Pianificazione e progettazione per il gateway VPN

Le operazioni di pianificazione e progettazione di connessioni cross-premise e da rete virtuale a rete virtuale possono essere molto semplici o piuttosto complicate, a seconda delle esigenze di rete. Questo articolo illustra in dettaglio alcune considerazioni di base sulla progettazione e sulla pianificazione.

Pianificazione

Opzioni di connettività di più sedi locali

Se si desidera connettere i siti locali in modo sicuro a una rete virtuale, sono disponibili tre modi diversi: Da sito a sito, Da punto a sito ed ExpressRoute. Confrontare le diverse connessioni cross-premise disponibili. La scelta dell'opzione può dipendere da diversi fattori, ad esempio:

  • Che tipo di velocità effettiva richiede la soluzione?
  • Si desidera comunicare sulla rete Internet pubblica tramite VPN sicura o tramite una connessione privata?
  • Si ha un indirizzo IP pubblico disponibile per l'utilizzo?
  • Si prevede di utilizzare un dispositivo VPN? In tal caso, è compatibile?
  • Si connette un numero limitato di computer o si desidera una connessione permanente per il sito?
  • Che tipo di gateway VPN è necessario per la soluzione che si desidera creare?
  • Quale SKU del gateway è opportuno usare?

Tabella di pianificazione

La tabella seguente può aiutare nella scelta della migliore opzione di connettività per la soluzione.

Da punto a sito Da sito a sito ExpressRoute
Servizi supportati di Azure Servizi cloud e Macchine virtuali Servizi cloud e Macchine virtuali Elenco dei servizi
Larghezze di banda tipiche Aggregazione tipica < 100 Mbps Aggregazione tipica < 1 Gbps 50 Mbps, 100 Mbps, 200 Mbps, 500 Mbps, 1 Gbps, 2 Gbps, 5 Gbps, 10 Gbps
Protocolli supportati Secure Socket Tunneling Protocol (SSTP) IPsec Connessione diretta su VLAN, tecnologie VPN del provider (MPLS, VPLS, ecc.)
Routing RouteBased (dinamico) Sono supportati il routing PolicyBased (routing statico) e il routing RouteBased (VPN routing dinamico) BGP
Resilienza della connessione attiva-passiva attiva-passiva o attiva-attiva attiva-attiva
Caso d'uso tipico Creazione di prototipi, scenari di sviluppo/test /laboratorio per servizi cloud e macchine virtuali Scenari di sviluppo/test/laboratorio e carichi di lavoro di produzione su scala ridotta per servizi cloud e macchine virtuali Accesso a tutti i servizi di Azure (elenco convalidato), carichi di lavoro aziendali e di importanza strategica, backup, Big Data, Azure come sito di ripristino di emergenza
CONTRATTO DI SERVIZIO CONTRATTO DI SERVIZIO CONTRATTO DI SERVIZIO CONTRATTO DI SERVIZIO
Prezzi Prezzi Prezzi Prezzi
Documentazione tecnica Documentazione del gateway VPN Documentazione del gateway VPN Documentazione di ExpressRoute
DOMANDE FREQUENTI Domande frequenti sul gateway VPN Domande frequenti sul gateway VPN Domande frequenti su ExpressRoute

SKU del gateway

Azure offre gli SKU del gateway VPN seguenti:

SKU Tunnel S2S/
rete virtuale-rete virtuale
Connessioni
P2S
Benchmark
velocità effettiva aggregata
VpnGw1 Max. 30 Max. 128 650 Mbps
VpnGw2 Max. 30 Max. 128 1 Gbps
VpnGw3 Max. 30 Max. 128 1,25 Gbps
Basic Max. 10 Max. 128 100 Mbps
  • Il benchmark della velocità effettiva aggregata si basa sulle misurazioni di più tunnel aggregati tramite un singolo gateway. Non è una velocità effettiva garantita, poiché può variare anche in funzione delle condizioni del traffico Internet e dei comportamenti dell'applicazione.

  • Le informazioni sui prezzi sono disponibili nella pagina Prezzi .

  • Le informazioni sul contratto di servizio sono disponibili nella pagina SLA (Contratto di servizio).

