Pianificazione e progettazione per il gateway VPNPlanning and design for VPN Gateway

Le operazioni di pianificazione e progettazione di connessioni cross-premise e da rete virtuale a rete virtuale possono essere molto semplici o piuttosto complicate, a seconda delle esigenze di rete.Planning and designing your cross-premises and VNet-to-VNet configurations can be either simple, or complicated, depending on your networking needs. Questo articolo illustra in dettaglio alcune considerazioni di base sulla progettazione e sulla pianificazione.This article walks you through basic planning and design considerations.

PianificazionePlanning

Opzioni di connettività di più sedi localiCross-premises connectivity options

Se si desidera connettere i siti locali in modo sicuro a una rete virtuale, sono disponibili tre modi diversi: Da sito a sito, Da punto a sito ed ExpressRoute.If you want to connect your on-premises sites securely to a virtual network, you have three different ways to do so: Site-to-Site, Point-to-Site, and ExpressRoute. Confrontare le diverse connessioni cross-premise disponibili.Compare the different cross-premises connections that are available. La scelta dell'opzione può dipendere da diversi fattori, ad esempio:The option you choose can depend on various considerations, such as:

  • Che tipo di velocità effettiva richiede la soluzione?What kind of throughput does your solution require?
  • Si desidera comunicare sulla rete Internet pubblica tramite VPN sicura o tramite una connessione privata?Do you want to communicate over the public Internet via secure VPN, or over a private connection?
  • Si ha un indirizzo IP pubblico disponibile per l'utilizzo?Do you have a public IP address available to use?
  • Si prevede di utilizzare un dispositivo VPN?Are you planning to use a VPN device? In tal caso, è compatibile?If so, is it compatible?
  • Si connette un numero limitato di computer o si desidera una connessione permanente per il sito?Are you connecting just a few computers, or do you want a persistent connection for your site?
  • Che tipo di gateway VPN è necessario per la soluzione che si desidera creare?What type of VPN gateway is required for the solution you want to create?
  • Quale SKU del gateway è opportuno usare?Which gateway SKU should you use?

Tabella di pianificazionePlanning table

La tabella seguente può aiutare nella scelta della migliore opzione di connettività per la soluzione.The following table can help you decide the best connectivity option for your solution.

Da punto a sitoPoint-to-Site Da sito a sitoSite-to-Site ExpressRouteExpressRoute
Servizi supportati di AzureAzure Supported Services Servizi cloud e Macchine virtualiCloud Services and Virtual Machines Servizi cloud e Macchine virtualiCloud Services and Virtual Machines Elenco dei serviziServices list
Larghezze di banda tipicheTypical Bandwidths Aggregazione tipica < 100 MbpsTypically < 100 Mbps aggregate Aggregazione tipica < 1 GbpsTypically < 1 Gbps aggregate 50 Mbps, 100 Mbps, 200 Mbps, 500 Mbps, 1 Gbps, 2 Gbps, 5 Gbps, 10 Gbps50 Mbps, 100 Mbps, 200 Mbps, 500 Mbps, 1 Gbps, 2 Gbps, 5 Gbps, 10 Gbps
Protocolli supportatiProtocols Supported Secure Socket Tunneling Protocol (SSTP)Secure Sockets Tunneling Protocol (SSTP) IPsecIPsec Connessione diretta su VLAN, tecnologie VPN del provider (MPLS, VPLS, ecc.)Direct connection over VLANs, NSP's VPN technologies (MPLS, VPLS,...)
RoutingRouting RouteBased (dinamico)RouteBased (dynamic) Sono supportati il routing PolicyBased (routing statico) e il routing RouteBased (VPN routing dinamico)We support PolicyBased (static routing) and RouteBased (dynamic routing VPN) BGPBGP
Resilienza della connessioneConnection resiliency attiva-passivaactive-passive attiva-passiva o attiva-attivaactive-passive or active-active attiva-attivaactive-active
Caso d'uso tipicoTypical use case Creazione di prototipi, scenari di sviluppo/test /laboratorio per servizi cloud e macchine virtualiPrototyping, dev / test / lab scenarios for cloud services and virtual machines Scenari di sviluppo/test/laboratorio e carichi di lavoro di produzione su scala ridotta per servizi cloud e macchine virtualiDev / test / lab scenarios and small scale production workloads for cloud services and virtual machines Accesso a tutti i servizi di Azure (elenco convalidato), carichi di lavoro aziendali e di importanza strategica, backup, Big Data, Azure come sito di ripristino di emergenzaAccess to all Azure services (validated list), Enterprise-class and mission critical workloads, Backup, Big Data, Azure as a DR site
CONTRATTO DI SERVIZIOSLA CONTRATTO DI SERVIZIOSLA CONTRATTO DI SERVIZIOSLA CONTRATTO DI SERVIZIOSLA
PrezziPricing PrezziPricing PrezziPricing PrezziPricing
Documentazione tecnicaTechnical Documentation Documentazione del gateway VPNVPN Gateway Documentation Documentazione del gateway VPNVPN Gateway Documentation Documentazione di ExpressRouteExpressRoute Documentation
DOMANDE FREQUENTIFAQ Domande frequenti sul gateway VPNVPN Gateway FAQ Domande frequenti sul gateway VPNVPN Gateway FAQ Domande frequenti su ExpressRouteExpressRoute FAQ

