Condividi tramite

Esercitazione: Creare una connessione da sito a sito con la rete WAN virtuale di Azure

  • Articolo

Questa esercitazione illustra come usare la rete WAN virtuale per connettersi alle risorse in Azure tramite una connessione VPN IPSec/IKE (IKEv1 e IKEv2). Questo tipo di connessione richiede un dispositivo VPN che si trova in locale con un indirizzo IP pubblico esterno assegnato. Per altre informazioni sulla rete WAN virtuale, vedere la panoramica sulla rete WAN virtuale.

Screenshot che mostra un diagramma di rete per rete WAN virtuale.

In questa esercitazione si apprenderà come:

  • Creare una rete WAN virtuale
  • Configurare le impostazioni di base dell'hub virtuale
  • Configurare le impostazioni del gateway VPN da sito a sito
  • Creare un sito
  • Connessione un sito a un hub virtuale
  • Connessione un sito VPN a un hub virtuale
  • Connettere una rete virtuale a un hub virtuale
  • Scaricare un file di configurazione
  • Visualizzare o modificare il gateway VPN

Nota

Se sono disponibili molti siti, in genere si ricorre ai servizi di un partner di rete WAN virtuale per creare questa configurazione. È comunque possibile creare questa configurazione in autonomia, se si ha familiarità con le tecnologie e funzionalità di rete e si è esperti della configurazione del dispositivo VPN.

Prerequisiti

Verificare di aver soddisfatto i criteri seguenti prima di iniziare la configurazione:

  • Che si abbia una sottoscrizione di Azure. Se non hai una sottoscrizione di Azure, crea un account gratuito.

  • Si dispone di una rete virtuale a cui si vuole connettersi.

    • Verificare che nessuna delle subnet della rete locale possa sovrapporsi alle reti virtuali a cui ci si vuole connettere.
    • Per creare una rete virtuale nel portale di Azure, vedere l'articolo dell'Avvio rapido.

  • La rete virtuale non deve contenere alcun gateway di rete virtuale esistente.

    • Se la rete virtuale contiene già un gateway (VPN o ExpressRoute), è necessario rimuovere tutti i gateway prima di procedere.
    • Questa configurazione richiede che le reti virtuali si connettano solo al gateway dell'hub della rete WAN virtuale.

  • Decidere l'intervallo di indirizzi IP da usare per lo spazio indirizzi privato dell'hub virtuale. Queste informazioni vengono usate durante la configurazione dell'hub virtuale. Un hub virtuale è una rete virtuale che viene creata e usata dalla rete WAN virtuale. Si tratta dell'elemento centrale della rete WAN virtuale in un'area. L'intervallo di spazio indirizzi deve essere conforme alle regole seguenti:

    • L'intervallo di indirizzi specificati per l'hub non può sovrapporsi ad alcuna delle reti virtuali esistenti a cui ci si connette.
    • L'intervallo di indirizzi IP non può sovrapporsi agli intervalli di indirizzi locali a cui ci si connette.
    • Se non si ha familiarità con gli intervalli di indirizzi IP che si trovano nella configurazione di rete locale, coordinarsi con un utente in grado di fornire tali informazioni.

Creare una rete WAN virtuale

  1. Nella barra Cerca risorse del portale digitare rete WAN virtuale nella casella di ricerca e selezionare Invio.

  2. Selezionare rete WAN virtuale nei risultati. Nella pagina rete WAN virtuale selezionare + Crea per aprire la pagina Crea rete WAN.

  3. Nella pagina Crea rete WAN compilare i campi nella scheda Informazioni di base . Modificare i valori di esempio da applicare all'ambiente.

    Screenshot che mostra il riquadro Crea rete WAN con la scheda Informazioni di base selezionata.

    • Sottoscrizione: selezionare la sottoscrizione da usare.
    • Gruppo di risorse: crearne uno nuovo o usarlo esistente.
    • Località del gruppo di risorse: scegliere una località delle risorse dall'elenco a discesa. Una rete WAN è una risorsa globale e non si trova in una determinata area. Tuttavia, per gestire e individuare la risorsa WAN creata, è necessario selezionare un'area.
    • Nome: digitare il nome che si vuole chiamare la rete WAN virtuale.
    • Tipo: Basic o Standard. Selezionare Standard. Se si seleziona Basic, tenere presente che le reti WAN virtuali basic possono contenere solo hub Basic. Gli hub di base possono essere usati solo per le connessioni da sito a sito.