Flusso di lavoro

L'elenco seguente descrive il flusso di lavoro comune per la connettività cloud:

  1. Progettare e pianificare la topologia di connettività ed elencare gli spazi di indirizzi per tutte le reti a cui connettersi.
  2. Creare una rete virtuale di Azure
  3. Creare un gateway VPN per la rete virtuale.
  4. Creare e configurare le connessioni a reti locali o altre reti virtuali, se necessario.
  5. Creare e configurare una connessione Da punto a sito per il gateway VPN di Azure, se necessario.

Progettazione

Topologie di connessione

Per prima cosa, consultare i diagrammi nell'articolo Informazioni sul gateway VPN . Questo articolo contiene i diagrammi di base, i modelli di distribuzione per ogni topologia e gli strumenti di distribuzione che è possibile usare per distribuire la configurazione.

Nozioni di base sulla progettazione

Le sezioni seguenti illustrano le nozioni di base del gateway VPN.

Limiti dei servizi di rete

Scorrere le tabelle per visualizzare i limiti dei servizi di rete. I limiti elencati potrebbero influire sulla progettazione.

Informazioni sulle subnet

Quando si creano le connessioni, è necessario considerare gli intervalli di indirizzi della subnet. Gli intervalli di indirizzi della subnet non possono sovrapporsi. Per subnet sovrapposta si intende una rete virtuale o una posizione locale che contiene lo stesso spazio di indirizzi dell'altra. È necessario che i tecnici di rete che si occupano delle reti locali definiscano un intervallo da usare per la subnet o lo spazio di indirizzi IP di Azure. È necessario avere uno spazio di indirizzi che non viene usato nella rete locale.

È importante evitare che le subnet si sovrappongano anche quando si utilizzano connessioni Da rete virtuale a rete virtuale. La creazione di una connessione Da rete virtuale a rete virtuale non riuscirà se le subnet si sovrappongono e un indirizzo IP è presente sia nella rete virtuale di origine che in quella di destinazione. Azure non potrà instradare i dati all'altra rete virtuale, perché l'indirizzo di destinazione fa parte della rete virtuale di origine.

I gateway VPN richiedono una subnet specifica chiamata subnet del gateway. Per poter funzionare correttamente, tutte le subnet del gateway devono essere denominate GatewaySubnet. Assicurarsi di non assegnare alla subnet gateway un nome diverso e non distribuire VM o altri elementi alla subnet gateway. Vedere Subnet del gateway.

Informazioni sui gateway di rete locali

Il gateway di rete locale in genere fa riferimento al percorso locale. Nel modello di distribuzione classica il gateway di rete locale è definito come sito di rete locale. Quando si configura un gateway di rete locale, si assegna un nome, si specifica l'indirizzo IP pubblico del dispositivo VPN locale e si indicano i prefissi di indirizzo che si trovano nel percorso locale. Azure esamina i prefissi di indirizzo di destinazione per il traffico di rete, consulta la configurazione specificata per il gateway di rete locale e indirizza i pacchetti di conseguenza. È possibile modificare i prefissi di indirizzo in base alle esigenze. Per altre informazioni, vedere Gateway di rete locali.

Informazioni sui tipi di gateway

È importante selezione il tipo di gateway corretto per la topologia in uso. Se si seleziona il tipo errato, il gateway non funzionerà correttamente. Il tipo di gateway specifica il modo in cui il gateway stesso si connette ed è un'impostazione di configurazione necessaria per il modello di distribuzione di Azure Resource Manager.

Ecco i tipi di gateway VPN:

  • VPN
  • ExpressRoute

Informazioni sui tipi di connessione

Ogni configurazione richiede un tipo di connessione specifico. Ecco i tipi di connessione:

  • IPsec
  • Vnet2Vnet
  • ExpressRoute
  • VPNClient

Informazioni sui tipi di VPN

Ogni configurazione richiede un tipo di VPN specifico. Se si combinano due configurazioni, ad esempio creando una connessione da sito a sito e una connessione da punto a sito alla stessa rete virtuale, è necessario usare un tipo di VPN che soddisfi i requisiti di entrambe le connessioni.

  • PolicyBased: nel modello di distribuzione classica le VPN di questo tipo sono definite gateway con routing statico. Le VPN basate su criteri crittografano e reindirizzano i pacchetti tramite tunnel IPsec basati sui criteri IPsec configurati con le combinazioni di prefissi di indirizzo tra la rete locale e la rete virtuale di Azure. I criteri o selettori di traffico vengono in genere definiti come un elenco di accesso nella configurazione del dispositivo VPN. Il valore per una VPN basata su criteri è PolicyBased. Quando si usa una VPN PolicyBased, tenere presenti le limitazioni seguenti:

    • Le VPN PolicyBased possono essere usate solo su SKU del gateway Basic. Questo tipo di VPN non è compatibile con altri SKU del gateway.
    • Quando si usa una VPN PolicyBased, è disponibile solo 1 tunnel.
    • Queste VPN possono essere usate solo per connessioni S2S ed esclusivamente per determinate configurazioni. La maggior parte delle configurazioni di gateway VPN richiede una VPN RouteBased.
  • RouteBased: nel modello di distribuzione classica le VPN di questo tipo erano definite gateway con routing dinamico. Le VPN RouteBased usano "route" nella tabella di routing o di inoltro IP per reindirizzare i pacchetti nelle interfacce tunnel corrispondenti. Le interfacce tunnel consentono quindi di crittografare o decrittografare i pacchetti all'interno e all'esterno dei tunnel. I criteri o il selettore di traffico per le VPN RouteBased vengono configurati come any-to-any (o caratteri jolly). Il valore per un tipo di VPN RouteBased è RouteBased.

Le tabelle seguenti mostrano il tipo di VPN e il relativo mapping a ogni configurazione di connessione. Assicurarsi che il tipo di VPN per il gateway corrisponda alla configurazione che si vuole creare.

Tipo VPN - modello di distribuzione Resource Manager

RouteBased PolicyBased
Da sito a sito Supportato Supportato
Tra reti virtuali Supportato Non supportato
Multisito Supportato Non supportato
Coesistenza tra Da sito a sito ed ExpressRoute Supportato Non supportato
Da punto a sito Supportato Non supportato
Classico a Gestione risorse Supportato Non supportato

Tipo VPN - modello di distribuzione classica

Dinamico Statico
Da sito a sito Supportato Supportato
Tra reti virtuali Supportato Non supportato
Multisito Supportato Non supportato
Coesistenza tra Da sito a sito ed ExpressRoute Supportato Non supportato
Da punto a sito Supportato Non supportato
Classico a Gestione risorse Supportato Non supportato

Dispositivi VPN per connessioni da sito a sito

Per configurare una connessione da sito a sito, indipendentemente dal modello di distribuzione, sono necessari gli elementi seguenti:

  • Un dispositivo VPN compatibile con i gateway VPN di Azure
  • Un indirizzo IP IPv4 pubblico che non si trovi dietro un NAT

È necessario avere esperienza nella configurazione del dispositivo VPN oppure chiedere a qualcuno di farlo al proprio posto.

Per informazioni sulla configurazione, vedere i collegamenti seguenti:

Prendere in considerazione il routing con tunneling forzato

Per la maggior parte delle configurazioni è possibile impostare il tunneling forzato. Il tunneling forzato consente di reindirizzare o "forzare" tutto il traffico associato a Internet verso la posizione locale tramite un tunnel VPN da sito a sito per l'ispezione e il controllo. Si tratta di un requisito di sicurezza critico per la maggior parte dei criteri IT aziendali.

Senza il tunneling forzato, il traffico associato a Internet dalle macchine virtuali in Azure raggiungerà direttamente Internet attraversando sempre l'infrastruttura di rete di Azure, senza l'opzione che consente di ispezionare o controllare il traffico. L'accesso a Internet non autorizzato potrebbe provocare la divulgazione di informazioni o altri tipi di violazioni della sicurezza.

È possibile configurare una connessione di tunneling forzato in entrambi i modelli di distribuzione e tramite strumenti diversi. Per altre informazioni, vedere Configurare il tunneling forzato.

Diagramma tunneling forzato

Diagramma di tunneling forzato di Gateway VPN di Azure

Passaggi successivi

Per altre informazioni che aiutano a semplificare la progettazione, vedere gli articoli Domande frequenti sul gateway VPN e Informazioni sui gateway VPN.

Per altre informazioni sulle impostazioni specifiche del gateway, vedere Informazioni sulle impostazioni del gateway VPN.