SKU del gatewayGateway SKUs

Azure offre gli SKU del gateway VPN seguenti:Azure offers the following VPN gateway SKUs:

SKUSKU Tunnel S2S/
rete virtuale-rete virtuale
S2S/VNet-to-VNet
Tunnels
Connessioni
P2S
P2S
Connections
Benchmark
velocità effettiva aggregata
Aggregate
Throughput Benchmark
VpnGw1VpnGw1 Max.Max. 3030 Max.Max. 128128 650 Mbps650 Mbps
VpnGw2VpnGw2 Max.Max. 3030 Max.Max. 128128 1 Gbps1 Gbps
VpnGw3VpnGw3 Max.Max. 3030 Max.Max. 128128 1,25 Gbps1.25 Gbps
BasicBasic Max.Max. 1010 Max.Max. 128128 100 Mbps100 Mbps
  • Il benchmark della velocità effettiva aggregata si basa sulle misurazioni di più tunnel aggregati tramite un singolo gateway.Aggregate Throughput Benchmark is based on measurements of multiple tunnels aggregated through a single gateway. Non è una velocità effettiva garantita, poiché può variare anche in funzione delle condizioni del traffico Internet e dei comportamenti dell'applicazione.It is not a guaranteed throughput due to Internet traffic conditions and your application behaviors.

  • Le informazioni sui prezzi sono disponibili nella pagina Prezzi .Pricing information can be found on the Pricing page.

  • Le informazioni sul contratto di servizio sono disponibili nella pagina SLA (Contratto di servizio).SLA (Service Level Agreement) information can be found on the SLA page.

Flusso di lavoroWorkflow

L'elenco seguente descrive il flusso di lavoro comune per la connettività cloud:The following list outlines the common workflow for cloud connectivity:

  1. Progettare e pianificare la topologia di connettività ed elencare gli spazi di indirizzi per tutte le reti a cui connettersi.Design and plan your connectivity topology and list the address spaces for all networks you want to connect.
  2. Creare una rete virtuale di AzureCreate an Azure virtual network.
  3. Creare un gateway VPN per la rete virtuale.Create a VPN gateway for the virtual network.
  4. Creare e configurare le connessioni a reti locali o altre reti virtuali, se necessario.Create and configure connections to on-premises networks or other virtual networks (as needed).
  5. Creare e configurare una connessione Da punto a sito per il gateway VPN di Azure, se necessario.Create and configure a Point-to-Site connection for your Azure VPN gateway (as needed).

ProgettazioneDesign

Topologie di connessioneConnection topologies

Per prima cosa, consultare i diagrammi nell'articolo Informazioni sul gateway VPN .Start by looking at the diagrams in the About VPN Gateway article. Questo articolo contiene i diagrammi di base, i modelli di distribuzione per ogni topologia e gli strumenti di distribuzione che è possibile usare per distribuire la configurazione.The article contains basic diagrams, the deployment models for each topology, and the available deployment tools you can use to deploy your configuration.

Nozioni di base sulla progettazioneDesign basics

Le sezioni seguenti illustrano le nozioni di base del gateway VPN.The following sections discuss the VPN gateway basics.

