępu do Dostęp Prywatny Microsoft Entra. Zdalna łączność sieciowa obsługuje tylko Dostęp do Internetu Microsoft Entra.

Ogólne kroki

Sieć zdalną można utworzyć w centrum administracyjnym firmy Microsoft Entra lub za pomocą interfejsu API programu Microsoft Graph.

Na wysokim poziomie istnieje pięć kroków tworzenia sieci zdalnej i konfigurowania aktywnego tunelu IPsec:

Podstawowe informacje: wprowadź podstawowe informacje, takie jak Nazwa i Region sieci zdalnej. Region określa, gdzie ma być inny koniec tunelu IPsec. Drugi koniec tunelu to router lub CPE.
Łączność: dodaj link urządzenia (lub tunel IPsec) do sieci zdalnej. W tym kroku wprowadzisz szczegóły routera w centrum administracyjnym firmy Microsoft Entra, które informuje firmę Microsoft, skąd będą oczekiwane negocjacje IKE.
Profil przekazywania ruchu: skojarz profil przekazywania ruchu z siecią zdalną, który określa ruch do uzyskania przez tunel IPsec. Używamy routingu dynamicznego za pośrednictwem protokołu BGP.
Wyświetl konfigurację łączności CPE: pobierz szczegóły tunelu IPsec końca tunelu firmy Microsoft. W kroku Łączność podano szczegóły routera firmie Microsoft. W tym kroku po stronie firmy Microsoft zostanie pobrana konfiguracja łączności.
Skonfiguruj cpe: wykonaj konfigurację łączności firmy Microsoft z poprzedniego kroku i wprowadź ją w konsoli zarządzania routera lub CPE. Ten krok nie znajduje się w centrum administracyjnym firmy Microsoft Entra.

Centrum administracyjne firmy Microsoft Entra
Microsoft Graph API

Sieci zdalne są konfigurowane na trzech kartach. Należy wykonać każdą kartę w kolejności. Po zakończeniu pracy z kartą wybierz następną kartę w górnej części strony lub wybierz przycisk Dalej w dolnej części strony.

Podstawy

Pierwszym krokiem jest podanie nazwy i lokalizacji sieci zdalnej. Ukończenie tej karty jest wymagane.

Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako administrator globalnego bezpiecznego dostępu.
Przejdź do lokalizacji Global Secure Access Connect Remote Networks (Global Secure Access>Connect>Remote Networks).
Wybierz przycisk Utwórz sieć zdalną i podaj szczegóły.
- Nazwa
- Region

Zrzut ekranu przedstawiający kartę Podstawy procesu tworzenia linku urządzenia.

Łączność

Karta Łączność umożliwia dodanie linków urządzenia dla sieci zdalnej. Łącza urządzeń można dodawać po utworzeniu sieci zdalnej. Musisz podać typ urządzenia, publiczny adres IP adresu CPE, protokołu BGP (Border Gateway Protocol) i numer systemu autonomicznego (ASN) dla każdego linku urządzenia.

Szczegóły wymagane do ukończenia karty Łączność mogą być złożone. Aby uzyskać więcej informacji, zobacz Jak zarządzać linkami zdalnych urządzeń sieciowych.

Profile przesyłania dalej ruchu

Sieć zdalną można przypisać do profilu przekazywania ruchu podczas tworzenia sieci zdalnej. Możesz również przypisać sieć zdalną w późniejszym czasie. Aby uzyskać więcej informacji, zobacz Profile przekazywania ruchu.

Wybierz przycisk Dalej lub wybierz kartę Profile ruchu.
Wybierz odpowiedni profil przekazywania ruchu.
Wybierz przycisk Przejrzyj i utwórz.

Ostatnią kartą procesu jest przejrzenie wszystkich podanych ustawień. Przejrzyj szczegóły podane tutaj i wybierz przycisk Utwórz sieć zdalną.

Wyświetlanie konfiguracji łączności CPE

Wszystkie sieci zdalne są wyświetlane na stronie Sieć zdalna. Wybierz link Wyświetl konfigurację w kolumnie Szczegóły łączności, aby wyświetlić szczegóły konfiguracji.

Te szczegóły zawierają informacje o łączności po stronie dwukierunkowego kanału komunikacyjnego firmy Microsoft, którego używasz do skonfigurowania środowiska CPE.

Ten proces został szczegółowo opisany w temacie Jak skonfigurować sprzęt lokalny klienta.

Konfigurowanie cpe

Ten krok jest wykonywany w konsoli zarządzania cpE, a nie w centrum administracyjnym firmy Microsoft Entra. Dopóki nie ukończysz tego kroku, protokół IPsec nie zostanie skonfigurowany. Protokół IPsec to dwukierunkowa komunikacja. Negocjacje IKE odbywają się między dwiema stronami przed pomyślnym utworzeniem tunelu. Nie przegap tego kroku.

