Configurare connessioni coesistenti ExpressRoute e da sito a sito (versione classica)

  • Articolo

Questo articolo illustra come configurare connessioni ExpressRoute e VPN da sito a sito coesistenti. La possibilità di configurare una VPN da sito a sito ed ExpressRoute offre diversi vantaggi. È possibile configurare una VPN da sito a sito come percorso di failover sicuro per ExpressRoute oppure usare VPN da sito a sito per connettersi a siti che non sono connessi tramite ExpressRoute. In questo articolo vengono illustrati i passaggi per configurare entrambi questi scenari. Questo articolo si applica al modello di distribuzione classica. Questa configurazione non è disponibile nel portale.

Importante

A partire dall'1 marzo 2017, non è possibile creare nuovi circuiti di ExpressRoute nel modello di distribuzione classica.

  • È possibile spostare un circuito di ExpressRoute esistente dal modello di distribuzione classica al modello di distribuzione Resource Manager senza eventuali tempi di inattività della connessione. Per altre informazioni, vedere Spostare un circuito esistente.
  • È possibile connettersi alle reti virtuali nel modello di distribuzione classica impostando allowClassicOperations su TRUE.

Usare i collegamenti seguenti per creare e gestire circuiti di ExpressRoute nel modello di distribuzione Resource Manager:

Informazioni sui modelli di distribuzione di AzureAbout Azure deployment models

Azure attualmente funziona con due modelli di distribuzione: Azure Resource Manager e classica. I due modelli non sono completamente compatibili tra loro. Prima di iniziare, è necessario conoscere il modello da usare. Per informazioni, vedere l'articolo contenente le informazioni sui modelli di distribuzione. Se non si ha familiarità con Azure, è consigliabile usare il modello di distribuzione Resource Manager.

Importante

Prima di seguire le istruzioni riportate in questo articolo, è necessario preconfigurare un circuito ExpressRoute. Verificare di aver seguito le guide per la creazione di un circuito ExpressRoute e per la configurazione del routing prima di eseguire questa procedura.

Limiti e limitazioni

  • L'instradamento del transito non è supportato. Con Azure non è possibile attivare il routing tra la rete locale connessa tramite la VPN da sito a sito e la rete locale connessa tramite ExpressRoute.
  • La connessione da punto a sito non è supportata. Non è possibile abilitare connessioni VPN da punto a sito dalla stessa rete virtuale connessa a ExpressRoute. Non possono coesistere connessioni VPN da punto a sito ed ExpressRoute per la stessa rete virtuale.
  • Il tunneling forzato non può essere abilitato nel gateway VPN da sito a sito. È soltanto possibile "forzare" tutto il traffico associato a Internet verso la rete locale tramite ExpressRoute.
  • Il gateway SKU Basic non è supportato. È necessario usare un gateway SKU non Basic sia per il gateway ExpressRoute che per il gateway VPN.
  • È supportato solo il gateway VPN basato su route. È necessario usare un gateway VPN basato su route.
  • Deve essere configurata una route statica per il gateway VPN. Se la rete locale è connessa sia a ExpressRoute che a una VPN da sito a sito, per il routing della connessione VPN da sito a sito alla rete Internet pubblica è necessario che nella rete locale sia configurata una route statica.

Progetti di configurazione

Configurare una VPN da sito a sito come percorso di failover per ExpressRoute

È possibile configurare una connessione VPN da sito a sito come backup per ExpressRoute. Questo si applica solo alle reti virtuali collegate al percorso di peering privato di Azure. Non esiste alcuna soluzione di failover basato su VPN per i servizi accessibili tramite i peering pubblico di Azure e Microsoft. Il circuito ExpressRoute è sempre il collegamento principale. Il flusso dei dati attraversa il percorso VPN da sito a sito solo se il circuito ExpressRoute ha esito negativo.

Nota

Mentre il circuito ExpressRoute viene preferito sulla VPN da sito a sito quando entrambe le route sono uguali, Azure userà la corrispondenza di prefisso più lunga per scegliere la route verso la destinazione del pacchetto.

Diagram that shows a Site-to-Site VPN connection as a backup for ExpressRoute.

Configurare una VPN da sito a sito per la connessione a siti non connessi tramite ExpressRoute

È possibile configurare una rete in cui alcuni siti si connettono direttamente ad Azure tramite VPN da sito a sito e altri si connettono tramite ExpressRoute.