Limiti dei servizi di reteNetworking services limits

Scorrere le tabelle per visualizzare i limiti dei servizi di rete.Scroll through the tables to view networking services limits. I limiti elencati potrebbero influire sulla progettazione.The limits listed may impact your design.

Informazioni sulle subnetAbout subnets

Quando si creano le connessioni, è necessario considerare gli intervalli di indirizzi della subnet.When you are creating connections, you must consider your subnet ranges. Gli intervalli di indirizzi della subnet non possono sovrapporsi.You cannot have overlapping subnet address ranges. Per subnet sovrapposta si intende una rete virtuale o una posizione locale che contiene lo stesso spazio di indirizzi dell'altra.An overlapping subnet is when one virtual network or on-premises location contains the same address space that the other location contains. È necessario che i tecnici di rete che si occupano delle reti locali definiscano un intervallo da usare per la subnet o lo spazio di indirizzi IP di Azure.This means that you need your network engineers for your local on-premises networks to carve out a range for you to use for your Azure IP addressing space/subnets. È necessario avere uno spazio di indirizzi che non viene usato nella rete locale.You need address space that is not being used on the local on-premises network.

È importante evitare che le subnet si sovrappongano anche quando si utilizzano connessioni Da rete virtuale a rete virtuale.Avoiding overlapping subnets is also important when you are working with VNet-to-VNet connections. La creazione di una connessione Da rete virtuale a rete virtuale non riuscirà se le subnet si sovrappongono e un indirizzo IP è presente sia nella rete virtuale di origine che in quella di destinazione.If your subnets overlap and an IP address exists in both the sending and destination VNets, VNet-to-VNet connections fail. Azure non potrà instradare i dati all'altra rete virtuale, perché l'indirizzo di destinazione fa parte della rete virtuale di origine.Azure can't route the data to the other VNet because the destination address is part of the sending VNet.

I gateway VPN richiedono una subnet specifica chiamata subnet del gateway.VPN Gateways require a specific subnet called a gateway subnet. Per poter funzionare correttamente, tutte le subnet del gateway devono essere denominate GatewaySubnet.All gateway subnets must be named GatewaySubnet to work properly. Assicurarsi di non assegnare alla subnet gateway un nome diverso e non distribuire VM o altri elementi alla subnet gateway.Be sure not to name your gateway subnet a different name, and don't deploy VMs or anything else to the gateway subnet. Vedere Subnet del gateway.See Gateway Subnets.

Informazioni sui gateway di rete localiAbout local network gateways

Il gateway di rete locale in genere fa riferimento al percorso locale.The local network gateway typically refers to your on-premises location. Nel modello di distribuzione classica il gateway di rete locale è definito come sito di rete locale.In the classic deployment model, the local network gateway is referred to as a Local Network Site. Quando si configura un gateway di rete locale, si assegna un nome, si specifica l'indirizzo IP pubblico del dispositivo VPN locale e si indicano i prefissi di indirizzo che si trovano nel percorso locale.When you configure a local network gateway, you give it a name, specify the public IP address of the on-premises VPN device, and specify the address prefixes that are in the on-premises location. Azure esamina i prefissi di indirizzo di destinazione per il traffico di rete, consulta la configurazione specificata per il gateway di rete locale e indirizza i pacchetti di conseguenza.Azure looks at the destination address prefixes for network traffic, consults the configuration that you have specified for the local network gateway, and routes packets accordingly. È possibile modificare i prefissi di indirizzo in base alle esigenze.You can modify the address prefixes as needed. Per altre informazioni, vedere Gateway di rete locali.For more information, see Local network gateways.

Informazioni sui tipi di gatewayAbout gateway types

È importante selezione il tipo di gateway corretto per la topologia in uso.Selecting the correct gateway type for your topology is critical. Se si seleziona il tipo errato, il gateway non funzionerà correttamente.If you select the wrong type, your gateway won't work properly. Il tipo di gateway specifica il modo in cui il gateway stesso si connette ed è un'impostazione di configurazione necessaria per il modello di distribuzione di Azure Resource Manager.The gateway type specifies how the gateway itself connects and is a required configuration setting for the Resource Manager deployment model.

Ecco i tipi di gateway VPN:The gateway types are:

  • VPNVpn
  • ExpressRouteExpressRoute

Informazioni sui tipi di connessioneAbout connection types

Ogni configurazione richiede un tipo di connessione specifico.Each configuration requires a specific connection type. Ecco i tipi di connessione:The connection types are:

  • IPsecIPsec
  • Vnet2VnetVnet2Vnet
  • ExpressRouteExpressRoute
  • VPNClientVPNClient

Informazioni sui tipi di VPNAbout VPN types

Ogni configurazione richiede un tipo di VPN specifico.Each configuration requires a specific VPN type. Se si combinano due configurazioni, ad esempio creando una connessione da sito a sito e una connessione da punto a sito alla stessa rete virtuale, è necessario usare un tipo di VPN che soddisfi i requisiti di entrambe le connessioni.If you are combining two configurations, such as creating a Site-to-Site connection and a Point-to-Site connection to the same VNet, you must use a VPN type that satisfies both connection requirements.

  • PolicyBased: nel modello di distribuzione classica le VPN di questo tipo sono definite gateway con routing statico.PolicyBased: PolicyBased VPNs were previously called static routing gateways in the classic deployment model. Le VPN basate su criteri crittografano e reindirizzano i pacchetti tramite tunnel IPsec basati sui criteri IPsec configurati con le combinazioni di prefissi di indirizzo tra la rete locale e la rete virtuale di Azure.Policy-based VPNs encrypt and direct packets through IPsec tunnels based on the IPsec policies configured with the combinations of address prefixes between your on-premises network and the Azure VNet. I criteri o selettori di traffico vengono in genere definiti come un elenco di accesso nella configurazione del dispositivo VPN.The policy (or traffic selector) is usually defined as an access list in the VPN device configuration. Il valore per una VPN basata su criteri è PolicyBased.The value for a PolicyBased VPN type is PolicyBased. Quando si usa una VPN PolicyBased, tenere presenti le limitazioni seguenti:When using a PolicyBased VPN, keep in mind the following limitations:

    • Le VPN PolicyBased possono essere usate solo su SKU del gateway Basic.PolicyBased VPNs can only be used on the Basic gateway SKU. Questo tipo di VPN non è compatibile con altri SKU del gateway.This VPN type is not compatible with other gateway SKUs.
    • Quando si usa una VPN PolicyBased, è disponibile solo 1 tunnel.You can have only 1 tunnel when using a PolicyBased VPN.
    • Queste VPN possono essere usate solo per connessioni S2S ed esclusivamente per determinate configurazioni.You can only use PolicyBased VPNs for S2S connections, and only for certain configurations. La maggior parte delle configurazioni di gateway VPN richiede una VPN RouteBased.Most VPN Gateway configurations require a RouteBased VPN.
  • RouteBased: nel modello di distribuzione classica le VPN di questo tipo erano definite gateway con routing dinamico.RouteBased: RouteBased VPNs were previously called dynamic routing gateways in the classic deployment model. Le VPN RouteBased usano "route" nella tabella di routing o di inoltro IP per reindirizzare i pacchetti nelle interfacce tunnel corrispondenti.RouteBased VPNs use "routes" in the IP forwarding or routing table to direct packets into their corresponding tunnel interfaces. Le interfacce tunnel consentono quindi di crittografare o decrittografare i pacchetti all'interno e all'esterno dei tunnel.The tunnel interfaces then encrypt or decrypt the packets in and out of the tunnels. I criteri o il selettore di traffico per le VPN RouteBased vengono configurati come any-to-any (o caratteri jolly).The policy (or traffic selector) for RouteBased VPNs are configured as any-to-any (or wild cards). Il valore per un tipo di VPN RouteBased è RouteBased.The value for a RouteBased VPN type is RouteBased.

Le tabelle seguenti mostrano il tipo di VPN e il relativo mapping a ogni configurazione di connessione.The following tables show the VPN type as it maps to each connection configuration. Assicurarsi che il tipo di VPN per il gateway corrisponda alla configurazione che si vuole creare.Make sure the VPN type for your gateway matches the configuration that you want to create.

Tipo VPN - modello di distribuzione Resource ManagerVPN type - Resource Manager deployment model

RouteBasedRouteBased PolicyBasedPolicyBased
Da sito a sitoSite-to-Site SupportatoSupported SupportatoSupported
Tra reti virtualiVNet-to-VNet SupportatoSupported Non supportatoNot Supported
MultisitoMulti-Site SupportatoSupported Non supportatoNot Supported
Coesistenza tra Da sito a sito ed ExpressRouteS2S and ExpressRoute coexist SupportatoSupported Non supportatoNot Supported
Da punto a sitoPoint-to-Site SupportatoSupported Non supportatoNot Supported
Classico a Gestione risorseClassic to Resource Manager SupportatoSupported Non supportatoNot Supported

Tipo VPN - modello di distribuzione classicaVPN type - classic deployment model

DinamicoDynamic StaticoStatic
Da sito a sitoSite-to-Site SupportatoSupported SupportatoSupported
Tra reti virtualiVNet-to-VNet SupportatoSupported Non supportatoNot Supported
MultisitoMulti-Site SupportatoSupported Non supportatoNot Supported
Coesistenza tra Da sito a sito ed ExpressRouteS2S and ExpressRoute coexist SupportatoSupported Non supportatoNot Supported
Da punto a sitoPoint-to-Site SupportatoSupported Non supportatoNot Supported
Classico a Gestione risorseClassic to Resource Manager SupportatoSupported Non supportatoNot Supported

Dispositivi VPN per connessioni da sito a sitoVPN devices for Site-to-Site connections

Per configurare una connessione da sito a sito, indipendentemente dal modello di distribuzione, sono necessari gli elementi seguenti:To configure a Site-to-Site connection, regardless of deployment model, you need the following items:

  • Un dispositivo VPN compatibile con i gateway VPN di AzureA VPN device that is compatible with Azure VPN gateways
  • Un indirizzo IP IPv4 pubblico che non si trovi dietro un NATA public-facing IPv4 IP address that is not behind a NAT

È necessario avere esperienza nella configurazione del dispositivo VPN oppure chiedere a qualcuno di farlo al proprio posto.You need to have experience configuring your VPN device, or have someone that can configure the device for you.

Per informazioni sulla configurazione, vedere i collegamenti seguenti:See the following links for configuration information:

Prendere in considerazione il routing con tunneling forzatoConsider forced tunnel routing

Per la maggior parte delle configurazioni è possibile impostare il tunneling forzato.For most configurations, you can configure forced tunneling. Il tunneling forzato consente di reindirizzare o "forzare" tutto il traffico associato a Internet verso la posizione locale tramite un tunnel VPN da sito a sito per l'ispezione e il controllo.Forced tunneling lets you redirect or "force" all Internet-bound traffic back to your on-premises location via a Site-to-Site VPN tunnel for inspection and auditing. Si tratta di un requisito di sicurezza critico per la maggior parte dei criteri IT aziendali.This is a critical security requirement for most enterprise IT policies.

Senza il tunneling forzato, il traffico associato a Internet dalle macchine virtuali in Azure raggiungerà direttamente Internet attraversando sempre l'infrastruttura di rete di Azure, senza l'opzione che consente di ispezionare o controllare il traffico.Without forced tunneling, Internet-bound traffic from your VMs in Azure will always traverse from Azure network infrastructure directly out to the Internet, without the option to allow you to inspect or audit the traffic. L'accesso a Internet non autorizzato potrebbe provocare la divulgazione di informazioni o altri tipi di violazioni della sicurezza.Unauthorized Internet access can potentially lead to information disclosure or other types of security breaches.

È possibile configurare una connessione di tunneling forzato in entrambi i modelli di distribuzione e tramite strumenti diversi.A forced tunneling connection can be configured in both deployment models and by using different tools. Per altre informazioni, vedere Configurare il tunneling forzato.For more information, see Configure forced tunneling.

Diagramma tunneling forzatoForced tunneling diagram

Diagramma di tunneling forzato di Gateway VPN di Azure

Passaggi successiviNext steps

Per altre informazioni che aiutano a semplificare la progettazione, vedere gli articoli Domande frequenti sul gateway VPN e Informazioni sui gateway VPN.See the VPN Gateway FAQ and About VPN Gateway articles for more information to help you with your design.

Per altre informazioni sulle impostazioni specifiche del gateway, vedere Informazioni sulle impostazioni del gateway VPN.For more information about specific gateway settings, see About VPN Gateway Settings.