Configurare connessioni coesistenti ExpressRoute e da sito a sito (versione classica)Configure ExpressRoute and Site-to-Site coexisting connections (classic)

La possibilità di configurare una VPN da sito a sito ed ExpressRoute offre diversi vantaggi.Having the ability to configure Site-to-Site VPN and ExpressRoute has several advantages. È possibile configurare una VPN da sito a sito come percorso di failover sicuro per ExressRoute oppure usare VPN da sito a sito per connettersi a siti che non sono connessi tramite ExpressRoute.You can configure Site-to-Site VPN as a secure failover path for ExressRoute, or use Site-to-Site VPNs to connect to sites that are not connected through ExpressRoute. In questo articolo verranno illustrati i passaggi per configurare entrambi questi scenari.We will cover the steps to configure both scenarios in this article. Questo articolo si applica al modello di distribuzione classica.This article applies to the classic deployment model. Questa configurazione non è disponibile nel portale.This configuration is not available in the portal.

Importante

A partire dall'1 marzo 2017, non è possibile creare nuovi circuiti di ExpressRoute nel modello di distribuzione classica.As of March 1, 2017, you can't create new ExpressRoute circuits in the classic deployment model.

  • È possibile spostare un circuito di ExpressRoute esistente dal modello di distribuzione classica al modello di distribuzione Resource Manager senza eventuali tempi di inattività della connessione.You can move an existing ExpressRoute circuit from the classic deployment model to the Resource Manager deployment model without experiencing any connectivity down time. Per altre informazioni, vedere Spostare un circuito esistente.For more information, see Move an existing circuit.
  • È possibile connettersi alle reti virtuali nel modello di distribuzione classica impostando allowClassicOperations su TRUE.You can connect to virtual networks in the classic deployment model by setting allowClassicOperations to TRUE.

Usare i collegamenti seguenti per creare e gestire circuiti di ExpressRoute nel modello di distribuzione Resource Manager:Use the following links to create and manage ExpressRoute circuits in the Resource Manager deployment model:

Informazioni sui modelli di distribuzione di AzureAbout Azure deployment models

Azure attualmente funziona con due modelli di distribuzione: Azure Resource Manager e classica.Azure currently works with two deployment models: Resource Manager and classic. I due modelli non sono completamente compatibili tra loro.The two models are not completely compatible with each other. Prima di iniziare, è necessario conoscere il modello da usare.Before you begin, you need to know which model that you want to work in. Per informazioni, vedere l'articolo contenente le informazioni sui modelli di distribuzione.For information about the deployment models, see Understanding deployment models. Se non si ha familiarità con Azure, è consigliabile usare il modello di distribuzione Resource Manager.If you are new to Azure, we recommend that you use the Resource Manager deployment model.

Importante

Per eseguire le istruzioni riportate di seguito devono essere presenti circuiti ExpressRoute preconfigurati.ExpressRoute circuits must be pre-configured before you follow the instructions below. Verificare di aver seguito le guide per la creazione di un circuito ExpressRoute e per la configurazione del routing prima di eseguire questa procedura.Make sure that you have followed the guides to create an ExpressRoute circuit and configure routing before you follow the steps below.

Limiti e limitazioniLimits and limitations

  • L'instradamento del transito non è supportato.Transit routing is not supported. Con Azure non è possibile attivare il routing tra la rete locale connessa tramite la VPN da sito a sito e la rete locale connessa tramite ExpressRoute.You cannot route (via Azure) between your local network connected via Site-to-Site VPN and your local network connected via ExpressRoute.
  • La connessione da punto a sito non è supportata.Point-to-site is not supported. Non è possibile abilitare connessioni VPN da punto a sito dalla stessa rete virtuale connessa a ExpressRoute.You can't enable point-to-site VPN connections to the same VNet that is connected to ExpressRoute. Non possono coesistere connessioni VPN da punto a sito ed ExpressRoute per la stessa rete virtuale.Point-to-site VPN and ExpressRoute cannot coexist for the same VNet.
  • Il tunneling forzato non può essere abilitato nel gateway VPN da sito a sito.Forced tunneling cannot be enabled on the Site-to-Site VPN gateway. È soltanto possibile "forzare" tutto il traffico associato a Internet verso la rete locale tramite ExpressRoute.You can only "force" all Internet-bound traffic back to your on-premises network via ExpressRoute.
  • Il gateway SKU Basic non è supportato.Basic SKU gateway is not supported. È necessario usare un gateway SKU non Basic sia per il gateway ExpressRoute che per il gateway VPN.You must use a non-Basic SKU gateway for both the ExpressRoute gateway and the VPN gateway.
  • È supportato solo il gateway VPN basato su route.Only route-based VPN gateway is supported. È necessario usare un gateway VPN basato su route.You must use a route-based VPN Gateway.
  • Deve essere configurata una route statica per il gateway VPN.Static route should be configured for your VPN gateway. Se la rete locale è connessa sia a ExpressRoute che a una VPN da sito a sito, per il routing della connessione VPN da sito a sito alla rete Internet pubblica è necessario che nella rete locale sia configurata una route statica.If your local network is connected to both ExpressRoute and a Site-to-Site VPN, you must have a static route configured in your local network to route the Site-to-Site VPN connection to the public Internet.
  • Il gateway ExpressRoute deve essere configurato prima.ExpressRoute gateway must be configured first. È necessario creare il gateway ExpressRoute prima di aggiungere il gateway VPN da sito a sito.You must create the ExpressRoute gateway first before you add the Site-to-Site VPN gateway.

Progetti di configurazioneConfiguration designs

Configurare una VPN da sito a sito come percorso di failover per ExpressRouteConfigure a Site-to-Site VPN as a failover path for ExpressRoute

È possibile configurare una connessione VPN da sito a sito come backup per ExpressRoute.You can configure a Site-to-Site VPN connection as a backup for ExpressRoute. Questo si applica solo alle reti virtuali collegate al percorso di peering privato di Azure.This applies only to virtual networks linked to the Azure private peering path. Non esiste alcuna soluzione di failover basato su VPN per i servizi accessibili tramite i peering pubblico di Azure e Microsoft.There is no VPN-based failover solution for services accessible through Azure public and Microsoft peerings. Il circuito ExpressRoute è sempre il collegamento principale.The ExpressRoute circuit is always the primary link. Il flusso dei dati attraverserà il percorso VPN da sito a sito solo se il circuito ExpressRoute ha esito negativo.Data will flow through the Site-to-Site VPN path only if the ExpressRoute circuit fails.

Nota

Mentre il circuito ExpressRoute viene preferito sulla VPN da sito a sito quando entrambe le route sono uguali, Azure userà la corrispondenza di prefisso più lunga per scegliere la route verso la destinazione del pacchetto.While ExpressRoute circuit is preferred over Site-to-Site VPN when both routes are the same, Azure will use the longest prefix match to choose the route towards the packet's destination.

Coesistenza

Configurare una VPN da sito a sito per la connessione a siti non connessi tramite ExpressRouteConfigure a Site-to-Site VPN to connect to sites not connected through ExpressRoute

È possibile configurare una rete in cui alcuni siti si connettono direttamente ad Azure tramite VPN da sito a sito e altri si connettono tramite ExpressRoute.You can configure your network where some sites connect directly to Azure over Site-to-Site VPN, and some sites connect through ExpressRoute.

Coesistenza

Nota

Non è possibile configurare una rete virtuale come router di transito.You cannot a configure a virtual network as a transit router.

Selezione dei passaggi da usareSelecting the steps to use

Esistono due diverse serie di procedure disponibili per configurare le connessioni che possono coesistere.There are two different sets of procedures to choose from in order to configure connections that can coexist. La procedura di configurazione scelta dipende dalla disponibilità o meno di una rete virtuale esistente a cui stabilire la connessione oppure dall'esigenza di creare una nuova rete virtuale.The configuration procedure that you select will depend on whether you have an existing virtual network that you want to connect to, or you want to create a new virtual network.

  • Non è disponibile una rete virtuale ed è necessario crearne una.I don't have a VNet and need to create one.

    Se non si ha ancora una rete virtuale, questa procedura consentirà la creazione di una nuova rete virtuale e di nuove connessioni ExpressRoute e VPN da sito a sito usando il modello di distribuzione classica.If you don’t already have a virtual network, this procedure will walk you through creating a new virtual network using the classic deployment model and creating new ExpressRoute and Site-to-Site VPN connections. Per la configurazione, eseguire i passaggi nella sezione Per creare una nuova rete virtuale con connessioni coesistenti.To configure, follow the steps in the article section To create a new virtual network and coexisting connections.

  • È già disponibile una rete virtuale con modello di distribuzione classica.I already have a classic deployment model VNet.

    E’ possibile che esista già una rete virtuale con una connessione VPN da sito a sito o una connessione ExpressRoute.You may already have a virtual network in place with an existing Site-to-Site VPN connection or ExpressRoute connection. La sezione Per configurare connessioni coesistenti per una rete virtuale esistente illustra come eliminare il gateway e quindi come creare nuove connessioni ExpressRoute e VPN da sito a sito.The article section To configure coexsiting connections for an already existing VNet will walk you through deleting the gateway, and then creating new ExpressRoute and Site-to-Site VPN connections. Durante la creazione di nuove connessioni, è necessario completare i passaggi in un ordine molto specifico.Note that when creating the new connections, the steps must be completed in a very specific order. Non usare le istruzioni in altri articoli per creare gateway e connessioni.Don't use the instructions in other articles to create your gateways and connections.

    In questa procedura, la creazione di connessioni che possono coesistere richiederà l’eliminazione del gateway e la configurazione di nuovi gateway.In this procedure, creating connections that can coexist will require you to delete your gateway, and then configure new gateways. Mentre si elimina e si ricrea il gateway e le connessioni, si avrà un tempo di inattività per le connessioni cross-premise, ma non sarà necessario eseguire la migrazione delle macchine virtuali o dei servizi a una nuova rete virtuale.This means you will have downtime for your cross-premises connections while you delete and recreate your gateway and connections, but you will not need to migrate any of your VMs or services to a new virtual network. Le macchine virtuali e i servizi saranno comunque in grado di comunicare tramite il servizio di bilanciamento del carico mentre si configura il gateway, se sono configurati in questo senso.Your VMs and services will still be able to communicate out through the load balancer while you configure your gateway if they are configured to do so.

Per creare una nuova rete virtuale con connessioni coesistentiTo create a new virtual network and coexisting connections

Questa procedura illustra come creare una rete virtuale e connessioni da sito a sito ed ExpressRoute coesistenti.This procedure will walk you through creating a VNet and create Site-to-Site and ExpressRoute connections that will coexist.

  1. È necessario installare l'ultima versione dei cmdlet di Azure PowerShell.You'll need to install the latest version of the Azure PowerShell cmdlets. Per altre informazioni sull'installazione dei cmdlet di PowerShell, vedere Come installare e configurare Azure PowerShell .See How to install and configure Azure PowerShell for more information about installing the PowerShell cmdlets. Si noti che i cmdlet usati per questa configurazione possono essere leggermente diversi da quelli con cui si ha familiarità.Note that the cmdlets that you'll use for this configuration may be slightly different than what you might be familiar with. Assicurarsi di usare i cmdlet specificati in queste istruzioni.Be sure to use the cmdlets specified in these instructions.
  2. Creare uno schema per la rete virtuale.Create a schema for your virtual network. Per altre informazioni sullo schema di configurazione, vedere Schema di configurazione della rete virtuale di Azure.For more information about the configuration schema, see Azure Virtual Network configuration schema.

    Quando si crea lo schema, assicurarsi di usare i valori seguenti:When you create your schema, make sure you use the following values:

    • La subnet del gateway per la rete virtuale deve essere /27 o un prefisso più breve (ad esempio /26 o /25).The gateway subnet for the virtual network must be /27 or a shorter prefix (such as /26 or /25).
    • Il tipo di connessione del gateway è "Dedicato".The gateway connection type is "Dedicated".

          <VirtualNetworkSite name="MyAzureVNET" Location="Central US">
            <AddressSpace>
              <AddressPrefix>10.17.159.192/26</AddressPrefix>
            </AddressSpace>
            <Subnets>
              <Subnet name="Subnet-1">
                <AddressPrefix>10.17.159.192/27</AddressPrefix>
              </Subnet>
              <Subnet name="GatewaySubnet">
                <AddressPrefix>10.17.159.224/27</AddressPrefix>
              </Subnet>
            </Subnets>
            <Gateway>
              <ConnectionsToLocalNetwork>
                <LocalNetworkSiteRef name="MyLocalNetwork">
                  <Connection type="Dedicated" />
                </LocalNetworkSiteRef>
              </ConnectionsToLocalNetwork>
            </Gateway>
          </VirtualNetworkSite>
      
  3. Dopo la creazione e configurazione del file di schema xml, caricare il file.After creating and configuring your xml schema file, upload the file. Verrà creata la rete virtuale.This will create your virtual network.

    Usare il cmdlet seguente per caricare il file, sostituendo il valore con uno personalizzato.Use the following cmdlet to upload your file, replacing the value with your own.

     Set-AzureVNetConfig -ConfigurationPath 'C:\NetworkConfig.xml'
    
  4. Creare un gateway ExpressRoute.Create an ExpressRoute gateway. Specificare Standard, HighPerformance o UltraPerformance per GatewaySKU e DynamicRouting per GatewayType.Be sure to specify the GatewaySKU as Standard, HighPerformance, or UltraPerformance and the GatewayType as DynamicRouting.

    Usare l'esempio di seguito, sostituendo i valori personalizzati.Use the following sample, substituting the values for your own.

     New-AzureVNetGateway -VNetName MyAzureVNET -GatewayType DynamicRouting -GatewaySKU HighPerformance
    
  5. Collegare il gateway ExpressRoute al circuito ExpressRoute.Link the ExpressRoute gateway to the ExpressRoute circuit. Dopo aver completato questo passaggio, viene stabilita la connessione tra la rete locale e Azure tramite ExpressRoute.After this step has been completed, the connection between your on-premises network and Azure, through ExpressRoute, is established.

     New-AzureDedicatedCircuitLink -ServiceKey <service-key> -VNetName MyAzureVNET
    
  6. Creare quindi il gateway VPN da sito a sito.Next, create your Site-to-Site VPN gateway. GatewaySKU deve essere Standard, HighPerformance o UltraPerformance e GatewayType deve essere DynamicRouting.The GatewaySKU must be Standard, HighPerformance, or UltraPerformance and the GatewayType must be DynamicRouting.

     New-AzureVirtualNetworkGateway -VNetName MyAzureVNET -GatewayName S2SVPN -GatewayType DynamicRouting -GatewaySKU  HighPerformance
    

    Per recuperare le impostazioni del gateway di rete virtuale, inclusi l'ID del gateway e l'indirizzo IP pubblico, usare il cmdlet Get-AzureVirtualNetworkGateway.To retrieve the virtual network gateway settings, including the gateway ID and the public IP, use the Get-AzureVirtualNetworkGateway cmdlet.

     Get-AzureVirtualNetworkGateway
    
     GatewayId            : 348ae011-ffa9-4add-b530-7cb30010565e
     GatewayName          : S2SVPN
     LastEventData        :
     GatewayType          : DynamicRouting
     LastEventTimeStamp   : 5/29/2015 4:41:41 PM
     LastEventMessage     : Successfully created a gateway for the following virtual network: GNSDesMoines
     LastEventID          : 23002
     State                : Provisioned
     VIPAddress           : 104.43.x.y
     DefaultSite          :
     GatewaySKU           : HighPerformance
     Location             :
     VnetId               : 979aabcf-e47f-4136-ab9b-b4780c1e1bd5
     SubnetId             :
     EnableBgp            : False
     OperationDescription : Get-AzureVirtualNetworkGateway
     OperationId          : 42773656-85e1-a6b6-8705-35473f1e6f6a
     OperationStatus      : Succeeded
    
  7. Creare un'entità gateway VPN del sito locale.Create a local site VPN gateway entity. Questo comando non configura il gateway VPN locale.This command doesn’t configure your on-premises VPN gateway. Consente invece di fornire le impostazioni del gateway locale, ad esempio l'indirizzo IP pubblico e lo spazio indirizzi locale, in modo che il gateway VPN di Azure possa connettersi.Rather, it allows you to provide the local gateway settings, such as the public IP and the on-premises address space, so that the Azure VPN gateway can connect to it.

    Importante

    Il sito locale per la connessione VPN da sito a sito non è definito nel file netcfg.The local site for the Site-to-Site VPN is not defined in the netcfg. È invece necessario usare questo cmdlet per specificare i parametri del sito locale.Instead, you must use this cmdlet to specify the local site parameters. Non è possibile definirlo tramite il portale o il file netcfg.You cannot define it using either portal, or the netcfg file.

    Usare l'esempio seguente, sostituendo i valori con quelli personalizzati.Use the following sample, replacing the values with your own.

     New-AzureLocalNetworkGateway -GatewayName MyLocalNetwork -IpAddress <MyLocalGatewayIp> -AddressSpace <MyLocalNetworkAddress>
    

    Nota

    Se la rete locale include più route, è possibile passarle tutte come una matrice.If your local network has multiple routes, you can pass them all in as an array. $MyLocalNetworkAddress = @("10.1.2.0/24","10.1.3.0/24","10.2.1.0/24")$MyLocalNetworkAddress = @("10.1.2.0/24","10.1.3.0/24","10.2.1.0/24")

    Per recuperare le impostazioni del gateway di rete virtuale, inclusi l'ID del gateway e l'indirizzo IP pubblico, usare il cmdlet Get-AzureVirtualNetworkGateway.To retrieve the virtual network gateway settings, including the gateway ID and the public IP, use the Get-AzureVirtualNetworkGateway cmdlet. Vedere l'esempio seguente.See the following example.

     Get-AzureLocalNetworkGateway
    
     GatewayId            : 532cb428-8c8c-4596-9a4f-7ae3a9fcd01b
     GatewayName          : MyLocalNetwork
     IpAddress            : 23.39.x.y
     AddressSpace         : {10.1.2.0/24}
     OperationDescription : Get-AzureLocalNetworkGateway
     OperationId          : ddc4bfae-502c-adc7-bd7d-1efbc00b3fe5
     OperationStatus      : Succeeded
    
  8. Configurare il dispositivo VPN locale per la connessione al nuovo gateway.Configure your local VPN device to connect to the new gateway. Quando si configura il dispositivo VPN, usare le informazioni recuperate nel passaggio 6.Use the information that you retrieved in step 6 when configuring your VPN device. Per altre informazioni sulla configurazione del dispositivo VPN, vedere la pagina relativa alla configurazione del dispositivo VPN.For more information about VPN device configuration, see VPN Device Configuration.

  9. Collegare il gateway VPN da sito a sito in Azure al gateway locale.Link the Site-to-Site VPN gateway on Azure to the local gateway.

    In questo esempio connectedEntityId è l'ID del gateway locale, che è possibile trovare eseguendo Get-AzureLocalNetworkGateway.In this example, connectedEntityId is the local gateway ID, which you can find by running Get-AzureLocalNetworkGateway. È possibile trovare virtualNetworkGatewayId usando il cmdlet Get-AzureVirtualNetworkGateway .You can find virtualNetworkGatewayId by using the Get-AzureVirtualNetworkGateway cmdlet. Dopo questo passaggio, viene stabilita la connessione tra la rete locale e Azure tramite la connessione VPN da sito a sito.After this step, the connection between your local network and Azure via the Site-to-Site VPN connection is established.

     New-AzureVirtualNetworkGatewayConnection -connectedEntityId <local-network-gateway-id> -gatewayConnectionName Azure2Local -gatewayConnectionType IPsec -sharedKey abc123 -virtualNetworkGatewayId <azure-s2s-vpn-gateway-id>
    

Per configurare connessioni coesistenti per una rete virtuale esistenteTo configure coexsiting connections for an already existing VNet

Se esiste già una rete virtuale, controllare le dimensioni della subnet del gateway.If you have an existing virtual network, check the gateway subnet size. Se la subnet del gateway è pari a/29 o /28, è necessario eliminare prima di tutto il gateway di rete virtuale e aumentare le dimensioni della subnet del gateway.If the gateway subnet is /28 or /29, you must first delete the virtual network gateway and increase the gateway subnet size. I passaggi descritti in questa sezione illustrano come eseguire questa operazione.The steps in this section will show you how to do that.

Se la subnet del gateway è /27 o superiore e la rete virtuale è connessa tramite ExpressRoute, è possibile ignorare i passaggi seguenti e andare al "Passaggio 6: Creare un gateway VPN da sito a sito" nella sezione precedente.If the gateway subnet is /27 or larger and the virtual network is connected via ExpressRoute, you can skip the steps below and proceed to "Step 6 - Create a Site-to-Site VPN gateway" in the previous section.

Nota

Quando si elimina il gateway esistente, gli ambienti locali perderanno la connessione alla rete virtuale mentre si lavora a questa configurazione.When you delete the existing gateway, your local premises will lose the connection to your virtual network while you are working on this configuration.

  1. È necessario installare la versione più recente dei cmdlet di PowerShell per Gestione risorse di Azure.You'll need to install the latest version of the Azure Resource Manager PowerShell cmdlets. Per altre informazioni sull'installazione dei cmdlet di PowerShell, vedere Come installare e configurare Azure PowerShell .See How to install and configure Azure PowerShell for more information about installing the PowerShell cmdlets. Si noti che i cmdlet usati per questa configurazione possono essere leggermente diversi da quelli con cui si ha familiarità.Note that the cmdlets that you'll use for this configuration may be slightly different than what you might be familiar with. Assicurarsi di usare i cmdlet specificati in queste istruzioni.Be sure to use the cmdlets specified in these instructions.
  2. Eliminare il gateway ExpressRoute o VPN da sito a sito esistente.Delete the existing ExpressRoute or Site-to-Site VPN gateway. Usare il cmdlet seguente, sostituendo i valori con quelli personalizzati.Use the following cmdlet, replacing the values with your own.

     Remove-AzureVNetGateway –VnetName MyAzureVNET
    
  3. Esportare lo schema della rete virtuale.Export the virtual network schema. Usare il cmdlet PowerShell seguente, sostituendo i valori con quelli personalizzati.Use the following PowerShell cmdlet, replacing the values with your own.

     Get-AzureVNetConfig –ExportToFile “C:\NetworkConfig.xml”
    
  4. Modificare lo schema del file di configurazione di rete in modo che la subnet del gateway sia /27 o un prefisso più breve (ad esempio /26 o /25).Edit the network configuration file schema so that the gateway subnet is /27 or a shorter prefix (such as /26 or /25). Vedere l'esempio seguente.See the following example.

    Nota

    Se non sono rimasti indirizzi IP sufficienti nella rete virtuale per aumentare le dimensioni della subnet del gateway, è necessario aggiungere altro spazio di indirizzi IP.If you don't have enough IP addresses left in your virtual network to increase the gateway subnet size, you need to add more IP address space. Per altre informazioni sullo schema di configurazione, vedere Schema di configurazione della rete virtuale di Azure.For more information about the configuration schema, see Azure Virtual Network configuration schema.

       <Subnet name="GatewaySubnet">
         <AddressPrefix>10.17.159.224/27</AddressPrefix>
       </Subnet>
    
  5. Se il gateway precedente era una VPN da sito a sito, è necessario modificare anche il tipo di connessione su Dedicato.If your previous gateway was a Site-to-Site VPN, you must also change the connection type to Dedicated.

              <Gateway>
               <ConnectionsToLocalNetwork>
                 <LocalNetworkSiteRef name="MyLocalNetwork">
                   <Connection type="Dedicated" />
                 </LocalNetworkSiteRef>
               </ConnectionsToLocalNetwork>
             </Gateway>
    
  6. A questo punto, si avrà una rete virtuale senza gateway.At this point, you'll have a VNet with no gateways. Per creare nuovi gateway e completare le connessioni, è possibile procedere con il Passaggio 4: Creare un gateway ExpressRoute, disponibile nel set di passaggi precedente.To create new gateways and complete your connections, you can proceed with Step 4 - Create an ExpressRoute gateway, found in the preceding set of steps.

Passaggi successiviNext steps

Per altre informazioni su ExpressRoute, vedere le Domande frequenti su ExpressRouteFor more information about ExpressRoute, see the ExpressRoute FAQ