Configurare le impostazioni del gateway VPN per l'hub di Azure Stack
Un gateway VPN è un tipo di gateway di rete virtuale che invia il traffico crittografato tra la rete virtuale nell'hub di Azure Stack e un gateway VPN remoto. Il gateway VPN remoto può essere in Azure, un dispositivo nel data center o un dispositivo in un altro sito. Se è presente connettività di rete tra i due endpoint, è possibile stabilire una connessione VPN da sito a sito (S2S) sicura tra le due reti.
Un gateway VPN si basa sulla configurazione di più risorse, ognuna delle quali contiene impostazioni configurabili. Questo articolo descrive le risorse e le impostazioni correlate a un gateway VPN per una rete virtuale creata nel modello di distribuzione Resource Manager. È possibile trovare descrizioni e diagrammi di topologia per ogni soluzione di connessione in Creare gateway VPN per l'hub di Azure Stack.
Impostazioni del gateway VPN
Tipi di gateway
Ogni rete virtuale dell'hub di Azure Stack supporta un singolo gateway di rete virtuale, che deve essere del tipo Vpn. Questo supporto è diverso da Azure, che supporta tipi aggiuntivi.
Quando si crea un gateway di rete virtuale, è necessario assicurarsi che il tipo di gateway sia corretto per la configurazione. Un gateway VPN richiede il -GatewayType Vpn flag, ad esempio:
New-AzVirtualNetworkGateway -Name vnetgw1 -ResourceGroupName testrg `
-Location 'West US' -IpConfigurations $gwipconfig -GatewayType Vpn `
-VpnType RouteBased
SKU del gateway senza percorso rapido VPN abilitato
Quando si crea un gateway di rete virtuale, è necessario specificare lo SKU da usare. Selezionare gli SKU che soddisfano i requisiti in base ai tipi di carichi di lavoro, velocità effettiva, funzionalità e contratti di servizio.
È possibile avere 10 gateway ad alte prestazioni o 20 standard e di base prima di raggiungere la capacità massima.
L'hub di Azure Stack offre gli SKU del gateway VPN illustrati nella tabella seguente:
| SKU | Velocità effettiva massima connessione VPN | Numero massimo di connessioni per vm GW attive | Numero massimo di connessioni VPN per stamp |
|---|---|---|---|
| Base | 100 Mbps Tx/Rx | 10 | 20 |
| Standard | 100 Mbps Tx/Rx | 10 | 20 |
| Prestazioni elevate | 200 Mbps Tx/Rx | 5 | 10 |
SKU del gateway con percorso rapido VPN abilitato
Con la versione dell'anteprima pubblica del percorso veloce VPN, l'hub di Azure Stack supporta tre nuove SKU con velocità effettiva superiore.
I nuovi limiti e la velocità effettiva verranno abilitati dopo l'abilitazione del percorso rapido VPN nel timbro di Azure Stack.
L'hub di Azure Stack offre gli SKU del gateway VPN illustrati nella tabella seguente:
| SKU | Velocità effettiva massima connessione VPN | Numero massimo di connessioni per vm GW attive | Numero massimo di connessioni VPN per stamp |
|---|---|---|---|
| Base | 100 Mbps Tx/Rx | 25 | 50 |
| Standard | 100 Mbps Tx/Rx | 25 | 50 |
| Prestazioni elevate | 200 Mbps Tx/Rx | 12 | 24 |
| VPNGw1 | 650 Mbps Tx/Rx | 3 | 6 |
| VPNGw2 | 1000 Mbps Tx/Rx | 2 | 4 |
| VPNGw3 | 1250 Mbps Tx/Rx | 2 | 4 |
Ridimensionamento degli SKU dei gateway di rete virtuale
L'hub di Azure Stack non supporta un ridimensionamento da uno SKU legacy supportato (Basic, Standard e HighPerformance) a uno SKU più recente supportato da Azure (VpnGw1, VpnGw2 e VpnGw3).
È necessario creare nuovi gateway di rete virtuale e connessioni per usare i nuovi SKU abilitati da Percorso rapido VPN.
Configurare lo SKU del gateway di rete virtuale
Portale dell'hub di Azure Stack
Se si usa il portale dell'hub di Azure Stack per creare un gateway di rete virtuale, è possibile selezionare lo SKU usando l'elenco a discesa. I nuovi SKU di percorso rapido VPN (VpnGw1, VpnGw2, VpnGw3) saranno visibili solo dopo aver aggiunto il parametro di query "?azurestacknewvpnskus=true" all'URL e all'aggiornamento.
L'esempio di URL seguente rende visibili i nuovi SKU del gateway di rete virtuale nel portale utente dell'hub di Azure Stack:
https://portal.local.azurestack.local/?azurestacknewvpnskus=true
Prima di creare queste risorse, l'operatore deve avere abilitato il percorso rapido VPN nel timbro dell'hub di Azure Stack. Per altre informazioni, vedere Percorso rapido VPN per gli operatori.
PowerShell
Nell'esempio di PowerShell seguente viene specificato il -GatewaySkuparametro standard:
New-AzVirtualNetworkGateway -Name vnetgw1 -ResourceGroupName testrg `
-Location 'West US' -IpConfigurations $gwipconfig -GatewaySku Standard `
-GatewayType Vpn -VpnType RouteBased
Tipi di connessioni
Nel modello di distribuzione Resource Manager ogni configurazione richiede un tipo di connessione di gateway di rete virtuale specifico. I valori di PowerShell disponibili Resource Manager -ConnectionType sono IPsec.
Nell'esempio di PowerShell seguente viene creata una connessione S2S che richiede il tipo di connessione IPsec:
New-AzVirtualNetworkGatewayConnection -Name localtovon -ResourceGroupName testrg `
-Location 'West US' -VirtualNetworkGateway1 $gateway1 -LocalNetworkGateway2 $local `
-ConnectionType IPsec -RoutingWeight 10 -SharedKey 'abc123'
Tipi di VPN
Quando si crea il gateway di rete virtuale per una configurazione di gateway VPN, è necessario specificare un tipo di VPN. Il tipo di VPN scelto dipende dalla topologia di connessione che si desidera creare. Un tipo VPN può dipendere anche dall'hardware usato. Le configurazioni S2S richiedono un dispositivo VPN. Alcuni dispositivi VPN supportano solo un determinato tipo di VPN.
Importante
Attualmente l'hub di Azure Stack supporta solo il tipo VPN basato su route. Se il dispositivo supporta solo vpn basate su criteri, le connessioni a tali dispositivi dall'hub di Azure Stack non sono supportate.
Inoltre, l'hub di Azure Stack non supporta l'uso dei selettore del traffico basato su criteri per i gateway basati su route in questo momento, perché l'hub di Azure Stack non supporta i selettore del traffico basato su criteri, anche se sono supportati in Azure.
PolicyBased: le VPN basate su criteri crittografano e indirizzano pacchetti tramite tunnel IPsec basati sui criteri IPsec configurati con le combinazioni di prefissi di indirizzi tra la rete locale e la rete virtuale dell'hub di Azure Stack. I criteri o il selettore di traffico sono in genere un elenco di accesso nella configurazione del dispositivo VPN.
Nota
PolicyBased è supportato in Azure, ma non nell'hub di Azure Stack.
RouteBased: le VPN basate su route usano route configurate nella tabella di inoltro IP o routing per indirizzare i pacchetti alle relative interfacce di tunnel corrispondenti. Le interfacce tunnel consentono quindi di crittografare o decrittografare i pacchetti all'interno e all'esterno dei tunnel. Il criterio o il selettore di traffico per le VPN RouteBased sono configurati come any-to-any (o usare caratteri jolly). Per impostazione predefinita, non possono essere modificati. Il valore di un tipo VPN RouteBased è RouteBased.
Nel seguente esempio di PowerShell -VpnType viene specificato come RouteBased. Quando si crea un gateway, è necessario assicurarsi che sia -VpnType corretto per la configurazione.
New-AzVirtualNetworkGateway -Name vnetgw1 -ResourceGroupName testrg `
-Location 'West US' -IpConfigurations $gwipconfig `
-GatewayType Vpn -VpnType RouteBased
Configurazioni supportate dai gateway di rete virtuale quando il percorso rapido VPN non è abilitato
| Tipo VPN | Tipo di connessione | Supporto del routing attivo (BGP) | Endpoint remoto ABILITATO PER NAT-T | |
|---|---|---|---|---|
| Basic VNG SKU | VPN basata su route | Chiave precondi shared IPSec | Non supportato | Facoltativo |
| Standard VNG SKU | VPN basata su route | Chiave precondi shared IPSec | Supportato, fino a 150 route | Facoltativo |
| SKU VNG High-Performance | VPN basata su route | Chiave precondi shared IPSec | Supportato, fino a 150 route | Facoltativo |
Configurazioni supportate dai gateway di rete virtuale quando è abilitato il percorso rapido VPN
| Tipo VPN | Tipo di connessione | Supporto routing attivo (BGP) | Endpoint remoto ABILITATO PER NAT-T | |
|---|---|---|---|---|
| Basic VNG SKU | VPN basata su route | Chiave precondi shared IPSec | Non supportato | Necessario |
| Standard VNG SKU | VPN basata su route | Chiave precondi shared IPSec | Supportato, fino a 150 route | Necessario |
| SKU VNG High-Performance | VPN basata su route | Chiave precondi shared IPSec | Supportato, fino a 150 route | Necessario |
| VPNGw1 VNG SKU | VPN basata su route | Chiave precondi shared IPSec | Supportato, fino a 150 route | Necessario |
| VPNGw2 VNG SKU | VPN basata su route | Chiave precondi shared IPSec | Supportato, fino a 150 route | Necessario |
| VPNGw2 VNG SKU | VPN basata su route | Chiave precondi shared IPSec | Supportato, fino a 150 route | Necessario |
Subnet gateway
Prima di creare un gateway VPN, è necessario creare una subnet del gateway. La subnet del gateway ha gli indirizzi IP usati dalle macchine virtuali e dai servizi del gateway di rete virtuale. Quando si crea il gateway di rete virtuale e la connessione, la macchina virtuale gateway proprietaria della connessione verrà collegata alla subnet del gateway e verrà configurata con le impostazioni del gateway VPN necessarie. Non distribuire altro (ad esempio, macchine virtuali aggiuntive) nella subnet del gateway.
Importante
Per il corretto funzionamento, la subnet del gateway deve essere denominata GatewaySubnet . L'hub di Azure Stack usa questo nome per identificare la subnet in cui distribuire le macchine virtuali e i servizi del gateway di rete virtuale.
Quando si crea la subnet del gateway, si specifica il numero di indirizzi IP inclusi nella subnet. Gli indirizzi IP inclusi nella subnet del gateway sono allocati alle VM del gateway e ai servizi del gateway. Alcune configurazioni richiedono più indirizzi IP di altre. Esaminare le istruzioni per la configurazione da creare e verificare che la subnet del gateway che si vuole creare soddisfi tali requisiti.
È anche necessario assicurarsi che la subnet del gateway disponga di indirizzi IP sufficienti per gestire configurazioni future aggiuntive. Sebbene sia possibile creare una subnet del gateway di piccole dimensioni pari a /29, è consigliabile creare una subnet del gateway di /28 o superiore (/28, /27, /26 e così via). In questo modo, se si aggiungono funzionalità in futuro, non è necessario eliminare il gateway, quindi eliminare e ricreare la subnet del gateway per consentire più indirizzi IP.
L'esempio di PowerShell Resource Manager seguente mostra una subnet del gateway denominata GatewaySubnet. La notazione CIDR specifica /27. Questa dimensione ammette un numero di indirizzi IP sufficiente per la maggior parte delle configurazioni attualmente esistenti.
Add-AzVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -AddressPrefix 10.0.3.0/27
Importante
Quando si usano le subnet del gateway, evitare di associare un gruppo di sicurezza di rete (NSG) alla subnet del gateway. L'associazione di un gruppo di sicurezza di rete a questa subnet può causare l'interruzione del funzionamento del gateway VPN come previsto. Per altre informazioni sui gruppi di sicurezza di rete, vedere Che cos'è un gruppo di sicurezza di rete?.
Gateway di rete locali
Quando si crea una configurazione del gateway VPN in Azure, il gateway di rete locale rappresenta spesso il percorso locale. Nell'hub di Azure Stack rappresenta qualsiasi dispositivo VPN remoto che si trova all'esterno dell'hub di Azure Stack. Questo dispositivo può essere un dispositivo VPN nel data center (o un data center remoto) o un gateway VPN in Azure.
Assegnare al gateway di rete locale un nome, l'indirizzo IP pubblico del dispositivo VPN remoto e specificare i prefissi di indirizzo presenti nel percorso locale. L'hub di Azure Stack esamina i prefissi degli indirizzi di destinazione per il traffico di rete, consulta la configurazione specificata per il gateway di rete locale e indirizza i pacchetti di conseguenza.
Questo esempio di PowerShell crea un nuovo gateway di rete locale:
New-AzLocalNetworkGateway -Name LocalSite -ResourceGroupName testrg `
-Location 'West US' -GatewayIpAddress '23.99.221.164' -AddressPrefix '10.5.51.0/24'
A volte è necessario modificare le impostazioni del gateway di rete locale; Ad esempio, quando si aggiunge o si modifica l'intervallo di indirizzi o se l'indirizzo IP del dispositivo VPN cambia. Per altre informazioni, vedere Modificare le impostazioni del gateway di rete locale usando PowerShell.
Parametri IPsec/IKE
Quando si configura una connessione VPN nell'hub di Azure Stack, è necessario configurare la connessione a entrambe le estremità. Se si configura una connessione VPN tra l'hub di Azure Stack e un dispositivo hardware, ad esempio un commutatore o un router che funge da gateway VPN, tale dispositivo potrebbe richiedere impostazioni aggiuntive.
A differenza di Azure, che supporta più offerte sia come iniziatore che come risponditore, l'hub di Azure Stack supporta una sola offerta per impostazione predefinita. Se è necessario usare impostazioni IPSec/IKE diverse per usare il dispositivo VPN, sono disponibili altre impostazioni per configurare manualmente la connessione. Per altre informazioni, vedere Configurare i criteri IPsec/IKE per le connessioni VPN da sito a sito.
Importante
Quando si usa il tunnel S2S, i pacchetti vengono ulteriormente incapsulati con intestazioni aggiuntive che aumentano le dimensioni complessive del pacchetto. In questi scenari, è necessario bloccare TCP MSS a 1350. In alternativa, se i dispositivi VPN non supportano il blocco MSS, in alternativa è possibile impostare MTU sull'interfaccia del tunnel su 1400 byte. Per altre informazioni, vedere Ottimizzazione delle prestazioni TCPIP della rete Virutal.
Parametri della Fase 1 di IKE (Modalità principale)
| Proprietà | Valore |
|---|---|
| Versione IKE | IKEv2 |
| gruppo Diffie-Hellman* | ECP384 |
| Metodo di autenticazione | Chiave precondivisa |
| Algoritmi di crittografia & hash* | AES256, SHA384 |
| Durata dell'associazione di sicurezza (tempo) | 28.800 secondi |
Parametri della Fase 2 di IKE (Modalità rapida)
| Proprietà | Valore |
|---|---|
| Versione IKE | IKEv2 |
| Algoritmi di crittografia & hash (crittografia) | GCMAES256 |
| Algoritmi di crittografia & hash (autenticazione) | GCMAES256 |
| Durata dell'associazione di sicurezza (tempo) | 27.000 secondi |
| Durata SA (Kilobyte) | 33,553,408 |
| Perfect Forward Secret (PFS)* | ECP384 |
| Rilevamento peer inattivo | Supportato |
* Nuovo parametro o modificato.
Passaggi successivi
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per