Simulare la connettività di rete remota usando Azure VNG

Le organizzazioni potrebbero voler estendere le funzionalità di Accesso a Internet Microsoft Entra a intere reti e non solo ai singoli dispositivi in cui possono installare il client Accesso globale sicuro. Questo articolo spiega come estendere queste funzionalità a una rete virtuale di Azure ospitata nel cloud. È possibile applicare principi simili alle attrezzature di rete locali di un cliente.

Prerequisiti

Per completare le procedure descritte in questo articolo, sono necessari i prerequisiti seguenti:

• Una sottoscrizione di Azure e l'autorizzazione per creare risorse nel portale di Azure.
• Conoscenza di base delle connessioni VPN da sito a sito.
• Un tenant di Microsoft Entra con il ruolo Amministratore Accesso globale sicuro assegnato.

Componenti della rete virtuale

La creazione di questa funzionalità in Azure offre alle organizzazioni la possibilità di comprendere il funzionamento di Accesso a Internet Microsoft Entra in un'implementazione più ampia. Le risorse create in Azure corrispondono ai concetti locali nei modi seguenti:

Risorsa di Azure	Componente locale tradizionale
Rete virtuale	Spazio indirizzi IP in sede
Gateway di rete virtuale	Il router locale, talvolta definito attrezzatura locale del cliente (CPE)
Gateway di rete locale	Il gateway Microsoft in cui il router (gateway di rete virtuale di Azure) crea un tunnel IPsec
Connessione	Tunnel VPN IPsec creato tra il gateway di rete virtuale e il gateway di rete locale
Macchina virtuale	Dispositivi client nella rete locale

In questo documento vengono usati i valori predefiniti seguenti. È possibile configurare queste impostazioni in base ai propri requisiti.

• Sottoscrizione: Visual Studio Enterprise
• Nome gruppo di risorse: Network_Simulation
• Area: Stati Uniti orientali

Passaggi principali

I passaggi per simulare la connettività della rete remota con le reti virtuali di Azure vengono completati nel portale di Azure e nell'Interfaccia di amministrazione di Microsoft Entra. Potrebbe essere utile avere più schede aperte in modo da poter passare facilmente da una scheda all'altra.

Prima di creare le risorse virtuali, è necessario un gruppo di risorse e una rete virtuale da usare nelle sezioni seguenti. Se è già stato configurato un gruppo di risorse di test e una rete virtuale, è possibile iniziare al passaggio 3.

1. Creare un gruppo di risorse (portale di Azure)
2. Creare una rete virtuale (portale di Azure)
3. Creare un gateway di rete virtuale (portale di Azure)
4. Creare una rete remota con collegamenti dispositivo (Interfaccia di amministrazione di Microsoft Entra)
5. Creare un gateway di rete locale (portale di Azure)
6. Creare una connessione VPN da sito a sito (S2S) (portale di Azure)
7. Verificare la connettività (entrambi)

Creare un gruppo di risorse

Creare un gruppo di risorse per contenere tutte le risorse necessarie.

1. Accedere al portale di Azure con l'autorizzazione per creare risorse.
2. Passare a Gruppi di risorse.
3. Seleziona Crea.
4. Selezionare la sottoscrizione, l'area e specificare un nome in Gruppo di risorse.
5. Selezionare Rivedi e crea.
6. Confermare i dettagli e quindi selezionare Crea.

Creare una rete virtuale

Creare una rete virtuale all'interno del nuovo gruppo di risorse.

1. Nel portale di Azure passare a Reti virtuali.
2. Seleziona Crea.
3. Selezionare il gruppo di risorse appena creato.
4. Specificare la rete in Nome rete virtuale.
5. Lasciare invariati i valori predefiniti negli altri campi.
6. Selezionare Rivedi e crea.
7. Seleziona Crea.

Screenshot dei campi per la creazione di una rete virtuale.

Creare un gateway di rete virtuale

Creare un gateway di rete virtuale all'interno del nuovo gruppo di risorse.

1. Nel portale di Azure passare a Gateway di rete virtuale.

2. Seleziona Crea.

3. Assegnare un nome al gateway di rete virtuale in Nome e selezionare l'area appropriata.

4. Selezionare la rete virtuale creata nella sezione precedente.

   

5. Creare un indirizzo IP pubblico e specificarlo con un nome descrittivo.

   • FACOLTATIVO: se si vuole un tunnel IPsec secondario, nella sezione Secondo indirizzo IP pubblico creare un altro indirizzo IP pubblico e assegnare un nome. Se si crea un secondo tunnel IPsec, è necessario creare due collegamenti dispositivo nel passaggio Creare una rete remota.
   • Imposta Abilita modalità attiva-attiva su Disabilitato se non è necessario un secondo indirizzo IP pubblico.
   • L'esempio in questo articolo usa un singolo tunnel IPsec.

6. Selezionare una zona di disponibilità.

7. Imposta Configura BGP su Abilitato.

8. Impostare Numero sistema autonomo (ASN) su un valore appropriato. Fare riferimento all'elenco di indirizzi ASN validi per i valori riservati che non possono essere usati.

   

9. Per tutte le altre impostazioni lasciare i valori predefiniti o non specificare alcun valore.

10. Selezionare Rivedi e crea. Confermare le impostazioni.

11. Seleziona Crea.

Nota

La distribuzione e la creazione del gateway di rete virtuale potrebbero richiedere alcuni minuti. È possibile avviare la sezione successiva durante la creazione, ma sono necessari gli indirizzi IP pubblici del gateway di rete virtuale per completare il passaggio successivo.

Per visualizzare questi indirizzi IP, passare alla pagina Configurazione del gateway di rete virtuale dopo la distribuzione.

Creare una rete remota

Il processo di creazione di una rete remota viene completato nell'Interfaccia di amministrazione di Microsoft Entra. Sono disponibili due set di schede in cui immettere le informazioni.

I passaggi seguenti forniscono le informazioni di base necessarie per creare una rete remota con Accesso globale sicuro. Questo processo viene trattato in modo più dettagliato in due articoli separati. Esistono diversi dettagli che possono essere facilmente confusi. Pertanto, per altre informazioni, vedere gli articoli seguenti:

• Come creare una rete remota
• Informazioni su come gestire i collegamenti dispositivo con rete remota

Ridondanza di zona

Prima di creare la rete remota per il servizio Accesso globale sicuro, esaminare le due opzioni relative alla ridondanza. È possibile creare reti remote con o senza ridondanza. È possibile aggiungere ridondanza in due modi:

• Scegliere Ridondanza della zona durante la creazione di un collegamento dispositivo nell'Interfaccia di amministrazione di Microsoft Entra.
  • In questo scenario viene creato un altro gateway in una zona di disponibilità diversa all'interno della stessa area del data center selezionata durante la creazione della rete remota.
  • In questo scenario è necessario un solo indirizzo IP pubblico nel gateway di rete virtuale.
  • Vengono creati due tunnel IPSec dallo stesso indirizzo IP pubblico del router ai gateway Microsoft diversi in zone di disponibilità diverse.
• Creare un indirizzo IP pubblico secondario nel portale di Azure e creare due collegamenti dispositivo con indirizzi IP pubblici diversi nell'Interfaccia di amministrazione di Microsoft Entra.
  • È quindi possibile scegliere Nessuna ridondanza quando si aggiungono collegamenti dispositivo alla rete remota nell'Interfaccia di amministrazione di Microsoft Entra.
  • In questo scenario sono necessari indirizzi IP pubblici primari e secondari nel gateway di rete virtuale.

Creare la rete remota e aggiungere collegamenti dispositivo

Per questo articolo scegliamo l'opzione della ridondanza zonale.

Suggerimento

L'indirizzo BGP locale deve essere un indirizzo IP privato esterno allo spazio indirizzi della rete virtuale associata al gateway di rete virtuale. Ad esempio, se lo spazio indirizzi della rete virtuale è 10.1.0.0/16, è possibile usare 10.2.0.0 come indirizzo BGP locale.

Fare riferimento all'elenco di indirizzi BGP validi per i valori riservati che non possono essere usati.

1. Accedere all'Interfaccia di amministrazione di Microsoft Entra come Amministratore Accesso globale sicuro.
2. Passare ad Accesso globale sicuro>Connetti>Reti remote.
3. Selezionare il pulsante Crea rete remota e specificare i dettagli seguenti nella scheda Nozioni di base:
   • Nome
   • Regione

4. Nella scheda Connettività selezionare Aggiungi un collegamento.

5. Nella scheda Aggiungi un collegamento - Generale immettere i dettagli seguenti:

   • Nome collegamento: Nome delle apparecchiature presso il cliente (CPE).
   • Nome dispositivo: scegliere un’opzione del dispositivo dall’elenco a discesa.
   • Indirizzo IP del dispositivo: indirizzo IP pubblico del dispositivo CPE (apparecchiature locali del cliente).
   • Indirizzo BGP dispositivo: immettere l'indirizzo IP BGP del CPE.
     • Questo indirizzo viene immesso come indirizzo IP locale BGP nel CPE.
   • ASN del dispositivo: specificare il numero di sistema autonomo (ASN) del CPE.
     • Una connessione abilitata per BGP tra due gateway di rete richiede che abbiano ASN diversi.
     • Per altre informazioni, vedere la sezione ASN validi dell'articolo Configurazioni della rete remota.
   • Ridondanza: selezionare Nessuna ridondanza o Ridondanza della zona per il tunnel IPSec.
   • Indirizzo BGP locale con ridondanza della zona: questo campo facoltativo viene visualizzato solo quando si seleziona Ridondanza della zona.
     • Inserire un indirizzo IP BGP che non faccia parte della rete on-premises in cui si trova il CPE e che sia diverso dall' "Indirizzo BGP del dispositivo".
   • Capacità della larghezza di banda (Mbps): specificare la larghezza di banda del tunnel. Le opzioni disponibili sono: 250, 500, 750 e 1.000 Mbps.
   • Indirizzo BGP locale: immettere un indirizzo IP BGP che non fa parte della rete locale in cui si trova il CPE.
     • Ad esempio, se la rete locale è 10.1.0.0/16, è possibile usare 10.2.0.4 come indirizzo BGP locale.
     • Questo indirizzo viene immesso come indirizzo IP BGP peersul CPE.
     • Fare riferimento all'elenco di indirizzi BGP validi per i valori riservati che non possono essere usati.

   

6. Nella scheda Aggiungi un collegamento - Dettagli lasciare selezionati i valori predefiniti, a meno che non sia stata precedentemente effettuata una selezione diversa e quindi selezionare il pulsante Avanti.

7. Nella scheda Aggiungi un collegamento - Sicurezza immettere la chiave precondivisa (PSK) e selezionare il pulsante Salva. Ritorni al set principale di schede Crea una rete remota.

8. Nella scheda Profili di traffico selezionare il profilo di inoltro del traffico appropriato.

9. Selezionare il pulsante Rivedi e crea.

10. Se le impostazioni sembrano corrette, selezionare il pulsante Crea rete remota.

Visualizzare la configurazione della connettività

Dopo aver creato una rete remota e aver aggiunto un collegamento del dispositivo, i dettagli di configurazione sono disponibili nell'Interfaccia di amministrazione di Microsoft Entra. Per completare il passaggio successivo, sono necessari diversi dettagli relativi a questa configurazione.

1. Passare ad Accesso globale sicuro>Connetti>Reti remote.

2. Nell'ultima colonna a destra della tabella selezionare Visualizza configurazione per la rete remota creata. La configurazione viene visualizzata come BLOB JSON.

3. Individuare e salvare l'indirizzo IP pubblico di Microsoft endpoint, asn e bgpAddress nel riquadro visualizzato.

   • Questi dettagli vengono usati per configurare la connettività nel passaggio successivo.
   • Per altre informazioni sulla visualizzazione di questi dettagli, vedere Configurare le attrezzature locali dei clienti.

