Informazioni sulle impostazioni di configurazione del gateway VPN

Un gateway VPN è un tipo di gateway di rete virtuale che invia traffico crittografato tra la rete virtuale e la posizione locale tramite una connessione pubblica. È possibile usare un gateway VPN anche per inviare il traffico tra reti virtuali attraverso il backbone di Azure.

Una connessione di gateway VPN si basa sulla configurazione di più risorse, ognuna delle quali contiene impostazioni configurabili. Le sezioni di questo articolo descrivono le risorse e le impostazioni correlate a un gateway VPN per una rete virtuale creata nel modello di distribuzione Resource Manager. Le descrizioni e i diagrammi della topologia per ogni soluzione di connessione sono disponibili nell'articolo Informazioni sul gateway VPN.

Tipi di gateway

Ogni rete virtuale può avere un solo gateway di rete virtuale per tipo. Quando si crea un gateway di rete virtuale, è necessario assicurarsi che il tipo di gateway sia corretto per la configurazione in uso.

I valori disponibili per GatewayType sono:

  • VPN
  • ExpressRoute

Un gateway VPN richiede il valore -GatewayType Vpn per.

Esempio:

New-AzureRmVirtualNetworkGateway -Name vnetgw1 -ResourceGroupName testrg `
-Location 'West US' -IpConfigurations $gwipconfig -GatewayType Vpn `
-VpnType RouteBased

SKU del gateway

Quando si crea un gateway di rete virtuale è necessario specificare il codice SKU del gateway da usare. Selezionare gli SKU che soddisfano i requisiti inerenti ai tipi di carichi di lavoro, alle velocità effettive, alle funzionalità e ai contratti di servizio.

Nota

I nuovi SKU di gateway VPN (VpnGw1, VpnGw2 e VpnGw3) sono supportati solo per il modello di distribuzione Resource Manager. Le reti virtuali di tipo classico devono continuare a usare gli SKU precedenti. Per altre informazioni sugli SKU di gateway di versione precedente, vedere Working with virtual network gateway SKUs (old) (Uso degli SKU di gateway di rete virtuale - Versione precedente).

Azure offre gli SKU del gateway VPN seguenti:

SKU Tunnel S2S/
rete virtuale-rete virtuale
Connessioni
P2S
Benchmark
velocità effettiva aggregata
VpnGw1 Max. 30 Max. 128 650 Mbps
VpnGw2 Max. 30 Max. 128 1 Gbps
VpnGw3 Max. 30 Max. 128 1,25 Gbps
Basic Max. 10 Max. 128 100 Mbps
  • Il benchmark della velocità effettiva aggregata si basa sulle misurazioni di più tunnel aggregati tramite un singolo gateway. Non è una velocità effettiva garantita, poiché può variare anche in funzione delle condizioni del traffico Internet e dei comportamenti dell'applicazione.

  • Le informazioni sui prezzi sono disponibili nella pagina Prezzi .

  • Le informazioni sul contratto di servizio sono disponibili nella pagina SLA (Contratto di servizio).

Carichi di lavoro di produzione e di sviluppo e test

A causa delle differenze in termini di contratti di servizio e set di funzionalità, per i carichi di produzione e di sviluppo e test è consigliabile usare SKU diversi, come descritto di seguito:

Carico di lavoro SKU
Carichi di lavoro critici, di produzione VpnGw1, VpnGw2, VpnGw3
Sviluppo e test o modello di verifica Basic

Se si usano gli SKU di versione precedente, per la produzione sono consigliati gli SKU Standard e HighPerformance. Per informazioni sugli SKU precedenti, vedere SKU del gateway (legacy).

Set di funzionalità degli SKU del gateway

I nuovi SKU del gateway semplificano i set di funzionalità offerti nei gateway:

SKU Funzionalità
Basic VPN basata su route: 10 tunnel con P2S

VPN basata su criteri (IKEv1): 1 tunnel, nessuna connessione P2S
VpnGw1, VpnGw2 e VpnGw3 VPN basata su route: fino a 30 tunnel (*), P2S, BGP, attivo-attivo, IPsec personalizzato/criterio IKE, coesistenza ExpressRoute/VPN

(*) È possibile configurare "PolicyBasedTrafficSelectors" per la connessione di un gateway VPN basato su route (VpnGw1, VpnGw2, VpnGw3) a più dispositivi firewall locali basati su criteri. Per informazioni dettagliate, vedere Connect VPN gateways to multiple on-premises policy-based VPN devices using PowerShell (Connettere gateway VPN a più dispositivi VPN basati su criteri tramite PowerShell).

Ridimensionamento degli SKU di gateway

  1. È possibile eseguire il ridimensionamento tra gli SKU VpnGw1, VpnGw2 e VpnGw3.
  2. Quando si usano SKU del gateway di versione precedente, è possibile eseguire il ridimensionamento tra gli SKU Basic, Standard e HighPerformance.
  3. Non è possibile invece eseguire il ridimensionamento dagli SKU Basic/Standard/HighPerformance ai nuovi SKU VpnGw1/VpnGw2/VpnGw3. È necessario eseguire la migrazione ai nuovi SKU.

Migrazione dagli SKU di versione precedente ai nuovi SKU

Nota
  • L'indirizzo IP pubblico del gateway VPN cambierà in caso di migrazione da uno SKU precedente a un nuovo SKU.
  • Non è possibile eseguire la migrazione di gateway VPN classici in nuovi SKU. I gateway VPN classici sono compatibili unicamente con gli SKU legacy (precedenti).

Non è possibile ridimensionare i gateway VPN di Azure tra gli SKU precedenti e le nuove famiglie di SKU. Se nel modello di distribuzione di Resource Manager sono presenti gateway VPN che usano la versione precedente degli SKU, è possibile eseguire la migrazione ai nuovi SKU. Per eseguire la migrazione, eliminare il gateway VPN esistente per la rete virtuale, quindi crearne uno nuovo.

Flusso di lavoro della migrazione:

  1. Rimuovere eventuali connessioni al gateway di rete virtuale.
  2. Eliminare il gateway VPN precedente.
  3. Creare il nuovo gateway VPN.
  4. Aggiornare i dispositivi VPN locali con il nuovo indirizzo IP del gateway VPN (per connessioni da sito a sito).
  5. Aggiornare il valore dell'indirizzo IP del gateway per eventuali gateway di rete locale da rete virtuale a rete virtuale che si connetteranno a questo gateway.
  6. Scaricare i nuovi pacchetti di configurazione VPN client per i client P2S che si connettono alla rete virtuale tramite questo gateway VPN.
  7. Creare di nuovo eventuali connessioni al gateway di rete virtuale.

Configurare lo SKU del gateway

Portale di Azure

Se si usa il portale di Azure per creare un gateway di rete virtuale di Resource Manager, è possibile selezionare lo SKU del dal menu a discesa. Le opzioni disponibili corrispondono al tipo di gateway e al tipo di VPN selezionati.

PowerShell

L'esempio seguente di PowerShell specifica -GatewaySku come VpnGw1.

New-AzureRmVirtualNetworkGateway -Name vnetgw1 -ResourceGroupName testrg `
-Location 'West US' -IpConfigurations $gwipconfig -GatewaySku VpnGw1 `
-GatewayType Vpn -VpnType RouteBased

Modificare (ridimensionare) uno SKU del gateway

Per aggiornare lo SKU del gateway a uno SKU più potente, è possibile usare il cmdlet di PowerShell Resize-AzureRmVirtualNetworkGateway. È anche possibile eseguire il downgrade delle dimensioni dello SKU del gateway usando questo cmdlet.

L'esempio di PowerShell seguente illustra uno SKU del gateway che viene ridimensionato come VpnGw2.

$gw = Get-AzureRmVirtualNetworkGateway -Name vnetgw1 -ResourceGroupName testrg
Resize-AzureRmVirtualNetworkGateway -VirtualNetworkGateway $gw -GatewaySku VpnGw2

Tipi di connessione

Nel modello di distribuzione Resource Manager ogni configurazione richiede un tipo di connessione di gateway di rete virtuale specifico. I valori di PowerShell per Resource Manager disponibili per -ConnectionType sono:

  • IPsec
  • Vnet2Vnet
  • ExpressRoute
  • VPNClient

L'esempio PowerShell seguente crea una connessione S2S che richiede il tipo di connessione IPsec.

New-AzureRmVirtualNetworkGatewayConnection -Name localtovon -ResourceGroupName testrg `
-Location 'West US' -VirtualNetworkGateway1 $gateway1 -LocalNetworkGateway2 $local `
-ConnectionType IPsec -RoutingWeight 10 -SharedKey 'abc123'

Tipi di VPN

Quando si crea il gateway di rete virtuale per una configurazione di gateway VPN, è necessario specificare un tipo di VPN. Il tipo di VPN scelto dipende dalla topologia di connessione che si desidera creare. Ad esempio, una connessione P2S richiede un tipo di VPN RouteBased. Un tipo di VPN può anche dipendere dall'hardware usato. Le configurazioni S2S richiedono un dispositivo VPN. Alcuni dispositivi VPN supportano solo un determinato tipo di VPN.

Il tipo di VPN selezionato deve soddisfare tutti i requisiti di connessione per la soluzione da creare. Ad esempio, per creare una connessione di gateway VPN S2S, una connessione di gateway VPN P2S sulla stessa rete virtuale, usare il tipo RouteBased poiché P2S richiede questo tipo specifico. È inoltre necessario verificare che il dispositivo VPN supporti una connessione VPN di tipo RouteBased.

Dopo avere creato un gateway di rete virtuale, non è possibile modificare il tipo di VPN. È necessario eliminare il gateway di rete virtuale e crearne uno nuovo. Sono disponibili due tipi di VPN:

  • PolicyBased: nel modello di distribuzione classica le VPN di questo tipo sono definite gateway con routing statico. Le VPN basate su criteri crittografano e reindirizzano i pacchetti tramite tunnel IPsec basati sui criteri IPsec configurati con le combinazioni di prefissi di indirizzo tra la rete locale e la rete virtuale di Azure. I criteri o selettori di traffico vengono in genere definiti come un elenco di accesso nella configurazione del dispositivo VPN. Il valore per una VPN basata su criteri è PolicyBased. Quando si usa una VPN PolicyBased, tenere presenti le limitazioni seguenti:

    • Le VPN PolicyBased possono essere usate solo su SKU del gateway Basic. Questo tipo di VPN non è compatibile con altri SKU del gateway.
    • Quando si usa una VPN PolicyBased, è disponibile solo 1 tunnel.
    • Queste VPN possono essere usate solo per connessioni S2S ed esclusivamente per determinate configurazioni. La maggior parte delle configurazioni di gateway VPN richiede una VPN RouteBased.
  • RouteBased: nel modello di distribuzione classica le VPN di questo tipo erano definite gateway con routing dinamico. Le VPN RouteBased usano "route" nella tabella di routing o di inoltro IP per reindirizzare i pacchetti nelle interfacce tunnel corrispondenti. Le interfacce tunnel consentono quindi di crittografare o decrittografare i pacchetti all'interno e all'esterno dei tunnel. I criteri o il selettore di traffico per le VPN RouteBased vengono configurati come any-to-any (o caratteri jolly). Il valore per un tipo di VPN RouteBased è RouteBased.

Nel seguente esempio di PowerShell -VpnType viene specificato come RouteBased. Quando si crea un gateway, è necessario assicurarsi che -VpnType sia corretto per la configurazione.

New-AzureRmVirtualNetworkGateway -Name vnetgw1 -ResourceGroupName testrg `
-Location 'West US' -IpConfigurations $gwipconfig `
-GatewayType Vpn -VpnType RouteBased

Requisiti del gateway

La tabella seguente elenca i requisiti per i gateway VPN PolicyBased e RouteBased. La tabella è valida per entrambi i modelli di distribuzione classica e di Gestione risorse. Per il modello classico, i gateway VPN PolicyBased corrispondono ai gateway statici, mentre i gateway RouteBased corrispondono ai gateway dinamici.

Gateway VPN Basic PolicyBased Gateway VPN Basic RouteBased Gateway VPN Standard RouteBased Gateway VPN High Performance RouteBased
Connettività da sito a sito Configurazione VPN PolicyBased Configurazione VPN RouteBased Configurazione VPN RouteBased Configurazione VPN RouteBased
Connettività da punto a sito (P2S) Non supportate Supportato (può coesistere con Site-to-Site) Supportato (può coesistere con Site-to-Site) Supportato (può coesistere con Site-to-Site)
Metodo di autenticazione Chiave condivisa Chiave precondivisa per la connettività da sito a sito, Certificati per la connettività da punto a sito Chiave precondivisa per la connettività da sito a sito, Certificati per la connettività da punto a sito Chiave precondivisa per la connettività da sito a sito, Certificati per la connettività da punto a sito
Numero massimo di connessioni Site-to-Site 1 10 10 30
Numero massimo di connessioni Point-to-Site Non supportate 128 128 128
Supporto routing attivo (BGP) Non supportate Non supportate Supportato Supportato

Subnet del gateway

Prima di creare un gateway VPN, è necessario creare una subnet del gateway. La subnet del gateway contiene gli indirizzi IP usati dalle VM e dai servizi del gateway di rete virtuale. Quando si crea il gateway di rete virtuale, le VM del gateway vengono distribuite nella subnet del gateway e configurate con le impostazioni del gateway VPN necessarie. Non si deve mai distribuire altro (ad esempio, VM aggiuntive) nella subnet del gateway. Per poter funzionare correttamente, la subnet del gateway deve essere denominata "GatewaySubnet". Denominando la subnet del gateway 'GatewaySubnet', Azure riconosce questa subnet come quella in cui distribuire i servizi e le VM del gateway di rete virtuale.

Quando si crea la subnet del gateway, si specifica il numero di indirizzi IP inclusi nella subnet. Gli indirizzi IP inclusi nella subnet del gateway sono allocati alle VM del gateway e ai servizi del gateway. Alcune configurazioni richiedono più indirizzi IP di altre. Esaminare le istruzioni per la configurazione da creare e verificare che la subnet del gateway che si vuole creare soddisfi tali requisiti. È anche consigliabile verificare che la subnet del gateway contenga una quantità di indirizzi IP sufficiente per supportare possibili future configurazioni aggiuntive. Anche se è possibile creare una subnet del gateway con dimensioni pari a /29, è consigliabile crearne una con dimensioni pari a /28 o superiori, ad esempio /28, /27, /26 e così via. In questo modo, se si aggiungono funzionalità in futuro, non sarà necessario rimuovere il gateway ed eliminare e ricreare la subnet del gateway per consentire altri indirizzi IP.

L'esempio seguente di PowerShell Resource Manager illustra una subnet del gateway denominata GatewaySubnet. La notazione CIDR specifica /27. Questa dimensione ammette un numero di indirizzi IP sufficiente per la maggior parte delle configurazioni attualmente esistenti.

Add-AzureRmVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -AddressPrefix 10.0.3.0/27
Importante

Quando si usano le subnet del gateway, evitare di associare un gruppo di sicurezza di rete (NSG) alla subnet del gateway. Se si associa un gruppo di sicurezza di rete a tale subnet, il gateway VPN potrebbe smettere di funzionare come previsto. Per altre informazioni sui gruppi di sicurezza di rete, vedere Che cos'è un gruppo di sicurezza di rete.

Gateway di rete locali

Quando si crea una configurazione per il gateway VPN, il gateway di rete locale rappresenta spesso la posizione locale. Nel modello di distribuzione classica il gateway di rete locale è definito come sito locale.

Assegnare un nome e l'indirizzo IP pubblico del dispositivo VPN locale al gateway di rete locale e specificare i prefissi di indirizzo che si trovano nel percorso locale. Azure esamina i prefissi di indirizzo di destinazione per il traffico di rete, consulta la configurazione specificata per il gateway di rete locale e indirizza i pacchetti di conseguenza. È anche possibile specificare i gateway di rete locale per le configurazioni da rete virtuale a rete virtuale che usano una connessione di gateway VPN.

L'esempio seguente di PowerShell consente di creare un nuovo gateway di rete locale:

New-AzureRmLocalNetworkGateway -Name LocalSite -ResourceGroupName testrg `
-Location 'West US' -GatewayIpAddress '23.99.221.164' -AddressPrefix '10.5.51.0/24'

Talvolta è necessario modificare le impostazioni di gateway di rete locale. Ad esempio, quando si aggiunge o si modifica l'intervallo di indirizzi oppure se viene modificato l'indirizzo IP del dispositivo VPN. Per una rete virtuale classica, è possibile modificare queste impostazioni nella pagina relativa alle reti locali del portale classico. Per Resource Manager, vedere Modificare le impostazioni del gateway di rete locale usando PowerShell.

API REST e cmdlet PowerShell

Per altre risorse tecniche e requisiti di sintassi specifici quando si usano le API REST, i cmdlet PowerShell o l'interfaccia della riga di comando di Azure per le configurazioni di Gateway VPN, vedere le pagine seguenti:

Classico Gestione risorse
PowerShell PowerShell
API REST API REST
Non supportate Interfaccia della riga di comando di Azure

Passaggi successivi

Per altre informazioni sulle configurazioni delle connessioni disponibili, vedere Informazioni sul gateway VPN.