Connettere l'hub di Azure Stack ad Azure tramite Azure ExpressRoute

Questo articolo descrive come connettere una rete virtuale dell'hub di Azure Stack a una rete virtuale di Azure usando una connessione diretta di Microsoft Azure ExpressRoute .

È possibile usare questo articolo come esercitazione e usare gli esempi per configurare lo stesso ambiente di test. In alternativa, è possibile leggere l'articolo come procedura dettagliata che illustra la configurazione dell'ambiente ExpressRoute.

Panoramica, presupposti e prerequisiti

Azure ExpressRoute consente di estendere le reti locali nel cloud Microsoft tramite una connessione privata fornita da un provider di connettività. ExpressRoute non è una connessione VPN tramite la rete Internet pubblica.

Per altre informazioni su Azure ExpressRoute, vedere la panoramica di ExpressRoute.

Presupposti

Questo articolo presuppone quanto segue:

• Si ha una conoscenza approfondita di Azure.
• Si ha una conoscenza di base dell'hub di Azure Stack.
• Si ha una conoscenza di base della rete.

Prerequisiti

Per connettere l'hub di Azure Stack e Azure tramite ExpressRoute, è necessario soddisfare i requisiti seguenti:

• Circuito ExpressRoute di cui è stato effettuato il provisioning tramite un provider di connettività.
• Una sottoscrizione di Azure per creare un circuito ExpressRoute e reti virtuali in Azure.
• Router che deve:
  • Supportare le connessioni VPN da sito a sito tra l'interfaccia LAN e il gateway multi-tenant dell'hub di Azure Stack.
  • Supportare la creazione di più VDF (routing virtuale e inoltro) se nella distribuzione dell'hub di Azure Stack è presente più tenant.
• Router con:
  • Una porta WAN connessa al circuito ExpressRoute.
  • Una porta LAN connessa al gateway multi-tenant dell'hub di Azure Stack.

Architettura di rete ExpressRoute

La figura seguente illustra l'hub di Azure Stack e gli ambienti Azure dopo aver completato la configurazione di ExpressRoute usando gli esempi in questo articolo:

La figura seguente illustra come più tenant si connettono dall'infrastruttura dell'hub di Azure Stack tramite il router ExpressRoute ad Azure:

L'esempio in questo articolo usa la stessa architettura multi-tenant illustrata in questo diagramma per connettere l'hub di Azure Stack ad Azure usando il peering privato di ExpressRoute. La connessione viene eseguita usando una connessione VPN da sito a sito dal gateway di rete virtuale nell'hub di Azure Stack a un router ExpressRoute.

I passaggi descritti in questo articolo illustrano come creare una connessione end-to-end tra due reti virtuali da due tenant diversi nell'hub di Azure Stack alle reti virtuali corrispondenti in Azure. La configurazione di due tenant è facoltativa; è anche possibile usare questi passaggi per un singolo tenant.

Configurare l'hub di Azure Stack

Per configurare l'ambiente hub di Azure Stack per il primo tenant, seguire questa procedura come guida. Se si configurano più tenant, ripetere questi passaggi:

Operazioni preliminari

Prima di iniziare a configurare l'hub di Azure Stack, è necessario:

• Distribuzione dell'hub di Azure Stack.
• Offerta nell'hub di Azure Stack a cui gli utenti possono sottoscrivere. Per altre informazioni, vedere Panoramica del servizio, del piano, dell'offerta e della sottoscrizione.

Creare risorse di rete nell'hub di Azure Stack

Usare le procedure seguenti per creare le risorse di rete necessarie nell'hub di Azure Stack per un tenant.

Creare la rete virtuale e la subnet della macchina virtuale

1. Accedere al portale utenti dell'hub di Azure Stack.

2. Nel portale selezionare + Crea una risorsa.

3. In Azure Marketplace selezionare Rete.

4. In Primo piano selezionare Rete virtuale.

5. In Crea rete virtuale immettere i valori indicati nella tabella seguente nei campi appropriati:

   Campo	Valore
   Nome	Tenant1VNet1
   Spazio indirizzi	10.1.0.0/16
   Nome subnet	Tenant1-Sub1
   Intervallo di indirizzi subnet	10.1.1.0/24

6. La sottoscrizione creata in precedenza dovrebbe essere popolata nel campo Sottoscrizione . Per i campi rimanenti:

   • In Gruppo di risorse selezionare Crea nuovo per creare un nuovo gruppo di risorse o, se ne è già disponibile uno, selezionare Usa esistente.
   • Verificare il percorso predefinito.
   • Cliccare su Crea.
   • (Facoltativo) Fare clic su Aggiungi al dashboard.

Creare la subnet del gateway

1. In Rete virtuale selezionare Tenant1VNet1.
2. In Impostazioni selezionare Subnet.
3. Selezionare + Subnet gateway per aggiungere una subnet del gateway alla rete virtuale.
4. Il nome predefinito della subnet è GatewaySubnet. Le subnet del gateway sono un caso speciale e devono usare questo nome per funzionare correttamente.
5. Verificare che l'intervallo di indirizzi sia 10.1.0.0/24.
6. Fare clic su OK per creare la subnet del gateway.

Creare il gateway di rete virtuale

1. Nel portale utenti dell'hub di Azure Stack fare clic su + Crea una risorsa.
2. In Azure Marketplace selezionare Rete.
3. Selezionare Gateway di rete virtuale dall'elenco di risorse di rete.
4. Nel campo Nome immettere GW1.
5. Selezionare Rete virtuale.
6. Selezionare Tenant1VNet1 nell'elenco a discesa.
7. Selezionare Indirizzo IP pubblico, quindi Scegliere l'indirizzo IP pubblico e quindi fare clic su Crea nuovo.
8. Nel campo Nome digitare GW1-PiP e quindi fare clic su OK.
9. Per Tipo VPN deve essere selezionata l'opzione Basato su route per impostazione predefinita. Mantenere questa impostazione.
10. Verificare che la Sottoscrizione e la Località siano corrette. Cliccare su Crea.

Creare il gateway di rete locale

La risorsa gateway di rete locale identifica il gateway remoto all'altra estremità della connessione VPN. Per questo esempio, l'estremità remota della connessione è la sotto-interfaccia LAN del router ExpressRoute. Per Tenant 1 nel diagramma precedente, l'indirizzo remoto è 10.60.3.255.

1. Accedere al portale utenti dell'hub di Azure Stack e selezionare + Crea una risorsa.

2. In Azure Marketplace selezionare Rete.

3. Selezionare Gateway di rete locale dall'elenco di risorse.

4. Nel campo Nome digitare ER-Router-GW.

5. Per il campo Indirizzo IP, vedere la figura precedente. L'indirizzo IP dell'interfaccia secondaria LAN del router ExpressRoute per Tenant 1 è 10.60.3.255. Per il proprio ambiente, immettere l'indirizzo IP dell'interfaccia corrispondente del router.

6. Nel campo Spazio indirizzi immettere lo spazio indirizzi delle reti virtuali a cui si vuole connettersi in Azure. Le subnet per tenant 1 sono le seguenti:

   • 192.168.2.0/24 è la rete virtuale dell'hub in Azure.
   • 10.100.0.0/16 è la rete virtuale spoke in Azure.

   Importante

   Questo esempio presuppone che si usino route statiche per la connessione VPN da sito a sito tra il gateway dell'hub di Azure Stack e il router ExpressRoute.

7. Verificare che la sottoscrizione, il gruppo di risorse e la località siano corrette. Selezionare Crea.

Creare la connessione

1. Nel portale utenti dell'hub di Azure Stack selezionare + Crea una risorsa.
2. In Azure Marketplace selezionare Rete.
3. Selezionare Connessione dall'elenco di risorse.
4. In Informazioni di base scegliere Da sito a sito (IPSec) come tipo di connessione.
5. Selezionare la sottoscrizione, il gruppo di risorse e la località. Fare clic su OK.
6. In Impostazioni selezionare Gateway di rete virtuale e quindi GW1.
7. Selezionare Gateway di rete locale e quindi gateway router ER.
8. Nel campo Nome connessione immettere ConnectToAzure.
9. Nel campo Chiave condivisa (PSK) immettere abc123 e quindi selezionare OK.
10. In Riepilogo selezionare OK.

Ottenere l'indirizzo IP pubblico del gateway di rete virtuale

Dopo aver creato il gateway di rete virtuale, è possibile ottenere l'indirizzo IP pubblico del gateway. Prendere nota di questo indirizzo nel caso in cui sia necessario in un secondo momento per la distribuzione. A seconda della distribuzione, questo indirizzo viene usato come indirizzo IP interno.

1. Nel portale utenti dell'hub di Azure Stack selezionare Tutte le risorse.
2. In Tutte le risorse selezionare il gateway di rete virtuale, che è GW1 nell'esempio.
3. In Gateway di rete virtuale selezionare Panoramica nell'elenco delle risorse. In alternativa, è possibile selezionare Proprietà.
4. L'indirizzo IP da notare è elencato in Indirizzo IP pubblico. Per la configurazione di esempio, questo indirizzo è 192.68.102.1.

Creare una macchina virtuale (VM)

Per testare il traffico dei dati tramite la connessione VPN, è necessario che le macchine virtuali inviino e ricevano dati nella rete virtuale dell'hub di Azure Stack. Creare una macchina virtuale e distribuirla nella subnet della macchina virtuale per la rete virtuale.

1. Nel portale utenti dell'hub di Azure Stack selezionare + Crea una risorsa.

2. In Azure Marketplace selezionare Calcolo.

3. Nell'elenco di immagini di macchine virtuali selezionare l'immagine Eval di Windows Server 2016 Datacenter.

   Nota

   Se l'immagine usata per questo articolo non è disponibile, chiedere all'operatore dell'hub di Azure Stack di fornire un'immagine di Windows Server diversa.

4. In Crea macchina virtuale selezionare Informazioni di base, quindi digitare VM01 come Nome.

5. Immettere un nome utente e una password validi. Questo account verrà usato per accedere alla macchina virtuale dopo la creazione.

6. Specificare una sottoscrizione, un gruppo di risorse e una località. Seleziona OK.

7. In Scegliere una dimensione selezionare le dimensioni della macchina virtuale per questa istanza e quindi selezionare Seleziona.

8. In Impostazioni verificare che:

   • La rete virtuale è Tenant1VNet1.
   • La subnet è impostata su 10.1.1.0/24.

   Usare le impostazioni predefinite e fare clic su OK.

9. In Riepilogo esaminare la configurazione della macchina virtuale e quindi fare clic su OK.

Per aggiungere altri tenant, ripetere i passaggi seguiti in queste sezioni:

• Creare la rete virtuale e la subnet della macchina virtuale
• Creare la subnet del gateway
• Creare il gateway di rete virtuale
• Creare il gateway di rete locale
• Creare la connessione
• Creare una macchina virtuale

Se si usa il tenant 2 come esempio, ricordarsi di modificare gli indirizzi IP per evitare sovrapposizioni.

Configurare la macchina virtuale NAT per l'attraversamento del gateway

L'ASDK è indipendente e isolato dalla rete in cui viene distribuito l'host fisico. La rete VIP a cui sono connessi i gateway non è esterna; è nascosto dietro un router che esegue Network Address Translation (NAT).

Il router è l'host ASDK che esegue il ruolo Routing e Servizi di accesso remoto (RRAS). È necessario configurare NAT nell'host ASDK per abilitare la connessione VPN da sito a sito per la connessione a entrambe le estremità.

Configurare NAT

1. Accedere al computer host dell'hub di Azure Stack con l'account amministratore.

2. Eseguire lo script in un'istanza di PowerShell ISE con privilegi elevati. Questo script restituisce l'indirizzo BGPNAT esterno.

   Get-NetNatExternalAddress
   

3. Per configurare NAT, copiare e modificare lo script di PowerShell seguente. Modificare lo script per sostituire External BGPNAT address e Internal IP address con i valori di esempio seguenti:

   • Per l'indirizzo BGPNAT esterno usare 10.10.0.62
   • Per l'indirizzo IP interno usare 192.168.102.1

   Eseguire lo script seguente da un'istanza di PowerShell ISE con privilegi elevati:

   $ExtBgpNat = 'External BGPNAT address'
   $IntBgpNat = 'Internal IP address'
   
   # Designate the external NAT address for the ports that use the IKE authentication.
   Add-NetNatExternalAddress `
      -NatName BGPNAT `
      -IPAddress $Using:ExtBgpNat `
      -PortStart 499 `
      -PortEnd 501
   Add-NetNatExternalAddress `
      -NatName BGPNAT `
      -IPAddress $Using:ExtBgpNat `
      -PortStart 4499 `
      -PortEnd 4501
   # Create a static NAT mapping to map the external address to the Gateway public IP address to map the ISAKMP port 500 for PHASE 1 of the IPSEC tunnel.
   Add-NetNatStaticMapping `
      -NatName BGPNAT `
      -Protocol UDP `
      -ExternalIPAddress $Using:ExtBgpNat `
      -InternalIPAddress $Using:IntBgpNat `
      -ExternalPort 500 `
      -InternalPort 500
   # Configure NAT traversal which uses port 4500 to  establish the complete IPSEC tunnel over NAT devices.
   Add-NetNatStaticMapping `
      -NatName BGPNAT `
      -Protocol UDP `
      -ExternalIPAddress $Using:ExtBgpNat `
      -InternalIPAddress $Using:IntBgpNat `
      -ExternalPort 4500 `
      -InternalPort 4500
   

Configurazione di Azure

Dopo aver completato la configurazione dell'hub di Azure Stack, è possibile distribuire le risorse di Azure. La figura seguente illustra un esempio di rete virtuale tenant in Azure. È possibile usare qualsiasi nome e schema di indirizzamento per la rete virtuale in Azure. Tuttavia, l'intervallo di indirizzi delle reti virtuali in Azure e nell'hub di Azure Stack deve essere univoco e non deve sovrapporsi:

Le risorse distribuite in Azure sono simili alle risorse distribuite nell'hub di Azure Stack. I componenti seguenti vengono distribuiti:

• Reti virtuali e subnet
• Una subnet del gateway
• Un gateway di rete virtuale
• Una connessione
• Un circuito ExpressRoute

L'infrastruttura di rete di Azure di esempio è configurata come segue:

• Un hub standard (192.168.2.0/24) e un modello di rete virtuale spoke (10.100.0.0./16). Per altre informazioni sulla topologia di rete hub-spoke, vedere Implementare una topologia di rete hub-spoke in Azure.
• I carichi di lavoro vengono distribuiti nella rete virtuale spoke e il circuito ExpressRoute è connesso alla rete virtuale dell'hub.
• Le due reti virtuali sono connesse usando il peering reti virtuali.

Configurare le reti virtuali di Azure

1. Accedere al portale di Azure con le credenziali di Azure.
2. Creare la rete virtuale dell'hub usando l'intervallo di indirizzi 192.168.2.0/24.
3. Creare una subnet usando l'intervallo di indirizzi 192.168.2.0/25 e aggiungere una subnet del gateway usando l'intervallo di indirizzi 192.168.2.128/27.
4. Creare la rete virtuale spoke e la subnet usando l'intervallo di indirizzi 10.100.0.0/16.

Per altre informazioni sulla creazione di reti virtuali in Azure, vedere Creare una rete virtuale.

Configurare un circuito ExpressRoute

1. Esaminare i prerequisiti di ExpressRoute nei prerequisiti e nell'elenco di controllo di ExpressRoute.

2. Seguire la procedura descritta in Creare e modificare un circuito ExpressRoute per creare un circuito ExpressRoute usando la sottoscrizione di Azure.

   Nota

   Assegnare la chiave del servizio al servizio in modo che possa configurare il circuito ExpressRoute alla fine.

3. Seguire la procedura descritta in Creare e modificare il peering per un circuito ExpressRoute per configurare il peering privato nel circuito ExpressRoute.

Creare il gateway di rete virtuale

Seguire la procedura descritta in Configurare un gateway di rete virtuale per ExpressRoute usando PowerShell per creare un gateway di rete virtuale per ExpressRoute nella rete virtuale dell'hub.

Creare la connessione

Per collegare il circuito ExpressRoute alla rete virtuale dell'hub, seguire la procedura descritta in Connettere una rete virtuale a un circuito ExpressRoute.

Eseguire il peering delle reti virtuali

Eseguire il peering delle reti virtuali hub-spoke seguendo la procedura descritta in Creare un peering di rete virtuale usando il portale di Azure. Quando si configura il peering reti virtuali, assicurarsi di usare le opzioni seguenti:

• Dall'hub allo spoke consentire il transito del gateway.
• Dall'spoke all'hub usare il gateway remoto.

Creare una macchina virtuale

Distribuire le macchine virtuali del carico di lavoro nella rete virtuale spoke.

Ripetere questi passaggi per le reti virtuali tenant aggiuntive da connettere in Azure tramite i rispettivi circuiti ExpressRoute.

Configurare il router

È possibile usare il diagramma di configurazione del router ExpressRoute seguente come guida per la configurazione del router ExpressRoute. Questa figura mostra due tenant (Tenant 1 e Tenant 2) con i rispettivi circuiti ExpressRoute. Ogni tenant è collegato al proprio VRF (Virtual Routing and Forwarding) nel lato LAN e WAN del router ExpressRoute. Questa configurazione garantisce l'isolamento end-to-end tra i due tenant. Prendere nota degli indirizzi IP usati nelle interfacce del router seguendo l'esempio di configurazione.

È possibile usare qualsiasi router che supporti VPN IKEv2 e BGP per terminare la connessione VPN da sito a sito dall'hub di Azure Stack. Lo stesso router viene usato per connettersi ad Azure usando un circuito ExpressRoute.

L'esempio di configurazione del router Cisco ASR 1000 Series Aggregation Services supporta l'infrastruttura di rete illustrata nel diagramma di configurazione del router ExpressRoute.

ip vrf Tenant 1
 description Routing Domain for PRIVATE peering to Azure for Tenant 1
 rd 1:1
!
ip vrf Tenant 2
 description Routing Domain for PRIVATE peering to Azure for Tenant 2
 rd 1:5
!
crypto ikev2 proposal V2-PROPOSAL2
description IKEv2 proposal for Tenant 1
encryption aes-cbc-256
 integrity sha256
 group 2
crypto ikev2 proposal V4-PROPOSAL2
description IKEv2 proposal for Tenant 2
encryption aes-cbc-256
 integrity sha256
 group 2
!
crypto ikev2 policy V2-POLICY2
description IKEv2 Policy for Tenant 1
match fvrf Tenant 1
 match address local 10.60.3.255
 proposal V2-PROPOSAL2
description IKEv2 Policy for Tenant 2
crypto ikev2 policy V4-POLICY2
 match fvrf Tenant 2
 match address local 10.60.3.251
 proposal V4-PROPOSAL2
!
crypto ikev2 profile V2-PROFILE
description IKEv2 profile for Tenant 1
match fvrf Tenant 1
 match address local 10.60.3.255
 match identity remote any
 authentication remote pre-share key abc123
 authentication local pre-share key abc123
 ivrf Tenant 1
!
crypto ikev2 profile V4-PROFILE
description IKEv2 profile for Tenant 2
 match fvrf Tenant 2
 match address local 10.60.3.251
 match identity remote any
 authentication remote pre-share key abc123
 authentication local pre-share key abc123
 ivrf Tenant 2
!
crypto ipsec transform-set V2-TRANSFORM2 esp-gcm 256
 mode tunnel
crypto ipsec transform-set V4-TRANSFORM2 esp-gcm 256
 mode tunnel
!
crypto ipsec profile V2-PROFILE
 set transform-set V2-TRANSFORM2
 set ikev2-profile V2-PROFILE
!
crypto ipsec profile V4-PROFILE
 set transform-set V4-TRANSFORM2
 set ikev2-profile V4-PROFILE
!
interface Tunnel10
description S2S VPN Tunnel for Tenant 1
 ip vrf forwarding Tenant 1
 ip address 11.0.0.2 255.255.255.252
 ip tcp adjust-mss 1350
 tunnel source TenGigabitEthernet0/1/0.211
 tunnel mode ipsec ipv4
 tunnel destination 10.10.0.62
 tunnel vrf Tenant 1
 tunnel protection ipsec profile V2-PROFILE
!
interface Tunnel20
description S2S VPN Tunnel for Tenant 2
 ip vrf forwarding Tenant 2
 ip address 11.0.0.2 255.255.255.252
 ip tcp adjust-mss 1350
 tunnel source TenGigabitEthernet0/1/0.213
 tunnel mode ipsec ipv4
 tunnel destination 10.10.0.62
 tunnel vrf VNET3
 tunnel protection ipsec profile V4-PROFILE
!
interface GigabitEthernet0/0/1
 description PRIMARY ExpressRoute Link to AZURE over Equinix
 no ip address
 negotiation auto
!
interface GigabitEthernet0/0/1.100
description Primary WAN interface of Tenant 1
 description PRIMARY ER link supporting Tenant 1 to Azure
 encapsulation dot1Q 101
 ip vrf forwarding Tenant 1
 ip address 192.168.1.1 255.255.255.252
!
interface GigabitEthernet0/0/1.102
description Primary WAN interface of Tenant 2
 description PRIMARY ER link supporting Tenant 2 to Azure
 encapsulation dot1Q 102
 ip vrf forwarding Tenant 2
 ip address 192.168.1.17 255.255.255.252
!
interface GigabitEthernet0/0/2
 description BACKUP ExpressRoute Link to AZURE over Equinix
 no ip address
 negotiation auto
!
interface GigabitEthernet0/0/2.100
description Secondary WAN interface of Tenant 1
 description BACKUP ER link supporting Tenant 1 to Azure
 encapsulation dot1Q 101
 ip vrf forwarding Tenant 1
 ip address 192.168.1.5 255.255.255.252
!
interface GigabitEthernet0/0/2.102
description Secondary WAN interface of Tenant 2
description BACKUP ER link supporting Tenant 2 to Azure
 encapsulation dot1Q 102
 ip vrf forwarding Tenant 2
 ip address 192.168.1.21 255.255.255.252
!
interface TenGigabitEthernet0/1/0
 description Downlink to ---Port 1/47
 no ip address
!
interface TenGigabitEthernet0/1/0.211
 description LAN interface of Tenant 1
description Downlink to --- Port 1/47.211
 encapsulation dot1Q 211
 ip vrf forwarding Tenant 1
 ip address 10.60.3.255 255.255.255.254
!
interface TenGigabitEthernet0/1/0.213
description LAN interface of Tenant 2
 description Downlink to --- Port 1/47.213
 encapsulation dot1Q 213
 ip vrf forwarding Tenant 2
 ip address 10.60.3.251 255.255.255.254
!
router bgp 65530
 bgp router-id <removed>
 bgp log-neighbor-changes
 description BGP neighbor config and route advertisement for Tenant 1 VRF
 address-family ipv4 vrf Tenant 1
  network 10.1.0.0 mask 255.255.0.0
  network 10.60.3.254 mask 255.255.255.254
  network 192.168.1.0 mask 255.255.255.252
  network 192.168.1.4 mask 255.255.255.252
  neighbor 10.10.0.62 remote-as 65100
  neighbor 10.10.0.62 description VPN-BGP-PEER-for-Tenant 1
  neighbor 10.10.0.62 ebgp-multihop 5
  neighbor 10.10.0.62 activate
  neighbor 10.60.3.254 remote-as 4232570301
  neighbor 10.60.3.254 description LAN peer for CPEC:INET:2112 VRF
  neighbor 10.60.3.254 activate
  neighbor 10.60.3.254 route-map BLOCK-ALL out
  neighbor 192.168.1.2 remote-as 12076
  neighbor 192.168.1.2 description PRIMARY ER peer for Tenant 1 to Azure
  neighbor 192.168.1.2 ebgp-multihop 5
  neighbor 192.168.1.2 activate
  neighbor 192.168.1.2 soft-reconfiguration inbound
  neighbor 192.168.1.2 route-map Tenant 1-ONLY out
  neighbor 192.168.1.6 remote-as 12076
  neighbor 192.168.1.6 description BACKUP ER peer for Tenant 1 to Azure
  neighbor 192.168.1.6 ebgp-multihop 5
  neighbor 192.168.1.6 activate
  neighbor 192.168.1.6 soft-reconfiguration inbound
  neighbor 192.168.1.6 route-map Tenant 1-ONLY out
  maximum-paths 8
 exit-address-family
 !
description BGP neighbor config and route advertisement for Tenant 2 VRF
address-family ipv4 vrf Tenant 2
  network 10.1.0.0 mask 255.255.0.0
  network 10.60.3.250 mask 255.255.255.254
  network 192.168.1.16 mask 255.255.255.252
  network 192.168.1.20 mask 255.255.255.252
  neighbor 10.10.0.62 remote-as 65300
  neighbor 10.10.0.62 description VPN-BGP-PEER-for-Tenant 2
  neighbor 10.10.0.62 ebgp-multihop 5
  neighbor 10.10.0.62 activate
  neighbor 10.60.3.250 remote-as 4232570301
  neighbor 10.60.3.250 description LAN peer for CPEC:INET:2112 VRF
  neighbor 10.60.3.250 activate
  neighbor 10.60.3.250 route-map BLOCK-ALL out
  neighbor 192.168.1.18 remote-as 12076
  neighbor 192.168.1.18 description PRIMARY ER peer for Tenant 2 to Azure
  neighbor 192.168.1.18 ebgp-multihop 5
  neighbor 192.168.1.18 activate
  neighbor 192.168.1.18 soft-reconfiguration inbound
  neighbor 192.168.1.18 route-map VNET-ONLY out
  neighbor 192.168.1.22 remote-as 12076
  neighbor 192.168.1.22 description BACKUP ER peer for Tenant 2 to Azure
  neighbor 192.168.1.22 ebgp-multihop 5
  neighbor 192.168.1.22 activate
  neighbor 192.168.1.22 soft-reconfiguration inbound
  neighbor 192.168.1.22 route-map VNET-ONLY out
  maximum-paths 8
 exit-address-family
!
ip forward-protocol nd
!
ip as-path access-list 1 permit ^$
ip route vrf Tenant 1 10.1.0.0 255.255.0.0 Tunnel10
ip route vrf Tenant 2 10.1.0.0 255.255.0.0 Tunnel20
!
ip prefix-list BLOCK-ALL seq 5 deny 0.0.0.0/0 le 32
!
route-map BLOCK-ALL permit 10
 match ip address prefix-list BLOCK-ALL
!
route-map VNET-ONLY permit 10
 match as-path 1
!

Testare la connessione

Testare la connessione dopo aver stabilito la connessione da sito a sito e il circuito ExpressRoute.

Eseguire i test ping seguenti:

• Accedere a una delle macchine virtuali nella rete virtuale di Azure ed eseguire il ping della macchina virtuale creata nell'hub di Azure Stack.
• Accedere a una delle macchine virtuali create nell'hub di Azure Stack ed eseguire il ping della macchina virtuale creata nella rete virtuale di Azure.

Consenti ICMP attraverso il firewall

Per impostazione predefinita, Windows Server 2016 non consente pacchetti ICMP in ingresso tramite il firewall. Per ogni macchina virtuale usata per i test ping, è necessario consentire pacchetti ICMP in ingresso. Per creare una regola del firewall per ICMP, eseguire il cmdlet seguente in una finestra di PowerShell con privilegi elevati:

# Create ICMP firewall rule.
New-NetFirewallRule `
  -DisplayName "Allow ICMPv4-In" `
  -Protocol ICMPv4

Eseguire il ping della macchina virtuale dell'hub di Azure Stack

1. Accedere al portale utenti dell'hub di Azure Stack.

2. Trovare la macchina virtuale creata e selezionarla.

3. Selezionare Connetti.

4. Da un prompt dei comandi di Windows o PowerShell con privilegi elevati immettere ipconfig /all. Prendere nota dell'indirizzo IPv4 restituito nell'output.

5. Effettuare il ping dell'indirizzo IPv4 dalla macchina virtuale nella rete virtuale di Azure.

   Nell'ambiente di esempio l'indirizzo IPv4 proviene dalla subnet 10.1.1.x/24. Nell'ambiente l'indirizzo potrebbe essere diverso, ma deve trovarsi nella subnet creata per la subnet della rete virtuale tenant.

Visualizzare le statistiche di trasferimento dei dati

Per sapere quanto traffico passa attraverso la connessione, è possibile trovare queste informazioni nel portale utenti dell'hub di Azure Stack. La visualizzazione delle statistiche di trasferimento dei dati è anche un buon modo per scoprire se i dati di test del ping sono passati attraverso le connessioni VPN ed ExpressRoute:

1. Accedere al portale utenti dell'hub di Azure Stack e selezionare Tutte le risorse.
2. Passare al gruppo di risorse per il Gateway VPN e selezionare il tipo di oggetto Connection.
3. Selezionare la connessione ConnectToAzure dall'elenco.
4. In Panoramica delle connessioni>è possibile visualizzare le statistiche relative ai dati in uscita e ai dati. Verranno visualizzati alcuni valori diversi da zero.

Passaggi successivi

Distribuire app in Azure e nell'hub di Azure Stack