Connettere un Gateway VPN (gateway di rete virtuale) a rete WAN virtuale

Questo articolo illustra come configurare la connettività da un Gateway VPN di Azure (gateway di rete virtuale) a un rete WAN virtuale di Azure (gateway VPN). La creazione di una connessione da un Gateway VPN (gateway di rete virtuale) a un rete WAN virtuale (gateway VPN) è simile alla configurazione della connettività a una rete WAN virtuale da siti VPN di succursali.

Per ridurre al minimo la possibile confusione tra due funzionalità, verrà prefattato il gateway con il nome della funzionalità a cui si fa riferimento. Ad esempio, Gateway VPN gateway di rete virtuale e rete WAN virtuale gateway VPN.

Prima di iniziare

Prima di iniziare, creare le risorse seguenti:

Rete WAN virtuale di Azure

• Creare una rete WAN virtuale.
• Creare un hub.
• Creare un gateway VPN S2S configurato nell'hub.

Rete virtuale (per gateway di rete virtuale)

• Creare una rete virtuale senza gateway di rete virtuale. Questa rete virtuale verrà configurata con un gateway di rete virtuale attivo/attivo nei passaggi successivi. Verificare che nessuna delle subnet della rete locale possa sovrapporsi alle reti virtuali a cui ci si vuole connettere.

1. Configurare Gateway VPN gateway di rete virtuale

In questa sezione viene creato un gateway di rete virtuale Gateway VPN in modalità attiva per la rete virtuale. Quando si crea il gateway, è possibile usare indirizzi IP pubblici esistenti per le due istanze del gateway oppure creare nuovi indirizzi IP pubblici. Questi indirizzi IP pubblici verranno usati durante la configurazione dei siti di rete WAN virtuale.

1. Creare un gateway di rete virtuale Gateway VPN in modalità attiva per la rete virtuale. Per altre informazioni sui gateway VPN attivi e i passaggi di configurazione, vedere Configurare gateway VPN attivi.

2. Le sezioni seguenti mostrano le impostazioni di esempio per il gateway di rete virtuale.

   • Impostazione della modalità attiva - Nella pagina Configurazione del gateway di rete virtuale assicurarsi che la modalità attiva sia abilitata.

     

   • Impostazione BGP : nella pagina Configurazione del gateway di rete virtuale è possibile selezionare (facoltativamente) Selezionare Configura asN BGP. Se si configura BGP, modificare l'ASN dal valore predefinito visualizzato nel portale. Per questa configurazione, l'ASN BGP non può essere 65515. 65515 verrà usato da Azure rete WAN virtuale.

     

   • Indirizzi IP pubblici : una volta creato il gateway, passare alla pagina Proprietà . Le proprietà e le impostazioni di configurazione saranno simili all'esempio seguente. Si notino i due indirizzi IP pubblici usati per il gateway.

     

2. Creare siti VPN rete WAN virtuale

In questa sezione verranno creati due siti VPN rete WAN virtuale corrispondenti ai gateway di rete virtuale creati nella sezione precedente.

1. Nella pagina rete WAN virtuale passare ai siti VPN.

2. Nella pagina Siti VPN selezionare +Crea sito.

3. Nella pagina Crea sito WAN, nella scheda Informazioni di base compilare i campi seguenti:

   • Area: stessa area del gateway di rete virtuale di Azure Gateway VPN.
   • Nome: Esempio: Site1
   • Fornitore del dispositivo: nome del fornitore di dispositivi VPN (ad esempio: Citrix, Cisco, Barracuda). L'aggiunta del fornitore del dispositivo può consentire al team di Azure di comprendere meglio l'ambiente per aggiungere ulteriori possibilità di ottimizzazione in futuro o per offrire supporto per la risoluzione dei problemi.
   • Spazio indirizzi privato: immettere un valore o lasciare vuoto quando BGP è abilitato.

