Connettere i gateway VPN di Azure a più dispositivi VPN basati su criteri locali usando PowerShellConnect Azure VPN gateways to multiple on-premises policy-based VPN devices using PowerShell

Questo articolo illustra la procedura per configurare un gateway VPN basato su route di Azure per la connessione a più dispositivi VPN basati su criteri locali sfruttando i criteri IPsec/IKE personalizzati nelle connessioni VPN da sito a sito.This article helps you configure an Azure route-based VPN gateway to connect to multiple on-premises policy-based VPN devices leveraging custom IPsec/IKE policies on S2S VPN connections.

Informazioni sui gateway VPN basati su criteri e basati su routeAbout policy-based and route-based VPN gateways

I dispositivi VPN basati su criteri differiscono da quelli basati su route per il modo in cui i selettori di traffico IPsec vengono impostati in una connessione:Policy- vs. route-based VPN devices differ in how the IPsec traffic selectors are set on a connection:

  • I dispositivi VPN basati su criteri usano le combinazioni di prefissi di entrambe le reti per definire come crittografare/decrittografare il traffico tramite i tunnel IPsec.Policy-based VPN devices use the combinations of prefixes from both networks to define how traffic is encrypted/decrypted through IPsec tunnels. Sono basati in genere su dispositivi firewall che eseguono il filtro dei pacchetti.It is typically built on firewall devices that perform packet filtering. La crittografia e la decrittografia dei tunnel IPsec vengono aggiunte al filtro dei pacchetti e al motore di elaborazione.IPsec tunnel encryption and decryption are added to the packet filtering and processing engine.
  • I dispositivi VPN basati su route usano selettori di traffico any-to-any (jolly) e consentono alle tabelle di routing/inoltro di indirizzare il traffico a tunnel IPsec diversi.Route-based VPN devices use any-to-any (wildcard) traffic selectors, and let routing/forwarding tables direct traffic to different IPsec tunnels. Sono basati in genere su piattaforme router in cui ogni tunnel IPsec è modellato come interfaccia di rete o interfaccia di tunnel virtuale.It is typically built on router platforms where each IPsec tunnel is modeled as a network interface or VTI (virtual tunnel interface).

I diagrammi seguenti evidenziano i due modelli:The following diagrams highlight the two models:

Esempio di VPN basata su criteriPolicy-based VPN example

basata su criteri

Esempio di VPN basata su routeRoute-based VPN example

basata su route

Supporto di Azure per la VPN basata su criteriAzure support for policy-based VPN

Azure supporta attualmente entrambe le modalità di gateway VPN: gateway VPN basati su route e gateway VPN basati su criteri.Currently, Azure supports both modes of VPN gateways: route-based VPN gateways and policy-based VPN gateways. Sono basati su piattaforme interne diverse e quindi su specifiche diverse:They are built on different internal platforms, which result in different specifications:

Gateway VPN basato su criteriPolicyBased VPN Gateway Gateway VPN basato su routeRouteBased VPN Gateway
SKU del gateway di AzureAzure Gateway SKU BasicBasic Basic, Standard, HighPerformance, VpnGw1, VpnGw2, VpnGw3Basic, Standard, HighPerformance, VpnGw1, VpnGw2, VpnGw3
Versione IKEIKE version IKEv1IKEv1 IKEv2IKEv2
Max. connessioni da sito a sitoMax. S2S connections 11 Basic/Standard: 10Basic/Standard: 10
HighPerformance: 30HighPerformance: 30

Con i criteri IPsec/IKE personalizzati, ora è possibile configurare i gateway VPN basati su route di Azure per l'uso di selettori di traffico basati su prefissi con l'opzione "PolicyBasedTrafficSelectors", per connettersi ai dispositivi VPN basati su criteri locali.With the custom IPsec/IKE policy, you can now configure Azure route-based VPN gateways to use prefix-based traffic selectors with option "PolicyBasedTrafficSelectors", to connect to on-premises policy-based VPN devices. Questa funzionalità consente di connettersi da una rete virtuale di Azure e da un gateway VPN a più dispositivi VPN/firewall basati su criteri locali, rimuovendo il limite della connessione singola dai gateway VPN basati su criteri di Azure correnti.This capability allows you to connect from an Azure virtual network and VPN gateway to multiple on-premises policy-based VPN/firewall devices, removing the single connection limit from the current Azure policy-based VPN gateways.

Importante

  1. Per abilitare questa connettività, i dispositivi VPN basati su criteri locali devono supportare IKEv2 per connettersi ai gateway VPN basati su route di Azure.To enable this connectivity, your on-premises policy-based VPN devices must support IKEv2 to connect to the Azure route-based VPN gateways. Controllare le specifiche dei dispositivi VPN.Check your VPN device specifications.
  2. Le reti locali che si connettono tramite dispositivi VPN basati su criteri con questo meccanismo possono connettersi solo alla rete virtuale di Azure e non possono passare ad altre reti locali o reti virtuali tramite lo stesso gateway VPN di Azure.The on-premises networks connecting through policy-based VPN devices with this mechanism can only connect to the Azure virtual network; they cannot transit to other on-premises networks or virtual networks via the same Azure VPN gateway.
  3. L'opzione di configurazione fa parte dei criteri di connessione IPsec/IKE personalizzati.The configuration option is part of the custom IPsec/IKE connection policy. Se si abilita l'opzione dei selettori di traffico basata su criteri è necessario specificare i criteri completi (algoritmi di crittografia IPsec/IKE e di integrità, attendibilità delle chiavi e durate delle associazioni di sicurezza).If you enable the policy-based traffic selector option, you must specify the complete policy (IPsec/IKE encryption and integrity algorithms, key strengths, and SA lifetimes).

Il diagramma seguente spiega perché il routing di transito tramite il gateway VPN di Azure non funziona con l'opzione basata su criteri:The following diagram shows why transit routing via Azure VPN gateway doesn't work with the policy-based option:

transito basato su criteri

Come illustrato nel diagramma, il gateway VPN di Azure ha selettori di traffico dalla rete virtuale a ogni prefisso di rete locale, ma non ai prefissi di Cross Connection.As shown in the diagram, the Azure VPN gateway has traffic selectors from the virtual network to each of the on-premises network prefixes, but not the cross-connection prefixes. I siti locali 2, 3 e 4, ad esempio, possono comunicare singolarmente con VNet1, ma non possono connettersi tra essi tramite il gateway VPN di Azure.For example, on-premises site 2, site 3, and site 4 can each communicate to VNet1 respectively, but cannot connect via the Azure VPN gateway to each other. Il diagramma illustra che i selettori di traffico Cross Connect non sono disponibili nel gateway VPN di Azure con questa configurazione.The diagram shows the cross-connect traffic selectors that are not available in the Azure VPN gateway under this configuration.

Configurare selettori di traffico basati su criteri in una connessioneConfigure policy-based traffic selectors on a connection

Le istruzioni contenute in questo articolo seguono lo stesso esempio descritto in Configurare criteri IPsec/IKE per connessioni da sito a sito o da rete virtuale a rete virtuale per stabilire una connessione VPN da sito a sito.The instructions in this article follow the same example as described in Configure IPsec/IKE policy for S2S or VNet-to-VNet connections to establish a S2S VPN connection. Vedere il diagramma seguente:This is shown in the following diagram:

s2s-policy

Flusso di lavoro per abilitare questa connettività:The workflow to enable this connectivity:

  1. Creare la rete virtuale, il gateway VPN e il gateway di rete locale per la connessione cross-premiseCreate the virtual network, VPN gateway, and local network gateway for your cross-premises connection
  2. Creare un criterio IPsec/IKECreate an IPsec/IKE policy
  3. Applicare i criteri quando si crea la connessione da sito a sito o da rete virtuale a rete virtuale e abilitare i selettori di traffico basati su criteri nella connessioneApply the policy when you create a S2S or VNet-to-VNet connection, and enable the policy-based traffic selectors on the connection
  4. Se la connessione è già stata creata, è possibile applicare o aggiornare i criteri per una connessione esistenteIf the connection is already created, you can apply or update the policy to an existing connection

Abilitare i selettori di traffico basati su criteri in una connessioneEnable policy-based traffic selectors on a connection

Verificare di avere completato la parte 3 dell'articolo sulla configurazione dei criteri IPsec/IKE per questa sezione.Make sure you have completed Part 3 of the Configure IPsec/IKE policy article for this section. L'esempio seguente usa gli stessi parametri e passaggi:The following example uses the same parameters and steps:

Passaggio 1: Creare la rete virtuale, il gateway VPN e il gateway di rete localeStep 1 - Create the virtual network, VPN gateway, and local network gateway

1. Dichiarare le variabili e connettersi alla sottoscrizione1. Declare your variables & connect to your subscription

Per questo esercizio, si inizierà dichiarando le variabili.For this exercise, we start by declaring our variables. Assicurarsi di sostituire i valori con quelli reali durante la configurazione per la produzione.Be sure to replace the values with your own when configuring for production.

$Sub1          = "<YourSubscriptionName>"
$RG1           = "TestPolicyRG1"
$Location1     = "East US 2"
$VNetName1     = "TestVNet1"
$FESubName1    = "FrontEnd"
$BESubName1    = "Backend"
$GWSubName1    = "GatewaySubnet"
$VNetPrefix11  = "10.11.0.0/16"
$VNetPrefix12  = "10.12.0.0/16"
$FESubPrefix1  = "10.11.0.0/24"
$BESubPrefix1  = "10.12.0.0/24"
$GWSubPrefix1  = "10.12.255.0/27"
$DNS1          = "8.8.8.8"
$GWName1       = "VNet1GW"
$GW1IPName1    = "VNet1GWIP1"
$GW1IPconf1    = "gw1ipconf1"
$Connection16  = "VNet1toSite6"

$LNGName6      = "Site6"
$LNGPrefix61   = "10.61.0.0/16"
$LNGPrefix62   = "10.62.0.0/16"
$LNGIP6        = "131.107.72.22"

Per usare i cmdlet di Gestione risorse verificare di passare alla modalità PowerShell .To use the Resource Manager cmdlets, make sure you switch to PowerShell mode. Per altre informazioni, vedere Uso di Windows PowerShell con Gestione risorse.For more information, see Using Windows PowerShell with Resource Manager.

Aprire la console di PowerShell e connettersi al proprio account.Open your PowerShell console and connect to your account. Per connettersi, usare l'esempio seguente:Use the following sample to help you connect:

Login-AzureRmAccount
Select-AzureRmSubscription -SubscriptionName $Sub1
New-AzureRmResourceGroup -Name $RG1 -Location $Location1

2. Creare la rete virtuale, il gateway VPN e il gateway di rete locale2. Create the virtual network, VPN gateway, and local network gateway

L'esempio seguente crea la rete virtuale, TestVNet1 con tre subnet e il gateway VPN.The following example creates the virtual network, TestVNet1 with three subnets, and the VPN gateway. Quando si sostituiscono i valori, è importante che la subnet gateway venga denominata sempre esattamente 'GatewaySubnet'.When substituting values, it's important that you always name your gateway subnet specifically 'GatewaySubnet'. Se si assegnano altri nomi, la creazione del gateway ha esito negativo.If you name it something else, your gateway creation fails.

$fesub1 = New-AzureRmVirtualNetworkSubnetConfig -Name $FESubName1 -AddressPrefix $FESubPrefix1
$besub1 = New-AzureRmVirtualNetworkSubnetConfig -Name $BESubName1 -AddressPrefix $BESubPrefix1
$gwsub1 = New-AzureRmVirtualNetworkSubnetConfig -Name $GWSubName1 -AddressPrefix $GWSubPrefix1

New-AzureRmVirtualNetwork -Name $VNetName1 -ResourceGroupName $RG1 -Location $Location1 -AddressPrefix $VNetPrefix11,$VNetPrefix12 -Subnet $fesub1,$besub1,$gwsub1

$gw1pip1    = New-AzureRmPublicIpAddress -Name $GW1IPName1 -ResourceGroupName $RG1 -Location $Location1 -AllocationMethod Dynamic
$vnet1      = Get-AzureRmVirtualNetwork -Name $VNetName1 -ResourceGroupName $RG1
$subnet1    = Get-AzureRmVirtualNetworkSubnetConfig -Name "GatewaySubnet" -VirtualNetwork $vnet1
$gw1ipconf1 = New-AzureRmVirtualNetworkGatewayIpConfig -Name $GW1IPconf1 -Subnet $subnet1 -PublicIpAddress $gw1pip1

New-AzureRmVirtualNetworkGateway -Name $GWName1 -ResourceGroupName $RG1 -Location $Location1 -IpConfigurations $gw1ipconf1 -GatewayType Vpn -VpnType RouteBased -GatewaySku HighPerformance

New-AzureRmLocalNetworkGateway -Name $LNGName6 -ResourceGroupName $RG1 -Location $Location1 -GatewayIpAddress $LNGIP6 -AddressPrefix $LNGPrefix61,$LNGPrefix62

Passaggio 2: Creare una connessione VPN da sito a sito con un criterio IPsec/IKEStep 2 - Create a S2S VPN connection with an IPsec/IKE policy

1. Creare un criterio IPsec/IKE1. Create an IPsec/IKE policy

Importante

È necessario creare un criterio IPsec/IKE per abilitare l'opzione "UsePolicyBasedTrafficSelectors" nella connessione.You need to create an IPsec/IKE policy in order to enable "UsePolicyBasedTrafficSelectors" option on the connection.

L'esempio seguente crea un criterio IPsec/IKE con gli algoritmi e i parametri seguenti:The following example creates an IPsec/IKE policy with these algorithms and parameters:

  • IKEv2: AES256, SHA384, DHGroup24IKEv2: AES256, SHA384, DHGroup24
  • IPsec: AES256, SHA256, PFS24, durata dell'associazione di sicurezza 3600 secondi e 2048 KBIPsec: AES256, SHA256, PFS24, SA Lifetime 3600 seconds & 2048KB
$ipsecpolicy6 = New-AzureRmIpsecPolicy -IkeEncryption AES256 -IkeIntegrity SHA384 -DhGroup DHGroup24 -IpsecEncryption AES256 -IpsecIntegrity SHA256 -PfsGroup PFS24 -SALifeTimeSeconds 3600 -SADataSizeKilobytes 2048

2. Creare la connessione VPN da sito a sito con i selettori di traffico basati su criteri e il criterio IPsec/IKE2. Create the S2S VPN connection with policy-based traffic selectors and IPsec/IKE policy

Creare una connessione VPN da sito a sito e applicare il criterio IPsec/IKE creato in precedenza.Create an S2S VPN connection and apply the IPsec/IKE policy created in the previous step. Si noti il parametro aggiuntivo "-UsePolicyBasedTrafficSelectors $True" per abilitare i selettori di traffico basati su criteri nella connessione.Be aware of the additional parameter "-UsePolicyBasedTrafficSelectors $True" which enables policy-based traffic selectors on the connection.

$vnet1gw = Get-AzureRmVirtualNetworkGateway -Name $GWName1  -ResourceGroupName $RG1
$lng6 = Get-AzureRmLocalNetworkGateway  -Name $LNGName6 -ResourceGroupName $RG1

New-AzureRmVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1 -VirtualNetworkGateway1 $vnet1gw -LocalNetworkGateway2 $lng6 -Location $Location1 -ConnectionType IPsec -UsePolicyBasedTrafficSelectors $True -IpsecPolicies $ipsecpolicy6 -SharedKey 'AzureA1b2C3'

Dopo avere completato i passaggi, la connessione VPN da sito a sito userà il criterio IPsec/IKE definito e abiliterà i selettori di traffico basati su criteri nella connessione.After completing the steps, the S2S VPN connection will use the IPsec/IKE policy defined, and enable policy-based traffic selectors on the connection. È possibile ripetere gli stessi passaggi per aggiungere altre connessioni a dispositivi VPN basati su criteri locali aggiuntivi dallo stesso gateway VPN di Azure.You can repeat the same steps to add more connections to additional on-premises policy-based VPN devices from the same Azure VPN gateway.

Aggiornare i selettori di traffico basati su criteri per una connessioneUpdate policy-based traffic selectors for a connection

L'ultima sezione illustra come aggiornare l'opzione dei selettori di traffico basati su criteri per una connessione VPN da sito a sito esistente.The last section shows you how to update the policy-based traffic selectors option for an existing S2S VPN connection.

1. Ottenere la connessione1. Get the connection

Ottenere la risorsa di connessione.Get the connection resource.

$RG1          = "TestPolicyRG1"
$Connection16 = "VNet1toSite6"
$connection6  = Get-AzureRmVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1

2. Selezionare l'opzione dei selettori di traffico basati su criteri2. Check the policy-based traffic selectors option

La riga seguente indica se i selettori di traffico basati su criteri vengono usati per la connessione:The following line shows whether the policy-based traffic selectors are used for the connection:

$connection6.UsePolicyBasedTrafficSelectors

Se la riga restituisce "True", i selettori di traffico basati su criteri sono configurati nella connessione. In caso contrario, restituirà "False".If the line returns "True", then policy-based traffic selectors are configured on the connection; otherwise it returns "False."

3. Aggiornare i selettori di traffico basati su criteri in una connessione3. Update the policy-based traffic selectors on a connection

Dopo avere ottenuto la risorsa di connessione, è possibile abilitare o disabilitare l'opzione.Once you obtain the connection resource, you can enable or disable the option.

Disabilitare UsePolicyBasedTrafficSelectorsDisable UsePolicyBasedTrafficSelectors

L'esempio seguente disabilita l'opzione dei selettori di traffico basati su criteri, ma lascia invariato il criterio IPsec/IKE:The following example disables the policy-based traffic selectors option, but leaves the IPsec/IKE policy unchanged:

$RG1          = "TestPolicyRG1"
$Connection16 = "VNet1toSite6"
$connection6  = Get-AzureRmVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1

Set-AzureRmVirtualNetworkGatewayConnection -VirtualNetworkGatewayConnection $connection6 -UsePolicyBasedTrafficSelectors $False

Abilitare UsePolicyBasedTrafficSelectorsEnable UsePolicyBasedTrafficSelectors

L'esempio seguente abilita l'opzione dei selettori di traffico basati su criteri, ma lascia invariato il criterio IPsec/IKE:The following example enables the policy-based traffic selectors option, but leaves the IPsec/IKE policy unchanged:

$RG1          = "TestPolicyRG1"
$Connection16 = "VNet1toSite6"
$connection6  = Get-AzureRmVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1

Set-AzureRmVirtualNetworkGatewayConnection -VirtualNetworkGatewayConnection $connection6 -UsePolicyBasedTrafficSelectors $True

Passaggi successiviNext steps

Dopo aver completato la connessione, è possibile aggiungere macchine virtuali alle reti virtuali.Once your connection is complete, you can add virtual machines to your virtual networks. Per i passaggi, vedere Creare la prima macchina virtuale .See Create a Virtual Machine for steps.

Vedere anche Configure IPsec/IKE policy for S2S VPN or VNet-to-VNet connections (Configurare i criteri IPsec/IKE per le connessioni da sito a sito o da rete virtuale a rete virtuale) per altre informazioni sui criteri IPsec/IKE personalizzati.Also review Configure IPsec/IKE policy for S2S VPN or VNet-to-VNet connections for more details on custom IPsec/IKE policies.