Implementare le opzioni VPN di Azure

  • 13 minuti

I data center di Contoso supportano la connettività remota, in modo che gli utenti possano lavorare in remoto. Alcune succursali sono inoltre connesse al data center della sede centrale tramite VPN da sito a sito. In qualità di responsabile del sistema, è necessario implementare una soluzione VPN che consenta il supporto continuo per gli scenari d'uso correnti.

Progettazione del gateway VPN

Usando un gateway di Azure, è possibile implementare i vari tipi di connessioni VPN seguenti per soddisfare le esigenze aziendali:

  • eBGP
  • Multisito
  • Da punto a sito
  • Da rete virtuale a rete virtuale

Da sito a sito

Si implementa una connessione da sito a sito tramite i protocolli IPsec (Internet Protocol Security) e IKE (Internet Key Exchange). Usare le connessioni da sito a sito per supportare le configurazioni tra più sedi locali e ibride. Per implementare una connessione da sito a sito, è necessario disporre di un dispositivo VPN con un indirizzo IP pubblico, come indicato nel diagramma seguente.

A diagram of a typical S2S VPN configuration. A VNet (IP: 10.10.0.0/16) labelled VNet1 connects via a VPN Gateway device (IP: 131.1.1.) through an IPsec/IKE VPN tunnel to a VPN device (IP: 33.2.1.5) in LocalSite1 at the head office.

Multisito

Una connessione multisito è una variante della connessione da sito a sito. Con questo tipo di connessione, è possibile creare più di una connessione VPN dal gateway di rete virtuale. Quando si implementano connessioni multisito, è necessario usare un tipo di VPN RouteBased.

Come suggerisce il nome, in genere si usa questo tipo di connessione per connettersi a più siti locali, come indicato nel diagramma seguente.

A diagram of a typical multi-site VPN configuration. VNet1 in US West connects through a VPN Gateway (IP: 131.1.1.1). The gateway has two IPsec/IKE VPN tunnels. One connects to LocalSite1(IP: 128.8.8.8), and the other to LocalSite2 (IP: 139.9.9.9).

Suggerimento

Una rete virtuale può avere un solo gateway VPN, quindi tutte le connessioni condividono la larghezza di banda.

Da punto a sito

Una connessione VPN da punto a sito consente agli utenti di connettersi all'organizzazione da una rete remota, ad esempio l'abitazione, o un hotspot Wi-Fi pubblico. Gli utenti in genere avviano connessioni da punto a sito, come illustrato nel diagramma seguente. Nel diagramma due utenti avviano una connessione SSTP (Secure Socket Tunneling Protocol), mentre un terzo usa IKEv2. Diversamente dalle connessioni da sito a sito, non è necessario un indirizzo IP pubblico o un dispositivo VPN locale per implementare le connessioni da punto a sito.

A diagram of a typical P2S configuration. VNet1 in East US connects to a VPN gateway (IP: 131.1.1.1). Three VPN tunnels are connected inbound to the VPN gateway. Two are of type SSTP while the third is IKEv2. Clients users and devices are displayed on the far side of the tunnel, each with a private IP address allocated from a pool.

Suggerimento

È possibile usare le connessioni da punto a sito insieme a connessioni da sito a sito tramite lo stesso gateway VPN.

Da rete virtuale a rete virtuale

In alcuni casi, l'implementazione delle connessioni da rete virtuale a rete virtuale è simile alla connessione di una singola rete virtuale a un sito locale (da sito a sito). In entrambi gli scenari si usa un gateway VPN per implementare un tunnel IPsec/IKE.

Nota

Quando si implementa una connessione da rete virtuale a rete virtuale tramite il gateway VPN, non è necessario che le reti virtuali si trovino nella stessa area geografica o sottoscrizione di Azure.

Suggerimento

È anche possibile usare il peering per connettere reti virtuali indipendentemente dal percorso o dalla sottoscrizione. Questo approccio può essere più veloce e più efficiente per le risorse.

A diagram of a typical Vnet-to-Vnet connection. VNet1 in East US connects through a VPN Gateway (IP: 131.1.1.1). An IPsec/IKE tunnel connects to a VPN Gateway (IP: 151.2.2.2) which resides on the edge of VNet4, West US region.

Connessioni ExpressRoute

È possibile usare le connessioni di Azure ExpressRoute per facilitare una connessione privata dalle reti locali al cloud Microsoft o ad altri siti all'interno dell'organizzazione. Poiché la connessione di rete è privata, è più sicura e può offrire anche vantaggi significativi in termini di prestazioni. Per configurare una connessione ExpressRoute, è possibile usare un gateway di rete virtuale. Tuttavia, con una connessione ExpressRoute, il gateway di rete virtuale viene configurato con il tipo di gateway ExpressRoute, anziché VPN.

Suggerimento

Sebbene il traffico in transito in un circuito ExpressRoute non sia crittografato per impostazione predefinita, è possibile configurare la connessione per l'invio di traffico crittografato.

