IPSec 隧道是双向通信。 在全球安全访问中添加通向远程网络的设备链接时,会建立通信的一端。 在此过程中,你在 Microsoft Entra 管理中心内输入你的公共 IP 地址和边界网关协议 (BGP) 地址,以告知我们有关你的网络配置的信息。
本文提供了设置信道另一端的步骤。
先决条件
若要配置客户本地设备 (CPE),必须具备:
- Microsoft Entra ID 中的全局安全访问管理员角色。
- 产品需要经过许可。 有关详细信息,请参阅什么是全球安全访问的许可部分。 如果需要,可以购买许可证或获取试用许可证。
- 若要配置 CPE,必须已完成“全局安全访问”加入过程。
如何配置客户本地设备
可以在 Microsoft Entra 管理中心或使用 Microsoft Graph API 来设置 CPE。 创建远程网络并添加设备链接信息时,会生成配置详细信息。 配置 CPE 需要这些详细信息。
以全局安全访问管理员身份登录到 Microsoft Entra 管理中心。
浏览到全球安全访问>连接到远程网络。
为需要配置的远程网络选择“查看配置”。
从打开的面板中找到并保存 Microsoft 的公共 IP 地址
endpoint。
在 CPE 的首选接口中,输入在上一步中保存的 IP 地址。 此步骤完成 IPSec 隧道配置。
下图突出显示了设备配置详细信息的各个主要部分。 每个部分的文字说明都遵循关系图。
branchId和branchName表示远程网络详细信息。displayName为设备链接名称。endpoint、asn、bgpAddress和region表示 Microsoft 连接详细信息。 在 CPE 上输入这些详细信息。- 对于区域冗余设备链接,会生成第二组详细信息。
PeerConfiguration和随后的详细信息表示 CPE 连接详细信息。- 如果你配置了更多设备,随后还会显示它们的详细信息。
重要
为设备链接指定的加密配置文件应与在 CPE 上指定的信息匹配。 如果在配置设备链接时选择了“默认”IKE 策略,请使用在文章“远程网络配置”中所述的配置。