Condividi tramite

Configurare connessioni coesistenti da sito a sito ed ExpressRoute usando il portale di Azure

  • Articolo

Questo articolo illustra come configurare connessioni ExpressRoute e VPN da sito a sito coesistenti. La configurazione di entrambe le connessioni presenta diversi vantaggi, ad esempio la fornitura di un percorso di failover sicuro o la connessione a siti non collegati tramite ExpressRoute. Questa guida si applica al modello di distribuzione resource manager.

Vantaggi delle connessioni coesistenti

  • Percorso di failover sicuro: configurare una VPN da sito a sito come backup per ExpressRoute.
  • Connettersi a siti aggiuntivi: usare VPN da sito a sito per connettersi ai siti non connessi tramite ExpressRoute.

Questo articolo illustra i passaggi necessari per configurare entrambi questi scenari. È possibile configurare prima il gateway, in genere senza incorrere in tempi di inattività quando si aggiunge un nuovo gateway o una connessione gateway.

Nota

  • Per la creazione di una VPN da sito a sito tramite una connessione ExpressRoute, vedere Da sito a sito tramite peering Microsoft.
  • Se ExpressRoute è già disponibile, non è necessario creare una rete virtuale o una subnet del gateway perché sono prerequisiti per la creazione di un ExpressRoute.
  • Per il gateway ExpressRoute crittografato, il blocco mss (dimensione massima del segmento) viene eseguito su Azure Gateway VPN per bloccare le dimensioni dei pacchetti TCP a 1.250 byte.

Limiti e limitazioni

  • È supportato solo il gateway VPN basato su route: usare un gateway VPN basato su route. È anche possibile usare un gateway VPN basato su route con una connessione VPN configurata per i selettori di traffico basati su criteri, come descritto in Connettersi a più dispositivi VPN basati su criteri.
  • Le configurazioni con coesistenza di gateway VPN ed ExpressRoute non sono supportate nello SKU di livello Basic.
  • Comunicazione BGP: sia i gateway ExpressRoute che i gateway VPN devono comunicare tramite BGP. Assicurarsi che qualsiasi route definita dall'utente nella subnet del gateway non includa una route per l'intervallo di subnet del gateway stesso, in quanto interferisce con il traffico BGP.
  • Routing di transito: per il routing di transito tra ExpressRoute e VPN, l'ASN di Azure Gateway VPN deve essere impostato su 65515. Il gateway VPN di Azure supporta il protocollo di routing BGP. Per collaborare, mantenere l'ASN del gateway VPN di Azure con il valore predefinito 65515. Se si modifica l'ASN su 65515, reimpostare il gateway VPN per rendere effettiva l'impostazione.
  • Dimensioni subnet del gateway: la subnet del gateway deve essere /27 o un prefisso più breve (ad esempio /26 o /25) oppure viene visualizzato un messaggio di errore quando si aggiunge il gateway di rete virtuale ExpressRoute.

Progettazioni di configurazione

Configurare una VPN da sito a sito come percorso di failover per ExpressRoute

È possibile configurare una connessione VPN da sito a sito come backup per ExpressRoute. Questa configurazione è applicabile solo alle reti virtuali collegate al percorso di peering privato di Azure. Non esiste alcuna soluzione di failover basato su VPN per i servizi accessibili tramite i peering di Microsoft Azure. Il circuito ExpressRoute rimane il collegamento primario e i dati passano attraverso il percorso VPN da sito a sito solo se il circuito ExpressRoute ha esito negativo. Per evitare il routing asimmetrico, configurare la rete locale in modo che preferisca il circuito ExpressRoute rispetto alla VPN da sito a sito impostando una preferenza locale più elevata per le route ricevute tramite ExpressRoute.

Nota

Se è stato abilitato il peering Microsoft di ExpressRoute, è possibile ricevere l'indirizzo IP pubblico del gateway VPN di Azure nella connessione ExpressRoute. Per configurare la connessione VPN da sito a sito come backup, configurare la rete locale in modo che la connessione VPN venga instradata a Internet.

Nota

Anche se il circuito ExpressRoute è preferibile rispetto alla VPN da sito a sito quando entrambe le route sono uguali, Azure userà la corrispondenza del prefisso più lungo per scegliere la route verso la destinazione del pacchetto.

Diagramma di una connessione VPN da sito a sito usata come backup per ExpressRoute.

Configurare una VPN da sito a sito per connettersi a siti non connessi tramite ExpressRoute

È possibile configurare la rete in modo che alcuni siti si connettano direttamente ad Azure tramite VPN da sito a sito, mentre altri si connettono tramite ExpressRoute.

Diagramma di una connessione VPN da sito a sito coesistenti con una connessione ExpressRoute per due siti diversi.

Selezione dei passaggi da usare

È possibile scegliere tra due set diversi di procedure. La procedura di configurazione selezionata dipende dal fatto che si disponga di una rete virtuale esistente a cui ci si vuole connettere o se è necessario creare una nuova rete virtuale.

  • Non è disponibile una rete virtuale ed è necessario crearne una.

    Se non si ha già una rete virtuale, seguire la procedura descritta in Per creare una nuova rete virtuale e connessioni coesistenti per creare una nuova rete virtuale usando il modello di distribuzione Resource Manager e configurare nuove connessioni EXPRESSRoute e VPN da sito a sito.

  • È già disponibile una rete virtuale del modello di distribuzione di Resource Manager.

    Se si dispone già di una rete virtuale con una connessione VPN da sito a sito esistente o una connessione ExpressRoute e il prefisso della subnet del gateway è /28 o superiore (/29, /30 e così via), è necessario eliminare il gateway esistente. Seguire la procedura descritta in Per configurare connessioni coesistenti per una rete virtuale già esistente per eliminare il gateway e creare nuove connessioni ExpressRoute e VPN da sito a sito.

    L'eliminazione e la ricreazione del gateway comportano tempi di inattività per le connessioni cross-premise. Tuttavia, le macchine virtuali e i servizi possono comunque comunicare tramite il servizio di bilanciamento del carico durante questo processo, se sono configurati per farlo.

Per creare una nuova rete virtuale con connessioni coesistenti

Questa procedura illustra come creare una rete virtuale e configurare connessioni coesistenti da sito a sito ed ExpressRoute.

  1. Accedere al portale di Azure.

  2. Nell'angolo in alto a sinistra dello schermo selezionare Crea una risorsa e cercare Rete virtuale.

  3. Selezionare Crea per iniziare a configurare la rete virtuale.

    Screenshot della pagina Crea una rete virtuale.

  4. Nella scheda Informazioni di base selezionare o creare un nuovo gruppo di risorse per archiviare la rete virtuale. Immettere il nome e selezionare l'area per distribuire la rete virtuale. Selezionare Avanti: Indirizzi IP > per configurare lo spazio indirizzi e le subnet.

    Screenshot della scheda Informazioni di base per la creazione di una rete virtuale.

  5. Nella scheda Indirizzi IP configurare lo spazio indirizzi della rete virtuale. Definire le subnet da creare, inclusa la subnet del gateway. Selezionare Rivedi e crea e quindi Crea per distribuire la rete virtuale. Per altre informazioni sulle creazione di una rete virtuale, vedere Creare una rete virtuale. Per altre informazioni sulla creazione di subnet, vedere Creare una subnet.

    Importante

    La subnet del gateway deve avere un prefisso /27 o più breve, ad esempio /26 o /25.

    Screenshot della scheda Indirizzi IP per la creazione di una rete virtuale.

  6. Creare il gateway VPN da sito a sito e il gateway di rete locale. Per altre informazioni sulla configurazione del gateway VPN, vedere Configurare una rete virtuale con una connessione da sito a sito. GatewaySku è supportato soltanto nei gateway VPN VpnGw1, VpnGw2, VpnGw3, Standard e HighPerformance. Le configurazioni con coesistenza di gateway VPN ed ExpressRoute non sono supportate nello SKU di livello Basic. Il valore di VpnType deve essere RouteBased.

  7. Configurare il dispositivo VPN locale per la connessione al nuovo gateway VPN di Azure. Per altre informazioni sulla configurazione del dispositivo VPN, vedere l'articolo relativo alla configurazione del dispositivo VPN.

  8. Se ci si connette a un circuito ExpressRoute esistente, ignorare i passaggi 8 e 9 e passare al passaggio 10. Configurare circuiti ExpressRoute. Per altre informazioni sulla configurazione di un circuito ExpressRoute, vedere Creare un circuito ExpressRoute.

  9. Configurare il peering privato di Azure tramite il circuito ExpressRoute. Per altre informazioni sulla configurazione del peering privato di Azure sul circuito ExpressRoute, vedere Configurare il peering.

  10. Selezionare + Crea una risorsa e cercare Gateway di rete virtuale. Selezionare Crea.

  11. Selezionare il tipo di gateway ExpressRoute, lo SKU appropriato e la rete virtuale in cui distribuire il gateway.

    Screenshot della creazione di un gateway di rete virtuale per ExpressRoute.

  12. Collegare il gateway ExpressRoute al circuito ExpressRoute. Al termine di questo passaggio, viene stabilita la connessione tra la rete locale e Azure tramite ExpressRoute. Per altre informazioni sull'operazione di collegamento, vedere Collegamento di reti virtuali a circuiti ExpressRoute.

Per configurare connessioni coesistenti per una rete virtuale già esistente

Se si dispone di una rete virtuale con un solo gateway di rete virtuale (ad esempio, un gateway VPN da sito a sito) e si vuole aggiungere un altro gateway di un tipo diverso (ad esempio, un gateway ExpressRoute), verificare le dimensioni della subnet del gateway. Se la subnet del gateway ha dimensioni pari a /27 o superiori, è possibile ignorare i passaggi seguenti e seguire invece i passaggi della sezione precedente per aggiungere un gateway VPN da sito a sito o un gateway ExpressRoute. Se la subnet del gateway è pari a/29 o /28, è necessario eliminare prima di tutto il gateway di rete virtuale e aumentare le dimensioni della subnet del gateway. I passaggi descritti in questa sezione illustrano come eseguire questa operazione.

  1. Eliminare il gateway ExpressRoute o VPN da sito a sito esistente.

  2. Eliminare e ricreare GatewaySubnet con un prefisso /27 o più breve.

  3. Configurare una rete virtuale con una connessione da sito a sito e quindi configurare il gateway ExpressRoute.

  4. Dopo aver distribuito il gateway ExpressRoute, è possibile collegare la rete virtuale al circuito ExpressRoute.

Per aggiungere una configurazione da punto a sito al gateway VPN

È possibile aggiungere una configurazione da punto a sito al set coesistenti seguendo le istruzioni riportate in Configurazione della connessione VPN da punto a sito tramite l'autenticazione del certificato di Azure.

Per abilitare il routing di transito tra ExpressRoute e VPN di Azure

Se si vuole abilitare la connettività tra una delle reti locali connesse a ExpressRoute e un'altra rete locale connessa a una connessione VPN da sito a sito, è necessario configurare il server di route di Azure.

Passaggi successivi

Per altre informazioni su ExpressRoute, vedere le Domande frequenti su ExpressRoute.