Configurare il tunneling forzato con il modello di distribuzione classicoConfigure forced tunneling using the classic deployment model

Il tunneling forzato consente di reindirizzare o "forzare" tutto il traffico associato a Internet verso la posizione locale tramite un tunnel VPN da sito a sito per l'ispezione e il controllo.Forced tunneling lets you redirect or "force" all Internet-bound traffic back to your on-premises location via a Site-to-Site VPN tunnel for inspection and auditing. Si tratta di un requisito di sicurezza critico per la maggior parte dei criteri IT aziendali.This is a critical security requirement for most enterprise IT policies. Senza il tunneling forzato, il traffico associato a Internet dalle macchine virtuali in Azure raggiungerà direttamente Internet attraversando sempre l'infrastruttura di rete di Azure, senza l'opzione che consente di ispezionare o controllare il traffico.Without forced tunneling, Internet-bound traffic from your VMs in Azure will always traverse from Azure network infrastructure directly out to the Internet, without the option to allow you to inspect or audit the traffic. L'accesso a Internet non autorizzato potrebbe provocare la divulgazione di informazioni o altri tipi di violazioni della sicurezza.Unauthorized Internet access can potentially lead to information disclosure or other types of security breaches.

Azure attualmente funziona con due modelli di distribuzione: Azure Resource Manager e classica.Azure currently works with two deployment models: Resource Manager and classic. I due modelli non sono completamente compatibili tra loro.The two models are not completely compatible with each other. Prima di iniziare, è necessario conoscere il modello da usare.Before you begin, you need to know which model that you want to work in. Per informazioni, vedere l'articolo contenente le informazioni sui modelli di distribuzione.For information about the deployment models, see Understanding deployment models. Se non si ha familiarità con Azure, è consigliabile usare il modello di distribuzione Resource Manager.If you are new to Azure, we recommend that you use the Resource Manager deployment model.

Questo articolo illustra la configurazione del tunneling forzato per le reti virtuali create usando il modello di distribuzione classico.This article walks you through configuring forced tunneling for virtual networks created using the classic deployment model. Il tunneling forzato può essere configurato tramite PowerShell e non tramite il portale.Forced tunneling can be configured by using PowerShell, not through the portal. Se si intende configurare il tunneling forzato per il modello di distribuzione di Resource Manager, selezionare l'articolo relativo alla distribuzione classica nell'elenco a discesa seguente:If you want to configure forced tunneling for the Resource Manager deployment model, select classic article from the following dropdown list:

Problemi e considerazioniRequirements and considerations

Il tunneling forzato in Azure viene configurato tramite route di rete virtuale definite dall'utente.Forced tunneling in Azure is configured via virtual network user-defined routes (UDR). Il reindirizzamento del traffico a un sito locale viene espresso come route predefinita al gateway VPN di Azure.Redirecting traffic to an on-premises site is expressed as a Default Route to the Azure VPN gateway. Nella sezione seguente viene elencata la limitazione attuale della tabella di routing e delle route per una rete virtuale di Azure:The following section lists the current limitation of the routing table and routes for an Azure Virtual Network:

  • Ciascuna subnet della rete virtuale dispone di una tabella di routing di sistema integrata.Each virtual network subnet has a built-in, system routing table. La tabella di routing di sistema include i tre gruppi di route seguenti:The system routing table has the following three groups of routes:

    • Route della rete virtuale locale: direttamente alle macchine virtuali di destinazione nella stessa rete virtuale.Local VNet routes: Directly to the destination VMs in the same virtual network.
    • Route locali: al gateway VPN di Azure.On-premises routes: To the Azure VPN gateway.
    • Route predefinita: direttamente a Internet.Default route: Directly to the Internet. I pacchetti destinati agli indirizzi IP privati non rientranti nelle due route precedenti verranno eliminati.Packets destined to the private IP addresses not covered by the previous two routes will be dropped.
  • Con il rilascio di route definite dall'utente, è possibile creare una tabella di routing per aggiungere una route predefinita, quindi associare la tabella di routing alle subnet della rete virtuale per abilitare il tunneling forzato in tali subnet.With the release of user-defined routes, you can create a routing table to add a default route, and then associate the routing table to your VNet subnet(s) to enable forced tunneling on those subnets.
  • È necessario impostare un "sito predefinito" tra i siti locali cross-premise connessi alla rete virtuale.You need to set a "default site" among the cross-premises local sites connected to the virtual network.
  • Il tunneling forzato deve essere associato a una rete virtuale che disponga di un gateway VPN (non un gateway statico).Forced tunneling must be associated with a VNet that has a dynamic routing VPN gateway (not a static gateway).
  • Il tunneling forzato ExpressRoute non viene configurato mediante questo meccanismo, ma è abilitato annunciando una route predefinita tramite le sessioni di peering BGP ExpressRoute.ExpressRoute forced tunneling is not configured via this mechanism, but instead, is enabled by advertising a default route via the ExpressRoute BGP peering sessions. Per altre informazioni, vedere la documentazione di ExpressRoute .Please see the ExpressRoute Documentation for more information.

Panoramica della configurazioneConfiguration overview

Nell'esempio seguente il tunneling della subnet front-end non viene forzato.In the following example, the Frontend subnet is not forced tunneled. I carichi di lavoro nella subnet front-end possono continuare ad accettare e a rispondere alle richieste dei clienti direttamente da Internet.The workloads in the Frontend subnet can continue to accept and respond to customer requests from the Internet directly. Il tunneling delle subnet di livello intermedio e back-end viene forzato.The Mid-tier and Backend subnets are forced tunneled. Tutte le connessioni in uscita da queste due subnet a Internet verranno forzate o reindirizzate verso un sito locale tramite uno dei tunnel VPN S2S.Any outbound connections from these two subnets to the Internet will be forced or redirected back to an on-premises site via one of the S2S VPN tunnels.

Ciò consente di limitare e ispezionare l'accesso a Internet dalle macchine virtuali o dai servizi cloud in Azure, pur continuando ad abilitare l'architettura dei servizi multilivello richiesta.This allows you to restrict and inspect Internet access from your virtual machines or cloud services in Azure, while continuing to enable your multi-tier service architecture required. È anche possibile applicare il tunneling forzato a tutte le reti virtuali se non sono presenti carichi di lavoro con connessione Internet nelle reti virtuali.You also can apply forced tunneling to the entire virtual networks if there are no Internet-facing workloads in your virtual networks.

Tunneling forzato

Prima di iniziareBefore you begin

Prima di iniziare la configurazione, verificare che ci siano le condizioni seguenti:Verify that you have the following items before beginning configuration.

È possibile configurare il tunneling forzato?Configure forced tunneling

La procedura seguente consentirà di specificare il tunneling forzato per una rete virtuale.The following procedure will help you specify forced tunneling for a virtual network. I passaggi di configurazione corrispondono al file di configurazione della rete virtuale.The configuration steps correspond to the VNet network configuration file.

<VirtualNetworkSite name="MultiTier-VNet" Location="North Europe">
     <AddressSpace>
      <AddressPrefix>10.1.0.0/16</AddressPrefix>
        </AddressSpace>
        <Subnets>
          <Subnet name="Frontend">
            <AddressPrefix>10.1.0.0/24</AddressPrefix>
          </Subnet>
          <Subnet name="Midtier">
            <AddressPrefix>10.1.1.0/24</AddressPrefix>
          </Subnet>
          <Subnet name="Backend">
            <AddressPrefix>10.1.2.0/23</AddressPrefix>
          </Subnet>
          <Subnet name="GatewaySubnet">
            <AddressPrefix>10.1.200.0/28</AddressPrefix>
          </Subnet>
        </Subnets>
        <Gateway>
          <ConnectionsToLocalNetwork>
            <LocalNetworkSiteRef name="DefaultSiteHQ">
              <Connection type="IPsec" />
            </LocalNetworkSiteRef>
            <LocalNetworkSiteRef name="Branch1">
              <Connection type="IPsec" />
            </LocalNetworkSiteRef>
            <LocalNetworkSiteRef name="Branch2">
              <Connection type="IPsec" />
            </LocalNetworkSiteRef>
            <LocalNetworkSiteRef name="Branch3">
              <Connection type="IPsec" />
            </LocalNetworkSiteRef>
        </Gateway>
      </VirtualNetworkSite>
    </VirtualNetworkSite>

In questo esempio, la rete virtuale 'MultiTier-VNet' include tre subnet: 'Frontend', 'Midtier' e 'Backend' con quattro connessioni cross-premise: 'DefaultSiteHQ' e tre rami.In this example, the virtual network 'MultiTier-VNet' has three subnets: 'Frontend', 'Midtier', and 'Backend' subnets, with four cross premises connections: 'DefaultSiteHQ', and three Branches.

La procedura consente di impostare 'DefaultSiteHQ' come connessione predefinita del sito per il tunneling forzato e di configurare le subnet Midtier e Backend per l'uso del tunneling forzato.The steps will set the 'DefaultSiteHQ' as the default site connection for forced tunneling, and configure the Midtier and Backend subnets to use forced tunneling.

  1. Creare una tabella di routing.Create a routing table. Utilizzare il cmdlet seguente per creare la tabella route.Use the following cmdlet to create your route table.

    New-AzureRouteTable –Name "MyRouteTable" –Label "Routing Table for Forced Tunneling" –Location "North Europe"
    
  2. Aggiungere una route predefinita alla tabella di routing.Add a default route to the routing table.

    L'esempio seguente aggiunge una route predefinita alla tabella di routing creata nel passaggio 1.The following example adds a default route to the routing table created in Step 1. Notare che l'unica route supportata è il prefisso di destinazione di "0.0.0.0/0" su NextHop "VPNGateway".Note that the only route supported is the destination prefix of "0.0.0.0/0" to the "VPNGateway" NextHop.

    Get-AzureRouteTable -Name "MyRouteTable" | Set-AzureRoute –RouteTable "MyRouteTable" –RouteName "DefaultRoute" –AddressPrefix "0.0.0.0/0" –NextHopType VPNGateway
    
  3. Associare la tabella di routing alle subnet.Associate the routing table to the subnets.

    Dopo aver creato una tabella di routing e aggiunto una route, usare l'esempio seguente per aggiungere o associare la tabella di route a una subnet della rete virtuale.After a routing table is created and a route added, use the following example to add or associate the route table to a VNet subnet. L'esempio aggiunge la tabella di route "MyRouteTable" alle subnet Midtier e Backend della rete virtuale MultiTier-VNet.The example adds the route table "MyRouteTable" to the Midtier and Backend subnets of VNet MultiTier-VNet.

    Set-AzureSubnetRouteTable -VirtualNetworkName "MultiTier-VNet" -SubnetName "Midtier" -RouteTableName "MyRouteTable"
    Set-AzureSubnetRouteTable -VirtualNetworkName "MultiTier-VNet" -SubnetName "Backend" -RouteTableName "MyRouteTable"
    
  4. Assegnare un sito predefinito per il tunneling forzato.Assign a default site for forced tunneling.

    Nel passaggio precedente, gli script di cmdlet di esempio hanno consentito di creare la tabella route e di associarla a due delle subnet della rete virtuale.In the preceding step, the sample cmdlet scripts created the routing table and associated the route table to two of the VNet subnets. L'ultimo passaggio consiste nel selezionare un sito locale tra le connessioni multisito della rete virtuale come sito predefinito o tunnel.The remaining step is to select a local site among the multi-site connections of the virtual network as the default site or tunnel.

    $DefaultSite = @("DefaultSiteHQ")
    Set-AzureVNetGatewayDefaultSite –VNetName "MultiTier-VNet" –DefaultSite "DefaultSiteHQ"
    

Ulteriori cmdlet di PowerShellAdditional PowerShell cmdlets

Per eliminare una tabella routeTo delete a route table

Remove-AzureRouteTable -Name <routeTableName>

Per elencare una tabella routeTo list a route table

Get-AzureRouteTable [-Name <routeTableName> [-DetailLevel <detailLevel>]]

Per eliminare una route da una tabella routeTo delete a route from a route table

Remove-AzureRouteTable –Name <routeTableName>

Per rimuovere una route da una subnetTo remove a route from a subnet

Remove-AzureSubnetRouteTable –VirtualNetworkName <virtualNetworkName> -SubnetName <subnetName>

Per elencare la tabella route associata a una subnetTo list the route table associated with a subnet

Get-AzureSubnetRouteTable -VirtualNetworkName <virtualNetworkName> -SubnetName <subnetName>

Per rimuovere un sito predefinito da un gateway VPN della rete virtualeTo remove a default site from a VNet VPN gateway

Remove-AzureVnetGatewayDefaultSite -VNetName <virtualNetworkName>