Condividi tramite

Esercitazione: Creare una connessione da sito a sito con la rete WAN virtuale di Azure

  • Articolo

Questa esercitazione illustra come usare la rete WAN virtuale per connettersi alle risorse in Azure tramite una connessione VPN IPSec/IKE (IKEv1 e IKEv2). Questo tipo di connessione richiede un dispositivo VPN che si trova in locale con un indirizzo IP pubblico esterno assegnato. Per altre informazioni sulla rete WAN virtuale, vedere la panoramica sulla rete WAN virtuale.

Screenshot che mostra un diagramma di rete per la rete WAN virtuale.

In questa esercitazione si apprenderà come:

  • Creare una rete WAN virtuale
  • Configurare le impostazioni di base dell'hub virtuale
  • Configurare le impostazioni del gateway VPN da sito a sito
  • Creare un sito
  • Connettere un sito a un hub virtuale
  • Connettere un sito VPN a un hub virtuale
  • Connettere una rete virtuale a un hub virtuale
  • Scaricare un file di configurazione
  • Visualizzare o modificare il gateway VPN

Nota

Se sono disponibili molti siti, in genere si ricorre ai servizi di un partner di rete WAN virtuale per creare questa configurazione. È comunque possibile creare questa configurazione in autonomia, se si ha familiarità con le tecnologie e funzionalità di rete e si è esperti della configurazione del dispositivo VPN.

Prerequisiti

Verificare di aver soddisfatto i criteri seguenti prima di iniziare la configurazione:

  • Che si abbia una sottoscrizione di Azure. Se non hai una sottoscrizione di Azure, crea un account gratuito.

  • Esiste una rete virtuale a cui connettersi.

    • Verificare che nessuna delle subnet della rete locale possa sovrapporsi alle reti virtuali a cui ci si vuole connettere.
    • Per creare una rete virtuale nel portale di Azure, vedere l'articolo dell'Avvio rapido.

  • La rete virtuale non deve contenere alcun gateway di rete virtuale esistente.

    • Se la rete virtuale contiene già un gateway (VPN o ExpressRoute), è necessario rimuovere tutti i gateway prima di procedere.
    • Questa configurazione richiede che le reti virtuali si connettano solo al gateway dell'hub della rete WAN virtuale.

  • Decidere l'intervallo di indirizzi IP da usare per lo spazio indirizzi privato dell'hub virtuale. Queste informazioni vengono usate durante la configurazione dell'hub virtuale. Un hub virtuale è una rete virtuale che viene creata e usata dalla rete WAN virtuale. Si tratta dell'elemento centrale della rete WAN virtuale in un'area. L'intervallo dello spazio indirizzi deve essere conforme a determinate regole:

    • L'intervallo di indirizzi specificati per l'hub non può sovrapporsi ad alcuna delle reti virtuali esistenti a cui ci si connette.
    • L'intervallo di indirizzi IP non può sovrapporsi agli intervalli di indirizzi locali a cui ci si connette.
    • Se non si ha familiarità con gli intervalli di indirizzi IP che si trovano nella configurazione di rete locale, coordinarsi con un utente in grado di fornire tali informazioni.

Creare una rete WAN virtuale

  1. Nel portale, nella barra Cerca risorse digitare Rete WAN virtuale nella casella di ricerca e selezionare INVIO.

  2. Selezionare Reti WAN virtuali nei risultati. Nella pagina Reti WAN virtuali, selezionare + Crea per aprire la pagina Crea rete WAN.

  3. Nella pagina Crea rete WAN compilare i campi nella scheda Informazioni di base. Modificare i valori di esempio in base all'ambiente corrente.

    Screenshot che mostra il riquadro Crea rete WAN con la scheda Informazioni di base selezionata.

    • Sottoscrizione: selezionare la sottoscrizione da usare.
    • Gruppo di risorse: creare un nuovo gruppo o usarne uno esistente.
    • Località del gruppo di risorse: scegliere una località delle risorse dall'elenco a discesa. Una rete WAN è una risorsa globale che non risiede in un'area specifica. Tuttavia, per gestire e individuare la risorsa WAN creata, è necessario selezionare un'area.
    • Nome: digitare il nome da usare per la rete WAN virtuale.
    • Tipo: Basic o Standard. Selezionare Standard. Se si seleziona Basic, tenere presente che le reti WAN virtuali Basic possono contenere solo hub Basic. Gli hub Basic possono essere usati solo per le connessioni da sito a sito.

  4. Dopo aver compilato i campi, nella parte inferiore della pagina selezionare Rivedi e crea.

  5. Una volta superata la convalida, fare clic su Crea per creare la rete WAN virtuale.

Configurare le impostazioni dell'hub virtuale

Un hub virtuale è una rete virtuale che può contenere gateway per funzionalità da sito a sito, ExpressRoute o da punto a sito. Per questa esercitazione, iniziare compilando la scheda Informazioni di base per l'hub virtuale e quindi continuare a compilare la scheda Da sito a sito nella sezione successiva. È anche possibile creare un hub virtuale vuoto (un hub virtuale che non contiene gateway) e quindi aggiungere gateway (da sito a sito, da punto a sito, ExpressRoute e così via) in un secondo momento. Dopo aver creato un hub virtuale, vengono addebitati i costi corrispondenti, anche se non viene collegato alcun sito o non vengono creati gateway al suo interno.

  1. Passare alla rete WAN virtuale creata. Nel riquadro sinistro della pagina Rete WAN virtuale, in Connettività, selezionare Hub.

  2. Nella pagina Hub selezionare + Nuovo hub per aprire la pagina Crea hub virtuale.

    Screenshot del riquadro Crea hub virtuale con la scheda Informazioni di base selezionata.

  3. Nella scheda Generale della pagina Crea hub virtuale completare i campi seguenti:

    • Area: selezionare l'area in cui distribuire l'hub virtuale.
    • Nome: nome con cui deve essere noto l'hub virtuale.
    • Spazio di indirizzi privato dell'hub: intervallo di indirizzi dell'hub nella notazione CIDR. Per creare un hub, lo spazio indirizzi minimo è /24.
    • Capacità hub virtuale: effettuare una selezione dall'elenco a discesa. Per altre informazioni, vedere Impostazioni dell'hub virtuale.
    • Preferenza di routing dell'hub: lasciare l'impostazione predefinita. Per altre informazioni, vedere Preferenza di routing dell'hub virtuale.

Non creare ancora l'hub virtuale. Continuare con la sezione successiva per configurare altre impostazioni.

Configurare un gateway da sito a sito

In questa sezione vengono configurate le impostazioni di connettività da sito a sito e quindi viene creato l'hub virtuale e il gateway VPN da sito a sito. La creazione dell'hub virtuale e del gateway può richiedere circa 30 minuti.

  1. Nella pagina Crea hub virtuale fare clic su Da sito a sito per aprire la scheda Da sito a sito.

    Screenshot del riquadro Crea hub virtuale con l'opzione Da sito a sito selezionata.

  2. Nella scheda Da sito a sito compilare i campi seguenti:

    • Scegliere per creare una VPN da sito a sito.

    • Numero AS: il campo Numero AS non può essere modificato.

    • Unità di scala gateway: selezionare il valore per Unità di scala gateway dall'elenco a discesa. L'unità di scala consente di scegliere la velocità effettiva aggregata del gateway VPN creato nell'hub virtuale a cui si collegano i siti.

      Se si sceglie l'unità di scala 1 = 500 Mbps, verranno create due istanze per la ridondanza, ciascuna con una velocità effettiva massima di 500 Mbps. Se, ad esempio, sono presenti cinque rami, ognuno dei quali contribuisce per 10 Mbps, sarà necessaria una velocità aggregata di 50 Mbps all'estremità finale. La capacità aggregata del gateway VPN di Azure deve essere pianificata dopo aver valutato la capacità necessaria per supportare il numero di rami che confluiscono nell'hub.

    • Preferenza di routing: la preferenza di routing di Azure consente di scegliere il modo in cui il traffico viene instradato tra Azure e Internet. È possibile scegliere di instradare il traffico tramite la rete Microsoft o tramite la rete dell'ISP (rete Internet pubblica). Queste opzioni sono anche dette rispettivamente routing cold potato e routing hot potato.

      L'indirizzo IP pubblico nella rete WAN virtuale viene assegnato dal servizio, in base all'opzione di routing selezionata. Per altre informazioni sulle preferenze di routing tramite la rete Microsoft o l'ISP, vedere l'articolo Preferenza di routing.

  3. Selezionare Rivedi e crea per convalidare la selezione.

  4. Selezionare Crea per creare l'hub e il gateway. Questa operazione può richiedere fino a 30 minuti. Dopo 30 minuti, fare clic su Aggiorna per visualizzare l'hub nella pagina Hub. Selezionare Vai alla risorsa per passare alla risorsa.

Quando si crea un nuovo hub, è possibile che venga visualizzato un messaggio di avviso nel portale che fa riferimento alla versione del router. Questo può talvolta verificarsi quando è in corso il provisioning del router. Una volta completato il provisioning del router, il messaggio non verrà più visualizzato.

Creare un sito

In questa sezione si crea un sito. I siti corrispondono alle posizioni fisiche. Creare tutti i siti necessari. Questi siti contengono gli endpoint di dispositivo VPN locali.

Se ad esempio l'organizzazione ha una succursale a New York, una a Londra e una a Milano, creare tre siti separati. È possibile creare fino a 1.000 siti per ciascun hub virtuale in una rete WAN virtuale. Se sono presenti più hub virtuali, è possibile crearne 1.000 per ognuno di essi.

Se si dispone di un dispositivo CPE partner per la rete WAN virtuale, rivolgersi al partner per informazioni relative all'automazione in Azure. In genere l'automazione implica una semplice esperienza tramite clic per l'esportazione di informazioni sui rami su larga scala in Azure e per la configurazione della connettività dal dispositivo CPE al gateway VPN della rete WAN virtuale di Azure. Per altre informazioni, vedere Indicazioni sull'automazione da Azure ai partner CPE.

  1. Passare Rete WAN virtuale -> Siti VPN per aprire la pagina Siti VPN.

  2. Nella pagina Siti VPN fare clic su +Crea sito.

  3. Nella pagina Crea sito WAN, nella scheda Informazioni di base compilare i campi seguenti:

    Screenshot che mostra la pagina Crea sito VPN con la scheda Informazioni di base aperta.

    • Regione: precedentemente denominata Posizione. Si tratta del percorso in cui si vuole creare la risorsa del sito.

    • Nome: nome che si vuole usare per fare riferimento al sito locale.

    • Fornitore del dispositivo: nome del fornitore del dispositivo VPN (ad esempio: Citrix, Cisco, Barracuda). L'aggiunta del fornitore del dispositivo può consentire al team di Azure di comprendere meglio l'ambiente per aggiungere ulteriori possibilità di ottimizzazione in futuro o per offrire supporto per la risoluzione dei problemi.

    • Spazio indirizzi privato: spazio di indirizzi IP nel sito locale. Il traffico destinato a questo spazio di indirizzi viene indirizzato al sito locale. Questa operazione è necessaria quando BGP non è abilitato per il sito.

      Nota

      Se si modifica lo spazio di indirizzi dopo aver creato il sito, ad esempio si aggiunge un altro spazio di indirizzi, l'aggiornamento delle route effettive può richiedere 8-10 minuti mentre i componenti vengono ricreati.

  4. Selezionare Collegamenti per aggiungere informazioni sui collegamenti fisici al ramo. Se è presente un dispositivo CPE del partner WAN virtuale, rivolgersi al partner per verificare se queste informazioni vengono scambiate con Azure nell'ambito del caricamento delle informazioni sul ramo configurato dai rispettivi sistemi.

    Screenshot che mostra la pagina Crea sito VPN con la scheda Collegamenti aperta.

    • Nome collegamento: nome che si desidera fornire per il collegamento fisico al sito VPN. Esempio: mylink1.

    • Velocità collegamento: velocità del dispositivo VPN in corrispondenza della località del ramo. Esempio: 50, che indica 50 Mbps è la velocità del dispositivo VPN nella sede del ramo.

    • Nome provider collegamento: nome del collegamento fisico al sito VPN. Esempio: ATT, Verizon.

    • Indirizzo IP/FQDN collegamento: indirizzo IP pubblico del dispositivo locale con questo collegamento. Facoltativamente, è possibile specificare l'indirizzo IP privato del dispositivo VPN locale che si trova dietro ExpressRoute. È anche possibile includere un nome di dominio completo. Ad esempio, something.contoso.com. Il nome FQDN deve essere risolvibile dal gateway VPN. Questo è possibile se il server DNS che ospita questo nome FQDN è raggiungibile tramite Internet. L'indirizzo IP ha la precedenza quando vengono specificati sia l'indirizzo IP che il nome FQDN.

      Nota

      • È supportato un unico indirizzo IPv4 per ogni nome FQDN. Se il nome FQDN deve essere risolto in più indirizzo IP, il gateway VPN preleva il primo indirizzo IP4 dall'elenco. Gli indirizzi IPv6 non sono supportati al momento.

      • Il gateway VPN mantiene una cache DNS che viene aggiornata ogni 5 minuti. Il gateway tenta di risolvere i nomi FQDN solo per i tunnel disconnessi. Anche una reimpostazione del gateway o una modifica di configurazione può attivare la risoluzione del nome FQDN.

    • Border Gateway Protocol collegamento: la configurazione di BGP in una rete WAN virtuale equivale alla configurazione di BGP in un gateway VPN della rete virtuale di Azure. L'indirizzo del peer BGP locale non deve essere uguale all'indirizzo IP pubblico del dispositivo VPN né allo spazio di indirizzi della rete virtuale del sito VPN. Usare un indirizzo IP diverso nel dispositivo VPN per il peer BGP. Può trattarsi di un indirizzo assegnato all'interfaccia di loopback nel dispositivo. Specificare questo indirizzo nel sito VPN corrispondente che rappresenta la posizione. Per i prerequisiti di BGP, vedere Informazioni su BGP con i gateway VPN di Azure. È sempre possibile modificare una connessione del collegamento VPN per aggiornare i parametri BGP (IP del peering sul collegamento e numero di sistema autonomo).

  5. È possibile aggiungere o eliminare altri collegamenti. Sono supportati quattro collegamenti per sito VPN. Ad esempio, se sono presenti quattro ISP (provider di servizi Internet) nella posizione del ramo, è possibile creare quattro collegamenti (uno per ogni ISP) e fornire le informazioni per ogni collegamento.

  6. Al termine della compilazione dei campi, selezionare Rivedi + crea per verificare. Fare clic su Crea per creare il sito.

  7. Passare alla Rete WAN virtuale. Nella pagina Siti VPN verrà visualizzato il sito creato. Se non è possibile visualizzare il sito, è necessario modificare il filtro. Fare clic su X nella finestra Associazione hub: per cancellare il filtro.

    Screenshot che mostra Connetti a questo hub.

  8. Dopo aver cancellato il filtro, è possibile visualizzare il sito.

    Screenshot che mostra il sito.

Connettere il sito VPN a un hub virtuale

In questa sezione si connetterà il sito VPN all'hub virtuale.

  1. Nella pagina Rete WAN virtuale passare a Hub.

  2. Nella pagina Hub fare clic sull'hub creato.

  3. Nel riquadro sinistro della pagina dell'hub creato in Connettività fare clic su VPN (da sito a sito ) per aprire la pagina VPN da sito a sito.

  4. Nella pagina VPN (da sito a sito) dovrebbe essere visualizzato il sito. In caso contrario, potrebbe essere necessario fare clic sulla finestra Associazione hub:x per cancellare i filtri e visualizzare il sito.

  5. Selezionare la casella di controllo accanto al nome del sito (non fare clic direttamente sul nome del sito), quindi fare clic su Connetti siti VPN.

    Screenshot che mostra l'opzione Connetti sito.

  6. Nella pagina Connetti siti configurare le impostazioni.

    Screenshot del riquadro Siti connessi per l'hub virtuale pronto per una chiave precondivisa e le impostazioni associate.

    • Chiave precondivisa: immettere la chiave precondivisa usata dal dispositivo VPN. Se non si immette una chiave, Azure ne genera automaticamente una. Questa chiave verrà quindi usata durante la configurazione del dispositivo VPN.

    • Protocollo e IPsec: è possibile lasciare le impostazioni predefinite per Protocollo (IKEv2) e IPsec (impostazione predefinita) oppure è possibile configurare impostazioni personalizzate. Per altre informazioni, vedere Protocollo IPSec predefinito/personalizzato.

    • Propaga route predefinita: modificare questa impostazione selezionando Abilita solo se si vuole propagare la route predefinita. In caso contrario, lasciarla su Disabilita. Sarà comunque possibile modificare questa impostazione in un secondo momento.

      L'opzione Abilita consente all'hub virtuale di propagare a questa connessione una route predefinita appresa. Questo flag consente la propagazione della route predefinita a una connessione solo se tale route è già stata appresa dall'hub della rete WAN virtuale a seguito della distribuzione di un firewall nell'hub o se per un altro sito connesso è abilitato il tunneling forzato. La route predefinita non ha origine nell'hub della rete WAN virtuale.

    • Usa selettore del traffico basato su criteri: lasciare questa impostazione su Disabilita a meno che non si configuri una connessione a un dispositivo che usa questa impostazione.

    • Configura selettore del traffico: lasciare l'impostazione predefinita. Sarà comunque possibile modificare questa impostazione in un secondo momento.

    • Modalità di connessione: lasciare l'impostazione predefinita. Questa impostazione viene usata per specificare il gateway che può avviare la connessione.

  7. Selezionare Connetti nella parte inferiore della pagina.

  8. Dopo aver selezionato Connetti, lo stato della connettività mostra Aggiornamento. Al termine dell'aggiornamento, il sito mostra lo stato di connessione e di connettività.

    Screenshot che mostra una connessione da sito a sito con lo stato di connettività.

    Stato di provisioning della connessione: si tratta dello stato della risorsa di Azure per la connessione che connette il sito VPN al gateway VPN dell'hub di Azure. Dopo che questa operazione del piano di controllo ha esito positivo, il gateway VPN di Azure e il dispositivo VPN locale tenteranno di stabilire la connettività.

    Stato connettività: si tratta dello stato di connettività (percorso dati) effettivo tra il gateway VPN di Azure nell'hub e il sito VPN. Al termine dell'aggiornamento, può mostrare uno degli stati seguenti:

    • Sconosciuto: questo stato in genere viene visualizzato se i sistemi back-end stanno tentando di passare a un altro stato.
    • Connessione: il gateway VPN di Azure sta tentando di raggiungere il sito VPN locale effettivo.
    • Connesso: è stata stabilita la connettività tra il gateway VPN di Azure e il sito VPN locale.
    • Non connesso: la connettività non è stata stabilita.
    • Disconnesso: questo stato viene visualizzato se, per un motivo qualsiasi (in locale o in Azure), la connessione è stata interrotta.

  9. Se si desidera apportare modifiche al sito, selezionare la casella di controllo accanto al nome del sito (non fare clic direttamente sul nome del sito), quindi fare clic sul menu di scelta rapida ....

    Screenshot che mostra la modifica, l'eliminazione e il download.

    Da questa pagina è possibile eseguire queste operazioni:

    • Modificare la connessione VPN a questo hub.
    • Eliminare la connessione VPN a questo hub.
    • Scaricare il file di configurazione VPN specifico per questo sito. Se invece si vuole scaricare il file di configurazione per i siti connessi a questo hub, selezionare Scarica configurazione VPN dal menu nella parte superiore della pagina.

  10. È quindi possibile fare clic sul sito VPN per visualizzare lo stato di connettività per ogni connessione di collegamento. Screenshot che mostra le connessioni di collegamento per un sito VPN specifico.

Connettere una rete virtuale all'hub virtuale

In questa sezione viene creata una connessione tra l'hub virtuale e la rete virtuale.

  1. Nel portale di Azure passare a Rete WAN virtuale. Nel riquadro sinistro selezionare Connessioni di rete virtuale.

  2. Nella pagina Connessioni rete virtuale selezionare + Aggiungi connessione.

  3. Nella pagina Aggiungi connessione configurare le impostazioni della connessione. Per informazioni sulle impostazioni di routing, vedere Informazioni sul routing.

    Screenshot della pagina Aggiungi connessione.

    • Nome connessione: assegnare un nome alla connessione.
    • Hub: selezionare l'hub da associare a questa connessione.
    • Sottoscrizione: verificare la sottoscrizione.
    • Gruppo di risorse: selezionare il gruppo di risorse contenente la rete virtuale a cui connettersi.
    • Rete virtuale: selezionare la rete virtuale da connettere a questo hub. La rete virtuale selezionata non può contenere un gateway di rete virtuale già esistente.
    • Propaga a nessuno: per impostazione predefinita, questa opzione è impostata su No. Se si modifica l'opzione impostandola su , le opzioni di configurazione per Propaga alle tabelle di route e Propaga alle etichette non sono disponibili per la configurazione.
    • Associa tabella di route: dall'elenco a discesa è possibile selezionare una tabella di route da associare.
    • Propaga alle etichette: le etichette sono un gruppo logico di tabelle di route. Per questa impostazione, effettuare una selezione dall'elenco a discesa.
    • Route statiche: configurare le route statiche, se necessario. Configurare le route statici per le appliance virtuali di rete (se applicabile). La rete WAN virtuale supporta un singolo indirizzo IP hop successivo per la route statica in una connessione di rete virtuale. Ad esempio, se esiste un'appliance virtuale separata per i flussi di traffico in ingresso e in uscita, è preferibile avere le appliance virtuali in reti virtuali separate e collegare le reti virtuali all'hub virtuale.
    • Ignora indirizzo IP hop successivo per i carichi di lavoro all'interno di questa rete virtuale: questa impostazione consente di distribuire appliance virtuali di rete e altri carichi di lavoro nella stessa rete virtuale senza forzare tutto il traffico attraverso l'appliance virtuale di rete. È possibile configurare questa impostazione solo per una nuova connessione. Se si desidera usare questa impostazione per una connessione già creata, eliminare la connessione e aggiungerne una nuova.
    • Propaga route statica: questa impostazione è attualmente in fase di implementazione. Questa impostazione consente di propagare le route statiche definite nella sezione Route statiche alle tabelle di route specificate in Propaga a tabelle di route. Le route, inoltre, verranno propagate nelle tabelle di route con le etichette specificate come Propaga alle etichette. Queste route possono essere propagate tra hub, ad eccezione della route predefinita 0/0. Questa funzionalità è in fase di implementazione. Se serve che questa funzionalità sia abilitata, aprire un caso di supporto

  4. Una volta completate le impostazioni da configurare, fare clic su Crea per creare la connessione.

Scaricare la configurazione della VPN

Usare il file di configurazione del dispositivo VPN per configurare il dispositivo VPN locale. I passaggi principali sono indicati di seguito.

  1. Dalla pagina Rete WAN virtuale passare alla pagina Hub -> Hub virtuale personale -> VPN (da sito a sito).

  2. Nella parte superiore della pagina VPN (da sito a sito) fare clic su Scaricare configurazione VPN. Verrà visualizzata una serie di messaggi quando Azure crea un nuovo account di archiviazione nel gruppo di risorse “microsoft-network-[location]”, dove posizione è il percorso della rete WAN. È anche possibile aggiungere un account di archiviazione esistente facendo clic su "Usare esistente" e aggiungendo un URL di firma di accesso condiviso valido con autorizzazioni di scrittura abilitate. Per altre informazioni sulla creazione di un nuovo URL di firma di accesso condiviso, vedere Generare l'URL di firma di accesso condiviso.

  3. Al termine della creazione del file, fare clic sul collegamento per scaricare il file. Verrà creato un nuovo file con configurazione VPN nel percorso dell'URL di firma di accesso condiviso specificato. Per informazioni sul contenuto del file, vedere Informazioni sul file di configurazione del dispositivo VPN in questa sezione.

  4. Applicare la configurazione al dispositivo VPN locale. Per altre informazioni, vedere Configurazione del dispositivo VPN in questa sezione.

  5. Dopo aver applicato la configurazione ai dispositivi VPN, non è necessario mantenere l'account di archiviazione creato.

Informazioni sui file di configurazione del dispositivo VPN

Il file di configurazione del dispositivo contiene le impostazioni da usare quando si configura il dispositivo VPN locale. Quando si visualizza questo file, notare le informazioni seguenti:

  • vpnSiteConfiguration - Questa sezione indica i dettagli del dispositivo configurato come un sito che si connette alla rete WAN virtuale. Include il nome e l'indirizzo IP pubblico del dispositivo derivato.

  • vpnSiteConnections - Questa sezione include informazioni sulle impostazioni seguenti:

    • Spazio indirizzi della rete virtuale degli hub virtuali.
      Esempio:

      "AddressSpace":"10.1.0.0/24"

    • Spazio indirizzi delle reti virtuali connesse all'hub virtuale.
      Esempio:

      "ConnectedSubnets":["10.2.0.0/16","10.3.0.0/16"]

    • Indirizzi IP del gateway VPN dell'hub virtuale. Poiché ogni connessione gateway vpn è costituita da due tunnel nella configurazione attiva-attiva, entrambi gli indirizzi IP saranno visibili in questo file. In questo esempio, sono indicati "Instance0" e "Instance1" per ogni sito.
      Esempio:

      "Instance0":"104.45.18.186"
"Instance1":"104.45.13.195"

    • Dettagli di configurazione della connessione gateway vpn, ad esempio BGP, chiave precondivisa e così via. PSK è la chiave precondivisa che viene generata automaticamente. È sempre possibile modificare la connessione nella pagina Panoramica per una chiave precondivisa personalizzata.

Esempio di file di configurazione del dispositivo

  { 
      "configurationVersion":{ 
         "LastUpdatedTime":"2018-07-03T18:29:49.8405161Z",
         "Version":"r403583d-9c82-4cb8-8570-1cbbcd9983b5"
      },
      "vpnSiteConfiguration":{ 
         "Name":"testsite1",
         "IPAddress":"73.239.3.208"
      },
      "vpnSiteConnections":[ 
         { 
            "hubConfiguration":{ 
               "AddressSpace":"10.1.0.0/24",
               "Region":"West Europe",
               "ConnectedSubnets":[ 
                  "10.2.0.0/16",
                  "10.3.0.0/16"
               ]
            },
            "gatewayConfiguration":{ 
               "IpAddresses":{ 
                  "Instance0":"203.0.113.186",
                  "Instance1":"203.0.113.195"
               }
            },
            "connectionConfiguration":{ 
               "IsBgpEnabled":false,
               "PSK":"bkOWe5dPPqkx0DfFE3tyuP7y3oYqAEbI",
               "IPsecParameters":{ 
                  "SADataSizeInKilobytes":102400000,
                  "SALifeTimeInSeconds":3600
               }
            }
         }
      ]
   },
   { 
      "configurationVersion":{ 
         "LastUpdatedTime":"2018-07-03T18:29:49.8405161Z",
         "Version":"1f33f891-e1ab-42b8-8d8c-c024d337bcac"
      },
      "vpnSiteConfiguration":{ 
         "Name":" testsite2",
         "IPAddress":"198.51.100.122"
      },
      "vpnSiteConnections":[ 
         { 
            "hubConfiguration":{ 
               "AddressSpace":"10.1.0.0/24",
               "Region":"West Europe"
            },
            "gatewayConfiguration":{ 
               "IpAddresses":{ 
                  "Instance0":"203.0.113.186",
                  "Instance1":"203.0.113.195"
               }
            },
            "connectionConfiguration":{ 
               "IsBgpEnabled":false,
               "PSK":"XzODPyAYQqFs4ai9WzrJour0qLzeg7Qg",
               "IPsecParameters":{ 
                  "SADataSizeInKilobytes":102400000,
                  "SALifeTimeInSeconds":3600
               }
            }
         }
      ]
   },
   { 
      "configurationVersion":{ 
         "LastUpdatedTime":"2018-07-03T18:29:49.8405161Z",
         "Version":"cd1e4a23-96bd-43a9-93b5-b51c2a945c7"
      },
      "vpnSiteConfiguration":{ 
         "Name":" testsite3",
         "IPAddress":"192.0.2.228"
      },
      "vpnSiteConnections":[ 
         { 
            "hubConfiguration":{ 
               "AddressSpace":"10.1.0.0/24",
               "Region":"West Europe"
            },
            "gatewayConfiguration":{ 
               "IpAddresses":{ 
                  "Instance0":"203.0.113.186",
                  "Instance1":"203.0.113.195"
               }
            },
            "connectionConfiguration":{ 
               "IsBgpEnabled":false,
               "PSK":"YLkSdSYd4wjjEThR3aIxaXaqNdxUwSo9",
               "IPsecParameters":{ 
                  "SADataSizeInKilobytes":102400000,
                  "SALifeTimeInSeconds":3600
               }
            }
         }
      ]
   }

Configurazione del dispositivo VPN

Nota

Se si usa la soluzione di un partner di rete WAN virtuale, la configurazione del dispositivo VPN avviene automaticamente. Il controller del dispositivo ottiene il file di configurazione da Azure e lo applica al dispositivo per configurare la connessione ad Azure. Ciò significa che non è necessario sapere come configurare manualmente il dispositivo VPN.

Se sono necessarie istruzioni per configurare il dispositivo, è possibile usare le istruzioni riportate nella pagina degli script di configurazione del dispositivo VPN con le avvertenze seguenti:

  • Le istruzioni nella pagina dei dispositivi VPN non vengono scritte per la rete WAN virtuale, ma è possibile usare i valori della rete WAN virtuale dal file di configurazione per configurare manualmente il dispositivo VPN.

  • Gli script di configurazione dei dispositivi scaricabili per gateway VPN non funzionano per la rete WAN virtuale, perché la configurazione è diversa.

  • Una nuova rete WAN virtuale può supportare IKEv1 e IKEv2.

  • La rete WAN virtuale può usare dispositivi VPN sia basati su criteri che basati su route e istruzioni per il dispositivo.

Visualizzare o modificare le impostazioni del gateway

È possibile visualizzare e modificare le impostazioni del gateway VPN in qualsiasi momento. Passare all'Hub virtuale -> VPN (da sito a sito) e fare clic su Configurazione gateway.

Screenshot che mostra la pagina 'VPN (da sito a sito)' con un riquadro rosso intorno all'opzione Configurazione gateway.

Nella pagina Modifica gateway VPN è possibile visualizzare le impostazioni seguenti:

  • Indirizzo IP pubblico: Assegnato da Azure.

  • Indirizzo IP privato: Assegnato da Azure.

  • Indirizzo IP BGP predefinito: Assegnato da Azure.

  • Indirizzo IP BGP personalizzato: Questo campo è riservato per APIPA (Indirizzamento IP privato automatico). Azure supporta l'indirizzo IP BGP negli intervalli 169.254.21.* e 169.254.22.*. Azure accetta le connessioni BGP in questi intervalli, ma effettua la connessione con l'IP BGP predefinito. Gli utenti possono specificare più indirizzi IP BGP personalizzati per ogni istanza. Non deve essere usato lo stesso indirizzo IP BGP personalizzato per entrambe le istanze.

    Screenshot che mostra la pagina Modifica gateway VPN con il pulsante Modifica evidenziato.

Pulire le risorse

Quando non sono più necessarie, eliminare le risorse create. A causa delle dipendenze, alcune risorse della rete WAN virtuale devono essere eliminate seguendo un ordine definito. Il completamento dell'eliminazione può richiedere circa 30 minuti.

  1. Aprire la rete WAN virtuale creata.

  2. Selezionare un hub virtuale associato alla rete WAN virtuale per aprire la pagina dell'hub.

  3. Eliminare tutte le entità gateway seguendo l'ordine indicato di seguito, per ogni tipo di gateway. Per completare questa operazione possono essere necessari fino a 30 minuti.

    VPN:

    • Disconnettere i siti VPN
    • Eliminare le connessioni VPN
    • Eliminare i gateway VPN

    ExpressRoute:

    • Eliminare le connessioni ExpressRoute
    • Eliminare i gateway ExpressRoute

  4. Ripetere la procedura per tutti gli hub associati alla rete WAN virtuale.

  5. È possibile eliminare gli hub ora, oppure in un secondo momento, quando si elimina il gruppo di risorse.

  6. Passare al gruppo di risorse nel portale di Azure.

  7. Selezionare Elimina gruppo di risorse. In questo modo verranno eliminate le altre risorse nel gruppo di risorse, inclusi gli hub e la rete WAN virtuale.

Passaggi successivi

Per altre informazioni sulla rete WAN virtuale, vedere: