Topologia e progettazione del gateway VPN
Sono disponibili molte opzioni di configurazioni diverse per le connessioni gateway VPN. Usare i diagrammi e le descrizioni nelle sezioni seguenti per selezionare la topologia di connessione che soddisfi i requisiti specifici. I diagrammi mostrano le topologie di base principali, ma è possibile creare configurazioni più complesse usando i diagrammi come linee guida.
VPN da sito a sito
Una connessione gateway VPN da sito a sito (S2S) avviene tramite un tunnel VPN IPsec/IKE (IKEv1 o IKEv2). Le connessioni da sito a sito possono essere usate per le configurazioni cross-premise e ibride. Una connessione da sito a sito richiede la presenza in locale di un dispositivo VPN a cui è stato assegnato un indirizzo IP pubblico. Per informazioni sulla selezione di un dispositivo VPN, vedere Domande frequenti sul gateway VPN - Dispositivi VPN.
Il gateway VPN può essere configurato in modalità di standby attivo usando un indirizzo IP pubblico o in modalità attiva-attiva usando due indirizzi IP pubblici. In modalità standby attivo, un tunnel IPsec è attivo e l'altro tunnel è in standby. In questa configurazione il traffico passa attraverso il tunnel attivo e, se si verifica un problema con questo tunnel, il traffico passerà al tunnel di standby. La configurazione del gateway VPN in modalità attiva-attiva è consigliata in cui entrambi i tunnel IPsec sono attivi contemporaneamente, con il flusso di dati attraverso entrambi i tunnel contemporaneamente. Un altro vantaggio della modalità attiva-attiva è che i clienti riscontrano velocità effettive più elevate.
È possibile creare più connessioni VPN dal gateway di rete virtuale, in genere connettendosi a più siti locali. Quando si usano più connessioni, è necessario usare una rete VPN di tipo RouteBased (nota come gateway dinamico nell'ambito delle reti virtuali classiche). Poiché ogni rete virtuale può avere un solo gateway VPN, tutte le connessioni che usano il gateway condividono la larghezza di banda disponibile. Questo tipo di connessione viene talvolta definito una connessione "multisito".
Metodi e modelli di distribuzione per la connessione da sito a sito
Modello/metodo di distribuzione | Azure portal | PowerShell | Interfaccia della riga di comando di Azure |
---|---|---|---|
Gestione risorse | Esercitazione | Esercitazione | Esercitazione |
Classico (modello di distribuzione legacy) | Esercitazione** | Esercitazione | Non supportato |
( ** ) indica che questo metodo contiene passaggi per cui è necessario PowerShell.
VPN da punto a sito
Una connessione gateway VPN da punto a sito permette di creare una connessione sicura alla rete virtuale da un singolo computer client. Una connessione da punto a sito viene stabilita avviandola dal computer client. Questa soluzione è utile per i telelavoratori che vogliono connettersi alle reti virtuali di Azure da una posizione remota, ad esempio da casa o durante una riunione. Una VPN da punto a sito è anche una soluzione utile da usare al posto di una VPN da sito a sito quando solo pochi client devono connettersi a una rete virtuale.
A differenza delle connessioni da sito a sito, le connessioni da punto a sito non richiedono un indirizzo IP pubblico locale o un dispositivo VPN. Le connessioni da punto a sito possono essere usate con le connessioni da sito a sito attraverso lo stesso gateway VPN, purché tutti i requisiti di configurazione per entrambe le connessioni siano compatibili. Per altre informazioni sulle connessioni da punto a sito, vedere Informazioni sulla VPN da punto a sito.
Metodi e modelli di distribuzione per la connessione da punto a sito
Metodo di autenticazione | Articolo |
---|---|
Certificate | Esercitazione Procedura |
Microsoft Entra ID | Procedura |
RADIUS | Procedura |
Configurazione del client VPN da punto a sito
Autenticazione | Tipo di tunnel | Sistema operativo client | Client VPN |
---|---|---|---|
Certificate | |||
IKEv2, SSTP | Finestre | Client VPN nativo | |
IKEv2 | macOS | Client VPN nativo | |
IKEv2 | Linux | strongSwan | |
OpenVPN | Finestre | Client VPN di Azure Client OpenVPN |
|
OpenVPN | macOS | Client OpenVPN | |
OpenVPN | iOS | Client OpenVPN | |
OpenVPN | Linux | Client VPN di Azure Client OpenVPN |
|
Microsoft Entra ID | |||
OpenVPN | Finestre | Client VPN di Azure | |
OpenVPN | macOS | Client VPN di Azure | |
OpenVPN | Linux | Client VPN di Azure |
Connessioni da rete virtuale a rete virtuale (tunnel VPN IPsec/IKE)
La connessione di una rete virtuale a un'altra rete virtuale è simile alla connessione di una rete virtuale a un percorso di sito locale. Entrambi i tipi di connettività utilizzano un gateway VPN per fornire un tunnel sicuro tramite IPsec/IKE. È anche possibile combinare una comunicazione tra reti virtuali con configurazioni di connessioni multisito. Questo permette di definire topologie di rete che consentono di combinare la connettività cross-premise con la connettività tra reti virtuali.
Le reti virtuali connesse possono essere:
- Nella stessa area o in aree diverse
- Nella stessa sottoscrizione o in sottoscrizioni diverse
- Nello stesso modello di distribuzione o in modelli diversi
Metodi e modelli di distribuzione per connessioni da rete virtuale a rete virtuale
Modello/metodo di distribuzione | Azure portal | PowerShell | Interfaccia della riga di comando di Azure |
---|---|---|---|
Gestione risorse | Esercitazione+ | Esercitazione | Esercitazione |
Classico (modello di distribuzione legacy) | Esercitazione* | Supportato | Non supportato |
Connessioni tra Resource Manager e modelli di distribuzione classici (legacy) | Esercitazione* | Esercitazione | Non supportato |
(+) indica che questo metodo di distribuzione è disponibile solo per le reti virtuali nella stessa sottoscrizione.
( * ) indica che questo metodo di distribuzione richiede anche PowerShell.
In alcuni casi potrebbe essere necessario usare il peering di reti virtuali invece di una connessione da rete virtuale a rete virtuale per connettere le reti virtuali. Il peering di reti virtuali non usa un gateway di rete virtuale. Per altre informazioni, vedere Peering di rete virtuale.
Connessioni coesistenti da sito a sito ed ExpressRoute
ExpressRoute è una connessione privata diretta dalla rete WAN (non sulla rete Internet pubblica) a servizi Microsoft come Azure. Il traffico VPN da sito a sito viaggia crittografato sulla rete Internet pubblica. La possibilità di configurare connessioni VPN da sito a sito ed ExpressRoute per la stessa rete virtuale offre diversi vantaggi.
È possibile configurare una VPN da sito a sito come percorso di failover sicuro per ExpressRoute oppure usare VPN da sito a sito per connettersi a siti che non fanno parte della rete, ma che sono connessi tramite ExpressRoute. Si noti che questa configurazione richiede due gateway di rete virtuale per la stessa rete virtuale, uno che usa il tipo di gateway Vpn e l'altro che usa il tipo di gateway ExpressRoute.
Metodi e modelli di distribuzione per le connessioni coesistenti da sito a sito ed ExpressRoute
Modello/metodo di distribuzione | Azure portal | PowerShell |
---|---|---|
Gestione risorse | Supportata | Esercitazione |
Classico (modello di distribuzione legacy) | Non supportato | Esercitazione |
Connessioni a disponibilità elevata
Per la pianificazione e la progettazione di connessioni a disponibilità elevata, vedere Connessioni a disponibilità elevata.
Passaggi successivi
Per altre informazioni, vedere Domande frequenti sul gateway VPN.
Ulteriori informazioni sulle impostazioni di configurazione del gateway VPN.
Per considerazioni BGP sul gateway VPN, vedere Informazioni su BGP.
Informazioni su alcune altre funzionalità di rete chiave di Azure.
Commenti e suggerimenti
https://aka.ms/ContentUserFeedback.
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedereInvia e visualizza il feedback per