Connettere un Gateway VPN (gateway di rete virtuale) a rete WAN virtuale

Questo articolo illustra come configurare la connettività da un'Gateway VPN di Azure (gateway di rete virtuale) a un'rete WAN virtuale di Azure (gateway VPN). La creazione di una connessione da un Gateway VPN (gateway di rete virtuale) a un rete WAN virtuale (gateway VPN) è simile alla configurazione della connettività a una rete WAN virtuale da siti VPN di succursale.

Per ridurre al minimo la possibile confusione tra due funzionalità, il gateway verrà preceduto dal nome della funzionalità a cui si fa riferimento. Ad esempio, Gateway VPN gateway di rete virtuale e rete WAN virtuale gateway VPN.

Operazioni preliminari

Prima di iniziare, creare le risorse seguenti:

Rete WAN virtuale di Azure

• Creare una rete WAN virtuale.
• Creare un hub.
• Creare un gateway VPN da sito a sito configurato nell'hub.

Rete virtuale (per gateway di rete virtuale)

• Creare una rete virtuale senza gateway di rete virtuale. Questa rete virtuale verrà configurata con un gateway di rete virtuale attivo/attivo nei passaggi successivi. Verificare che nessuna delle subnet della rete locale possa sovrapporsi alle reti virtuali a cui ci si vuole connettere.

1. Configurare Gateway VPN gateway di rete virtuale

In questa sezione viene creato un gateway di rete virtuale Gateway VPN in modalità attiva-attiva per la rete virtuale. Quando si crea il gateway, è possibile usare indirizzi IP pubblici esistenti per le due istanze del gateway oppure creare nuovi indirizzi IP pubblici. Questi indirizzi IP pubblici verranno usati durante la configurazione dei siti rete WAN virtuale.

1. Creare un gateway di rete virtuale Gateway VPN in modalità attiva-attiva per la rete virtuale. Per altre informazioni sui gateway VPN attivi e sui passaggi di configurazione, vedere Configurare i gateway VPN attivi-attivi.

2. Le sezioni seguenti illustrano le impostazioni di esempio per il gateway di rete virtuale.

   • Impostazione modalità attiva-attiva: nella pagina Configurazione del gateway di rete virtuale verificare che la modalità attiva-attiva sia abilitata.

     

   • Impostazione BGP: nella pagina Configurazione del gateway di rete virtuale è possibile (facoltativamente) selezionare Configura ASN BGP. Se si configura BGP, modificare l'ASN dal valore predefinito visualizzato nel portale. Per questa configurazione, l'ASN BGP non può essere 65515. 65515 verrà usato da Azure rete WAN virtuale.

     

   • Indirizzi IP pubblici: dopo aver creato il gateway, passare alla pagina Proprietà . Le proprietà e le impostazioni di configurazione saranno simili all'esempio seguente. Si notino i due indirizzi IP pubblici usati per il gateway.

     

2. Creare siti VPN rete WAN virtuale

In questa sezione verranno creati due siti VPN rete WAN virtuale corrispondenti ai gateway di rete virtuale creati nella sezione precedente.

1. Nella pagina rete WAN virtuale passare a Siti VPN.

2. Nella pagina Siti VPN selezionare +Crea sito.

3. Nella pagina Crea sito WAN, nella scheda Informazioni di base compilare i campi seguenti:

   • Area: la stessa area del gateway di rete virtuale di Azure Gateway VPN.
   • Nome: Esempio: Site1
   • Fornitore del dispositivo: nome del fornitore del dispositivo VPN (ad esempio: Citrix, Cisco, Barracuda). L'aggiunta del fornitore del dispositivo può consentire al team di Azure di comprendere meglio l'ambiente per aggiungere ulteriori possibilità di ottimizzazione in futuro o per offrire supporto per la risoluzione dei problemi.
   • Spazio indirizzi privato: immettere un valore o lasciare vuoto quando BGP è abilitato.

