Panoramica delle configurazioni di dispositivi VPN di partnerOverview of partner VPN device configurations

L'articolo offre una panoramica della configurazione di dispositivi VPN locali per la connessione ai gateway VPN di Azure.This article provides an overview of configuring on-premises VPN devices for connecting to Azure VPN gateways. Viene usata una configurazione di rete virtuale e di gateway VPN di Azure di esempio per mostrare come connettersi a diverse configurazioni di dispositivi VPN locali usando gli stessi parametri.A sample Azure virtual network and VPN gateway setup is used to show you how to connect to different on-premises VPN device configurations by using the same parameters.

Requisiti del dispositivoDevice requirements

I gateway VPN di Azure usano suite di protocolli IPsec/IKE standard per i tunnel per VPN da sito a sito (S2S).Azure VPN gateways use standard IPsec/IKE protocol suites for site-to-site (S2S) VPN tunnels. Per un elenco dei parametri IPsec/IKE e degli algoritmi di crittografia per i gateway VPN di Azure, vedere Informazioni sui dispositivi VPN.For a list of IPsec/IKE parameters and cryptographic algorithms for Azure VPN gateways, see About VPN devices. È anche possibile specificare gli esatti algoritmi e le attendibilità delle chiavi per una connessione specifica come descritto in Informazioni sui requisiti di crittografia.You can also specify the exact algorithms and key strengths for a specific connection as described in About cryptographic requirements.

Tunnel per VPN unicoSingle VPN tunnel

La prima configurazione dell'esempio consiste in un singolo tunnel per VPN S2S tra un gateway VPN di Azure e un dispositivo VPN locale.The first configuration in the sample consists of a single S2S VPN tunnel between an Azure VPN gateway and an on-premises VPN device. È facoltativamente possibile configurare il protocollo BGP (Border Gateway Protocol) nel tunnel per VPN.You can optionally configure the Border Gateway Protocol (BGP) across the VPN tunnel.

Diagramma di un singolo tunnel per VPN S2S

Per istruzioni dettagliate su come configurare un singolo tunnel per VPN, vedere Creare una connessione da sito a sito.For step-by-step instructions to set up a single VPN tunnel, see Configure a site-to-site connection. Le sezioni seguenti specificano i parametri di connessione per la configurazione di esempio e includono uno script di PowerShell per iniziare.The following sections specify the connection parameters for the sample configuration and provide a PowerShell script to help you get started.

Parametri di connessioneConnection parameters

Questa sezione elenca i parametri per gli esempi descritti nelle sezioni precedenti.This section lists the parameters for the examples that are described in the previous sections.

ParametroParameter ValoreValue
Prefissi di indirizzi di rete virtualeVirtual network address prefixes 10.11.0.0/1610.11.0.0/16
10.12.0.0/1610.12.0.0/16
Indirizzo IP del gateway VPN di AzureAzure VPN gateway IP Indirizzo IP del gateway VPN di AzureAzure VPN Gateway IP
Prefissi di indirizzi localiOn-premises address prefixes 10.51.0.0/1610.51.0.0/16
10.52.0.0/1610.52.0.0/16
Indirizzo IP del dispositivo VPN localeOn-premises VPN device IP Indirizzo IP del dispositivo VPN localeOn-premises VPN device IP
* ASN BGP di rete virtuale* Virtual network BGP ASN 6501065010
* Indirizzo IP del peer BGP di Azure* Azure BGP peer IP 10.12.255.3010.12.255.30
* ASN BGP locale* On-premises BGP ASN 6505065050
* Indirizzo IP del peer BGP locale* On-premises BGP peer IP 10.52.255.25410.52.255.254

* Parametro facoltativo solo per BGP.* Optional parameter for BGP only.

Script PowerShell di esempioSample PowerShell script

In questa sezione è riportato uno script di esempio per iniziare.This section provides a sample script to get you started. Per istruzioni dettagliate, vedere Creare una connessione VPN S2S usando PowerShell.For detailed instructions, see Create an S2S VPN connection by using PowerShell.

# Declare your variables

$Sub1          = "Replace_With_Your_Subcription_Name"
$RG1           = "TestRG1"
$Location1     = "East US 2"
$VNetName1     = "TestVNet1"
$FESubName1    = "FrontEnd"
$BESubName1    = "Backend"
$GWSubName1    = "GatewaySubnet"
$VNetPrefix11  = "10.11.0.0/16"
$VNetPrefix12  = "10.12.0.0/16"
$FESubPrefix1  = "10.11.0.0/24"
$BESubPrefix1  = "10.12.0.0/24"
$GWSubPrefix1  = "10.12.255.0/27"
$VNet1ASN      = 65010
$DNS1          = "8.8.8.8"
$GWName1       = "VNet1GW"
$GWIPName1     = "VNet1GWIP"
$GWIPconfName1 = "gwipconf1"
$Connection15  = "VNet1toSite5"
$LNGName5      = "Site5"
$LNGPrefix50   = "10.52.255.254/32"
$LNGPrefix51   = "10.51.0.0/16"
$LNGPrefix52   = "10.52.0.0/16"
$LNGIP5        = "Your_VPN_Device_IP"
$LNGASN5       = 65050
$BGPPeerIP5    = "10.52.255.254"

# Connect to your subscription and create a new resource group

Login-AzureRmAccount
Select-AzureRmSubscription -SubscriptionName $Sub1
New-AzureRmResourceGroup -Name $RG1 -Location $Location1

# Create virtual network

$fesub1 = New-AzureRmVirtualNetworkSubnetConfig -Name $FESubName1 -AddressPrefix $FESubPrefix1 $besub1 = New-AzureRmVirtualNetworkSubnetConfig -Name $BESubName1 -AddressPrefix $BESubPrefix1
$gwsub1 = New-AzureRmVirtualNetworkSubnetConfig -Name $GWSubName1 -AddressPrefix $GWSubPrefix1

New-AzureRmVirtualNetwork -Name $VNetName1 -ResourceGroupName $RG1 -Location $Location1 -AddressPrefix $VNetPrefix11,$VNetPrefix12 -Subnet $fesub1,$besub1,$gwsub1

# Create VPN gateway

$gwpip1    = New-AzureRmPublicIpAddress -Name $GWIPName1 -ResourceGroupName $RG1 -Location $Location1 -AllocationMethod Dynamic
$vnet1     = Get-AzureRmVirtualNetwork -Name $VNetName1 -ResourceGroupName $RG1
$subnet1   = Get-AzureRmVirtualNetworkSubnetConfig -Name "GatewaySubnet" -VirtualNetwork $vnet1
$gwipconf1 = New-AzureRmVirtualNetworkGatewayIpConfig -Name $GWIPconfName1 -Subnet $subnet1 -PublicIpAddress $gwpip1

New-AzureRmVirtualNetworkGateway -Name $GWName1 -ResourceGroupName $RG1 -Location $Location1 -IpConfigurations $gwipconf1 -GatewayType Vpn -VpnType RouteBased -GatewaySku VpnGw1 -Asn $VNet1ASN

# Create local network gateway

New-AzureRmLocalNetworkGateway -Name $LNGName5 -ResourceGroupName $RG1 -Location $Location1 -GatewayIpAddress $LNGIP5 -AddressPrefix $LNGPrefix51,$LNGPrefix52 -Asn $LNGASN5 -BgpPeeringAddress $BGPPeerIP5

# Create the S2S VPN connection

$vnet1gw = Get-AzureRmVirtualNetworkGateway -Name $GWName1  -ResourceGroupName $RG1
$lng5gw  = Get-AzureRmLocalNetworkGateway -Name $LNGName5 -ResourceGroupName $RG1

New-AzureRmVirtualNetworkGatewayConnection -Name $Connection15 -ResourceGroupName $RG1 -VirtualNetworkGateway1 $vnet1gw -LocalNetworkGateway2 $lng5gw -Location $Location1 -ConnectionType IPsec -SharedKey 'AzureA1b2C3' -EnableBGP $False

(Facoltativo) Usare criteri IPsec/IKE personalizzati con l'opzione UsePolicyBasedTrafficSelectors(Optional) Use custom IPsec/IKE policy with UsePolicyBasedTrafficSelectors

Se i dispositivi VPN non supportano selettori di traffico "any-to-any", ad esempio le configurazioni basate su route o VTI, creare criteri IPsec/IKE personalizzati con l'opzione UsePolicyBasedTrafficSelectors.If your VPN devices don't support any-to-any traffic selectors, such as route-based or VTI-based configurations, create a custom IPsec/IKE policy with the UsePolicyBasedTrafficSelectors option.

Importante

È necessario creare criteri IPsec/IKE per abilitare l'opzione UsePolicyBasedTrafficSelectors nella connessione.You must create an IPsec/IKE policy to enable the UsePolicyBasedTrafficSelectors option on the connection.

Lo script di esempio crea criteri IPsec/IKE con gli algoritmi e i parametri seguenti:The sample script creates an IPsec/IKE policy with the following algorithms and parameters:

  • IKEv2: AES256, SHA384, DHGroup24IKEv2: AES256, SHA384, DHGroup24
  • IPsec: AES256, SHA1, PFS24, durata dell'associazione di sicurezza 7.200 secondi e 20.480.000 KB (20 GB)IPsec: AES256, SHA1, PFS24, SA Lifetime 7,200 seconds, and 20,480,000 KB (20 GB)

Lo script applica i criteri IPsec/IKE e abilita l'opzione UsePolicyBasedTrafficSelectors nella connessione.The script applies the IPsec/IKE policy and enables the UsePolicyBasedTrafficSelectors option on the connection.

$ipsecpolicy5 = New-AzureRmIpsecPolicy -IkeEncryption AES256 -IkeIntegrity SHA384 -DhGroup DHGroup24 -IpsecEncryption AES256 -IpsecIntegrity SHA1 -PfsGroup PFS24 -SALifeTimeSeconds 7200 -SADataSizeKilobytes 20480000

$vnet1gw = Get-AzureRmVirtualNetworkGateway -Name $GWName1  -ResourceGroupName $RG1
$lng5gw  = Get-AzureRmLocalNetworkGateway -Name $LNGName5 -ResourceGroupName $RG1

New-AzureRmVirtualNetworkGatewayConnection -Name $Connection15 -ResourceGroupName $RG1 -VirtualNetworkGateway1 $vnet1gw -LocalNetworkGateway2 $lng5gw -Location $Location1 -ConnectionType IPsec -SharedKey 'AzureA1b2C3' -EnableBGP $False -IpsecPolicies $ipsecpolicy5 -UsePolicyBasedTrafficSelectors $True

(Facoltativo) Usare il protocollo BGP nella connessione VPN S2S(Optional) Use BGP on S2S VPN connection

Quando si crea la connessione VPN S2S, è facoltativamente possibile usare il protocollo BGP per il gateway VPN.When you create the S2S VPN connection, you can optionally use BGP for the VPN gateway. Questo approccio presenta due differenze:This approach has two differences:

  • I prefissi degli indirizzi locali possono essere costituiti da un indirizzo host singolo.The on-premises address prefixes can be a single host address. L'indirizzo IP del peer BGP locale viene specificato come segue:The on-premises BGP peer IP address is specified as follows:

    New-AzureRmLocalNetworkGateway -Name $LNGName5 -ResourceGroupName $RG1 -Location $Location1 -GatewayIpAddress $LNGIP5 -AddressPrefix $LNGPrefix50 -Asn $LNGASN5 -BgpPeeringAddress $BGPPeerIP5
    
  • Quando si crea la connessione, è necessario impostare l'opzione -EnableBGP su $True:When you create the connection, you must set the -EnableBGP option to $True:

    New-AzureRmVirtualNetworkGatewayConnection -Name $Connection15 -ResourceGroupName $RG1 -VirtualNetworkGateway1 $vnet1gw -LocalNetworkGateway2 $lng5gw -Location $Location1 -ConnectionType IPsec -SharedKey 'AzureA1b2C3' -EnableBGP $True
    

Passaggi successiviNext steps

Per istruzioni dettagliate su come configurare i gateway VPN di tipo attivo/attivo, vedere Configurazione di gateway VPN di tipo attivo/attivo per connessioni cross-premise e da rete virtuale a rete virtuale.For step-by-step instructions to set up active-active VPN gateways, see Configuring active-active VPN gateways for cross-premises and VNet-to-VNet connections.