4. Selezionare Avanti: collegamenti per passare alla pagina Collegamenti>.

5. Nella pagina Collegamenti completare i campi seguenti:

   • Nome collegamento: nome da specificare per il collegamento fisico nel sito VPN. Esempio: Link1.
   • Velocità di collegamento: questa è la velocità del dispositivo VPN nella posizione del ramo. Esempio: 50, che indica 50 Mbps è la velocità del dispositivo VPN nella sede del ramo.
   • Nome del provider di collegamento: nome del collegamento fisico nel sito VPN. Esempio: ATT, Verizon.
   • Indirizzo IP di collegamento : immettere l'indirizzo IP. Per questa configurazione, si tratta dello stesso indirizzo IP pubblico visualizzato nelle proprietà del gateway di rete virtuale (Gateway VPN).
   • Indirizzo BGP e ASN: questi devono essere uguali a uno degli indirizzi IP peer BGP e asN dal gateway di rete virtuale Gateway VPN configurato nel passaggio 1.

6. Al termine della compilazione dei campi, selezionare Rivedi + crea per verificare. Selezionare Crea per creare il sito.

7. Ripetere i passaggi precedenti per creare il secondo sito in modo che corrisponda alla seconda istanza del gateway di rete virtuale Gateway VPN. Si manterranno le stesse impostazioni, ad eccezione dell'uso del secondo indirizzo IP pubblico e del secondo indirizzo IP peer BGP dalla configurazione Gateway VPN.

8. È ora disponibile il provisioning di due siti.

3. Connettere i siti all'hub virtuale

Connettersi quindi a entrambi i siti all'hub virtuale usando la procedura seguente. Per altre informazioni sulla connessione dei siti, vedere Connettere i siti VPN a un hub virtuale.

1. Nella pagina rete WAN virtuale passare a Hub.

2. Nella pagina Hub fare clic sull'hub creato.

3. Nella pagina dell'hub creato, nel riquadro sinistro selezionare VPN (sito a sito).

4. Nella pagina VPN (sito a sito) dovrebbe essere visualizzato il sito. In caso contrario, potrebbe essere necessario fare clic sull'associazione hub:x per cancellare i filtri e visualizzare il sito.

5. Selezionare la casella di controllo accanto al nome di entrambi i siti (non fare clic sul nome del sito direttamente), quindi fare clic su Connetti siti VPN.

6. Nella pagina Connetti siti configurare le impostazioni. Assicurarsi di prendere nota del valore della chiave pre-condivisa usato. Verrà usato di nuovo più avanti nell'esercizio quando si creano le connessioni.

7. Nella parte inferiore della pagina selezionare Connetti. È necessario un breve periodo per l'aggiornamento dell'hub con le impostazioni del sito.

4. Scaricare i file di configurazione VPN

In questa sezione si scarica il file di configurazione VPN per i siti creati nella sezione precedente.

1. Nella pagina rete WAN virtuale passare ai siti VPN.

2. Nella pagina Siti VPN selezionare Scarica configurazione VPN da sito a sito e scaricare il file nella parte superiore della pagina. Azure crea un file di configurazione con i valori necessari usati per configurare i gateway di rete locali nella sezione successiva.

   

5. Creare i gateway di rete locali

In questa sezione vengono creati due gateway di rete locali di Azure Gateway VPN. I file di configurazione del passaggio precedente contengono le impostazioni di configurazione del gateway. Usare queste impostazioni per creare e configurare i gateway di rete locali di Azure Gateway VPN.

1. Creare il gateway di rete locale usando queste impostazioni. Per informazioni su come creare un gateway di rete locale Gateway VPN, vedere l'articolo Gateway VPN Creare un gateway di rete locale.

   • Indirizzo IP: usare l'indirizzo IP Instance0 visualizzato per la configurazione del gateway dal file di configurazione.
   • BGP : se la connessione è su BGP, selezionare Configura impostazioni BGP e immettere l'ASN '65515'. Immettere l'indirizzo IP peer BGP. Usare 'Instance0 BgpPeeringAddresses' per la configurazione del gateway dal file di configurazione.
   • Spazio indirizzi : se la connessione non è superiore a BGP, assicurarsi che le impostazioni di Configurazione BGP rimangano deselezionate. Immettere gli spazi di indirizzi che verranno annunciati dal lato gateway di rete virtuale. È possibile aggiungere più intervalli di spazi indirizzi. Assicurarsi che gli intervalli specificati qui non si sovrappongano a intervalli di altre reti a cui si vuole connettersi.
   • Sottoscrizione, gruppo di risorse e posizione: queste sono identiche all'hub di rete WAN virtuale.

2. Esaminare e creare il gateway di rete locale. Il gateway di rete locale dovrebbe essere simile a questo esempio.

   

3. Ripetere questi passaggi per creare un altro gateway di rete locale, ma questa volta usare i valori 'Instance1' anziché i valori 'Instance0' dal file di configurazione.

   

Importante

Tenere presente che quando si configura una connessione BGP tramite IPsec a un indirizzo IP pubblico NON un gateway vWAN con l'ASN remoto "65515", la distribuzione del gateway di rete locale avrà esito negativo perché l'ASN "65515" è un ASN riservato documentato, come illustrato in What Autonomous Systems Can I use. Tuttavia, quando il gateway di rete locale legge l'indirizzo pubblico vWAN con l'ASN remoto "65515", questa restrizione viene revocata dalla piattaforma.

6. Creare connessioni

In questa sezione viene creata una connessione tra il Gateway VPN gateway di rete locale e il gateway di rete virtuale. Per informazioni su come creare una connessione Gateway VPN, vedere Configurare una connessione.

1. Nel portale passare al gateway di rete virtuale e selezionare Connessioni. Nella parte superiore della pagina Connessioni selezionare +Aggiungi per aprire la pagina Aggiungi connessione.

2. Nella pagina Aggiungi connessione configurare i valori seguenti per la connessione:

   • Nome: assegnare un nome alla connessione.
   • Tipo di connessione: Selezionare Da sito a sito (IPSec)
   • Gateway di rete virtuale: Il valore è fisso perché ci si connette da questo gateway.
   • Gateway di rete locale: Questa connessione connetterà il gateway di rete virtuale al gateway di rete locale. Scegliere uno dei gateway di rete locali creati in precedenza.
   • Chiave condivisa: Immettere la chiave condivisa precedente.
   • Protocollo IKE: Scegliere il protocollo IKE.

3. Selezionare OK per creare la connessione.

4. È possibile visualizzare la connessione nella pagina Connessioni relativa al gateway di rete virtuale.

5. Ripetere i passaggi precedenti per creare una seconda connessione. Per la seconda connessione selezionare l'altro gateway di rete locale creato.

6. Se le connessioni sono tramite BGP, dopo aver creato le connessioni, passare a una connessione e selezionare Configurazione. Nella pagina Configurazione selezionare Abilitato per BGP. Selezionare quindi Salva.

7. Ripetere per la seconda connessione.

7. Testare le connessioni

È possibile testare la connettività creando due macchine virtuali, una sul lato del gateway di rete virtuale Gateway VPN e una in una rete virtuale per il rete WAN virtuale, quindi effettuare il ping delle due macchine virtuali.

1. Creare una macchina virtuale nella rete virtuale (Test1-VNet) per Azure Gateway VPN (Test1-VNG). Non creare la macchina virtuale in GatewaySubnet.

2. Creare un'altra rete virtuale per connettersi alla rete WAN virtuale. Creare una macchina virtuale in una subnet di questa rete virtuale. Questa rete virtuale non può contenere gateway di rete virtuale. È possibile creare rapidamente una rete virtuale usando la procedura di PowerShell descritta nell'articolo Connessione da sito a sito . Assicurarsi di modificare i valori prima di eseguire i cmdlet.

3. Connettere la rete virtuale all'hub rete WAN virtuale. Nella pagina della rete WAN virtuale selezionare Connessioni di rete virtuale e quindi +Aggiungi connessione. Nella pagina Aggiungi connessione compilare i campi seguenti:

   • Nome connessione - Specificare un nome per la connessione.
   • Hub - Selezionare l'hub che si vuole associare a questa connessione.
   • Sottoscrizione - Verificare la sottoscrizione.
   • Rete virtuale - Selezionare la rete virtuale che si vuole connettere all'hub. La rete virtuale non può avere un gateway di rete virtuale già esistente.

4. Selezionare OK per creare la connessione di rete virtuale.

5. La connettività è ora impostata tra le macchine virtuali. Dovrebbe essere possibile effettuare il ping di una macchina virtuale dall'altra, a meno che non siano presenti firewall o altri criteri che bloccano la comunicazione.

Passaggi successivi

• Per altre informazioni su rete WAN virtuale VPN da sito a sito, vedere Esercitazione: rete WAN virtuale VPN da sito a sito.
• Per altre informazioni sulle impostazioni del gateway attivo-attivo Gateway VPN, vedere Gateway VPN configurazioni attive-attive.