4. Selezionare Avanti: Collegamenti> per passare alla pagina Collegamenti .

5. Nella pagina Collegamenti completare i campi seguenti:

   • Nome collegamento: nome che si desidera fornire per il collegamento fisico al sito VPN. Esempio: Link1.
   • Velocità collegamento: velocità del dispositivo VPN in corrispondenza della località del ramo. Esempio: 50, che indica 50 Mbps è la velocità del dispositivo VPN nella sede del ramo.
   • Nome provider collegamento: nome del collegamento fisico al sito VPN. Esempio: ATT, Verizon.
   • Indirizzo IP del collegamento: immettere l'indirizzo IP. Per questa configurazione, corrisponde al primo indirizzo IP pubblico visualizzato nelle proprietà (Gateway VPN) del gateway di rete virtuale.
   • Indirizzo BGP e ASN: devono corrispondere a uno degli indirizzi IP peer BGP e asn dal gateway di rete virtuale Gateway VPN configurato nel passaggio 1.

6. Al termine della compilazione dei campi, selezionare Rivedi + crea per verificare. Selezionare Crea per creare il sito.

7. Ripetere i passaggi precedenti per creare il secondo sito in modo che corrisponda alla seconda istanza del gateway di rete virtuale Gateway VPN. Si manterranno le stesse impostazioni, ad eccezione dell'uso del secondo indirizzo IP pubblico e del secondo indirizzo IP peer BGP dalla configurazione di Gateway VPN.

8. È stato eseguito il provisioning di due siti.

3. Connettere i siti all'hub virtuale

Successivamente, connettere entrambi i siti all'hub virtuale seguendo questa procedura. Per altre informazioni sulla connessione dei siti, vedere Connettere siti VPN a un hub virtuale.

1. Nella pagina Rete WAN virtuale passare a Hub.

2. Nella pagina Hub fare clic sull'hub creato.

3. Nella pagina dell'hub creato, nel riquadro sinistro selezionare VPN (da sito a sito).

4. Nella pagina VPN (da sito a sito) dovrebbero essere visualizzati i siti. In caso contrario, potrebbe essere necessario fare clic sulla bolla Hub association:x per cancellare i filtri e visualizzare il sito.

5. Selezionare la casella di controllo accanto al nome di entrambi i siti (non fare clic direttamente sul nome del sito), quindi fare clic su Connetti siti VPN.

6. Nella pagina Connetti siti configurare le impostazioni. Assicurarsi di prendere nota del valore della chiave precondivie usata. Verrà usato di nuovo più avanti nell'esercizio quando si creano le connessioni.

7. Selezionare Connetti nella parte inferiore della pagina. L'aggiornamento dell'hub con le impostazioni del sito richiede poco tempo.

4. Scaricare i file di configurazione VPN

In questa sezione si scarica il file di configurazione VPN per i siti creati nella sezione precedente.

1. Nella pagina rete WAN virtuale passare a Siti VPN.

2. Nella pagina Siti VPN, nella parte superiore della pagina, selezionare Scarica configurazione VPN da sito a sito e scaricare il file. Azure crea un file di configurazione con i valori necessari usati per configurare i gateway di rete locali nella sezione successiva.

   

5. Creare i gateway di rete locali

In questa sezione vengono creati due gateway di rete locale Gateway VPN di Azure. I file di configurazione del passaggio precedente contengono le impostazioni di configurazione del gateway. Usare queste impostazioni per creare e configurare i gateway di rete locali di Azure Gateway VPN.

1. Creare il gateway di rete locale usando queste impostazioni. Per informazioni su come creare un gateway di rete locale Gateway VPN, vedere l'articolo Gateway VPN Creare un gateway di rete locale.

   • Indirizzo IP: usare l'indirizzo IP dell'istanza0 visualizzato per la configurazione del gateway dal file di configurazione.
   • BGP : se la connessione è su BGP, selezionare Configura impostazioni BGP e immettere l'ASN '65515'. Immettere l'indirizzo IP del peer BGP. Usare 'Instance0 BgpPeeringAddresses' per la configurazione del gateway dal file di configurazione.
   • Spazio indirizzi : se la connessione non è su BGP, assicurarsi che l'opzione Configura le impostazioni BGP rimanga deselezionata. Immettere gli spazi indirizzi annunciati dal lato gateway di rete virtuale. È possibile aggiungere più intervalli di spazi indirizzi. Assicurarsi che gli intervalli specificati non si sovrappongano con gli intervalli di altre reti a cui ci si vuole connettere.
   • Sottoscrizione, gruppo di risorse e località: sono uguali a quelle dell'hub rete WAN virtuale.

2. Esaminare e creare il gateway di rete locale. Il gateway di rete locale dovrebbe essere simile a questo esempio.

   

3. Ripetere questi passaggi per creare un altro gateway di rete locale, ma questa volta usare i valori 'Instance1' anziché i valori 'Instance0' del file di configurazione.

   

Importante

Tenere presente che quando si configura una connessione BGP tramite IPsec a un indirizzo IP pubblico NON un gateway vWAN con l'ASN remoto '65515', la distribuzione del gateway di rete locale avrà esito negativo perché l'ASN '65515' è un ASN riservato documentato come illustrato in What Autonomous Systems Can I use. Tuttavia, quando il gateway di rete locale legge l'indirizzo pubblico vWAN con l'ASN remoto '65515', questa restrizione viene revocata dalla piattaforma.

6. Creare connessioni

In questa sezione viene creata una connessione tra i gateway di rete locali Gateway VPN e il gateway di rete virtuale. Per informazioni su come creare una connessione Gateway VPN, vedere Configurare una connessione.

1. Nel portale passare al gateway di rete virtuale e selezionare Connessioni. Nella parte superiore della pagina Connessioni selezionare +Aggiungi per aprire la pagina Aggiungi connessione.

2. Nella pagina Aggiungi connessione configurare i valori seguenti per la connessione:

   • Nome: assegnare un nome alla connessione.
   • Tipo di connessione: selezionare Da sito a sito (IPsec)
   • Gateway di rete virtuale: il valore è fisso perché ci si connette da questo gateway.
   • Gateway di rete locale: questa connessione connetterà il gateway di rete virtuale al gateway di rete locale. Scegliere uno dei gateway di rete locali creati in precedenza.
   • Chiave condivisa: immettere la chiave condivisa precedente.
   • Protocollo IKE: scegliere il protocollo IKE.

3. Selezionare OK per creare la connessione.

4. È possibile visualizzare la connessione nella pagina Connessioni relativa al gateway di rete virtuale.

5. Ripetere i passaggi precedenti per creare una seconda connessione. Per la seconda connessione selezionare l'altro gateway di rete locale creato.

6. Se le connessioni sono tramite BGP, dopo aver creato le connessioni, passare a una connessione e selezionare Configurazione. Nella pagina Configurazione selezionare Abilitato per BGP. Selezionare quindi Salva.

7. Ripetere per la seconda connessione.

7. Testare le connessioni

È possibile testare la connettività creando due macchine virtuali, una sul lato del gateway di rete virtuale Gateway VPN e una in una rete virtuale per il rete WAN virtuale, quindi eseguire il ping delle due macchine virtuali.

1. Creare una macchina virtuale nella rete virtuale (Test1-VNet) per Azure Gateway VPN (Test1-VNG). Non creare la macchina virtuale in GatewaySubnet.

2. Creare un'altra rete virtuale per connettersi alla rete WAN virtuale. Creare una macchina virtuale in una subnet di questa rete virtuale. Questa rete virtuale non può contenere gateway di rete virtuale. È possibile creare rapidamente una rete virtuale usando la procedura di PowerShell nell'articolo Connessione da sito a sito . Assicurarsi di modificare i valori prima di eseguire i cmdlet.

3. Connettere la rete virtuale all'hub rete WAN virtuale. Nella pagina della rete WAN virtuale selezionare Connessioni di rete virtuale e quindi +Aggiungi connessione. Nella pagina Aggiungi connessione compilare i campi seguenti:

   • Nome connessione - Specificare un nome per la connessione.
   • Hub - Selezionare l'hub che si vuole associare a questa connessione.
   • Sottoscrizione - Verificare la sottoscrizione.
   • Rete virtuale - Selezionare la rete virtuale che si vuole connettere all'hub. La rete virtuale non può avere un gateway di rete virtuale già esistente.

4. Selezionare OK per creare la connessione di rete virtuale.

5. La connettività è ora impostata tra le macchine virtuali. È consigliabile eseguire il ping di una macchina virtuale dall'altra, a meno che non siano presenti firewall o altri criteri che bloccano la comunicazione.

Passaggi successivi

• Per altre informazioni su rete WAN virtuale VPN da sito a sito, vedere Esercitazione: rete WAN virtuale VPN da sito a sito.
• Per altre informazioni su Gateway VPN impostazioni del gateway attivo-attivo, vedere Gateway VPN configurazioni attive-attive.