  4. Al termine della compilazione dei campi, nella parte inferiore della pagina selezionare Rivedi e crea.

  5. Al termine della convalida, fare clic su Crea per creare la rete WAN virtuale.

Configurare le impostazioni dell'hub virtuale

Un hub virtuale è una rete virtuale che può contenere gateway per funzionalità da sito a sito, ExpressRoute o da punto a sito. Per questa esercitazione, compilare la scheda Informazioni di base per l'hub virtuale e quindi continuare a compilare la scheda da sito a sito nella sezione successiva. È anche possibile creare un hub virtuale vuoto (un hub virtuale che non contiene gateway) e quindi aggiungere gateway (S2S, P2S, ExpressRoute e così via) in un secondo momento. Dopo aver creato un hub virtuale, vengono addebitati i costi per l'hub virtuale, anche se non si collegano siti o si creano gateway all'interno dell'hub virtuale.

  1. Passare alla rete WAN virtuale creata. Nel riquadro sinistro della pagina della rete WAN virtuale, nella Connessione ivity selezionare Hub.

  2. Nella pagina Hub selezionare +Nuovo hub per aprire la pagina Crea hub virtuale.

    Screenshot del riquadro Crea hub virtuale con la scheda Informazioni di base selezionata.

  3. Nella scheda Generale della pagina Crea hub virtuale completare i campi seguenti:

    • Area: selezionare l'area in cui si vuole distribuire l'hub virtuale.
    • Nome: nome in base al quale si vuole che l'hub virtuale sia noto.
    • Spazio indirizzi privato dell'hub: intervallo di indirizzi dell'hub nella notazione CIDR. Per creare un hub, lo spazio indirizzi minimo è /24.
    • Capacità dell'hub virtuale: selezionare dall'elenco a discesa. Per altre informazioni, vedere Impostazioni dell'hub virtuale.
    • Preferenza di routing hub: lasciare l'impostazione predefinita. Per altre informazioni, vedere Preferenze di routing dell'hub virtuale.

Non creare ancora l'hub virtuale. Continuare con la sezione successiva per configurare altre impostazioni.

Configurare un gateway da sito a sito

In questa sezione vengono configurate le impostazioni di connettività da sito a sito e quindi viene creato l'hub virtuale e il gateway VPN da sito a sito. La creazione di un hub virtuale e di un gateway può richiedere circa 30 minuti.

  1. Nella pagina Crea hub virtuale fare clic su Sito a sito per aprire la scheda Da sito a sito .

    Screenshot del riquadro Crea hub virtuale con l'opzione Da sito a sito selezionata.

  2. Nella scheda Da sito a sito completare i campi seguenti:

    • Scegliere per creare una VPN da sito a sito.

    • As Number (Numero AS): il campo Numero AS non può essere modificato.

    • Unità di scala gateway: selezionare il valore delle unità di scala del gateway dall'elenco a discesa. L'unità di scala consente di scegliere la velocità effettiva aggregata del gateway VPN creato nell'hub virtuale a cui si collegano i siti.

      Se si sceglie l'unità di scala 1 = 500 Mbps, verranno create due istanze per la ridondanza, ciascuna con una velocità effettiva massima di 500 Mbps. Ad esempio, se si dispone di cinque rami, ognuno dei quali esegue 10 Mbps nel ramo, sarà necessaria un'aggregazione di 50 Mbps alla fine della testa. La capacità aggregata del gateway VPN di Azure deve essere pianificata dopo aver valutato la capacità necessaria per supportare il numero di rami che confluiscono nell'hub.

    • Preferenza di routing: la preferenza di routing di Azure consente di scegliere il modo in cui il traffico viene instradato tra Azure e Internet. È possibile scegliere di instradare il traffico tramite la rete Microsoft o tramite la rete ISP (Internet pubblica). Queste opzioni sono anche dette rispettivamente routing cold potato e routing hot potato.

      L'indirizzo IP pubblico in rete WAN virtuale viene assegnato dal servizio, in base all'opzione di routing selezionata. Per altre informazioni sulle preferenze di routing tramite la rete Microsoft o l'ISP, vedere l'articolo Preferenza di routing.

  3. Selezionare Rivedi e crea per convalidare la selezione.

  4. Selezionare Crea per creare l'hub e il gateway. Questa operazione può richiedere fino a 30 minuti. Dopo 30 minuti, fare clic su Aggiorna per visualizzare l'hub nella pagina Hub. Selezionare Vai alla risorsa per passare alla risorsa.

Quando si crea un nuovo hub, è possibile notare un messaggio di avviso nel portale che fa riferimento alla versione del router. Ciò si verifica a volte quando viene effettuato il provisioning del router. Una volta completato il provisioning del router, il messaggio non verrà più visualizzato.

Creare un sito

In questa sezione viene creato un sito. I siti corrispondono alle posizioni fisiche. Creare tutti i siti necessari. Questi siti contengono gli endpoint di dispositivo VPN locali.

Ad esempio, se si dispone di una succursale a NY, di una succursale a Londra e di una succursale a LA, si creessero tre siti separati. È possibile creare fino a 1000 siti per hub virtuale in una rete WAN virtuale. Se sono presenti più hub virtuali, è possibile creare 1000 per ogni hub virtuale.

Se si ha un dispositivo CPE partner rete WAN virtuale, rivolgersi a tali dispositivi per ottenere informazioni sull'automazione in Azure. In genere, l'automazione implica un'esperienza di clic semplice per esportare informazioni sui rami su larga scala in Azure e configurare la connettività dal CPE al gateway VPN rete WAN virtuale di Azure. Per altre informazioni, vedere Indicazioni sull'automazione da Azure ai partner CPE.

  1. Passare alla rete WAN virtuale -> Siti VPN per aprire la pagina dei siti VPN.

  2. Nella pagina Siti VPN fare clic su +Crea sito.

  3. Nella pagina Crea sito WAN, nella scheda Informazioni di base compilare i campi seguenti:

    Screenshot che mostra la pagina Crea sito VPN con la scheda Informazioni di base aperta.

    • Regione: precedentemente denominata Posizione. Si tratta del percorso in cui si vuole creare la risorsa del sito.

    • Nome: nome che si vuole usare per fare riferimento al sito locale.

    • Fornitore del dispositivo: nome del fornitore del dispositivo VPN (ad esempio: Citrix, Cisco, Barracuda). L'aggiunta del fornitore del dispositivo può consentire al team di Azure di comprendere meglio l'ambiente per aggiungere ulteriori possibilità di ottimizzazione in futuro o per offrire supporto per la risoluzione dei problemi.

    • Spazio indirizzi privato: spazio di indirizzi IP nel sito locale. Il traffico destinato a questo spazio di indirizzi viene indirizzato al sito locale. Questa operazione è necessaria quando BGP non è abilitato per il sito.

      Nota

      Se si modifica lo spazio di indirizzi dopo aver creato il sito, ad esempio si aggiunge un altro spazio di indirizzi, l'aggiornamento delle route effettive può richiedere 8-10 minuti mentre i componenti vengono ricreati.

  4. Selezionare Collegamenti per aggiungere informazioni sui collegamenti fisici al ramo. Se è presente un dispositivo CPE del partner WAN virtuale, rivolgersi al partner per verificare se queste informazioni vengono scambiate con Azure nell'ambito del caricamento delle informazioni sul ramo configurato dai rispettivi sistemi.

    Screenshot che mostra la pagina Crea sito VPN con la scheda Collegamenti aperta.

    • Nome collegamento: nome che si desidera fornire per il collegamento fisico al sito VPN. Esempio: mylink1.

    • Velocità collegamento: velocità del dispositivo VPN in corrispondenza della località del ramo. Esempio: 50, che indica 50 Mbps è la velocità del dispositivo VPN nella sede del ramo.

    • Nome provider collegamento: nome del collegamento fisico al sito VPN. Esempio: ATT, Verizon.

    • Indirizzo IP/FQDN collegamento: indirizzo IP pubblico del dispositivo locale con questo collegamento. Facoltativamente, è possibile specificare l'indirizzo IP privato del dispositivo VPN locale che si trova dietro ExpressRoute. È anche possibile includere un nome di dominio completo. Ad esempio, something.contoso.com. Il nome FQDN deve essere risolvibile dal gateway VPN. Questo è possibile se il server DNS che ospita questo nome FQDN è raggiungibile tramite Internet. L'indirizzo IP ha la precedenza quando vengono specificati sia l'indirizzo IP che il nome FQDN.

      Nota

      • È supportato un unico indirizzo IPv4 per ogni nome FQDN. Se il nome FQDN deve essere risolto in più indirizzo IP, il gateway VPN preleva il primo indirizzo IP4 dall'elenco. Gli indirizzi IPv6 non sono supportati al momento.

      • Il gateway VPN mantiene una cache DNS che viene aggiornata ogni 5 minuti. Il gateway tenta di risolvere i nomi FQDN solo per i tunnel disconnessi. Anche una reimpostazione del gateway o una modifica di configurazione può attivare la risoluzione del nome FQDN.

    • Border Gateway Protocol collegamento: la configurazione di BGP in una rete WAN virtuale equivale alla configurazione di BGP in un gateway VPN della rete virtuale di Azure. L'indirizzo del peer BGP locale non deve essere uguale all'indirizzo IP pubblico del dispositivo VPN né allo spazio di indirizzi della rete virtuale del sito VPN. Usare un indirizzo IP diverso nel dispositivo VPN per il peer BGP. Può trattarsi di un indirizzo assegnato all'interfaccia di loopback nel dispositivo. Specificare questo indirizzo nel sito VPN corrispondente che rappresenta la posizione. Per i prerequisiti di BGP, vedere Informazioni su BGP con i gateway VPN di Azure. È sempre possibile modificare una connessione di collegamento VPN per aggiornare i parametri BGP (IP di peering nel collegamento e AS #).

  5. È possibile aggiungere o eliminare altri collegamenti. Sono supportati quattro collegamenti per sito VPN. Ad esempio, se sono presenti quattro ISP (provider di servizi Internet) nella posizione del ramo, è possibile creare quattro collegamenti (uno per ogni ISP) e fornire le informazioni per ogni collegamento.

  6. Al termine della compilazione dei campi, selezionare Rivedi + crea per verificare. Fare clic su Crea per creare il sito.

  7. Vai al tuo rete WAN virtuale. Nella pagina Siti VPN dovrebbe essere possibile visualizzare il sito creato. Se non è possibile visualizzare il sito, è necessario modificare il filtro. Fare clic sulla X nell'associazione hub: bolla per cancellare il filtro.

    Screenshot che mostra Connessione a questo hub.

  8. Dopo aver cancellato il filtro, è possibile visualizzare il sito.

    Screenshot che mostra il sito.

Connessione il sito VPN a un hub virtuale

In questa sezione si connette il sito VPN all'hub virtuale.

  1. Nella pagina rete WAN virtuale passare a Hub.

  2. Nella pagina Hub fare clic sull'hub creato.

  3. Nella pagina dell'hub creato, in Connessione ivity nel riquadro sinistro fare clic su VPN (da sito a sito) per aprire la pagina vpn da sito a sito.

  4. Nella pagina VPN (da sito a sito) dovrebbe essere visualizzato il sito. In caso contrario, potrebbe essere necessario fare clic sulla bolla Hub association:x per cancellare i filtri e visualizzare il sito.

  5. Selezionare la casella di controllo accanto al nome del sito (non fare clic direttamente sul nome del sito), quindi fare clic su Connessione siti VPN.

    Screenshot che mostra Connessione sito.

  6. Nella pagina siti Connessione configurare le impostazioni.

    Screenshot che mostra il riquadro Siti Connessione per Hub virtuale pronto per una chiave precondivisa e le impostazioni associate.

    • Chiave precondivisa (PSK): immettere la chiave precondivisa usata dal dispositivo VPN. Se non si immette una chiave, Azure ne genera automaticamente una. Questa chiave verrà quindi usata durante la configurazione del dispositivo VPN.

    • Protocollo e IPsec: è possibile lasciare le impostazioni predefinite per Protocol (IKEv2) e IPsec (Default) oppure configurare le impostazioni personalizzate. Per altre informazioni, vedere Protocollo IPSec predefinito/personalizzato.

    • Propaga route predefinita: modificare questa impostazione solo su Abilita se si sa che si vuole propagare la route predefinita. In caso contrario, lasciarlo disabilitato. È sempre possibile modificare questa impostazione in un secondo momento.

      L'opzione Abilita consente all'hub virtuale di propagare a questa connessione una route predefinita appresa. Questo flag consente la propagazione della route predefinita a una connessione solo se tale route è già stata appresa dall'hub della rete WAN virtuale a seguito della distribuzione di un firewall nell'hub o se per un altro sito connesso è abilitato il tunneling forzato. La route predefinita non ha origine nell'hub rete WAN virtuale.

    • Usa selettore di traffico basato su criteri: lasciare questa impostazione come Disabilita a meno che non si configuri una connessione a un dispositivo che usa questa impostazione.

    • Configurare il selettore di traffico: lasciare il valore predefinito. È sempre possibile modificare questa impostazione in un secondo momento.

    • Connessione modalità: lasciare l'impostazione predefinita. Questa impostazione viene usata per decidere quale gateway può avviare la connessione.

  7. Nella parte inferiore della pagina selezionare Connessione.

  8. Dopo aver selezionato Connessione, lo stato della connettività viene visualizzato Aggiorna. Al termine dell'aggiornamento, il sito mostra lo stato di connessione e connettività.

    Screenshot che mostra uno stato di connessione da sito a sito.

    Connessione stato del provisioning: si tratta dello stato della risorsa di Azure per la connessione che connette il sito VPN al gateway VPN dell'hub di Azure. Dopo che questa operazione del piano di controllo ha esito positivo, il gateway VPN di Azure e il dispositivo VPN locale tenteranno di stabilire la connettività.

    Connessione ivity status (stato di connettività): si tratta dello stato effettivo di connettività (percorso dati) tra il gateway VPN di Azure nell'hub e il sito VPN. Al termine dell'aggiornamento, può mostrare uno dei seguenti stati:

    • Sconosciuto: questo stato viene in genere visualizzato se i sistemi back-end funzionano per la transizione a un altro stato.
    • Connessione ing: il gateway VPN sta tentando di contattare il sito VPN locale effettivo.
    • Connessione ed: la Connessione ivity viene stabilita tra il gateway VPN e il sito VPN locale.
    • Non connesso: la Connessione ivity non viene stabilita.
    • Disconnesso: questo stato viene visualizzato se, per qualsiasi motivo (locale o in Azure), la connessione è stata disconnessa.

  9. Se si desidera apportare modifiche al sito, selezionare la casella di controllo accanto al nome del sito (non fare clic direttamente sul nome del sito), quindi fare clic sul menu di scelta rapida ... .

    Screenshot che mostra la modifica, l'eliminazione e il download.

    Da questa pagina è possibile eseguire le operazioni seguenti:

    • Modificare la connessione VPN a questo hub.
    • Eliminare la connessione VPN a questo hub.
    • Scaricare il file di configurazione VPN specifico per questo sito. Se invece si vuole scaricare il file di configurazione per i siti connessi a questo hub, selezionare Scarica configurazione VPN dal menu nella parte superiore della pagina.

  10. È quindi possibile fare clic sul sito VPN per visualizzare lo stato di connettività per ogni connessione di collegamento. Screenshot che mostra le connessioni di collegamento per un determinato sito VPN.

Connessione una rete virtuale all'hub virtuale

In questa sezione viene creata una connessione tra l'hub virtuale e la rete virtuale.

  1. Nella portale di Azure passare al rete WAN virtuale Nel riquadro sinistro selezionare Connessioni di rete virtuale.

  2. Nella pagina Connessioni di rete virtuale selezionare + Aggiungi connessione.

  3. Nella pagina Aggiungi connessione configurare le impostazioni di connessione. Per informazioni sulle impostazioni di routing, vedere Informazioni sul routing.

    Screenshot della pagina Aggiungi connessione.

    • Nome connessione: assegnare un nome alla connessione.
    • Hub: selezionare l'hub da associare a questa connessione.
    • Sottoscrizione: verificare la sottoscrizione.
    • Gruppo di risorse: selezionare il gruppo di risorse che contiene la rete virtuale a cui connettersi.
    • Rete virtuale: selezionare la rete virtuale che si vuole connettere a questo hub. La rete virtuale selezionata non può avere un gateway di rete virtuale già esistente.
    • Propaga a nessuno: questa opzione è impostata su No per impostazione predefinita. Se si modifica l'opzione su , le opzioni di configurazione per Propagate to Route Tables (Propaga nelle tabelle di route) e Propagate alle etichette non sono disponibili per la configurazione.
    • Associa tabella di route: dall'elenco a discesa è possibile selezionare una tabella di route da associare.
    • Propaga alle etichette: le etichette sono un gruppo logico di tabelle di route. Per questa impostazione, selezionare dall'elenco a discesa.
    • Route statiche: configurare route statiche, se necessario. Configurare route statiche per appliance virtuali di rete (se applicabile). rete WAN virtuale supporta un singolo ip hop successivo per la route statica in una connessione di rete virtuale. Ad esempio, se si dispone di un'appliance virtuale separata per i flussi di traffico in ingresso e in uscita, è consigliabile avere le appliance virtuali in reti virtuali separate e collegare le reti virtuali all'hub virtuale.
    • Ignorare l'ip hop successivo per i carichi di lavoro all'interno di questa rete virtuale: questa impostazione consente di distribuire appliance virtuali di rete e altri carichi di lavoro nella stessa rete virtuale senza forzare tutto il traffico attraverso l'appliance virtuale di rete. Questa impostazione può essere configurata solo quando si configura una nuova connessione. Se si vuole usare questa impostazione per una connessione già creata, eliminare la connessione, quindi aggiungere una nuova connessione.
    • Propaga route statiche: questa impostazione è attualmente in fase di implementazione. Questa impostazione consente di propagare le route statiche definite nella sezione Route statiche alle tabelle di route specificate in Propaga alle tabelle di route. Inoltre, le route verranno propagate alle tabelle di route con etichette specificate come Propaga alle etichette. Queste route possono essere propagate tra hub, ad eccezione della route predefinita 0/0. Questa funzionalità è in fase di implementazione. Se è necessaria questa funzionalità abilitata, contattare vwanpm@microsoft.com

  4. Dopo aver completato le impostazioni da configurare, fare clic su Crea per creare la connessione.

Scaricare la configurazione della VPN

Usare il file di configurazione del dispositivo VPN per configurare il dispositivo VPN locale. I passaggi principali sono indicati di seguito.

  1. Dalla pagina rete WAN virtuale passare a Hub - L'hub virtuale ->> VPN (da sito a sito).

  2. Nella parte superiore della pagina VPN (da sito a sito) fare clic su Scaricare configurazione VPN. Verrà visualizzata una serie di messaggi quando Azure crea un nuovo account di archiviazione nel gruppo di risorse “microsoft-network-[location]”, dove posizione è il percorso della rete WAN. È anche possibile aggiungere un account di archiviazione esistente facendo clic su "Usare esistente" e aggiungendo un URL di firma di accesso condiviso valido con autorizzazioni di scrittura abilitate. Per altre informazioni sulla creazione di un nuovo URL di firma di accesso condiviso, vedere Generare l'URL di firma di accesso condiviso.

  3. Al termine della creazione del file, fare clic sul collegamento per scaricare il file. Verrà creato un nuovo file con configurazione VPN nel percorso dell'URL di firma di accesso condiviso specificato. Per informazioni sul contenuto del file, vedere Informazioni sul file di configurazione del dispositivo VPN in questa sezione.

  4. Applicare la configurazione al dispositivo VPN locale. Per altre informazioni, vedere Configurazione del dispositivo VPN in questa sezione.

  5. Dopo aver applicato la configurazione ai dispositivi VPN, non è necessario mantenere l'account di archiviazione creato.

Informazioni sul file di configurazione del dispositivo VPN

Il file di configurazione del dispositivo contiene le impostazioni da usare quando si configura il dispositivo VPN locale. Quando si visualizza questo file, notare le informazioni seguenti:

  • vpnSiteConfiguration - Questa sezione indica i dettagli del dispositivo configurato come un sito che si connette alla rete WAN virtuale. Include il nome e l'indirizzo IP pubblico del dispositivo derivato.

  • vpnSiteConnections - Questa sezione include informazioni sulle impostazioni seguenti:

    • Spazio indirizzi della rete virtuale degli hub virtuali.
      Esempio:

      "AddressSpace":"10.1.0.0/24"

    • Spazio indirizzi delle reti virtuali connesse all'hub virtuale.
      Esempio:

      "ConnectedSubnets":["10.2.0.0/16","10.3.0.0/16"]

    • Indirizzi IP del gateway VPN dell'hub virtuale. Poiché ogni connessione gateway vpn è costituita da due tunnel nella configurazione attiva-attiva, entrambi gli indirizzi IP saranno visibili in questo file. In questo esempio, sono indicati "Instance0" e "Instance1" per ogni sito.
      Esempio:

      "Instance0":"104.45.18.186"
"Instance1":"104.45.13.195"

    • Dettagli di configurazione della connessione gateway vpn, ad esempio BGP, chiave precondivisa e così via. PSK è la chiave precondivisa che viene generata automaticamente. È sempre possibile modificare la connessione nella pagina Panoramica per un PSK personalizzato.

Esempio di file di configurazione del dispositivo

  { 
      "configurationVersion":{ 
         "LastUpdatedTime":"2018-07-03T18:29:49.8405161Z",
         "Version":"r403583d-9c82-4cb8-8570-1cbbcd9983b5"
      },
      "vpnSiteConfiguration":{ 
         "Name":"testsite1",
         "IPAddress":"73.239.3.208"
      },
      "vpnSiteConnections":[ 
         { 
            "hubConfiguration":{ 
               "AddressSpace":"10.1.0.0/24",
               "Region":"West Europe",
               "ConnectedSubnets":[ 
                  "10.2.0.0/16",
                  "10.3.0.0/16"
               ]
            },
            "gatewayConfiguration":{ 
               "IpAddresses":{ 
                  "Instance0":"104.45.18.186",
                  "Instance1":"104.45.13.195"
               }
            },
            "connectionConfiguration":{ 
               "IsBgpEnabled":false,
               "PSK":"bkOWe5dPPqkx0DfFE3tyuP7y3oYqAEbI",
               "IPsecParameters":{ 
                  "SADataSizeInKilobytes":102400000,
                  "SALifeTimeInSeconds":3600
               }
            }
         }
      ]
   },
   { 
      "configurationVersion":{ 
         "LastUpdatedTime":"2018-07-03T18:29:49.8405161Z",
         "Version":"1f33f891-e1ab-42b8-8d8c-c024d337bcac"
      },
      "vpnSiteConfiguration":{ 
         "Name":" testsite2",
         "IPAddress":"66.193.205.122"
      },
      "vpnSiteConnections":[ 
         { 
            "hubConfiguration":{ 
               "AddressSpace":"10.1.0.0/24",
               "Region":"West Europe"
            },
            "gatewayConfiguration":{ 
               "IpAddresses":{ 
                  "Instance0":"104.45.18.187",
                  "Instance1":"104.45.13.195"
               }
            },
            "connectionConfiguration":{ 
               "IsBgpEnabled":false,
               "PSK":"XzODPyAYQqFs4ai9WzrJour0qLzeg7Qg",
               "IPsecParameters":{ 
                  "SADataSizeInKilobytes":102400000,
                  "SALifeTimeInSeconds":3600
               }
            }
         }
      ]
   },
   { 
      "configurationVersion":{ 
         "LastUpdatedTime":"2018-07-03T18:29:49.8405161Z",
         "Version":"cd1e4a23-96bd-43a9-93b5-b51c2a945c7"
      },
      "vpnSiteConfiguration":{ 
         "Name":" testsite3",
         "IPAddress":"182.71.123.228"
      },
      "vpnSiteConnections":[ 
         { 
            "hubConfiguration":{ 
               "AddressSpace":"10.1.0.0/24",
               "Region":"West Europe"
            },
            "gatewayConfiguration":{ 
               "IpAddresses":{ 
                  "Instance0":"104.45.18.187",
                  "Instance1":"104.45.13.195"
               }
            },
            "connectionConfiguration":{ 
               "IsBgpEnabled":false,
               "PSK":"YLkSdSYd4wjjEThR3aIxaXaqNdxUwSo9",
               "IPsecParameters":{ 
                  "SADataSizeInKilobytes":102400000,
                  "SALifeTimeInSeconds":3600
               }
            }
         }
      ]
   }

Configurazione del dispositivo VPN

Nota

Se si usa la soluzione di un partner di rete WAN virtuale, la configurazione del dispositivo VPN avviene automaticamente. Il controller del dispositivo ottiene il file di configurazione da Azure e lo applica al dispositivo per configurare la connessione ad Azure. Ciò significa che non è necessario sapere come configurare manualmente il dispositivo VPN.

Se sono necessarie istruzioni per configurare il dispositivo, è possibile usare le istruzioni riportate nella pagina degli script di configurazione del dispositivo VPN con le avvertenze seguenti:

  • Le istruzioni nella pagina dei dispositivi VPN non vengono scritte per la rete WAN virtuale, ma è possibile usare i valori della rete WAN virtuale dal file di configurazione per configurare manualmente il dispositivo VPN.

  • Gli script di configurazione dei dispositivi scaricabili per gateway VPN non funzionano per la rete WAN virtuale, perché la configurazione è diversa.

  • Una nuova rete WAN virtuale può supportare IKEv1 e IKEv2.

  • La rete WAN virtuale può usare dispositivi VPN sia basati su criteri che basati su route e istruzioni per il dispositivo.

Visualizzare o modificare le impostazioni del gateway

È possibile visualizzare e modificare le impostazioni del gateway VPN in qualsiasi momento. Passare all'HUB virtuale -> VPN (da sito a sito) e fare clic sulla configurazione del gateway.

Screenshot che mostra la pagina

Nella pagina Modifica gateway VPN è possibile visualizzare le impostazioni seguenti:

  • Indirizzo IP pubblico: Assegnato da Azure.

  • Indirizzo IP privato: Assegnato da Azure.

  • Indirizzo IP BGP predefinito: Assegnato da Azure.

  • Indirizzo IP BGP personalizzato: Questo campo è riservato per APIPA (Indirizzamento IP privato automatico). Azure supporta l'indirizzo IP BGP negli intervalli 169.254.21.* e 169.254.22.*. Azure accetta le connessioni BGP in questi intervalli, ma effettua la connessione con l'IP BGP predefinito. Gli utenti possono specificare più indirizzi IP BGP personalizzati per ogni istanza. Non deve essere usato lo stesso indirizzo IP BGP personalizzato per entrambe le istanze.

    Screenshot che mostra la pagina Modifica Gateway VPN con il pulsante Modifica evidenziato.

Pulire le risorse

Quando non sono più necessarie le risorse create, eliminarle. Alcune delle risorse rete WAN virtuale devono essere eliminate in un determinato ordine a causa delle dipendenze. Il completamento dell'eliminazione può richiedere circa 30 minuti.

  1. Aprire la rete WAN virtuale creata.

  2. Selezionare un hub virtuale associato alla rete WAN virtuale per aprire la pagina dell'hub.

  3. Eliminare tutte le entità gateway seguendo l'ordine seguente per ogni tipo di gateway. Il completamento può richiedere 30 minuti.

    VPN:

    • Disconnettere i siti VPN
    • Eliminare le connessioni VPN
    • Eliminare i gateway VPN

    ExpressRoute:

    • Eliminare le connessioni ExpressRoute
    • Eliminare i gateway ExpressRoute

  4. Ripetere per tutti gli hub associati alla rete WAN virtuale.

  5. È possibile eliminare gli hub a questo punto oppure eliminare gli hub in un secondo momento quando si elimina il gruppo di risorse.

  6. Passare al gruppo di risorse nel portale di Azure.

  7. Selezionare Elimina gruppo di risorse. In questo modo vengono eliminate le altre risorse nel gruppo di risorse, inclusi gli hub e la rete WAN virtuale.

Passaggi successivi

Per altre informazioni sulla rete WAN virtuale, vedere: