Connettere un circuito ExpressRoute a una rete virtuale

  • 5 minuti

Un circuito ExpressRoute rappresenta una connessione logica tra l'infrastruttura locale e i servizi cloud Microsoft tramite un provider di connettività. È possibile ordinare più circuiti ExpressRoute. Ogni circuito può trovarsi nella stessa area geografica o in aree geografiche diverse e può essere connesso alla tua sede tramite diversi provider di connettività. I circuiti ExpressRoute non sono mappati ad alcuna entità fisica. Un circuito usa un GUID standard denominato chiave del servizio (s-key).

Connettere una rete virtuale a un circuito ExpressRoute

  • È necessario avere un circuito ExpressRoute attivo.
  • Assicurarsi di disporre del peering privato di Azure configurato per il circuito.
  • Assicurarsi che il peering privato di Azure sia configurato e stabilisca il peering BGP tra la rete e Microsoft per la connettività end-to-end.
  • Assicurarsi di disporre di una rete virtuale e di un gateway di rete virtuale creati e con provisioning completo. Un gateway di rete virtuale per ExpressRoute usa 'ExpressRoute' come GatewayType, non VPN.
  • È possibile collegare fino a 10 reti virtuali a un circuito ExpressRoute standard. Tutte le reti virtuali devono essere nella stessa area geopolitica quando si usa un circuito ExpressRoute standard.
  • Una singola rete virtuale può essere collegata a un massimo di 16 circuiti ExpressRoute. I circuiti ExpressRoute possono essere nella stessa sottoscrizione, diverse sottoscrizioni o una combinazione di entrambe le situazioni.
  • Abilitando il componente aggiuntivo ExpressRoute Premium, è possibile collegare reti virtuali esterne all'area geopolitica del circuito ExpressRoute. Il componente aggiuntivo Premium consente di collegare più di 10 reti virtuali al circuito ExpressRoute, a seconda della larghezza di banda scelta.
  • Per creare la connessione dal circuito ExpressRoute al gateway di rete virtuale ExpressRoute di destinazione, il numero di spazi indirizzi annunciati dalle reti virtuali locali o peer deve essere uguale o inferiore a 200. Dopo aver creato la connessione, è possibile aggiungere fino a 1.000 altri spazi indirizzi alle reti virtuali locali o con peering.

Aggiungere una VPN a una distribuzione di ExpressRoute

Questa sezione illustra come configurare la connettività crittografata sicura tra la rete locale e le reti virtuali di Azure tramite una connessione privata ExpressRoute. È possibile usare il peering Microsoft per stabilire un tunnel VPN IPsec/IKE da sito a sito tra le reti locali selezionate e le reti virtuali di Azure. La configurazione di un tunnel sicuro tramite ExpressRoute consente lo scambio di dati con riservatezza, impossibilità di riproduzione, autenticità e integrità.

Nota

Quando si configura una VPN da sito a sito tramite peering Microsoft vengono addebitati il gateway e i dati in uscita dalla VPN.

Per ottenere disponibilità elevata e ridondanza, è possibile configurare più tunnel sulle due coppie MSEE-PE di un circuito ExpressRoute e abilitare il bilanciamento del carico tra i tunnel.

I tunnel VPN tramite peering Microsoft possono essere terminati usando il gateway VPN o con un'appliance di rete virtuale idonea, disponibile in Azure Marketplace. È possibile scambiare le route collegate staticamente o dinamicamente attraverso i tunnel crittografati senza esporre lo scambio delle route al peering Microsoft sottostante. In questa sezione, il protocollo BGP (diverso dalla sessione BGP usata per creare il peering Microsoft) viene usato per scambiare in modo dinamico i prefissi tra i tunnel crittografati.

Importante

Dal lato locale, in genere il peering Microsoft viene terminato nella rete perimetrale, mentre il peering privato viene terminato nella zona della rete core. Le due zone verranno isolate tramite firewall. Se si configura il peering Microsoft esclusivamente per l'abilitazione del tunneling protetto tramite ExpressRoute, è necessario filtrare solo gli indirizzi IP pubblici di interesse annunciati tramite il peering Microsoft.

Passaggi

  • Configurare il peering Microsoft per un circuito ExpressRoute.
  • Annunciare i prefissi pubblici regionali di Azure selezionati sulla rete locale tramite il peering Microsoft.
  • Configurare un gateway VPN e stabilire un tunnel IPsec
  • Configurare un dispositivo VPN locale.
  • Creare una connessione IPsec/IKE da sito a sito.
  • (Facoltativo) Configurare firewall/filtri sul dispositivo VPN locale.
  • Test e convalida delle comunicazioni IPsec tramite il circuito ExpressRoute.