Implementare la crittografia tramite ExpressRoute

  • 7 minuti

Implementare la rete WAN virtuale di Azure per stabilire una connessione VPN IPsec/IKE dalla rete locale ad Azure tramite il peering privato di un circuito Azure ExpressRoute. Questa tecnica può fornire un transito crittografato tra le reti locali e le reti virtuali di Azure su ExpressRoute, senza passare attraverso la rete Internet pubblica o usare indirizzi IP pubblici.

Topologia e routing

Diagramma che mostra un esempio di topologia e routing di Azure ExpressRoute.

Il diagramma mostra una rete all'interno della rete locale connessa al gateway VPN dell'hub di Azure tramite il peering privato di ExpressRoute. L'attivazione della connettività è semplice:

  1. Stabilire la connettività di ExpressRoute con un circuito ExpressRoute e un peering privato.
  2. Stabilire la connettività VPN come descritto nell'esempio.

Un aspetto importante di questa configurazione è il routing tra le reti locali e Azure tramite entrambi i percorsi ExpressRoute e VPN.

Traffico dalle reti locali ad Azure

Per il traffico dalle reti locali ad Azure, i prefissi di Azure (inclusi l'hub virtuale e tutte le reti virtuali spoke connesse all'hub) vengono annunciati sia tramite la sessione BGP di peering privato di ExpressRoute che tramite la sessione BGP della VPN. Si ottengono così due route (percorsi) di rete verso Azure dalle reti locali:

  • Una sul percorso protetto da IPsec
  • Una direttamente su ExpressRoute senza protezione IPsec

Per applicare la crittografia alla comunicazione, è necessario assicurarsi che, per la rete connessa alla VPN nel diagramma, le route di Azure tramite il gateway VPN locale abbiano la precedenza rispetto al percorso ExpressRoute diretto.

Traffico da Azure alle reti locali

Lo stesso requisito si applica al traffico da Azure alle reti locali. Per assicurarsi che il percorso IPsec abbia la precedenza rispetto al percorso ExpressRoute diretto (senza IPsec), sono disponibili due opzioni:

Annunciare prefissi più specifici nella sessione BGP della VPN per la rete connessa alla VPN. È possibile annunciare un intervallo più ampio che comprende la rete connessa alla VPN tramite il peering privato di ExpressRoute, quindi intervalli più specifici nella sessione BGP della VPN. Annunciare, ad esempio, 10.0.0.0/16 per ExpressRoute e 10.0.1.0/24 per la VPN.

Annunciare prefissi non contigui per la VPN ed ExpressRoute. Se gli intervalli di reti connesse alla VPN non sono contigui alle altre reti connesse a ExpressRoute, è possibile annunciare i prefissi rispettivamente nelle sessioni BGP della VPN e di ExpressRoute. Annunciare, ad esempio, 10.0.0.0/24 per ExpressRoute e 10.0.1.0/24 per la VPN.

In entrambi gli esempi presenti Azure invierà il traffico alla versione 10.0.1.0/24 tramite la connessione VPN invece che direttamente tramite ExpressRoute senza protezione VPN.

Operazioni preliminari

Prima di iniziare la configurazione, verificare il soddisfacimento dei criteri seguenti:

  • Se si dispone già di una rete virtuale a cui ci si vuole connettere, verificare che nessuna delle subnet della rete locale si sovrapponga a essa. La rete virtuale non richiede una subnet del gateway e non può avere gateway di rete virtuali. Se non si dispone di una rete virtuale, è possibile crearne una seguendo la procedura descritta in questo articolo.
  • Ottenere un intervallo di indirizzi IP per l'area dell'hub. L'hub è una rete virtuale e l'intervallo di indirizzi specificato per l'area hub non può sovrapporsi a una rete virtuale esistente alla quale ci si connette. Inoltre, non può sovrapporsi agli intervalli di indirizzi ai quali ci si connette in locale. Se non si ha familiarità con gli intervalli di indirizzi IP che si trovano nella configurazione di rete locale, coordinarsi con un utente in grado di fornire tali informazioni.
  • Se non si ha una sottoscrizione di Azure, creare un account gratuito prima di iniziare.

1. Creare una rete WAN virtuale e un hub con gateway

Prima di procedere, è necessario che siano presenti le risorse di Azure seguenti e le configurazioni locali corrispondenti come riportato di seguito:

  • Una rete WAN virtuale di Azure.
  • Un hub della rete WAN virtuale con ExpressRoute e un gateway di rete privata virtuale.

2. Creare un sito per la rete locale

La risorsa del sito corrisponde ai siti VPN non ExpressRoute per una rete WAN virtuale. L'indirizzo IP del dispositivo VPN locale può ora essere un indirizzo IP privato o un indirizzo IP pubblico nella rete locale raggiungibile tramite la configurazione del peering privato di ExpressRoute creata in precedenza.

  1. Passare a Rete WAN virtuale di Azure, siti VPN e creare un sito per la propria rete locale. Tenere presenti i valori delle impostazioni seguenti:

    • Border Gateway Protocol: Selezionare “Abilita” se la rete locale usa BGP.
    • Spazio indirizzi privato: Immettere lo spazio indirizzi IP che si trova nel proprio sito locale. Il traffico destinato a questo spazio indirizzi viene instradato alla rete locale tramite il gateway VPN.

  2. Selezionare Collegamenti per aggiungere informazioni sui collegamenti fisici. Tenere presenti le informazioni sulle impostazioni seguenti:

    • Nome provider: Nome del provider di servizi Internet per il sito. Per una rete locale di ExpressRoute, si tratta del nome del provider di servizi ExpressRoute.
    • Velocità: Velocità del collegamento al servizio Internet o del circuito ExpressRoute.
    • Indirizzo IP: Indirizzo IP pubblico del dispositivo VPN che risiede nel sito locale. In alternativa, per ExpressRoute in locale, si tratta dell'indirizzo IP privato del dispositivo VPN tramite ExpressRoute.
    • Se BGP è abilitato, si applica a tutte le connessioni create per questo sito in Azure. La configurazione di BGP in una rete WAN virtuale equivale alla configurazione di BGP in un gateway VPN di Azure.
    • L'indirizzo peer BGP locale non deve corrispondere all'indirizzo IP del proprio VPN per il dispositivo o lo spazio di indirizzi della rete virtuale del sito VPN. Usare un indirizzo IP diverso nel dispositivo VPN per il peer BGP. Può trattarsi di un indirizzo assegnato all'interfaccia di loopback nel dispositivo. Tuttavia, non può essere un indirizzo APIPA (169.254.x.x). Specificare questo indirizzo nel sito VPN corrispondente che rappresenta la posizione.

  3. Al termine, selezionare Avanti: Rivedere e creare per controllare i valori delle impostazioni e creare il sito VPN, quindi Creare il sito.

  4. Connettere quindi il sito all'hub. L'aggiornamento del gateway può richiedere fino a 30 minuti.

3. Aggiornare l'impostazione di connessione VPN per l'utilizzo di ExpressRoute

Dopo aver creato il sito VPN e aver eseguito la connessione all'hub, seguire questa procedura per configurare la connessione per l'utilizzo del peering privato di ExpressRoute:

  1. Passare all'hub virtuale. A tale scopo, passare alla rete WAN virtuale e selezionare l'hub per aprire la pagina dell'hub oppure passare all'hub virtuale connesso dal sito VPN.

  2. In Connettività, selezionare VPN (da sito a sito).

  3. Selezionare i puntini di sospensione (...) o fare clic con il pulsante destro del mouse sul sito VPN in ExpressRoute e selezionare Modifica connessione VPN a questo hub.

  4. Nella pagina Informazioni di base, lasciare le impostazioni predefinite.

  5. Nella pagina Collegamento connessione 1, configurare le impostazioni seguenti:

    • Per Usa indirizzo IP privato di Azure, selezionare . L'impostazione configura il gateway VPN dell'hub in modo da usare indirizzi IP privati all'interno dell'intervallo di indirizzi hub nel gateway per questa connessione anziché gli indirizzi IP pubblici. Ciò garantisce che il traffico proveniente dalla rete locale attraversi i percorsi di peering privato di ExpressRoute anziché utilizzare la rete Internet pubblica per questa connessione VPN.

  6. Fare clic su Crea per aggiornare le impostazioni. Dopo aver creato le impostazioni, il gateway VPN dell'hub utilizzerà gli indirizzi IP privati nel gateway VPN per stabilire le connessioni IPsec/IKE con il dispositivo VPN locale tramite ExpressRoute.

4. Ottenere gli indirizzi IP privati per il gateway VPN dell'hub

Scaricare la configurazione del dispositivo VPN per ottenere gli indirizzi IP privati del gateway VPN dell’hub. Questi indirizzi sono necessari per configurare il dispositivo VPN locale.

  1. Nella pagina dell'hub, selezionare VPN (da sito a sito) in Connettività.
  2. Nella parte superiore della pagina di Panoramica, selezionare Scarica configurazione VPN. Azure crea un account di archiviazione nel gruppo di risorse “microsoft-network-[location]”, dove posizione è il percorso della rete WAN. Dopo aver applicato la configurazione ai dispositivi VPN, è possibile eliminare questo account di archiviazione.
  3. Dopo aver creato il file, selezionare il collegamento per scaricarlo.
  4. Applicare la configurazione al dispositivo VPN.

File di configurazione del dispositivo VPN

Il file di configurazione del dispositivo contiene le impostazioni da utilizzare quando si configura il dispositivo VPN locale. Quando si visualizza questo file, notare le informazioni seguenti:

  • vpnSiteConfiguration: Questa sezione indica la configurazione dei dettagli del dispositivo come sito che si connette alla rete WAN virtuale. Include il nome e l'indirizzo IP pubblico del dispositivo derivato.

  • vpnSiteConnections: In questa sezione vengono fornite le seguenti impostazioni:

    • Spazio indirizzi della rete virtuale dell'hub virtuale.
      Esempio: "AddressSpace":"10.51.230.0/24"
    • Spazio indirizzi delle reti virtuali connesse all'hub.
      Esempio: "ConnectedSubnets":["10.51.231.0/24"]
    • Indirizzi IP del gateway VPN dell'hub virtuale. Poiché ogni connessione del gateway VPN è costituita da due tunnel nella configurazione attiva-attiva, entrambi gli indirizzi IP saranno visibili in questo file. In questo esempio vengono visualizzati Instance0 e Instance1 per ogni sito: sono indirizzi IP privati e non indirizzi IP pubblici.
      Esempio: "Instance0":"10.51.230.4" "Instance1":"10.51.230.5"
    • Dettagli di configurazione per la connessione gateway VPN, ad esempio BGP e chiave precondivisa. La chiave precondivisa viene generata automaticamente. È sempre possibile modificare la connessione nella pagina di panoramica per ottenere una chiave precondivisa personalizzata.

Configurazione del dispositivo VPN

Se sono necessarie istruzioni per configurare il dispositivo, è possibile usare le istruzioni riportate nella pagina degli script di configurazione del dispositivo VPN con le avvertenze seguenti:

  • Le istruzioni nella pagina del dispositivo VPN non sono scritte per una rete WAN virtuale. È tuttavia possibile usare i valori della rete WAN virtuale contenuti nel file di configurazione per configurare manualmente il dispositivo VPN.
  • Gli script di configurazione dei dispositivi scaricabili per il gateway VPN non funzionano per la rete WAN virtuale, perché la configurazione è diversa.
  • Una nuova rete WAN virtuale può supportare sia IKEv1 che IKEv2.
  • Una rete WAN virtuale può usare solo dispositivi VPN basati su route e istruzioni per i dispositivi.

5. Visualizzare la rete WAN virtuale

  1. Passare alla rete WAN virtuale.
  2. Nella pagina Panoramica ogni punto sulla mappa rappresenta un hub.
  3. Nella sezione Hub e connessioni, è possibile visualizzare lo stato di hub, sito, area e connessione VPN. È inoltre possibile visualizzare i byte in ingresso e in uscita.

6. Monitorare una connessione

Creare una connessione per monitorare la comunicazione tra una macchina virtuale di Azure e un sito remoto.