글로벌 보안 액세스에 대한 사용자 지정 IKE 정책으로 원격 네트워크 만들기

아티클
10/04/2024

IPSec 터널은 양방향 통신입니다. 이 문서에서는 Microsoft Entra 관리 센터 및 Microsoft Graph API에서 통신 채널을 설정하는 단계를 제공합니다. 통신의 다른 쪽은 CPE(고객 프레미스 장비)에 구성됩니다.

필수 조건

사용자 지정 IKE(Internet Key Exchange) 정책을 사용하여 원격 네트워크를 만들려면 다음이 있어야 합니다.

Microsoft Entra ID의 전역 보안 액세스 관리자 역할입니다.
Global Secure Access 온보딩에서 연결 정보를 받았습니다.
제품에는 라이선스가 필요합니다. 자세한 내용은 전역 보안 액세스란?의 라이선스 섹션을 참조하세요. 필요한 경우 라이선스를 구매하거나 평가판 라이선스를 받을 수 있습니다.

사용자 지정 IKE 정책을 사용하여 원격 네트워크를 만드는 방법

원격 네트워크에 사용자 지정 IKE 정책 세부 정보를 추가하려는 경우 원격 네트워크에 장치 링크를 추가할 때 수행할 수 있습니다. Microsoft Entra 관리 센터에서 또는 Microsoft Graph API를 사용하여 이 단계를 완료할 수 있습니다.

Microsoft Entra 관리 센터
Microsoft Graph API

Microsoft Entra 관리 센터에서 사용자 지정 IKE 정책으로 원격 네트워크를 만들려면 다음을 수행하세요.

Microsoft Entra 관리 센터에 전체 보안 액세스 관리자로 로그인합니다.
전역 보안 액세스>연결>원격 네트워크로 이동합니다.
원격 네트워크 만들기를 선택합니다.
원격 네트워크의 이름과 지역을 입력하고 다음: 연결을 선택합니다.
CPE의 연결 세부 정보를 추가하려면 + 링크 추가를 선택합니다.

링크 추가 - 일반 탭

일반 탭에 입력할 몇 가지 세부 정보가 있습니다. 피어 및 로컬 BGP(Border Gateway Protocol) 주소에 주의하세요. 구성이 완료된 위치에 따라 피어 및 로컬 세부 정보가 반전됩니다.

각 필드의 예가 포함된 일반 탭의 스크린샷

다음 세부 정보를 입력합니다.
- 링크 이름: CPE의 이름입니다.
- 디바이스 유형: 드롭다운 목록에서 디바이스 옵션을 선택합니다.
- 디바이스 IP 주소: 디바이스의 공용 IP 주소입니다.
- 디바이스 BGP 주소: CPE의 BGP IP 주소를 입력합니다.
  - 이 주소는 CPE에서 로컬 BGP IP 주소로 입력됩니다.
- 디바이스 ASN: CPE의 ASN(자치 시스템 번호)을 제공합니다.
  - 두 네트워크 게이트웨이 간의 BGP 지원 연결을 사용하려면 두 게이트웨이의 ASN이 서로 달라야 합니다.
  - 사용할 수 없는 예약된 값은 유효한 ASN 값 목록을 참조하세요.
- 중복: IPSec 터널에 대해 중복 없음 또는 영역 중복 중 하나를 선택합니다.
- 영역 중복 로컬 BGP 주소: 이 선택적 필드는 영역 중복을 선택하는 경우에만 표시됩니다.
  - CPE가 상주하는 온-프레미스 네트워크의 일부가 아니며 로컬 BGP 주소 및 다른 BGP IP 주소를 입력합니다.
- 대역폭 용량(Mbps): 터널 대역폭을 지정합니다. 사용 가능한 옵션은 250, 500, 750 및 1,000Mbps입니다.
- 로컬 BGP 주소: CPE가 상주하는 온-프레미스 네트워크의 일부가 아닌 BGP IP 주소를 입력합니다.
  - 예를 들어 온-프레미스 네트워크가 10.1.0.0/16인 경우 10.2.0.4를 로컬 BGP 주소로 사용할 수 있습니다.
  - 이 주소는 피어 BGP로 입력됨CPE의 IP 주소입니다.
  - 사용할 수 없는 예약된 값은 유효한 BGP 주소 목록을 참조하세요.
다음을 선택합니다.

링크 추가 - 세부 정보 탭

Important

CPE에서 1단계 및 2단계 조합을 모두 지정해야 합니다.

IKEv2가 기본적으로 선택되어 있습니다. 현재 IKEv2만 지원됩니다.
IPSec/IKE 정책을 사용자 지정으로 변경합니다.
암호화, IKEv2 무결성 및 DHGroup에 대한 1단계 조합 세부 정보를 선택합니다.
- 선택한 세부 정보의 조합은 원격 네트워크 유효한 구성 참조 문서에 나열된 사용 가능한 옵션과 일치해야 합니다.
IPsec 암호화, IPsec 무결성, PFS 그룹 및 SA 수명(초)에 대한 2단계 조합을 선택합니다.
- 선택한 세부 정보의 조합은 원격 네트워크 유효한 구성 참조 문서에 나열된 사용 가능한 옵션과 일치해야 합니다.
기본값을 선택하든 사용자 지정을 선택하든 지정하는 IPSec/IKE 정책은 CPE의 암호화 정책과 일치해야 합니다.
다음을 선택합니다.

링크 보안 탭 추가

PSK(미리 공유한 키) 및 PSK(영역 중복 미리 공유한 키)를 입력합니다. 각 CPE에 동일한 비밀 키를 사용해야 합니다. 영역 중복 PSK(미리 공유한 키) 필드는 링크를 만들 때 첫 번째 페이지에 중복이 설정된 경우에만 나타납니다.
저장을 선택합니다.

디바이스 링크 추가를 위한 보안 탭의 스크린샷.

사용자 지정 IKE 정책이 있는 원격 네트워크는 /beta 엔드포인트에서 Microsoft Graph를 사용하여 만들 수 있습니다.

Graph Explorer에 로그인합니다.
드롭다운에서 HTTP 메서드로 POST를 선택합니다.
API 버전을 베타로 설정합니다.
다음 쿼리를 추가한 후 쿼리 실행을 선택합니다.

    POST https://graph.microsoft.com/beta/networkAccess/connectivity/remoteNetworks/dc6a7efd-6b2b-4c6a-84e7-5dcf97e62e04/deviceLinks
Content-Type: application/json

{
    "name": "custom link",
    "ipAddress": "114.20.4.14",
    "deviceVendor": "ciscoMeraki",
    "tunnelConfiguration": {
        "saLifeTimeSeconds": 300,
        "ipSecEncryption": "gcmAes128",
        "ipSecIntegrity": "gcmAes128",
        "ikeEncryption": "aes128",
        "ikeIntegrity": "sha256",
        "dhGroup": "ecp384",
        "pfsGroup": "ecp384",
        "@odata.type": "#microsoft.graph.networkaccess.tunnelConfigurationIKEv2Custom",
        "preSharedKey": "SHAREDKEY"
    },
    "bgpConfiguration": {
        "localIpAddress": "10.1.1.11",
        "peerIpAddress": "10.6.6.6",
        "asn": 65000
    },
    "redundancyConfiguration": {
        "redundancyTier": "zoneRedundancy",
        "zoneLocalIpAddress": "10.1.1.12"
    },
    "bandwidthCapacityInMbps": "mbps250"
}

다음을 통해 공유