Globalne sieci zdalne bezpiecznego dostępu można wyświetlać i zarządzać przy użyciu programu Microsoft Graph w punkcie /beta końcowym. Tworzenie sieci zdalnej i przypisywanie profilu przekazywania ruchu to oddzielne wywołania interfejsu API.

Zaloguj się do Eksploratora programu Graph.
Wybierz POST jako metodę HTTP .
AP Wybierz BETA wersję.

Uruchom zapytanie.

POST https://graph.microsoft.com/beta/networkAccess/connectivity/remoteNetworks
Content-Type: application/json

{
    "name": "Bellevue branch w/ device link",
    "region": "canadaEast",
    "forwardingProfiles": [
        {
            "id": "1adaf535-1e31-4e14-983f-2270408162bf"
        }
    ],
    "deviceLinks": [
        {
            "name": "CPE1",
            "ipAddress": "52.13.21.25",
            "bandwidthCapacityInMbps": "mbps500",
            "deviceVendor": "barracudaNetworks",
            "bgpConfiguration": {
                "localIpAddress": "192.168.1.2",
                "peerIpAddress": "10.1.1.2",
                "asn": 65533
            },
            "redundancyConfiguration": {
                "zoneLocalIpAddress": null,
                "redundancyTier": "noRedundancy"
            },
            "tunnelConfiguration": {
                "@odata.type": "#microsoft.graph.networkaccess.tunnelConfigurationIKEv2Default",
                "preSharedKey": "test123"
            }
        }
    ]
}

Przypisywanie profilu przekazywania ruchu

Kojarzenie profilu przekazywania ruchu z siecią zdalną przy użyciu interfejsu API programu Microsoft Graph jest procesem dwuetapowym. Najpierw znajdź identyfikator profilu ruchu. Identyfikator jest inny dla wszystkich dzierżaw. Po drugie, skojarz profil przekazywania ruchu z żądaną siecią zdalną.

Zaloguj się do Eksploratora programu Graph.
Wybierz PATCH jako metodę HTTP z listy rozwijanej.
API Wybierz wersję do wersji beta.

Wprowadź zapytanie.

GET https://graph.microsoft.com/beta/networkaccess/forwardingprofiles

Wybierz pozycję Uruchom zapytanie.
ID Znajdź żądany profil przekazywania ruchu.
Wybierz PATCH jako metodę HTTP z listy rozwijanej.

Wprowadź zapytanie.

    PATCH https://graph.microsoft.com/beta/networkAccess/connectivity/remoteNetworks/dc6a7efd-6b2b-4c6a-84e7-5dcf97e62e04
    Content-Type: application/json

    {
        "name": "Test Redmond branch"
    }

Weryfikowanie konfiguracji sieci zdalnej

Istnieje kilka kwestii, które należy wziąć pod uwagę i zweryfikować podczas tworzenia sieci zdalnych. Może być konieczne dwukrotne sprawdzenie niektórych ustawień.

Sprawdź profil kryptograficzny IKE: profil kryptograficzny (algorytmy fazy 1 i fazy 2) dla linku urządzenia powinny być zgodne z tym, co jest ustawione na CPE. Jeśli wybrano domyślne zasady IKE, upewnij się, że konfiguracja cpE została skonfigurowana przy użyciu profilu kryptograficznego określonego w artykule Dokumentacja konfiguracji sieci zdalnej.
Sprawdź klucz wstępny: porównaj klucz wstępny określony podczas tworzenia linku urządzenia w usłudze Microsoft Global Secure Access przy użyciu klucza PSK określonego na serwerze CPE. Ten szczegół jest dodawany na karcie Zabezpieczenia podczas procesu dodawania linku. Aby uzyskać więcej informacji, zobacz Jak zarządzać linkami urządzeń sieciowych zdalnych.
Zweryfikuj lokalne i równorzędne adresy IP protokołu BGP: publiczny adres IP i adres BGP używany do konfigurowania protokołu CPE musi być zgodny z tym, co jest używane podczas tworzenia linku urządzenia w globalnym dostępie firmy Microsoft.
- Zapoznaj się z prawidłową listą adresów BGP, aby użyć wartości zarezerwowanych, których nie można użyć.
- Adresy protokołu BGP lokalnego i równorzędnego są odwracane między procesorem CPE a tym, co zostało wprowadzone w globalnym bezpiecznym dostępie.
  - CPE: Lokalny adres IP protokołu BGP = IP1, adres IP protokołu BGP elementu równorzędnego = IP2
  - Globalny bezpieczny dostęp: lokalny adres IP protokołu BGP = IP2, adres IP protokołu BGP elementu równorzędnego = IP1
- Wybierz adres IP globalnego bezpiecznego dostępu, który nie nakłada się na sieć lokalną.
Sprawdź nazwę ASN: Globalny bezpieczny dostęp używa protokołu BGP do anonsowania tras między dwoma systemami autonomicznymi: siecią i firmą Microsoft. Te systemy autonomiczne powinny mieć różne numery systemów autonomicznych (ASN).
- Zapoznaj się z listą prawidłowych wartości usługi ASN dla wartości zarezerwowanych, których nie można użyć.
- Podczas tworzenia sieci zdalnej w centrum administracyjnym firmy Microsoft Entra użyj sieci ASN.
- Podczas konfigurowania cpE użyj nazwy ASN firmy Microsoft. Przejdź do pozycji Globalne urządzenia z>dostępem zdalnym.> Wybierz pozycję Łącza i potwierdź wartość w kolumnie Link ASN .
Sprawdź publiczny adres IP: w środowisku testowym lub w konfiguracji laboratorium publiczny adres IP serwera CPE może się nieoczekiwanie zmienić. Ta zmiana może spowodować niepowodzenie negocjacji IKE, mimo że wszystko pozostaje takie samo.
- Jeśli wystąpi ten scenariusz, wykonaj następujące kroki:
  - Zaktualizuj publiczny adres IP w profilu kryptograficznym swojego CPE.
  - Przejdź do sieci zdalnych globalnych urządzeń>z bezpiecznym dostępem>.
  - Wybierz odpowiednią sieć zdalną, usuń stary tunel i utwórz ponownie nowy tunel przy użyciu zaktualizowanego publicznego adresu IP.
Zweryfikuj publiczny adres IP firmy Microsoft: po usunięciu linku urządzenia i/lub utworzeniu nowego może zostać wyświetlony inny publiczny punkt końcowy adresu IP tego linku w sekcji Wyświetl konfigurację dla tej sieci zdalnej. Ta zmiana może spowodować niepowodzenie negocjacji IKE. Jeśli wystąpi ten scenariusz, zaktualizuj publiczny adres IP w profilu kryptograficznym swojego cpE.
Sprawdź ustawienie łączności protokołu BGP w środowisku CPE: Załóżmy, że utworzysz link urządzenia dla sieci zdalnej. Firma Microsoft udostępnia publiczny adres IP, np. PIP1 i adres BGP, np. BGP1, swojej bramy. Te informacje o łączności są dostępne w obszarze localConfigurations w obiekcie blob jSON widocznym po wybraniu pozycji Wyświetl konfigurację dla tej sieci zdalnej. Na serwerze CPE upewnij się, że masz trasę statyczną przeznaczoną do protokołu BGP1 wysłaną za pośrednictwem interfejsu tunelu utworzonego za pomocą narzędzia PIP1. Trasa jest niezbędna, aby cpE mogła poznać trasy protokołu BGP, które publikujemy w tunelu IPsec utworzonym przez firmę Microsoft.
Sprawdź reguły zapory: Zezwalaj na port 500 i 4500 protokołu UDP (User Datagram Protocol) oraz port 179 protokołu TCP dla tunelu IPsec i łączności protokołu BGP w zaporze.
Przekierowywanie portów: W niektórych sytuacjach router usługodawcy internetowego jest również urządzeniem translatora adresów sieciowych (NAT). Translator adresów sieciowych konwertuje prywatne adresy IP urządzeń domowych na publiczne urządzenie z routingiem internetowym.
- Ogólnie rzecz biorąc, urządzenie NAT zmienia zarówno adres IP, jak i port. Zmiana tego portu jest głównym źródłem problemu.
- Aby tunele IPsec działały, globalny bezpieczny dostęp używa portu 500. W tym porcie odbywa się negocjowanie protokołu IKE.
- Jeśli router usługodawcy tożsamości zmieni ten port na inny, globalny bezpieczny dostęp nie może zidentyfikować tego ruchu i negocjacji zakończy się niepowodzeniem.
- W rezultacie faza 1 negocjacji IKE kończy się niepowodzeniem i tunel nie zostanie ustanowiony.
- Aby skorygować ten błąd, ukończ przekierowywanie portów na urządzeniu, co informuje router usługodawcy isp, aby nie zmienił portu i przekazał go w taki sposób, jak jest.

Następne kroki

Następnym krokiem do rozpoczęcia pracy z Dostęp do Internetu Microsoft Entra jest skierowanie profilu ruchu firmy Microsoft do zasad dostępu warunkowego.

Aby uzyskać więcej informacji na temat sieci zdalnych, zobacz następujące artykuły:

Udostępnij za pośrednictwem