Condividi tramite

Configurare una VPN da sito a sito nella rete WAN virtuale per la soluzione Azure VMware

  • Articolo

Questo articolo illustra come stabilire una VPN (IPsec IKEv1 e IKEv2) da sito a sito che termina nell'hub della rete WAN virtuale di Microsoft Azure. L'hub contiene il gateway ExpressRoute della soluzione Azure VMware e il Gateway VPN da sito a sito. Connette un dispositivo VPN locale con un endpoint della soluzione Azure VMware.

Diagramma che mostra l'architettura del tunnel VPN da sito a sito.

Prerequisiti

È necessario avere un indirizzo IP pubblico che termina in un dispositivo VPN locale.

Creare una rete WAN virtuale di Azure

  1. Nel portale, nella barra Cerca risorse, digitare Rete WAN virtuale nella casella di ricerca e selezionare Immetti.

  2. Selezionare Reti WAN virtuali nei risultati. Nella pagina Reti WAN virtuali, selezionare + Crea per aprire la pagina Crea rete WAN.

  3. Nella pagina Crea rete WAN compilare i campi nella scheda Informazioni di base. Modificare i valori di esempio in base all'ambiente corrente.

    Screenshot che mostra il riquadro Crea rete WAN con la scheda Informazioni di base selezionata.

    • Sottoscrizione: selezionare la sottoscrizione da usare.
    • Gruppo di risorse: creare un nuovo gruppo o usarne uno esistente.
    • Località del gruppo di risorse: scegliere una località delle risorse dall'elenco a discesa. Una rete WAN è una risorsa globale che non risiede in un'area specifica. Tuttavia, per gestire e individuare la risorsa WAN creata, è necessario selezionare un'area.
    • Nome: digitare il nome da usare per la rete WAN virtuale.
    • Tipo: Basic o Standard. Selezionare Standard. Se si seleziona Basic, tenere presente che le reti WAN virtuali Basic possono contenere solo hub Basic. Gli hub Basic possono essere usati solo per le connessioni da sito a sito.

  4. Dopo aver compilato i campi, nella parte inferiore della pagina selezionare Rivedi e crea.

  5. Una volta superata la convalida, fare clic su Crea per creare la rete WAN virtuale.

Creare un hub virtuale

Un hub virtuale è una rete virtuale che viene creata e usata dalla rete WAN virtuale. di Azire. Si tratta dell'elemento centrale della rete WAN virtuale in un'area. Può contenere gateway per ExpressRoute e da sito a sito.

Suggerimento

È anche possibile creare un gateway in un hub esistente.

  1. Passare alla rete WAN virtuale creata. Nel riquadro sinistro della pagina Rete WAN virtuale, in Connettività, selezionare Hub.

  2. Nella pagina Hub selezionare + Nuovo hub per aprire la pagina Crea hub virtuale.

    Screenshot del riquadro Crea hub virtuale con la scheda Informazioni di base selezionata.

  3. Nella scheda Generale della pagina Crea hub virtuale completare i campi seguenti:

    • Area: selezionare l'area in cui distribuire l'hub virtuale.
    • Nome: nome con cui deve essere noto l'hub virtuale.
    • Spazio di indirizzi privato dell'hub: intervallo di indirizzi dell'hub nella notazione CIDR. Per creare un hub, lo spazio indirizzi minimo è /24.
    • Capacità hub virtuale: effettuare una selezione dall'elenco a discesa. Per altre informazioni, vedere Impostazioni dell'hub virtuale.
    • Preferenza di routing hub: lasciare l'impostazione predefinita, ExpressRoute a meno che non sia necessario modificare questo campo. Per altre informazioni, vedere Preferenza di routing dell’hub virtuale.

Creare un gateway VPN

  1. Nella pagina Crea hub virtuale, fare clic su Sito a sito per aprire la scheda Da sito a sito.

    Screenshot del riquadro Crea hub virtuale con l'opzione Da sito a sito selezionata.

  2. Nella scheda Da sito a sito compilare i campi seguenti:

    • Scegliere per creare una VPN da sito a sito.

    • Numero AS: il campo Numero AS non può essere modificato.