   

Il diagramma seguente connette i dettagli chiave di questi dettagli di configurazione al relativo ruolo di correlazione nella rete remota simulata. Una descrizione testuale del diagramma segue l'immagine.

Il centro del diagramma illustra un gruppo di risorse contenente una macchina virtuale connessa a una rete virtuale. Un gateway di rete virtuale si connette quindi al gateway di rete locale tramite una connessione VPN con ridondanza da sito a sito.

Uno screenshot dei dettagli di connettività contiene due sezioni evidenziate. La prima sezione evidenziata in localConfigurations contiene i dettagli del gateway di Accesso globale sicuro, ovvero il gateway della rete locale.

Gateway di rete locale 1

• Indirizzo IP pubblico/endpoint: 120.x.x.76
• Numero ASN: 65476
• Indirizzo IP BGP: 192.168.1.1

Gateway di rete locale 2

• Indirizzo IP pubblico/endpoint: 4.x.x.193
• Numero ASN: 65476
• Indirizzo IP BGP (bgpAddress): 192.168.1.2

La seconda sezione evidenziata in peerConfiguration contiene i dettagli del gateway di rete virtuale, ovvero l'attrezzatura router locale.

Gateway di rete virtuale

• Indirizzo IP pubblico/endpoint: 20.x.x.1
• Numero ASN: 65533
• Indirizzo IP BGP/indirizzoBGP: 10.1.1.1

Un altro callout punta alla rete virtuale che hai creato nel tuo gruppo di risorse. Lo spazio indirizzi per la rete virtuale è 10.2.0.0/16. L'indirizzo BGP locale e l'indirizzo BGP peer non possono trovarsi nello stesso spazio indirizzi.

Crea gateway di rete locale

Questo passaggio viene completato nel portale di Azure. Per completare questo passaggio sono necessari diversi dettagli del passaggio precedente.

Se si seleziona Nessuna ridondanza durante la creazione di collegamenti dispositivo nell'Interfaccia di amministrazione di Microsoft Entra, è necessario creare un solo gateway di rete locale.

Se è stata selezionata l'opzione Ridondanza della zona, è necessario creare due gateway di rete locali. Sono disponibili due set di endpoint, asn e bgpAddress in localConfigurations per i collegamenti dispositivo. Queste informazioni sono disponibili nei dettagli dell'area Visualizza configurazione per la rete remota nell'Interfaccia di amministrazione di Microsoft Entra.

1. Nel portale di Azure passare a Gateway di rete locali.

2. Seleziona Crea.

3. In Gruppo di risorse selezionare il gruppo creato in precedenza.

4. Selezionare l'area appropriata.

5. Specificare il gateway di rete locale immettendo un valore in Nome.

6. In Endpoint selezionare Indirizzo IP, quindi specificare l'indirizzo IP endpoint fornito nell'Interfaccia di amministrazione di Microsoft Entra.

7. Al termine, selezionare Avanti: Avanzate.

8. Impostare Configura BGP su Sì.

9. Immettere il Numero sistema autonomo (ASN) dalla sezione localConfigurations dei dettagli di Visualizza configurazione.

   • Fare riferimento alla sezione Gateway di rete locale dell'elemento grafico nella sezione Visualizza configurazione di connettività.

10. Immettere l'indirizzo IP del peer BGP dalla sezione localConfigurations dei dettagli di Visualizza configurazione.

    

11. Selezionare Rivedi e crea e confermare le impostazioni.

12. Seleziona Crea.

Se è stata usata la ridondanza della zona, ripetere questi passaggi per creare un altro gateway di rete locale con un secondo set di valori.

Passare a Configurazioni per rivedere i dettagli del gateway di rete locale.

Creare una connessione VPN da sito a sito (S2S)

Questo passaggio viene completato nel portale di Azure. È necessario creare due connessioni qui se è stato creato un secondo gateway, una per i gateway primari e secondari. Per questo passaggio, per tutte le impostazioni lasciare invariato il relativo valore predefinito, salvo diversamente specificato.

1. Nel portale di Azure passare a Connessioni.
2. Seleziona Crea.
3. In Gruppo di risorse selezionare il gruppo creato in precedenza.
4. In Tipo di connessione selezionare Da sito a sito (IPsec).
5. Fornire un Nome per la connessione e selezionare l'opzione appropriata di Area.
6. Selezionare Avanti: Impostazioni.
7. Seleziona il tuo Gateway di rete virtuale e Gateway di rete locale creati in precedenza.
8. Immettere la stessa chiave condivisa (PSK) immessa durante la creazione del collegamento dispositivo nel passaggio precedente.
9. Selezionare la casella Abilita BGP.
10. Selezionare Rivedi e crea. Confermare le impostazioni.
11. Seleziona Crea.

Ripetere questi passaggi per creare un'altra connessione per il secondo gateway di rete locale.

Verificare la connettività

Per verificare la connettività, è necessario simulare il flusso di traffico. Un metodo prevede la creazione di una macchina virtuale (VM) per avviare il traffico.

Simulare il traffico con una macchina virtuale

Questo passaggio crea una macchina virtuale e avvia il traffico verso i servizi di Microsoft. Per tutte le impostazioni lasciare invariato il relativo valore predefinito, salvo diversamente specificato.

1. Nel portale di Azure passare a Macchine virtuali.
2. Selezionare Crea>Macchina virtuale di Azure.
3. In Gruppo di risorse selezionare il gruppo creato in precedenza.
4. Fornire un Nome macchina virtuale.
5. Selezionare l'immagine da usare, per questo esempio scegliere Windows 11 Pro, versione 22H2 - x64 Gen2.
6. Selezionare Esegui con sconto Azure Spot per questo test.
7. Fornisci un Nome utente e una Password per la tua macchina virtuale.
8. Verificare di avere una licenza di Windows 10/11 idonea con diritti di hosting multi-tenant nella parte inferiore della pagina.
9. Passare alla scheda Rete.
10. In Rete virtuale selezionare la rete virtuale creata in precedenza.
11. Passare alla scheda Gestione.
12. Selezionare la casella Accedi con Microsoft Entra ID.
13. Selezionare Rivedi e crea. Confermare le impostazioni.
14. Seleziona Crea.

È possibile scegliere di bloccare l'accesso remoto al gruppo di sicurezza di rete solo per una rete o per un indirizzo IP specifico.

Verificare lo stato della connettività

Dopo aver creato le reti remote e le connessioni nei passaggi precedenti, potrebbero essere necessari alcuni minuti per stabilire la connessione. Dal portale di Azure è possibile verificare che il tunnel VPN sia connesso e che il peering BGP sia riuscito.

1. Nel portale di Azure passare al gateway di rete virtuale creato in precedenza e selezionare Connessioni.
2. Per ognuna delle connessioni il campo Stato deve essere impostato su Connesso dopo l'applicazione e l'esito positivo della configurazione.
3. Accedere a peer BGP nella sezione Monitoraggio per confermare che il peering BGP sia riuscito. Cerca gli indirizzi peer forniti da Microsoft. Dopo l'applicazione e l'esito positivo della configurazione, il campo Stato deve indicare Connesso.

È possibile usare la macchina virtuale creata per verificare che il traffico venga indirizzato ai servizi Microsoft. L'esplorazione delle risorse in SharePoint o Exchange Online dovrebbe generare traffico nel gateway di rete virtuale. Questo traffico può essere visualizzato passando a Metriche nel gateway di rete virtuale o configurando l'acquisizione di pacchetti per i gateway VPN.

Suggerimento

Se stai utilizzando questo articolo per testare Microsoft Entra Internet Access, rimuovi tutte le risorse di Azure correlate eliminando il nuovo gruppo di risorse una volta completato il processo.

Passaggi successivi

• Esercitazione: Creare una connessione VPN da sito a sito nel portale di Azure