Coexist

Nota

Non è possibile configurare una rete virtuale come router di transito.

Selezione dei passaggi da usare

Esistono due diverse serie di procedure disponibili per configurare le connessioni che possono coesistere. La procedura di configurazione scelta dipende dalla disponibilità o meno di una rete virtuale esistente a cui stabilire la connessione oppure dall'esigenza di creare una nuova rete virtuale.

  • Non è disponibile una rete virtuale ed è necessario crearne una.

    Se non si ha ancora una rete virtuale, questa procedura consentirà la creazione di una nuova rete virtuale e di nuove connessioni ExpressRoute e VPN da sito a sito usando il modello di distribuzione classica. Per la configurazione, eseguire i passaggi nella sezione Per creare una nuova rete virtuale con connessioni coesistenti.

  • È già disponibile una rete virtuale con modello di distribuzione classica.

    E’ possibile che esista già una rete virtuale con una connessione VPN da sito a sito o una connessione ExpressRoute. La sezione Per configurare connessioni coesistenti per una rete virtuale esistente illustra come eliminare il gateway e quindi come creare nuove connessioni ExpressRoute e VPN da sito a sito. Durante la creazione di nuove connessioni, è necessario completare i passaggi in un ordine specifico. Non usare le istruzioni in altri articoli per creare gateway e connessioni.

    In questa procedura, la creazione di connessioni che possono coesistere richiede l'eliminazione del gateway e la configurazione di nuovi gateway. Si verificano tempi di inattività per le connessioni cross-premise durante l'eliminazione e la ricreazione del gateway e delle connessioni, ma non è necessario eseguire la migrazione di macchine virtuali o servizi a una nuova rete virtuale. Le macchine virtuali e i servizi possono comunque comunicare tramite il servizio di bilanciamento del carico mentre si configura il gateway, se sono configurati in questo senso.

Installare i cmdlet di PowerShell

Installare le versioni più recenti dei moduli di PowerShell per Gestione dei servizi di Azure e il modulo ExpressRoute. Non è possibile usare l'ambiente Azure CloudShell per eseguire moduli di Gestione dei servizi.

  1. Per installare il modulo di Gestione dei servizi di Azure, seguire le istruzioni riportate nell'articolo Installazione del modulo di Gestione dei servizi. Se è già installato il modulo Az o di Resource Manager, assicurarsi di usare "-AllowClobber".

  2. Importare i moduli installati. Quando si usa l'esempio seguente, modificare il percorso in base alla posizione e alla versione dei moduli di PowerShell installati.

    Import-Module 'C:\Program Files\WindowsPowerShell\Modules\Azure\5.3.0\Azure.psd1'
Import-Module 'C:\Program Files\WindowsPowerShell\Modules\Azure\5.3.0\ExpressRoute\ExpressRoute.psd1'

  3. Per accedere all'account Azure, aprire la console di PowerShell con diritti elevati e connettersi all'account. Usare l'esempio seguente per connettersi tramite il modulo di Gestione dei servizi:

    Add-AzureAccount

Per creare una nuova rete virtuale con connessioni coesistenti

Questa procedura illustra come creare una rete virtuale e connessioni da sito a sito ed ExpressRoute coesistenti.

  1. È necessario installare l'ultima versione dei cmdlet di Azure PowerShell. I cmdlet usati per questa configurazione possono essere leggermente diversi da quelli con cui si ha familiarità. Assicurarsi di usare i cmdlet specificati in queste istruzioni.

  2. Creare uno schema per la rete virtuale. Per altre informazioni sullo schema di configurazione, vedere Schema di configurazione della rete virtuale di Azure.

    Quando si crea lo schema, assicurarsi di usare i valori seguenti:

    • La subnet del gateway per la rete virtuale deve essere /27 o un prefisso più breve (ad esempio /26 o /25).
    • Il tipo di connessione del gateway è Dedicato.
    <VirtualNetworkSite name="MyAzureVNET" Location="Central US">
  <AddressSpace>
    <AddressPrefix>10.17.159.192/26</AddressPrefix>
  </AddressSpace>
  <Subnets>
    <Subnet name="Subnet-1">
      <AddressPrefix>10.17.159.192/27</AddressPrefix>
    </Subnet>
    <Subnet name="GatewaySubnet">
      <AddressPrefix>10.17.159.224/27</AddressPrefix>
      /Subnet>
  </Subnets>
  <Gateway>
    <ConnectionsToLocalNetwork>
      <LocalNetworkSiteRef name="MyLocalNetwork">
        <Connection type="Dedicated" />
      </LocalNetworkSiteRef>
    </ConnectionsToLocalNetwork>
  </Gateway>
</VirtualNetworkSite>

  3. Dopo aver creato e configurato il file xml schema, caricare il file per creare la rete virtuale.

    Usare il cmdlet seguente per caricare il file, sostituendo il valore con uno personalizzato.

    Set-AzureVNetConfig -ConfigurationPath 'C:\NetworkConfig.xml'

  4. Creare un gateway ExpressRoute. Specificare Standard, HighPerformance o UltraPerformance per GatewaySKU e DynamicRouting per GatewayType.

    Usare l'esempio di seguito, sostituendo i valori personalizzati.

    New-AzureVNetGateway -VNetName MyAzureVNET -GatewayType DynamicRouting -GatewaySKU HighPerformance

  5. Collegare il gateway ExpressRoute al circuito ExpressRoute. Dopo aver completato questo passaggio, viene stabilita la connessione tra la rete locale e Azure tramite ExpressRoute.

    New-AzureDedicatedCircuitLink -ServiceKey <service-key> -VNetName MyAzureVNET

  6. Creare quindi il gateway VPN da sito a sito. GatewaySKU deve essere Standard, HighPerformance o UltraPerformance e GatewayType deve essere DynamicRouting.

    New-AzureVirtualNetworkGateway -VNetName MyAzureVNET -GatewayName S2SVPN -GatewayType DynamicRouting -GatewaySKU  HighPerformance

    Per recuperare le impostazioni del gateway di rete virtuale, inclusi l'ID del gateway e l'indirizzo IP pubblico, usare il cmdlet Get-AzureVirtualNetworkGateway.

    Get-AzureVirtualNetworkGateway

GatewayId            : 348ae011-ffa9-4add-b530-7cb30010565e
GatewayName          : S2SVPN
LastEventData        :
GatewayType          : DynamicRouting
LastEventTimeStamp   : 5/29/2015 4:41:41 PM
LastEventMessage     : Successfully created a gateway for the following virtual network: GNSDesMoines
LastEventID          : 23002
State                : Provisioned
VIPAddress           : 104.43.x.y
DefaultSite          :
GatewaySKU           : HighPerformance
Location             :
VnetId               : 979aabcf-e47f-4136-ab9b-b4780c1e1bd5
SubnetId             :
EnableBgp            : False
OperationDescription : Get-AzureVirtualNetworkGateway
OperationId          : 42773656-85e1-a6b6-8705-35473f1e6f6a
OperationStatus      : Succeeded

  7. Creare un'entità gateway VPN del sito locale. Questo comando non configura il gateway VPN locale. Consente invece di fornire le impostazioni del gateway locale, ad esempio l'indirizzo IP pubblico e lo spazio indirizzi locale, in modo che il gateway VPN di Azure possa connettersi.

    Importante

    Il sito locale per la connessione VPN da sito a sito non è definito nel file netcfg. È invece necessario usare questo cmdlet per specificare i parametri del sito locale. Non è possibile definirlo tramite il portale o il file netcfg.

    Usare l'esempio seguente, sostituendo i valori con quelli personalizzati.

    New-AzureLocalNetworkGateway -GatewayName MyLocalNetwork -IpAddress <MyLocalGatewayIp> -AddressSpace <MyLocalNetworkAddress>

    Nota

    Se la rete locale include più route, è possibile passarle tutte come una matrice. $MyLocalNetworkAddress = @("10.1.2.0/24","10.1.3.0/24","10.2.1.0/24")

    Per recuperare le impostazioni del gateway di rete virtuale, inclusi l'ID del gateway e l'indirizzo IP pubblico, usare il cmdlet Get-AzureVirtualNetworkGateway. Vedi l'esempio seguente.

    Get-AzureLocalNetworkGateway

GatewayId            : 532cb428-8c8c-4596-9a4f-7ae3a9fcd01b
GatewayName          : MyLocalNetwork
IpAddress            : 23.39.x.y
AddressSpace         : {10.1.2.0/24}
OperationDescription : Get-AzureLocalNetworkGateway
OperationId          : ddc4bfae-502c-adc7-bd7d-1efbc00b3fe5
OperationStatus      : Succeeded

  8. Configurare il dispositivo VPN locale per la connessione al nuovo gateway. Quando si configura il dispositivo VPN, usare le informazioni recuperate nel passaggio 6. Per altre informazioni sulla configurazione del dispositivo VPN, vedere l'articolo relativo alla configurazione del dispositivo VPN.

  9. Collegare il gateway VPN da sito a sito in Azure al gateway locale.

    In questo esempio connectedEntityId è l'ID del gateway locale, che è possibile trovare eseguendo Get-AzureLocalNetworkGateway. È possibile trovare virtualNetworkGatewayId usando il cmdlet Get-AzureVirtualNetworkGateway . Dopo questo passaggio, viene stabilita la connessione tra la rete locale e Azure tramite la connessione VPN da sito a sito.

    New-AzureVirtualNetworkGatewayConnection -connectedEntityId <local-network-gateway-id> -gatewayConnectionName Azure2Local -gatewayConnectionType IPsec -sharedKey abc123 -virtualNetworkGatewayId <azure-s2s-vpn-gateway-id>

Per configurare connessioni coesistenti per una rete virtuale esistente

Se esiste già una rete virtuale, controllare le dimensioni della subnet del gateway. Se la subnet del gateway è pari a/29 o /28, è necessario eliminare prima di tutto il gateway di rete virtuale e aumentare le dimensioni della subnet del gateway. I passaggi descritti in questa sezione illustrano come eseguire questa operazione.

Se la subnet del gateway è /27 o superiore e la rete virtuale è connessa tramite ExpressRoute, è possibile ignorare i passaggi seguenti e andare al "Passaggio 6 - Creare un gateway VPN da sito a sito" nella sezione precedente.

Nota

Quando si elimina il gateway esistente, gli ambienti locali perderanno la connessione alla rete virtuale mentre si lavora a questa configurazione.

  1. È necessario installare la versione più recente dei cmdlet di PowerShell per Azure Resource Manager. I cmdlet usati per questa configurazione possono essere leggermente diversi da quelli con cui si ha familiarità. Assicurarsi di usare i cmdlet specificati in queste istruzioni.

  2. Eliminare il gateway ExpressRoute o VPN da sito a sito esistente. Usare il cmdlet seguente, sostituendo i valori con quelli personalizzati.

    Remove-AzureVNetGateway –VnetName MyAzureVNET

  3. Esportare lo schema della rete virtuale. Usare il cmdlet PowerShell seguente, sostituendo i valori con quelli personalizzati.

    Get-AzureVNetConfig –ExportToFile "C:\NetworkConfig.xml"

  4. Modificare lo schema del file di configurazione di rete in modo che la subnet del gateway sia /27 o un prefisso più breve (ad esempio /26 o /25). Vedi l'esempio seguente.

    Nota

    Se non sono rimasti indirizzi IP sufficienti nella rete virtuale per aumentare le dimensioni della subnet del gateway, è necessario aggiungere altro spazio di indirizzi IP. Per altre informazioni sullo schema di configurazione, vedere Schema di configurazione della rete virtuale di Azure.

    <Subnet name="GatewaySubnet">
  <AddressPrefix>10.17.159.224/27</AddressPrefix>
</Subnet>

  5. Se il gateway precedente era una VPN da sito a sito, è necessario modificare anche il tipo di connessione su Dedicato.

    <Gateway>
  <ConnectionsToLocalNetwork>
    <LocalNetworkSiteRef name="MyLocalNetwork">
      <Connection type="Dedicated" />
    </LocalNetworkSiteRef>
  </ConnectionsToLocalNetwork>
</Gateway>

  6. A questo punto, si ha una rete virtuale senza gateway. Per creare nuovi gateway e completare le connessioni, è possibile procedere con il Passaggio 4: Creare un gateway ExpressRoute, disponibile nel set di passaggi precedente.

Passaggi successivi

Per altre informazioni su ExpressRoute, vedere le Domande frequenti su ExpressRoute