Come funziona Gateway VPN di Azure

5 minuti

È possibile distribuire un solo gateway VPN in ogni rete virtuale di Azure. Anche se è possibile connettersi a un singolo gateway VPN, tale gateway può essere configurato per connettersi a più posizioni, incluse altre reti virtuali di Azure o data center locali.

Nota

Un gateway di rete virtuale è costituito da due o più macchine virtuali speciali distribuite in una subnet specifica, denominata subnet del gateway. Le macchine virtuali di un gateway di rete virtuale ospitano tabelle di routing ed eseguono specifici servizi gateway. Queste macchine virtuali che costituiscono il gateway vengono create quando si crea il gateway di rete virtuale e vengono gestite automaticamente da Azure e non richiedono attenzione amministrativa.

Tipi di gateway VPN

Quando si configura un gateway di rete virtuale, si seleziona un'impostazione che specifica il tipo di gateway. Il tipo di gateway determina come verrà usato il gateway di rete virtuale e le azioni che il gateway effettuerà. Il tipo del gateway Vpn specifica che il tipo di gateway di rete virtuale creato è un VPN gateway. Questo lo distingue da un gateway ExpressRoute, che usa un tipo di gateway diverso. In una rete virtuale di Azure possono coesistere due gateway di rete virtuale: un gateway VPN e un gateway ExpressRoute.

Esistono due tipi di gateway VPN di Azure:

Un gateway VPN basato su criteri
Gateway VPN basato su route

Gateway VPN basati su criteri

I gateway VPN basati su criteri richiedono di specificare un set fisso di indirizzi IP di pacchetti che devono essere crittografati tramite ogni tunnel. Questo tipo di dispositivo valuta ogni pacchetto di dati rispetto a tali set fissi di indirizzi IP e quindi sceglie il tunnel tramite il quale invierà tale traffico.

Le funzionalità principali dei gateway VPN basati su criteri in Azure includono:

Supporto solo per IKEv1
Uso del routing statico

L'origine e la destinazione delle reti con tunnel vengono dichiarate nei criteri VPN e non è necessario dichiararle nelle tabelle di routing. Le reti VPN basate su criteri devono essere usate in scenari specifici che le richiedono, ad esempio per la compatibilità con i dispositivi VPN locali legacy.

Gateway VPN basati su route

Con i gateway VPN di Azure basati su route, un tunnel IPsec funziona come interfaccia di rete o interfaccia del tunnel virtuale (VTI). Il routing IP (route statiche o protocolli di routing dinamico) consente di scegliere quali interfacce di tunnel trasmetteranno ogni pacchetto. Le VPN basate su route sono il metodo di connessione preferito per i dispositivi locali poiché sono più resilienti alle modifiche della topologia, ad esempio in caso di creazione di nuove subnet. Una VPN basata su route è molto più adatta per Adatum poiché consente di effettuare connessioni alle risorse IaaS di Azure nelle reti virtuali se vengono aggiunte nuove subnet senza dover riconfigurare il gateway VPN di Azure.

Usare un gateway VPN basato su route se è necessario uno dei tipi seguenti di connettività:

Connessioni tra reti virtuali
Connessioni da punto a sito
Connessioni multisito
Coesistenza con un gateway di Azure ExpressRoute

Le funzionalità principali dei gateway VPN basati su route in Azure includono:

Supporto di IKEv2
Uso dei selettori di traffico Any-To-Any (jolly)
Uso dei protocolli di routing dinamico, in cui le tabelle di routing e inoltro indirizzano il traffico a tunnel IPSec diversi

Quando configurate per usare il routing dinamico, le reti di origine e di destinazione non sono definite in modo statico poiché si trovano in VPN basate su criteri o in VPN basate su route con routing statico. I pacchetti dati vengono invece crittografati in base alle tabelle di routing di rete create dinamicamente usando protocolli di routing come BGP (Border Gateway Protocol).

I gateway VPN di Azure supportano solo l'uso del metodo di autenticazione delle chiavi pre-condiviso. Sia il tipo basato su route che quello basato su criteri si basano inoltre su Internet Key Exchange (IKE), nella versione 1 o 2, e su Internet Protocol Security (IPSec). IKE si usa per configurare un'associazione di sicurezza (un contratto di crittografia) tra due endpoint. Questa associazione viene quindi passata al gruppo di IPSec, che crittografa e decrittografa i pacchetti dati incapsulati nel tunnel VPN.

Dimensioni del gateway VPN di Azure

Quando si crea un gateway di rete virtuale è necessario specificare il codice SKU del gateway. Selezionare lo SKU che soddisfa i requisiti relativi a tipi di carichi di lavoro, velocità effettive, funzionalità e contratti di servizio.

SKU del gateway - Generazione1	Numero massimo di tunnel VPN da sito a sito	Velocità effettiva aggregata	Supporto BGP
Di base	10	100 Mbps	Non supportato
VpnGw1/Az	30	650 Mbps	Supportata
VpnGw2/Az	30	1 Gbps	Supportata
VpnGw3/Az	30	1,25 Gbps	Supportata

Questa tabella mostra gli SKU Generazione1. Quando si usano SKU Generazione1, è possibile eseguire la migrazione tra gli SKU VpnGw1, VpnGw2 e VpnGw3 in base alle esigenze. Non è possibile eseguire la migrazione dallo SKU Basic senza rimuovere e ridistribuire il gateway VPN. È anche possibile creare gateway VPN usando SKU Generazione2. Per informazioni aggiornate su SKU, velocità effettiva e funzioni supportate, consultare i collegamenti nella sezione Riepilogo di questo modulo.

Requisiti del gateway VPN

Per poter distribuire un gateway VPN operativo, sono necessarie le seguenti risorse di Azure:

Rete virtuale: una rete virtuale di Azure con uno spazio indirizzi sufficiente per la subnet aggiuntiva necessaria per il gateway VPN. Lo spazio indirizzi per la rete virtuale non deve sovrapporsi alla rete locale a cui ci si connetterà.
GatewaySubnet: una subnet denominata GatewaySubnet per il gateway VPN. Richiede almeno una maschera di indirizzi /27. Questa subnet non può essere usata per altri servizi.
Indirizzo IP pubblico: un gateway non in grado di riconoscere la zona, creare un indirizzo IP pubblico dinamico con uno SKU Basic. Questo indirizzo consente di specificare un indirizzo IP pubblico instradabile come destinazione per il dispositivo VPN locale. Questo indirizzo IP è dinamico, ma non cambia, a meno che non si elimini e si ricrei il gateway VPN.
Gateway di rete locale: creare un gateway di rete locale per definire la configurazione della rete locale, ossia dove si connetterà il gateway VPN e a che cosa si connetterà. Questa configurazione include l'indirizzo IPv4 pubblico del dispositivo VPN locale e le reti instradabili locali. Queste informazioni vengono usate dal gateway VPN per instradare i pacchetti destinati alle reti locali attraverso il tunnel IPSec.

Quando sono presenti tali componenti, è possibile creare il gateway di rete virtuale per instradare il traffico tra la rete virtuale e il data center locale o altre reti virtuali. Dopo la distribuzione del gateway di rete virtuale, è quindi possibile creare una risorsa di connessione per creare una connessione logica tra il gateway VPN e il gateway della rete locale:

La connessione viene stabilita all'indirizzo IPv4 del dispositivo VPN locale definito dal gateway di rete locale.
La connessione viene stabilita dal gateway di rete virtuale e dall'indirizzo IP pubblico associato.

È possibile configurare più connessioni, fino al limite definito dallo SKU, per ogni gateway VPN di Azure.

Disponibilità elevata

I gateway VPN vengono distribuiti come due istanze di macchine virtuali gestite in una configurazione attiva/in standby, anche se in Azure è visibile una sola risorsa gateway VPN. Se la manutenzione pianificata o un'interruzione imprevista influisce sull'istanza attiva, l'istanza in standby assume automaticamente la responsabilità delle connessioni senza alcun intervento da parte dell'utente o dell'amministratore. Le connessioni vengono interrotte durante questo failover, ma in genere vengono ripristinate entro pochi secondi per la manutenzione pianificata ed entro 90 secondi per le interruzioni impreviste.

I gateway VPN di Azure supportano il protocollo di routing BGP, che consente anche di distribuire gateway VPN in una configurazione attiva/attiva. In questa configurazione si assegna un indirizzo IP pubblico univoco a ogni istanza. Si creano tunnel separati dal dispositivo locale a ogni indirizzo IP. È possibile estendere la disponibilità elevata distribuendo un altro dispositivo VPN locale.