Configurare connessioni coesistenti da sito a sito ed ExpressRoute usando il portale di Azure
Questo articolo illustra come configurare connessioni ExpressRoute e VPN da sito a sito coesistenti. La possibilità di configurare una VPN da sito a sito ed ExpressRoute offre diversi vantaggi. È possibile configurare una VPN da sito a sito come percorso di failover sicuro per ExpressRoute oppure usare VPN da sito a sito per connettersi a siti che non sono connessi tramite ExpressRoute. In questo articolo vengono illustrati i passaggi per configurare entrambi questi scenari. Questo articolo si applica al modello di distribuzione di Azure Resource Manager.
La configurazione di connessioni coesistenti di tipo VPN da sito a sito ed ExpressRoute offre diversi vantaggi:
- È possibile configurare una VPN da sito a sito come percorso di failover protetto per ExpressRoute.
- In alternativa, è possibile usare la VPN da sito a sito per connettersi ai siti che non sono connessi tramite ExpressRoute.
Questo articolo illustra i passaggi necessari per configurare entrambi questi scenari. È possibile configurare per primo uno dei due gateway. In genere, l'aggiunta di un nuovo gateway o di una connessione gateway non comporta tempi di inattività.
Nota
- Per creare una VPN da sito a sito tramite una connessione ExpressRoute, vedere VPN da sito a sito tramite peering Microsoft.
- Per la coesistenza del gateway EXPRESSRoute-VPN, se è già stata distribuita un'istanza di ExpressRoute, non è necessario creare una rete virtuale e una subnet del gateway perché sono prerequisiti per la creazione di un expressRoute.
- Per il gateway ExpressRoute crittografato, il blocco MSS viene eseguito tramite il gateway VPN di Azure per bloccare le dimensioni dei pacchetti TCP a 1250 byte
Limiti e limitazioni
- È supportato solo il gateway VPN basato su route. È necessario usare un gateway VPN basato su route. È anche possibile usare un gateway VPN basato su route con una connessione VPN configurata per i 'selettori del traffico basati su criteri' come descritto in Connettersi a più dispositivi VPN basati su criteri.
- Le configurazioni con coesistenza di gateway VPN ed ExpressRoute non sono supportate nello SKU di livello Basic.
- Sia i gateway ExpressRoute che i gateway VPN devono essere in grado di comunicare tra loro tramite BGP per funzionare correttamente. Se si usa una route definita dall'utente nella subnet del gateway, assicurarsi che non includa una route per l'intervallo di subnet del gateway stesso perché interferisce con il traffico BGP.
- Se si vuole usare il routing di transito tra ExpressRoute e VPN, l'ASN del gateway VPN di Azure deve essere impostato su 65515. Il gateway VPN di Azure supporta il protocollo di routing BGP. Per integrare ExpressRoute e la VPN di Azure, è necessario mantenere il valore predefinito 65515 del numero di sistema autonomo (ASN, Autonomous System Number) del gateway VPN di Azure. Se in precedenza è stato selezionato un numero ASN diverso da 65515 e lo si modifica impostandolo su 65515, è necessario reimpostare il gateway VPN per rendere effettiva l'impostazione.
- La subnet del gateway deve essere /27 o un prefisso più breve, ad esempio /26, /25 o viene visualizzato un messaggio di errore quando si aggiunge il gateway di rete virtuale ExpressRoute.
Progetti di configurazione
Configurare una VPN da sito a sito come percorso di failover per ExpressRoute
È possibile configurare una connessione VPN da sito a sito come backup per ExpressRoute. Questa connessione si applica solo alle reti virtuali collegate al percorso di peering privato di Azure. Non esiste alcuna soluzione di failover basato su VPN per i servizi accessibili tramite i peering di Microsoft Azure. Il circuito ExpressRoute è sempre il collegamento principale. Il flusso dei dati attraversa il percorso VPN da sito a sito solo se il circuito ExpressRoute ha esito negativo. Per evitare routing asimmetrici, la configurazione della rete locale dovrebbe anche preferire il circuito ExpressRoute rispetto alla connessione VPN da sito a sito. A tal fine, impostare una preferenza locale prioritaria per le route ricevute tramite il circuito ExpressRoute.
Nota
Se è stato abilitato il peering Microsoft di ExpressRoute, è possibile ricevere l'indirizzo IP pubblico del gateway VPN di Azure nella connessione ExpressRoute. Per configurare la connessione VPN da sito a sito come backup, è necessario configurare la rete locale in modo che la connessione VPN venga instradata a Internet.
Nota
Mentre il circuito ExpressRoute viene preferito sulla VPN da sito a sito quando entrambe le route sono uguali, Azure userà la corrispondenza di prefisso più lunga per scegliere la route verso la destinazione del pacchetto.
Configurare una VPN da sito a sito per la connessione a siti non connessi tramite ExpressRoute
È possibile configurare una rete in cui alcuni siti si connettono direttamente ad Azure tramite VPN da sito a sito e altri si connettono tramite ExpressRoute.
Selezione dei passaggi da usare
È possibile scegliere tra due set diversi di procedure. La procedura di configurazione scelta dipende dalla disponibilità o meno di una rete virtuale esistente a cui stabilire la connessione oppure dall'esigenza di creare una nuova rete virtuale.
Non è disponibile una rete virtuale ed è necessario crearne una.
Se non è disponibile una rete virtuale, questa procedura consente la creazione di una nuova rete virtuale e di nuove connessioni ExpressRoute e VPN da sito a sito usando il modello di distribuzione di Resource Manager. Per configurare una rete virtuale, seguire la procedura in Per creare una nuova rete virtuale con connessioni coesistenti.
È già disponibile una rete virtuale con modello di distribuzione di Azure Resource Manager.
E’ possibile che esista già una rete virtuale con una connessione VPN da sito a sito o una connessione ExpressRoute. In questo scenario se il prefisso della subnet del gateway è /28 o maggiore (/29, /30 e così via), è necessario eliminare il gateway esistente. La sezione Per configurare connessioni coesistenti per una rete virtuale esistente illustra come eliminare il gateway e quindi come creare nuove connessioni ExpressRoute e VPN da sito a sito.
Eliminare e ricreare il gateway può causare tempi di inattività delle connessioni cross-premise. Le macchine virtuali e i servizi possono comunque comunicare tramite il servizio di bilanciamento del carico mentre si configura il gateway, se sono configurati in questo senso.
Per creare una nuova rete virtuale con connessioni coesistenti
Questa procedura illustra come creare una rete virtuale e connessioni da sito a sito ed ExpressRoute coesistenti.
Accedere al portale di Azure.
Nell'angolo in alto a sinistra dello schermo selezionare Crea una risorsa e cercare Rete virtuale.
Selezionare Crea per iniziare a configurare la rete virtuale.
Nella scheda Informazioni di base selezionare o creare un nuovo gruppo di risorse per archiviare la rete virtuale. Immettere quindi il nome e selezionare l'area per distribuire la rete virtuale. Selezionare Avanti: Indirizzi IP > per configurare lo spazio indirizzi e le subnet.
Nella scheda Indirizzi IP configurare lo spazio indirizzi della rete virtuale. Definire quindi le subnet da creare, inclusa la subnet del gateway. Selezionare Rivedi e crea, quindi selezionare Crea* per distribuire la macchina virtuale. Per altre informazioni sulle creazione di una rete virtuale, vedere Creare una rete virtuale. Per altre informazioni sulle creazione di subnet, vedere Creare una subnet
Importante
La subnet del gateway deve avere un prefisso /27 o più breve, ad esempio /26 o /25.
Creare il gateway VPN da sito a sito e il gateway di rete locale Per altre informazioni sulla configurazione del gateway VPN, vedere Configurare rete virtuale con una connessione da sito a sito. GatewaySku è supportato soltanto nei gateway VPN VpnGw1, VpnGw2, VpnGw3, Standard e HighPerformance. Le configurazioni con coesistenza di gateway VPN ed ExpressRoute non sono supportate nello SKU di livello Basic. Il valore di VpnType deve essere RouteBased.
Configurare il dispositivo VPN locale per la connessione al nuovo gateway VPN di Azure. Per altre informazioni sulla configurazione del dispositivo VPN, vedere l'articolo relativo alla configurazione del dispositivo VPN.
Se si effettua la connessione a un circuito ExpressRoute esistente, ignorare i passaggi 8 e 9 e andare al passaggio 10. Configurare circuiti ExpressRoute. Per altre informazioni sulla configurazione del circuito ExpressRoute, vedere Creare un circuito ExpressRoute.
Configurare il peering privato di Azure tramite il circuito ExpressRoute. Per altre informazioni sulla configurazione del peering privato di Azure tramite il circuito ExpressRoute, vedere l'articolo sulla configurazione del peering.
Selezionare + Crea una risorsa e cercare Gateway di rete virtuale. Selezionare Crea.
Selezionare il tipo di gateway ExpressRoute, lo SKU appropriato e la rete virtuale in cui distribuire il gateway.
Collegare il gateway ExpressRoute al circuito ExpressRoute. Dopo aver completato questo passaggio, viene stabilita la connessione tra la rete locale e Azure tramite ExpressRoute. Per altre informazioni sull'operazione di collegamento, vedere Collegamento di reti virtuali a circuiti ExpressRoute.
Per configurare connessioni coesistenti per una rete virtuale esistente
Se è presente una rete virtuale che include un solo gateway di rete virtuale, ad esempio un gateway VPN da sito a sito, e si vuole aggiungere un altro gateway di un tipo diverso, ad esempio un gateway ExpressRoute, controllare le dimensioni della subnet del gateway. Se la subnet del gateway ha dimensioni pari a /27 o superiori, è possibile ignorare i passaggi seguenti e seguire invece i passaggi della sezione precedente per aggiungere un gateway VPN da sito a sito o un gateway ExpressRoute. Se la subnet del gateway è /29 o /28, è necessario eliminare prima di tutto il gateway di rete virtuale e aumentare le dimensioni della subnet del gateway. I passaggi descritti in questa sezione illustrano come eseguire questa operazione.
Eliminare il gateway ExpressRoute o VPN da sito a sito esistente.
Eliminare e ricreare la subnet del gateway con il prefisso /27 o più breve.
Configurare una rete virtuale con una connessione da sito a sito e quindi Configurare il gateway ExpressRoute.
Dopo aver distribuito il gateway ExpressRoute, è possibile collegare la rete virtuale al circuito ExpressRoute.
Per aggiungere una configurazione da punto a sito al gateway VPN
È possibile aggiungere una configurazione da punto a sito al set coesistente seguendo le istruzioni riportate in Configurazione della connessione VPN da punto a sito usando l'autenticazione del certificato di Azure
Per abilitare il routing di transito tra ExpressRoute e VPN di Azure
Se si vuole abilitare la connettività tra una delle reti locali connesse a ExpressRoute e un'altra rete locale connessa a una connessione VPN da sito a sito, è necessario configurare Server di route Azure.
Passaggi successivi
Per altre informazioni su ExpressRoute, vedere le Domande frequenti su ExpressRoute.