È anche possibile combinare le connessioni ExpressRoute e da sito a sito, come indicato nel diagramma seguente. Ad esempio, è possibile configurare una connessione VPN da sito a sito:

  • Come percorso di failover sicuro per ExpressRoute.
  • Per connettersi a siti che non fanno parte della rete, ma che sono connessi tramite ExpressRoute.

A diagram of a dual connection from VNet1, East US, via both an ExpressRoute gateway and a VPN Gateway (IP: 131.1.1.1). The ExpressRoute connection provides private connectivity to On-premises HQ site (IP: 141.4.4.4). The HQ site also has an IPsec/IKE tunnel that connects to VNet1. Finally, VNet1 uses the VPN Gateway to connect to LocalSite2 through an IPsec/IKE tunnel..

Implementare il gateway VPN

Quando si configura il gateway VPN, è necessario selezionare e configurare alcune impostazioni. In primo luogo, è necessario decidere se implementare una configurazione basata su criteri o basata su route.

Basato su criteri

Se si sceglie di implementare gateway basati su criteri (ovvero basati sul routing statico), è necessario definire i set di indirizzi IP usati dal gateway per determinare le destinazioni dei pacchetti. Il gateway valuta ogni pacchetto rispetto a questi set di indirizzi IP per determinare attraverso quale tunnel viene crittografato e instradato un pacchetto.

Basato su route

È possibile usare i gateway basati su route per evitare di dover definire gli indirizzi IP che si trovano dietro ogni tunnel. Con i gateway basati su route, il routing IP determina attraverso quale delle interfacce del tunnel inviare ogni pacchetto.

Suggerimento

È necessario selezionare i VPN basati su route per i dispositivi locali, perché sono più resilienti alle modifiche della topologia, ad esempio se si creano nuove subnet nella rete virtuale.

È consigliabile sempre scegliere un gateway VPN basato su route per i tipi di connettività seguenti:

  • Connessioni tra reti virtuali
  • Connessioni da punto a sito
  • Connessioni multisito
  • Coesistenza con un gateway di Azure ExpressRoute

Impostazioni aggiuntive

Inoltre, è necessario definire le impostazioni seguenti per implementare il gateway VPN:

  • VPN o ExpressRoute. Scegliere il tipo di connessione fondamentale.
  • Intervallo di indirizzi subnet del gateway. Questa impostazione specifica l'intervallo di indirizzi IP privati associato al gateway VPN.
  • Indirizzo IP pubblico. Questa impostazione specifica l'oggetto indirizzo IP pubblico che viene associato al gateway VPN.

Creare una rete virtuale

Per implementare un gateway VPN, è necessario disporre di una rete virtuale. È possibile crearla prima o durante la configurazione del gateway VPN. In questo caso, viene creata prima. A tale scopo, aprire il portale di Azure e completare la procedura seguente:

  1. Selezionare Crea una risorsa e quindi cercare e selezionare Rete virtuale.

  2. Nel pannello Rete virtuale selezionare Crea.

  3. Creare una rete virtuale specificando le proprietà appropriate: Sottoscrizione, Gruppo di risorse, Nome e Area geografica.

    A screenshot of the Create a virtual network page. The administrator has defined the subscription, and selected the ContosoResourceGroup. The VNet name is ContosoVPN1 in the East US region.

  4. Selezionare Avanti: Indirizzi IP>.

  5. Configurare la subnet che si vuole associare alla rete virtuale accettando le impostazioni predefinite o configurando le proprie.

  6. Seleziona Rivedi e crea e quindi seleziona Crea.

Creare il gateway

Dopo aver creato la rete virtuale appropriata, è ora necessario creare il gateway VPN. Ad esempio, per creare un gateway VPN basato su route usando il portale di Azure, attenersi alla procedura seguente:

  1. Nel portale di Azure cercare e selezionare Gateway di rete virtuale.

  2. Nel pannello Gateway di rete virtuale selezionare Crea.

  3. Nel pannello Crea gateway di rete virtuale creare il gateway specificando le proprietà appropriate: Sottoscrizione, Nome e Area geografica.

  4. Scegliere quindi se si sta implementando una connessione VPN o ExpressRoute.

  5. Per il tipo di VPN selezionare Basato su route o Basato su criteri.

    A screenshot of the Create a virtual network gateway page. The administrator has defined the subscription. The Name is ContosoVPNGateway, in the East US region. Gateway type is VPN, and VPN type is Route-based.

  6. Selezionare la rete virtuale creata in precedenza.

  7. Configurare Intervallo di indirizzi subnet del gateway e le impostazioni di Indirizzo IP pubblico.

    A screenshot of the Create a virtual network gateway page. The administrator has selected the Gateway subnet address range (10.3.1.0/24) and has opted to create a new Public IP address called ContosoVPNPublic. Other options are disabled..

  8. Seleziona Rivedi e crea e quindi seleziona Crea.

Provala

Se si vuole utilizzare la rete privata virtuale di Azure, provare questi esercizi del lab. Gli esercizi sono basati su un ambiente sandbox e non richiedono il completamento di una sottoscrizione di Azure: