Informazioni sulle impostazioni di configurazione del Gateway VPN
L'architettura di connessione del Gateway VPN si basa sulla configurazione di più risorse, ognuna delle quali contiene impostazioni configurabili. Le sezioni di questo articolo descrivono le risorse e le impostazioni correlate a un gateway VPN per una rete virtuale creata nel modello di distribuzione Resource Manager. Le descrizioni e i diagrammi della topologia per ogni soluzione di connessione sono disponibili nell'articolo Topologia e progettazione del Gateway VPN.
I valori riportati in questo articolo si applicano in maniera specifica ai Gateway VPN (gateway di rete virtuale che usano GatewayType Vpn). Per informazioni sui tipi di gateway seguenti, consultare gli articoli riportati di seguito:
- Per i valori che si applicano a ExpressRoute come -GatewayType, vedere Gateway di rete virtuale per ExpressRoute.
- Per i gateway con ridondanza della zona, vedere le informazioni sui gateway con ridondanza della zona.
- Per i gateway di rete WAN virtuale, vedere Informazioni sulla rete WAN virtuale.
Gateway e tipi di gateway
Un gateway di rete virtuale è costituito da due o più VM gestite da Azure configurate e distribuite automaticamente in una subnet specifica creata, denominata subnet del gateway. Le macchine virtuali di un gateway contengono tabelle di routing ed eseguono servizi gateway specifici.
Quando si crea un gateway di rete virtuale, le VM del gateway vengono distribuite automaticamente nella subnet del gateway (sempre denominata GatwaySubnet), quindi vengono configurate con le impostazioni specificate. Il completamento di questo processo può richiedere almeno 45 minuti, a seconda dello SKU di gateway selezionato.
Una delle impostazioni specificate durante la creazione di un gateway di rete virtuale è il tipo di gateway. Il tipo di gateway determina la modalità di utilizzo del gateway di rete virtuale, oltre che le azioni che dovrà eseguire. In una rete virtuale possono coesistere due gateway di rete virtuale, un gateway VPN e un gateway ExpressRoute. Il tipo di gateway 'Vpn' specifica che il tipo di gateway di rete virtuale creato è un Gateway VPN. Questo lo distingue da un gateway ExpressRoute, che usa un tipo di gateway diverso.
Se si crea un gateway di rete virtuale, è necessario assicurarsi che il tipo di gateway sia corretto per la configurazione in uso. I valori disponibili per GatewayType sono:
- VPN
- ExpressRoute
Un Gateway VPN richiede il valore -GatewayType Vpn.
Esempio:
New-AzVirtualNetworkGateway -Name vnetgw1 -ResourceGroupName testrg `
-Location 'West US' -IpConfigurations $gwipconfig -GatewayType Vpn `
-VpnType RouteBased
SKU e prestazioni del gateway
Vedere l'articolo Informazioni sugli SKU del gateway per informazioni aggiornate sugli SKU, sulle prestazioni e sulle funzionalità supportate del gateway.
Tipi di VPN
Azure supporta due differenti tipi di VPN per i Gateway VPN: basati su criteri e basati su route. I Gateway VPN basati su route vengono creati su una piattaforma differente rispetto ai Gateway VPN basati su criteri. Nel risultano specifiche differenti per il gateway. Nella maggior parte dei casi si crea un Gateway VPN basato su route.
In precedenza, gli SKU del gateway meno recenti non supportavano IKEv1 per i gateway basati su route. Ora, la maggior parte degli SKU del gateway corrente supporta sia IKEv1 che IKEv2. A partire dal 1° ottobre 2023, non è più possibile creare un Gateway VPN basato su criteri tramite il portale di Azure; sono disponibili solo i gateway basati su route. Se si desidera creare un gateway basato su criteri, usare PowerShell o CLI.
Se si dispone già di un gateway basato su criteri, non è necessario modificarlo in gateway basato su route, a meno che non si voglia usare una configurazione che richiede un gateway basato su route, ad esempio, da punto a sito. Non è possibile convertire un gateway basato su criteri in uno basato su route. Il gateway esistente deve essere eliminato, solo dopo sarà possibile creare un nuovo gateway basato su route.
| Tipo di gateway VPN | SKU del gateway | Versioni IKE supportate |
|---|---|---|
| Gateway basato su criteri | Di base | IKEv1 |
| Gateway basato su route | Di base | IKEv2 |
| Gateway basato su route | VpnGw1, VpnGw2, VpnGw3, VpnGw4, VpnGw5 | IKEv1 e IKEv2 |
| Gateway basato su route | VpnGw1AZ, VpnGw2AZ, VpnGw3AZ, VpnGw4AZ, VpnGw5AZ | IKEv1 e IKEv2 |
Gateway VPN con modalità attiva-attiva
È ora possibile creare un Gateway VPN di Azure in una configurazione di tipo attivo-attivo, in cui entrambe le istanze delle VM del gateway stabiliscono tunnel VPN S2S con il dispositivo VPN locale.
In questa configurazione, ogni istanza del gateway di Azure ha un indirizzo IP pubblico univoco e stabilirà un tunnel VPN S2S IPsec/IKE con il dispositivo VPN locale specificato nella connessione e nel gateway di rete locale. Entrambi i tunnel VPN fanno parte della stessa connessione. Sarà comunque necessario configurare il dispositivo VPN locale in modo che accetti o stabilisca due tunnel VPN S2S con i due indirizzi IP pubblici del Gateway VPN di Azure.
Dato che le istanze del gateway di Azure presentano una configurazione di tipo attivo-attivo, il traffico dalla rete virtuale di Azure alla rete locale verrà instradato attraverso i tunnel simultaneamente, anche se il dispositivo VPN potrebbe preferire un tunnel rispetto all'altro. Per un singolo flusso TCP o UDP, Azure prova a usare lo stesso tunnel durante l'invio di pacchetti alla rete locale. La rete locale potrebbe tuttavia usare un tunnel diverso per inviare pacchetti ad Azure.
In caso di evento imprevisto o di manutenzione pianificata in un'istanza del gateway, il tunnel IPsec da tale istanza al dispositivo VPN locale verrà disconnesso. Le route corrispondenti nei dispositivi VPN verranno rimosse o revocate automaticamente in modo che il traffico venga trasferito sull'altro tunnel IPsec attivo. Sul lato Azure, verrà eseguito automaticamente il passaggio dall'istanza interessata all'istanza attiva.
Per informazioni sull'uso di gateway attivi-attivi in uno scenario di connettività a disponibilità elevata, vedere Informazioni sulla connettività a disponibilità elevata.
Tipi di connessioni
Nel modello di distribuzione Resource Manager ogni configurazione richiede un tipo di connessione di gateway di rete virtuale specifico. I valori di PowerShell per Resource Manager disponibili per -ConnectionType sono:
- IPsec
- Vnet2Vnet
- ExpressRoute
- VPNClient
L'esempio PowerShell seguente crea una connessione S2S che richiede il tipo di connessione IPsec.
New-AzVirtualNetworkGatewayConnection -Name localtovon -ResourceGroupName testrg `
-Location 'West US' -VirtualNetworkGateway1 $gateway1 -LocalNetworkGateway2 $local `
-ConnectionType IPsec -SharedKey 'abc123'
Modalità di connessione
La proprietà Modalità di connessione si applica esclusivamente ai Gateway VPN basati su route che usano connessioni IKEv2. Le modalità di connessione definiscono la direzione di avvio della connessione e si applicano soltanto alla definizione iniziale della connessione IKE. Qualsiasi entità può avviare la reimpostazione delle chiavi e di messaggi aggiuntivi. InitiatorOnly indica che la connessione deve essere avviata da Azure. ResponderOnly indica che la connessione deve essere avviata dal dispositivo locale. Il comportamento Predefinito prevede di accettare e connettersi con la prima connessione.
Subnet gateway
Prima di creare un gateway VPN, è necessario creare una subnet del gateway. La subnet del gateway contiene gli indirizzi IP usati dalle VM e dai servizi del gateway di rete virtuale. Quando si crea il gateway di rete virtuale, le VM del gateway vengono distribuite nella subnet del gateway e configurate con le impostazioni del gateway VPN necessarie. Non si devono mai distribuire altri elementi (ad esempio, altre VM) nella subnet del gateway. Per poter funzionare correttamente, la subnet del gateway deve essere denominata "GatewaySubnet". Denominando la subnet del gateway 'GatewaySubnet', Azure la riconosce come quella in cui distribuire i servizi e le VM del gateway di rete virtuale.
Quando si crea la subnet del gateway, si specifica il numero di indirizzi IP inclusi nella subnet. Gli indirizzi IP inclusi nella subnet del gateway sono allocati alle VM del gateway e ai servizi del gateway. Alcune configurazioni richiedono più indirizzi IP di altre.
Quando si pianificano le dimensioni della subnet del gateway, vedere la documentazione per la configurazione che si intende creare. La configurazione per la coesistenza di gateway ExpressRoute/VPN richiede una subnet del gateway di dimensioni maggiori di quelle della maggior parte delle altre configurazioni. Sebbene sia possibile creare una subnet del gateway di dimensioni pari a /29 (applicabile solo allo SKU Basic), tutti gli altri SKU richiedono una subnet del gateway di dimensioni pari a /27 o superiori (/27, /26, /25, e così via). Potrebbe essere necessario creare una subnet del gateway di dimensioni superiori a /27 affinché la subnet abbia indirizzi IP sufficienti per supportare le possibili configurazioni future.
L'esempio seguente di PowerShell Resource Manager illustra una subnet del gateway denominata GatewaySubnet. La notazione CIDR specifica /27. Questa dimensione ammette un numero di indirizzi IP sufficiente per la maggior parte delle configurazioni attualmente esistenti.
Add-AzVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -AddressPrefix 10.0.3.0/27
Considerazioni:
Le route definite dall'utente con destinazione 0.0.0.0/0 e gruppi di sicurezza di rete in GatewaySubnet non sono supportate. La creazione dei gateway con questa configurazione viene bloccata. Per il corretto funzionamento è necessario che i gateway possano accedere ai controller di gestione. Per assicurare la disponibilità del gateway, l'opzione Propagazione route BGP deve essere impostata su "Abilitato" in GatewaySubnet. Se la propagazione della route BGP è impostata su disabilitata, il gateway non funzionerà.
La diagnostica, il percorso dati e il percorso di controllo possono essere interessati se una route definita dall'utente si sovrappone all'intervallo di subnet del gateway o all'intervallo ip pubblico del gateway.
Gateway di rete locali
Un gateway di rete locale è diverso da un gateway di rete virtuale. Se si utilizza un'architettura da sito a sito del Gateway VPN, il gateway di rete locale rappresenta solitamente la rete locale e il dispositivo VPN corrispondente. Nel modello di distribuzione classico, il gateway di rete locale viene definito Sito locale.
Quando si configura un gateway di rete locale, si specifica il nome, l'indirizzo IP pubblico o il nome di dominio completo (FQDN) del dispositivo VPN locale, come anche i prefissi di indirizzo che si trovano nel percorso locale. Azure esamina i prefissi di indirizzo di destinazione per il traffico di rete, consulta la configurazione specificata per il gateway di rete locale e indirizza i pacchetti di conseguenza. Se si usa Border Gateway Protocol (BGP) nel dispositivo VPN, si dovrà specificare l'indirizzo IP peer BGP del dispositivo VPN e il numero del sistema autonomo (ASN) della rete locale. È anche possibile specificare i gateway di rete locale per le configurazioni da rete virtuale a rete virtuale che usano una connessione di gateway VPN.
L'esempio seguente di PowerShell consente di creare un nuovo gateway di rete locale:
New-AzLocalNetworkGateway -Name LocalSite -ResourceGroupName testrg `
-Location 'West US' -GatewayIpAddress '23.99.221.164' -AddressPrefix '10.5.51.0/24'
Talvolta è necessario modificare le impostazioni di gateway di rete locale. Ad esempio, quando si aggiunge o si modifica l'intervallo di indirizzi oppure se viene modificato l'indirizzo IP del dispositivo VPN. Per altre informazioni, vedere Modificare le impostazioni del gateway di rete locale.
API REST, cmdlet di PowerShell e interfaccia della riga di comando
Per altre risorse tecniche e requisiti di sintassi specifici quando si usano le API REST, i cmdlet PowerShell o l'interfaccia della riga di comando di Azure per le configurazioni di Gateway VPN, vedere le pagine seguenti:
| Classico | Resource Manager |
|---|---|
| PowerShell | PowerShell |
| REST API | REST API |
| Non supportato | Interfaccia della riga di comando di Azure |
Passaggi successivi
Per altre informazioni sulle configurazioni delle connessioni disponibili, vedere Informazioni sul gateway VPN.
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per