Aggiungere una connessione da sito a sito a una rete virtuale con una connessione gateway VPN esistente (modello classico)Add a Site-to-Site connection to a VNet with an existing VPN gateway connection (classic)

Nota

Questo articolo riguarda il modello di distribuzione classica.This article is written for the classic deployment model. Se non si ha familiarità con Azure, è consigliabile usare il modello di distribuzione Resource Manager.If you're new to Azure, we recommend that you use the Resource Manager deployment model instead. Il modello di distribuzione Resource Manager è il modello di distribuzione più recente e offre più opzioni e compatibilità con le funzionalità rispetto al modello di distribuzione classica.The Resource Manager deployment model is the most current deployment model and offers more options and feature compatibility than the classic deployment model. Per altre informazioni, vedere l'articolo contenente le informazioni sui modelli di distribuzione.For more information about the deployment models, see Understanding deployment models.

Per la versione di questo articolo relativa a Resource Manager, selezionarla nell'elenco a discesa sottostante o nel sommario a sinistra.For the Resource Manager version of this article, select it from the drop-down list below, or from the table of contents on the left.

Questo articolo illustra come usare PowerShell per aggiungere connessioni da sito a sito (S2S) a un gateway VPN con una connessione esistente.This article walks you through using PowerShell to add Site-to-Site (S2S) connections to a VPN gateway that has an existing connection. Questo tipo di connessione è spesso definito configurazione "multisito".This type of connection is often referred to as a "multi-site" configuration. I passaggi riportati in questo articolo si applicano alle reti virtuali create usando il modello di distribuzione classica (noto anche come Gestione dei servizi).The steps in this article apply to virtual networks created using the classic deployment model (also known as Service Management). Questi passaggi non si applicano alle configurazioni con connessioni coesistenti ExpressRoute/da sito a sito.These steps do not apply to ExpressRoute/Site-to-Site coexisting connection configurations.

Metodi e modelli di distribuzioneDeployment models and methods

Azure attualmente funziona con due modelli di distribuzione: Azure Resource Manager e classica.Azure currently works with two deployment models: Resource Manager and classic. I due modelli non sono completamente compatibili tra loro.The two models are not completely compatible with each other. Prima di iniziare, è necessario conoscere il modello da usare.Before you begin, you need to know which model that you want to work in. Per informazioni, vedere l'articolo contenente le informazioni sui modelli di distribuzione.For information about the deployment models, see Understanding deployment models. Se non si ha familiarità con Azure, è consigliabile usare il modello di distribuzione Resource Manager.If you are new to Azure, we recommend that you use the Resource Manager deployment model.

Questa tabella viene aggiornata man mano che per questa configurazione diventano disponibili nuovi articoli e altri strumenti.We update this table as new articles and additional tools become available for this configuration. Quando un articolo è disponibile, nella tabella sarà presente un collegamento diretto.When an article is available, we link directly to it from this table.

Modello/metodo di distribuzioneDeployment Model/Method Portale di AzureAzure Portal PowerShellPowerShell
Gestione risorseResource Manager ArticoloArticle SupportatoSupported
ClassicoClassic Non supportatoNot Supported ArticoloArticle

Informazioni sulla connessioneAbout connecting

È possibile connettere più siti locali a una singola rete virtuale.You can connect multiple on-premises sites to a single virtual network. Ciò è particolarmente interessante per la creazione di soluzioni per cloud ibride.This is especially attractive for building hybrid cloud solutions. La creazione di una connessione multisito al gateway della rete virtuale di Azure è simile alla creazione di altre connessioni da sito a sito.Creating a multi-site connection to your Azure virtual network gateway is similar to creating other Site-to-Site connections. È infatti possibile usare un gateway VPN di Azure esistente, purché il gateway sia dinamico (basato su route).In fact, you can use an existing Azure VPN gateway, as long as the gateway is dynamic (route-based).

Se è già presente un gateway statico connesso alla rete virtuale, è possibile modificare il tipo di gateway in dinamico senza dover ricreare la rete virtuale per adattarla a più siti.If you already have a static gateway connected to your virtual network, you can change the gateway type to dynamic without needing to rebuild the virtual network in order to accommodate multi-site. Prima di modificare il tipo di routing, assicurarsi che il gateway VPN locale supporti le configurazioni VPN basate su route.Before changing the routing type, make sure that your on-premises VPN gateway supports route-based VPN configurations.

diagramma multisitomulti-site diagram

Elementi da considerare:Points to consider

Non sarà possibile usare il portale per apportare modifiche a questa rete virtuale.You won't be able to use the portal to make changes to this virtual network. È necessario apportare modifiche al file di configurazione di rete invece di usare il portale.You need to make changes to the network configuration file instead of using the portal. Se si apportano modifiche nel portale, queste sovrascriveranno le impostazioni di riferimento multisito per questa rete virtuale.If you make changes in the portal, they'll overwrite your multi-site reference settings for this virtual network.

Dovrebbe risultare semplice usando il file di configurazione di rete nel momento in cui è stata completata la procedura multisito.You should feel comfortable using the network configuration file by the time you've completed the multi-site procedure. Tuttavia, se si ci sono più persone che lavorano alla configurazione di rete, è necessario verificare che tutti siano a conoscenza di questa limitazione.However, if you have multiple people working on your network configuration, you'll need to make sure that everyone knows about this limitation. Ciò non significa che non sia possibile usare il portale.This doesn't mean that you can't use the portal at all. È possibile usarlo per qualsiasi operazione, ad eccezione delle modifiche di configurazione a questa particolare rete virtuale.You can use it for everything else, except making configuration changes to this particular virtual network.

Prima di iniziareBefore you begin

Prima di iniziare la configurazione, verificare ci siano le condizioni seguenti:Before you begin configuration, verify that you have the following:

  • Hardware VPN compatibile per ogni sede locale.Compatible VPN hardware for each on-premises location. Controllare le Informazioni sui dispositivi VPN per le connessioni di rete virtuale da sito a sito per verificare se il dispositivo che si intende usare è ritenuto compatibile.Check About VPN Devices for Virtual Network Connectivity to verify if the device that you want to use is something that is known to be compatible.
  • Un indirizzo IP IPv4 pubblico esterno per ogni dispositivo VPN.An externally facing public IPv4 IP address for each VPN device. L’indirizzo IP non può trovarsi dietro un NAT.The IP address cannot be located behind a NAT. Questo è un requisito.This is requirement.
  • È necessario installare l'ultima versione dei cmdlet di Azure PowerShell.You'll need to install the latest version of the Azure PowerShell cmdlets. Assicurarsi di installare la versione Service Management (SM) oltre alla versione Resource Manager (RM).Make sure you install the Service Management (SM) version in addition to the Resource Manager version. Per altre informazioni, vedere Come installare e configurare Azure PowerShell .See How to install and configure Azure PowerShell for more information.
  • Una persona esperta nella configurazione di hardware VPN.Someone who is proficient at configuring your VPN hardware. È necessario avere una conoscenza approfondita di come configurare il proprio dispositivo VPN oppure lavorare insieme una persona esperta in questo campo.You'll have to have a strong understanding of how to configure your VPN device, or work with someone who does.
  • Gli intervalli di indirizzi IP da usare per la propria rete virtuale (se non ne hai già creata una).The IP address ranges that you want to use for your virtual network (if you haven't already created one).
  • Gli intervalli di indirizzi IP per ogni sito della rete locale a cui si effettuerà la connessione.The IP address ranges for each of the local network sites that you'll be connecting to. È necessario verificare che gli intervalli di indirizzi IP per ogni sito della rete locale a cui ci si vuole connettere non si sovrappongano.You'll need to make sure that the IP address ranges for each of the local network sites that you want to connect to do not overlap. In caso contrario, il portale o l'API REST rifiuteranno il caricamento della configurazione.Otherwise, the portal or the REST API will reject the configuration being uploaded.
    Se, ad esempio, ci sono due siti della rete locale che entrambi contengono l'intervallo di indirizzo IP 10.2.3.0/24 e si ha a disposizione un pacchetto con un indirizzo di destinazione 10.2.3.3, Azure non saprà a quale sito si vuole inviare il pacchetto perché gli intervalli degli indirizzi si sovrappongono.For example, if you have two local network sites that both contain the IP address range 10.2.3.0/24 and you have a package with a destination address 10.2.3.3, Azure wouldn't know which site you want to send the package to because the address ranges are overlapping. Per evitare problemi di routing, Azure non consente di caricare un file di configurazione con intervalli che si sovrappongono.To prevent routing issues, Azure doesn't allow you to upload a configuration file that has overlapping ranges.

1. Creare una VPN da sito a sito1. Create a Site-to-Site VPN

Se già si dispone di una VPN da sito a sito con un gateway di routing dinamico, eseguire l'operazione seguente.If you already have a Site-to-Site VPN with a dynamic routing gateway, great! È possibile procedere e iniziare a Esportare le impostazioni di configurazione della rete virtuale.You can proceed to Export the virtual network configuration settings. Se non ne avete una, eseguire le operazioni seguenti:If not, do the following:

Se già si ha a disposizione una rete virtuale da sito a sito, ma con un gateway di routing statico basato su criteri:If you already have a Site-to-Site virtual network, but it has a static (policy-based) routing gateway:

  1. Modificare il tipo di gateway in routing dinamico.Change your gateway type to dynamic routing. Una VPN multisito richiede un gateway di routing dinamico, ovvero basato su route.A multi-site VPN requires a dynamic (also known as route-based) routing gateway. Per modificare il tipo di gateway, è necessario prima eliminare quello esistente e poi crearne uno nuovo.To change your gateway type, you'll need to first delete the existing gateway, then create a new one.
  2. Configurare il nuovo gateway e creare il proprio tunnel VPN.Configure your new gateway and create your VPN tunnel. Per istruzioni vedere Specificare il tipo di SKU e VPN.For instructions, For instructions, see Specify the SKU and VPN type. Assicurarsi di specificare il tipo di routing come "dinamico".Make sure you specify the Routing Type as 'Dynamic'.

Se non si ha a disposizione una rete virtuale da sito a sito:If you don't have a Site-to-Site virtual network:

  1. Creare una rete virtuale da sito a sito usando le istruzioni seguenti: Creare una rete virtuale con una connessione VPN da sito a sito.Create your Site-to-Site virtual network using these instructions: Create a Virtual Network with a Site-to-Site VPN Connection.
  2. Configurare un gateway di routing dinamico usando le istruzioni seguenti: Configurare un gateway VPN.Configure a dynamic routing gateway using these instructions: Configure a VPN Gateway. Assicurarsi di selezionare routing dinamico per il tipo di gateway.Be sure to select dynamic routing for your gateway type.

2. Esportare il file di configurazione di rete2. Export the network configuration file

Esportare il file di configurazione di rete di Azure eseguendo il comando seguente.Export your Azure network configuration file by running the following command. Se necessario è possibile modificare il percorso del file da esportare.You can change the location of the file to export to a different location if necessary.

Get-AzureVNetConfig -ExportToFile C:\AzureNet\NetworkConfig.xml

3. Aprire il file di configurazione di rete3. Open the network configuration file

Aprire il file di configurazione di rete scaricato nell'ultimo passaggio.Open the network configuration file that you downloaded in the last step. Usare qualsiasi editor xml desiderato.Use any xml editor that you like. Il codice dovrebbe essere simile a quello riportato di seguito:The file should look similar to the following:

    <NetworkConfiguration xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns="http://schemas.microsoft.com/ServiceHosting/2011/07/NetworkConfiguration">
      <VirtualNetworkConfiguration>
        <LocalNetworkSites>
          <LocalNetworkSite name="Site1">
            <AddressSpace>
              <AddressPrefix>10.0.0.0/16</AddressPrefix>
              <AddressPrefix>10.1.0.0/16</AddressPrefix>
            </AddressSpace>
            <VPNGatewayAddress>131.2.3.4</VPNGatewayAddress>
          </LocalNetworkSite>
          <LocalNetworkSite name="Site2">
            <AddressSpace>
              <AddressPrefix>10.2.0.0/16</AddressPrefix>
              <AddressPrefix>10.3.0.0/16</AddressPrefix>
            </AddressSpace>
            <VPNGatewayAddress>131.4.5.6</VPNGatewayAddress>
          </LocalNetworkSite>
        </LocalNetworkSites>
        <VirtualNetworkSites>
          <VirtualNetworkSite name="VNet1" AffinityGroup="USWest">
            <AddressSpace>
              <AddressPrefix>10.20.0.0/16</AddressPrefix>
              <AddressPrefix>10.21.0.0/16</AddressPrefix>
            </AddressSpace>
            <Subnets>
              <Subnet name="FE">
                <AddressPrefix>10.20.0.0/24</AddressPrefix>
              </Subnet>
              <Subnet name="BE">
                <AddressPrefix>10.20.1.0/24</AddressPrefix>
              </Subnet>
              <Subnet name="GatewaySubnet">
                <AddressPrefix>10.20.2.0/29</AddressPrefix>
              </Subnet>
            </Subnets>
            <Gateway>
              <ConnectionsToLocalNetwork>
                <LocalNetworkSiteRef name="Site1">
                  <Connection type="IPsec" />
                </LocalNetworkSiteRef>
              </ConnectionsToLocalNetwork>
            </Gateway>
          </VirtualNetworkSite>
        </VirtualNetworkSites>
      </VirtualNetworkConfiguration>
    </NetworkConfiguration>

4. Aggiungere riferimenti a più siti4. Add multiple site references

Quando si aggiungono o rimuovono le informazioni di riferimento ai siti, si apporteranno modifiche alla configurazione in ConnectionsToLocalNetwork/LocalNetworkSiteRef.When you add or remove site reference information, you'll make configuration changes to the ConnectionsToLocalNetwork/LocalNetworkSiteRef. L'aggiunta di un nuovo riferimento a siti locali induce Azure a creare un nuovo tunnel.Adding a new local site reference triggers Azure to create a new tunnel. Nell'esempio seguente, la configurazione di rete è per una connessione a un singolo sito.In the example below, the network configuration is for a single-site connection. Dopo aver apportato le modifiche, salvare il file.Save the file once you have finished making your changes.

  <Gateway>
    <ConnectionsToLocalNetwork>
      <LocalNetworkSiteRef name="Site1"><Connection type="IPsec" /></LocalNetworkSiteRef>
    </ConnectionsToLocalNetwork>
  </Gateway>

Per aggiungere riferimenti ad altri siti (creare una configurazione multisito), è sufficiente aggiungere altre righe "LocalNetworkSiteRef", come illustrato nell'esempio riportato di seguito:To add additional site references (create a multi-site configuration), simply add additional "LocalNetworkSiteRef" lines, as shown in the example below:

  <Gateway>
    <ConnectionsToLocalNetwork>
      <LocalNetworkSiteRef name="Site1"><Connection type="IPsec" /></LocalNetworkSiteRef>
      <LocalNetworkSiteRef name="Site2"><Connection type="IPsec" /></LocalNetworkSiteRef>
    </ConnectionsToLocalNetwork>
  </Gateway>

5. Importare il file di configurazione di rete5. Import the network configuration file

Importare il file di configurazione di rete.Import the network configuration file. Quando si importa questo file con le modifiche, verranno aggiunti i nuovi tunnel.When you import this file with the changes, the new tunnels will be added. I tunnel useranno il gateway dinamico creato in precedenza.The tunnels will use the dynamic gateway that you created earlier. È possibile usare PowerShell per importare il file.You can use PowerShell to import the file.

6. Chiavi di download6. Download keys

Una volta che sono stati aggiunti i nuovi tunnel, usare i cmdlet di PowerShell "Get-AzureVNetGatewayKey" per ottenere le chiavi precondivise IPsec/IKE per ogni tunnel.Once your new tunnels have been added, use the PowerShell cmdlet 'Get-AzureVNetGatewayKey' to get the IPsec/IKE pre-shared keys for each tunnel.

Ad esempio: For example:

Get-AzureVNetGatewayKey –VNetName "VNet1" –LocalNetworkSiteName "Site1"
Get-AzureVNetGatewayKey –VNetName "VNet1" –LocalNetworkSiteName "Site2"

Se si preferisce, è possibile usare anche l'API REST Ottenere la chiave condivisa del gateway di rete virtuale per ottenere le chiavi precondivise.If you prefer, you can also use the Get Virtual Network Gateway Shared Key REST API to get the pre-shared keys.

7. Verificare le connessioni7. Verify your connections

Verificare lo stato del tunnel multisito.Check the multi-site tunnel status. Dopo aver scaricato le chiavi per ogni tunnel, è opportuno verificare le connessioni.After downloading the keys for each tunnel, you'll want to verify connections. Usare "Get-AzureVnetConnection" per ottenere un elenco di tunnel di reti virtuali, come illustrato nell'esempio seguente.Use 'Get-AzureVnetConnection' to get a list of virtual network tunnels, as shown in the example below. VNet1 è il nome della rete virtuale.VNet1 is the name of the VNet.

Get-AzureVnetConnection -VNetName VNET1

Esempio restituito:Example return:

    ConnectivityState         : Connected
    EgressBytesTransferred    : 661530
    IngressBytesTransferred   : 519207
    LastConnectionEstablished : 5/2/2014 2:51:40 PM
    LastEventID               : 23401
    LastEventMessage          : The connectivity state for the local network site 'Site1' changed from Not Connected to Connected.
    LastEventTimeStamp        : 5/2/2014 2:51:40 PM
    LocalNetworkSiteName      : Site1
    OperationDescription      : Get-AzureVNetConnection
    OperationId               : 7f68a8e6-51e9-9db4-88c2-16b8067fed7f
    OperationStatus           : Succeeded

    ConnectivityState         : Connected
    EgressBytesTransferred    : 789398
    IngressBytesTransferred   : 143908
    LastConnectionEstablished : 5/2/2014 3:20:40 PM
    LastEventID               : 23401
    LastEventMessage          : The connectivity state for the local network site 'Site2' changed from Not Connected to Connected.
    LastEventTimeStamp        : 5/2/2014 2:51:40 PM
    LocalNetworkSiteName      : Site2
    OperationDescription      : Get-AzureVNetConnection
    OperationId               : 7893b329-51e9-9db4-88c2-16b8067fed7f
    OperationStatus           : Succeeded

Passaggi successiviNext steps

Per altre informazioni sui gateway VPN, vedere Informazioni sui gateway VPN.To learn more about VPN Gateways, see About VPN Gateways.