Создание удаленной сети с помощью глобального безопасного доступа

Удаленные сети — это удаленные расположения, такие как филиал или сети, требующие подключения к Интернету. Настройка удаленных сетей подключает пользователей в удаленных расположениях к глобальному безопасному доступу. После настройки удаленной сети можно назначить профиль пересылки трафика для управления корпоративным сетевым трафиком. Глобальный безопасный доступ обеспечивает удаленное сетевое подключение, чтобы применить политики безопасности сети к исходящему трафику.

Удаленные сети можно подключить к глобальному безопасному доступу несколькими способами. В кратком фрагменте вы создаете туннель безопасности протокола Интернета (IPSec) между основным маршрутизатором, известным как локальное оборудование клиента (CPE), в удаленной сети и ближайшей конечной точке глобального безопасного доступа. Все маршруты трафика, привязанные к Интернету, через основной маршрутизатор удаленной сети для оценки политики безопасности в облаке. Вам не нужно устанавливать клиент на отдельных устройствах.

В этой статье объясняется, как создать удаленную сеть для глобального безопасного доступа.

Предварительные условия

Чтобы настроить удаленные сети, необходимо:

  • Роль Global Secure Access Administrator в Microsoft Entra ID.
  • Продукту требуется лицензирование. Дополнительные сведения см. в разделе лицензирования "Что такое глобальный безопасный доступ". При необходимости вы можете приобрести лицензии или получить пробные лицензии.
  • Локальное оборудование клиента (CPE) должно поддерживать следующие протоколы:
    • Интернет-протокол безопасности (IPSec)
    • Алгоритмы GCMAES128, GCMAES192 или GCMAES256 для согласования второй фазы Internet Key Exchange (IKE)
    • Интернет-протокол обмена ключами версии 2 (IKEv2)
    • Протокол граничного шлюза (BGP)
  • Проверьте допустимые конфигурации для настройки удаленных сетей.
  • Решение для удаленного сетевого подключения использует конфигурацию VPN RouteBased с селекторами трафика любой-любой (подстановочными знаками или 0.0.0.0/0). Убедитесь, что на вашем CPE установлен правильный селектор трафика.
  • Решение для удаленного сетевого подключения использует режимы реагирования . Ваш CPE должен инициировать подключение.

Известные ограничения

Подробные сведения об известных проблемах и ограничениях см. в разделе "Известные ограничения для глобального безопасного доступа".

Пошаговые действия

Вы можете создать удаленную сеть в Центр администрирования Microsoft Entra или через API Graph Майкрософт.

На высоком уровне существует пять шагов по созданию удаленной сети и настройке активного туннеля IPsec:

  1. Основы. Введите основные сведения, такие как имя и регион удаленной сети. Регион указывает, где требуется другой конец туннеля IPsec. Другой конец туннеля — это ваш маршрутизатор или абонентское оборудование (CPE).

  2. Подключение: добавьте канал устройства (или туннель IPsec) в удаленную сеть. На этом шаге вы вводите данные о маршрутизаторе в администраторском центре Майкрософт Entra, которые сообщают Майкрософт, откуда ожидать поступления переговоров IKE.

  3. Профиль пересылки трафика: свяжите профиль пересылки трафика с удаленной сетью, которая указывает, какой трафик необходимо получить через туннель IPsec. Глобальный безопасный доступ использует динамическую маршрутизацию через BGP.

  4. Просмотр конфигурации подключения CPE: получение сведений о туннеле IPsec на стороне Майкрософт. На шаге Connectivity вы предоставили сведения о маршрутизаторе Майкрософт. На данном этапе вы извлечете конфигурацию подключения со стороны Майкрософт.

  5. Set up your CPE. Выполните конфигурацию подключения Майкрософт на предыдущем шаге и введите ее в консоли управления маршрутизатора или CPE. Этот шаг не находится в центре администрирования Microsoft Entra.

Вы настраиваете удаленные сети на трех вкладках. Заполните каждую вкладку поочередно. После завершения каждой вкладки выберите следующую вкладку в верхней части страницы или нажмите кнопку "Далее " в нижней части страницы.

Основные сведения

На вкладке "Основные сведения" введите имя и расположение удаленной сети. Эту вкладку необходимо завершить.

  1. Войдите в Центр администрирования Microsoft Entra как администратор Global Secure Access Administrator.
  2. Перейдите к Global Secure Access>Connect>удаленным сетям.
  3. Выберите "Создать удаленную сеть " и введите сведения.
    • Имя
    • Регион

Снимок экрана вкладки «Основы» процесса создания связи с устройством.

Подключение

Добавьте ссылки устройства для удаленной сети на вкладке "Подключение ". После создания удаленной сети можно добавить ссылки на устройства. Для каждой связи устройства введите тип устройства, общедоступный IP-адрес вашего CPE, адрес протокола BGP и номер автономной системы (ASN).

Сведения, необходимые для завершения вкладки "Подключение" , могут быть сложными. Дополнительные сведения см. в разделе "Как управлять ссылками удаленных сетевых устройств".

Профили пересылки трафика

При создании удаленной сети можно назначить удаленную сеть профилю пересылки трафика. Вы также можете назначить удаленную сеть позже. Дополнительные сведения см. в разделе "Профили пересылки трафика".

  1. Нажмите кнопку "Далее" или перейдите на вкладку "Профили трафика".

  2. Выберите соответствующий профиль пересылки трафика.

  3. Нажмите кнопку "Просмотр и создание ".

    Снимок экрана страницы

Глобальный безопасный доступ применяет профили перенаправления трафика для всех каналов устройств, таких как туннели IPsec, связанные с удаленной сетью. Он перенаправляет только те типы трафика, которые соответствуют включенному и связанному профилю пересылки трафика. Шлюз глобального безопасного доступа удаляет весь остальной трафик.

Это принуждение означает:

  • Если связать только профиль трафика Майкрософт с удаленной сетью, шлюз глобального безопасного доступа удаляет любой не Майкрософт трафик (например, общий интернет-трафик), отправленный по ссылке устройства.
  • Если связать только профиль трафика Internet Access с удаленной сетью, шлюз глобального безопасного доступа отклоняет любой трафик Майкрософт, отправленный по ссылке устройства.

Это важно

Чтобы избежать непреднамеренной потери трафика, свяжите оба профиль трафика Майкрософт и профиль трафика Internet Access с вашей удаленной сетью, если позволяет лицензия. Эта конфигурация гарантирует, что соответствующий профиль обрабатывает весь трафик, перенаправляемый через туннель IPsec, а не автоматически сбрасывает его на шлюзе.

Дополнительные сведения о доступных профилях пересылки трафика и их конфигурации см. в разделе "Профили пересылки трафика глобального безопасного доступа".

Последняя вкладка процесса — просмотреть все предоставленные параметры. Просмотрите сведения, указанные здесь, и нажмите кнопку "Создать удаленную сеть ".

Просмотр конфигурации подключения CPE

На странице удаленной сети отображаются все удаленные сети. Выберите ссылку "Просмотр конфигурации" в столбце сведений о подключении, чтобы просмотреть сведения о конфигурации.

Эти данные содержат информацию о подключении на стороне Майкрософт в двунаправленном канале связи, который вы используете для настройки вашего оборудования CPE.

Этот процесс подробно описан в разделе " Как настроить локальное оборудование клиента".

Настройте ваше CPE

Этот шаг выполняется в консоли управления CPE, а не в Центр администрирования Microsoft Entra. Пока вы не завершите этот шаг, IPsec не настроен. IPsec — это двунаправленное взаимодействие. Переговоры IKE проводятся между двумя сторонами перед успешным созданием туннеля. Не пропустите этот шаг.

Подсказка

Рекомендации по повышению устойчивости удаленных сетей см. в рекомендациях по обеспечению устойчивости удаленной сети глобального безопасного доступа.

Проверка конфигураций удаленной сети

Рассмотрите и проверьте несколько параметров при создании удаленных сетей. Возможно, потребуется дважды проверить некоторые параметры.

  • Проверьте профиль шифрования IKE: профиль шифрования (алгоритмы IKE 1 и 2), заданный для ссылки устройства, должен соответствовать параметру CPE. Если выбрана политика IKE по умолчанию, убедитесь, что CPE настроен с помощью профиля шифрования, указанного в справочной статье по конфигурациям удаленной сети .

  • Проверить предварительно общий ключ безопасности: Сравните предварительно общий ключ безопасности (PSK), указанный при создании связи устройства в Майкрософт Global Secure Access, с PSK, указанным на вашем CPE. Добавьте эти сведения на вкладку "Безопасность " во время процесса добавления ссылки . Дополнительные сведения см. в разделе "Как управлять ссылками удаленных сетевых устройств".

  • Верифицировать локальные и одноранговые IP-адреса BGP: общедоступный IP-адрес и адрес BGP, используемые для настройки CPE, должен соответствовать тому, что вы используете при создании ссылки устройства в Майкрософт global Secure Access.

    • Ознакомьтесь со списком допустимых адресов BGP, чтобы увидеть зарезервированные значения, которые нельзя использовать.
      • Локальные и одноранговые адреса BGP перепутаны между CPE и теми, что вы ввели в Global Secure Access.
      • CPE: локальный IP-адрес BGP = IP1, одноранговый IP-адрес BGP = IP2
      • Глобальный безопасный доступ: локальный IP-адрес BGP = IP2, одноранговый IP-адрес BGP = IP1
    • Выберите IP-адрес для глобального защищенного доступа, который не перекрывается с локальной сетью.

  • Verify ASN: Глобальный безопасный доступ использует BGP для анонсирования маршрутов между двумя автономными системами: вашей сетью и Майкрософт. Эти автономные системы должны иметь разные номера автономной системы (ASN).

    • Ознакомьтесь со списком допустимых значений ASN для зарезервированных значений, которые нельзя использовать.
    • При создании удаленной сети в Центр администрирования Microsoft Entra используйте ASN вашей сети.
    • При настройке CPE используйте ASN Майкрософт. Перейдите к Глобальная безопасная связь>Устройства>Удалённые сети. Выберите ссылки и подтвердите значение в столбце Link ASN .

  • Проверьте общедоступный IP-адрес. В тестовой среде или настройке лаборатории общедоступный IP-адрес CPE может неожиданно измениться. Это изменение может привести к сбою переговоров IKE, даже если все остается неизменным.

    • Если вы столкнулись с этим сценарием, выполните следующие действия.
      • Обновите общедоступный IP-адрес в профиле шифрования CPE.
      • Перейдите к Глобальному Безопасному Доступу>Устройства>Удаленные Сети.
      • Выберите соответствующую удаленную сеть, удалите старый туннель и создайте новый туннель с обновленным общедоступным IP-адресом.

  • Проверьте общедоступный IP-адрес Майкрософт: при удалении ссылки на устройство и/или создании новой вы можете получить другую конечную точку общедоступного IP-адреса этой ссылки в разделе Просмотр конфигурации для этой удаленной сети. Это изменение может привести к сбою согласования IKE. Если вы столкнулись с этим сценарием, обновите общедоступный IP-адрес в профиле шифрования CPE.

  • Проверьте параметры подключения BGP в CPE: предположим, что вы создаете ссылку устройства для удаленной сети. Майкрософт предоставляет общедоступный IP-адрес, например PIP1 и BGP-адрес, например BGP1, своего шлюза. Эта информация о подключении доступна в jSON blob под localConfigurations, который вы увидите, выбрав "Просмотр конфигурации" для этой удаленной сети. Убедитесь, что на вашем устройстве CPE настроен статический маршрут, нацеленный на BGP1, отправленный через интерфейс туннеля, созданный с PIP1. Маршрут необходим, чтобы CPE смог узнать маршруты BGP, которые мы публикуем через туннель IPsec, созданный с помощью Майкрософт.

  • Проверьте правила брандмауэра: разрешите порты User Datagram Protocol (UDP) 500 и 4500 и Transmission Control Protocol (TCP) порт 179 для туннеля IPsec и соединения BGP в брандмауэре.

  • Перенаправление портов. В некоторых ситуациях маршрутизатор поставщика услуг Интернета (ISP) также является устройством преобразования сетевых адресов (NAT). NAT преобразует частные IP-адреса домашних устройств в общедоступные адреса, которые могут маршрутизироваться в интернете.

    • Как правило, устройство NAT изменяет IP-адрес и порт. Это изменение порта является корнем проблемы.
    • Для работы туннелей IPsec глобальный безопасный доступ использует порт 500. На этом порту происходит согласование IKE.
    • Если маршрутизатор ISP изменяет этот порт на другой, Global Secure Access не может определить этот трафик и согласование не удаётся.
    • В результате сбой происходит на этапе 1 согласования IKE, и туннель не установлен.
    • Чтобы устранить эту ошибку, завершите перенаправление портов на устройстве, которое сообщает маршрутизатору ISP, что не изменяет порт и перенаправляет его as-is.

Следующие шаги

Чтобы приступить к работе с Интернет-доступ Microsoft Entra, нацельте профиль трафика Майкрософт с использованием политики условного доступа.

Дополнительные сведения о удаленных сетях см. в следующих статьях:

  • Last updated on