    • Unità di scala gateway: selezionare il valore per Unità di scala gateway dall'elenco a discesa. L'unità di scala consente di scegliere la velocità effettiva aggregata del gateway VPN creato nell'hub virtuale a cui si collegano i siti.

      Se si sceglie l'unità di scala 1 = 500 Mbps, verranno create due istanze per la ridondanza, ciascuna con una velocità effettiva massima di 500 Mbps. Se, ad esempio, sono presenti cinque rami, ognuno dei quali contribuisce per 10 Mbps, sarà necessaria una velocità aggregata di 50 Mbps all'estremità finale. La capacità aggregata del gateway VPN di Azure deve essere pianificata dopo aver valutato la capacità necessaria per supportare il numero di rami che confluiscono nell'hub.

    • Preferenza di routing: la preferenza di routing di Azure consente di scegliere il modo in cui il traffico viene instradato tra Azure e Internet. È possibile scegliere di instradare il traffico tramite la rete Microsoft o tramite la rete dell'ISP (rete Internet pubblica). Queste opzioni sono anche dette rispettivamente routing cold potato e routing hot potato.

      L'indirizzo IP pubblico nella rete WAN virtuale viene assegnato dal servizio, in base all'opzione di routing selezionata. Per altre informazioni sulle preferenze di routing tramite la rete Microsoft o l'ISP, vedere l'articolo Preferenza di routing.

  3. Selezionare Rivedi e crea per convalidare la selezione.

  4. Selezionare Crea per creare l'hub e il gateway. Questa operazione può richiedere fino a 30 minuti. Dopo 30 minuti, fare clic su Aggiorna per visualizzare l'hub nella pagina Hub. Selezionare Vai alla risorsa per passare alla risorsa.

Creare una VPN da sito a sito

  1. Nel portale di Azure, selezionare la rete WAN virtuale creata in precedenza.

  2. Nella Panoramica dell'hub virtuale, selezionare VPN>di connettività (da sito a sito)>Creare un nuovo sito VPN.

    Screenshot della pagina Panoramica per l'hub virtuale, con VPN (da sito a sito) e crea nuovo sito VPN selezionato.

  3. Nella scheda Dati principali, immettere i campi necessari.

    Screenshot che mostra la pagina Crea sito VPN con la scheda Informazioni di base aperta.

    • Regione - Precedentemente denominata posizione. Si tratta del percorso in cui si vuole creare la risorsa del sito.

    • Nome - Nome che si vuole usare per fare riferimento al sito locale.

    • Fornitore del dispositivo: nome del fornitore del dispositivo VPN, ad esempio Citrix, Cisco o Barracuda. Queste informazioni possono consentire al team di Azure di comprendere meglio l'ambiente e aggiungere ulteriori possibilità di ottimizzazione in futuro o per offrire supporto per la risoluzione dei problemi.

    • Spazio indirizzi privato: spazio di indirizzi IP CIDR nel sito locale. Il traffico destinato a questo spazio di indirizzi viene indirizzato al sito locale. Il blocco CIDR è obbligatorio solo se BGP non è abilitato per il sito.

    Nota

    Se si modifica lo spazio di indirizzi dopo aver creato il sito, ad esempio si aggiunge un altro spazio di indirizzi, l'aggiornamento delle route effettive può richiedere 8-10 minuti mentre i componenti vengono ricreati.

  4. Selezionare Collegamenti per aggiungere informazioni sui collegamenti fisici al ramo. Se è presente un dispositivo CPE del partner WAN virtuale, rivolgersi al partner per verificare se queste informazioni vengono scambiate con Azure nell'ambito del caricamento delle informazioni sul ramo configurato dai rispettivi sistemi.

    Se si specificano nomi di collegamento e provider, è possibile distinguere tra qualsiasi numero di gateway che possono essere eventualmente creati come parte dell'hub. BGP e numero di sistema autonomo devono essere univoci all'interno dell'organizzazione. BGP garantisce che la soluzione Azure VMware e i server locali pubblicizzino le route attraverso il tunnel. Se disabilitata, le subnet che devono essere annunciate devono essere gestite manualmente. Se le subnet non vengono rilevate, HCX non riesce a formare la mesh del servizio.

    Importante

    Per impostazione predefinita, Azure assegna automaticamente un indirizzo IP privato dall'intervallo di prefissi GatewaySubnet come indirizzo IP BGP di Azure nel Gateway VPN di Azure. L'indirizzo BGP APIPA di Azure personalizzato è necessario quando i dispositivi VPN locali usano un indirizzo APIPA (da 169.254.0.1 a 169.254.255.254) come IP BGP. Il Gateway VPN di Azure sceglierà l'indirizzo APIPA personalizzato se la risorsa gateway di rete locale corrispondente (rete locale) ha un indirizzo APIPA come IP peer BGP. Se il gateway di rete locale usa un normale indirizzo IP (non APIPA), il Gateway VPN di Azure ripristina l'indirizzo IP privato dall'intervallo GatewaySubnet.

    Screenshot che mostra la pagina Crea sito VPN con la scheda Collegamenti aperta.

  5. Selezionare Rivedi e crea.

  6. Passare all'hub virtuale desiderato e deselezionare l'associazione dell'hub per connettere il sito VPN all'hub.

    Screenshot che mostra Connetti a questo hub.

(Facoltativo) Creare tunnel VPN basati su criteri da sito a sito

Importante

Si tratta di un passaggio facoltativo e si applica solo alle VPN basate su criteri.

Per le configurazioni VPN basate su criteri è necessario specificare le reti della soluzione Azure VMware e locali, inclusi gli intervalli hub. Questi intervalli specificano il dominio di crittografia dell'endpoint locale del tunnel VPN basato su criteri. Il lato soluzione Azure VMware richiede solo l'abilitazione dell'indicatore del selettore di traffico basato su criteri.

  1. Nel portale di Azure, passare al sito hub della rete WAN virtuale e, in Connettività, selezionare VPN (da sito a sito).

  2. Selezionare il sito VPN per cui si vuole configurare un criterio IPsec personalizzato.

  3. Selezionare il nome del sito VPN, selezionare Altro (...) all'estrema destra e quindi selezionare Modifica connessione VPN.

    Screenshot che mostra il menu di scelta rapida per un sito VPN esistente.

    • Internet Protocol Security (IPSec), selezionare Personalizzato.

    • Usare selettore del traffico basato su criteri; selezionare Disabilita

    • Specificare i dettagli per la fase IKE 1 e la fase IKE 2(ipsec).

  4. Modificare l'impostazione IPsec da predefinita a personalizzata e personalizzare i criteri IPsec. Quindi selezionare Salva.

    Screenshot che mostra i siti VPN esistenti.

    I selettori di traffico o le subnet che fanno parte del dominio di crittografia basata su criteri devono essere:

    • Hub della rete WAN virtuale /24

    • Cloud privato della soluzione Azure VMware/22

    • Rete virtuale di Azure connessa (se presente)

Connettere il sito VPN all'hub

  1. Selezionare il nome del sito VPN e quindi selezionare Connetti siti VPN.

  2. Nel campo Chiave precondivisa, immettere la chiave definita in precedenza per l'endpoint locale.

    Suggerimento

    Se non si dispone di una chiave definita in precedenza, è possibile lasciare vuoto questo campo. Una chiave viene generata automaticamente.

    Screenshot che mostra il riquadro Siti connessi per l'hub virtuale pronto per una chiave precondivisa e le impostazioni associate.

  3. Se si distribuisce un firewall nell'hub ed è l'hop successivo, impostare l'opzione Propaga route predefinita su Abilita.

    Se abilitato, l'hub della rete WAN virtuale viene propagato a una connessione solo se l'hub ha già appreso la route predefinita durante la distribuzione di un firewall nell'hub o se è stato abilitato un altro tunneling forzato del sito connesso. La route predefinita non ha origine nell'hub della rete WAN virtuale.

  4. Selezionare Connetti. Dopo qualche minuto, il sito mostra lo stato di connessione e di connettività.

    Screenshot che mostra una connessione VPN da sito a sito con lo stato di connettività.

    Stato della connessione: si tratta dello stato della risorsa di Azure per la connessione che connette il sito VPN al Gateway VPN dell'hub di Azure. Dopo che questa operazione del piano di controllo ha esito positivo, il Gateway VPN di Azure e il dispositivo VPN locale stabiliscono la connettività.

    Stato della connessione: si tratta dello stato (percorso dati) di connettività effettivo tra il Gateway VPN di Azure nell'hub e il sito VPN. Può indicare uno degli stati seguenti:

    • Sconosciuto: questo stato in genere viene visualizzato se i sistemi back-end stanno tentando di passare a un altro stato.
    • Connessione: il Gateway VPN di Azure sta tentando di raggiungere l'effettivo sito VPN locale.
    • Connesso: è stata stabilita la connettività tra il Gateway VPN di Azure e il sito VPN locale.
    • Disconnesso: in genere viene mostrato se si è disconnesso per qualsiasi motivo (locale o in Azure)

  5. Scaricare il file di configurazione VPN e applicarlo all'endpoint locale.

    1. Nella pagina VPN (da sito a sito), selezionare Scarica configurazione VPN nella parte superiore. Azure crea un account di archiviazione nel gruppo di risorse 'microsoft-network-[posizione]', dove posizione è la posizione della rete WAN. Dopo aver applicato la configurazione ai dispositivi VPN, è possibile eliminare questo account di archiviazione.

    2. Dopo la creazione, selezionare il collegamento per scaricarlo.

    3. Applicare la configurazione al dispositivo VPN locale.

    Per altre informazioni sul file di configurazione, vedere Informazioni sul file di configurazione del dispositivo VPN.

  6. Applicare patch alla soluzione Azure VMware ExpressRoute nell'hub della rete WAN virtuale.

    Importante

    Prima di poter applicare patch alla piattaforma, è necessario creare un cloud privato.

    Importante

    È anche necessario avere un gateway ExpressRoute configurato come parte dell'hub della rete WAN virtuale.

    1. Nel portale di Azure, passare al cloud privato della soluzione Azure VMware.

    2. In Gestisci selezionare Connettività.

    3. Selezionare la scheda ExpressRoute e quindi selezionare + Richiedi una chiave di autorizzazione.

      Screenshot che mostra le selezioni per la richiesta di una chiave di autorizzazione di ExpressRoute.

    4. Specificare un nome per la chiave di autorizzazione e quindi selezionare Crea.

      La creazione della chiave può richiedere circa 30 secondi. Dopo aver creato la chiave, viene visualizzata nell'elenco delle chiavi di autorizzazione per il cloud privato.

      Screenshot che mostra la chiave di autorizzazione di Copertura globale di ExpressRoute.

    5. Copiare la chiave di autorizzazione e l'ID ExpressRoute. Sono necessari per completare il peering. La chiave di autorizzazione scompare dopo qualche tempo, quindi copiarla non appena viene visualizzata.

  7. Collegare la soluzione Azure VMware e il Gateway VPN insieme nell'hub della rete WAN virtuale. Usare la chiave di autorizzazione e l'ID ExpressRoute (URI del circuito peer) del passaggio precedente.

    1. Selezionare il gateway ExpressRoute e quindi selezionare Riscatta la chiave di autorizzazione.

      Screenshot della pagina ExpressRoute per il cloud privato, con l'opzione Riscatta la chiave di autorizzazione selezionata.

    2. Incollare la chiave di autorizzazione nel campo Chiave di autorizzazione.

    3. Incollare l'ID ExpressRoute nel campo URI del circuito peer.

    4. Selezionare la casella Associa automaticamente questo circuito ExpressRoute all'hub.

    5. Selezionare Aggiungi per stabilire il collegamento.

  8. Testare la connessione creando un segmento di data center NSX-T ed effettuando il provisioning di una macchina virtuale in rete. Eseguire il ping degli endpoint della soluzione Azure VMware e locali.

    Nota

    Attendere circa 5 minuti prima di testare la connettività da un client dietro il circuito ExpressRoute, come ad esempio una macchina virtuale nella rete virtuale creata in precedenza.