Configurare Azure Virtual WAN per gestire in maniera centralizzata le connessioni da e verso Azure

Azure Virtual WAN è un servizio di rete che offre connettività ottimizzata e automatizzata verso e tramite Azure. Le aree di Azure fungono da hub a cui è possibile scegliere di connettere le proprie sedi aziendali e anche le eventuali VNET (virtual networks) che avete creato in Azure.

Azure Virtual WAN raggruppa in una singola interfaccia numerosi servizi di connettività cloud di Azure, come ad esempio le VPN da sito a sito (Site to Site), le VPN utente da punto a sito (Point to Site) ed ExpressRoute. La connettività con le reti virtuali di Azure viene stabilita tramite connessioni che utilizzando un virtual gateway.

Nella figura sotto viene mostrato un esempio di configurazione HUB and SPOKE, in cui l’hub di rete ospitato nel cloud consente la connettività di transito tra gli endpoint che possono essere distribuiti tra tipi diversi di spoke.

Figura 1: Modello Hub-Spoke di Azure Virtual WAN

 

Figura 1 B: Modello Hub-Spoke di Azure Virtual WAN

Esistono due tipi di Azure virtual WAN: Basic e Standard. La tabella seguente mostra le configurazioni disponibili per ogni tipo.

Tipo di rete WAN virtuale

Tipo di hub

Configurazioni disponibili

Basic Basic Solo VPN da sito a sito
Standard Standard ExpressRoute
VPN utente (P2S)
VPN (da sito a sito)
Transito tra hub e da VNet a VNet attraverso l’hub virtuale

Nota: È possibile eseguire l’aggiornamento dall’edizione Basic a Standard, ma non è possibile tornare dall’edizione Standard a Basic.

Per configurare una rete WAN virtuale in Azure, si creano le risorse seguenti:

  • Virtual WAN: la risorsa Azure virtual WAN è una raccolta di più risorse. Sono inclusi collegamenti a tutti gli hub virtuali che si desidera avere all’interno della rete WAN virtuale. Le risorse della rete WAN virtuale vengono isolate l’una dall’altra e non possono contenere un hub comune. Gli hub virtuali nella rete WAN virtuale non comunicano tra loro.
  • Hub: un hub virtuale è una rete virtuale gestita da Microsoft. L’hub contiene vari endpoint di servizio per abilitare la connettività. Dalla rete locale (chiamato vpnsite) è possibile connettersi a un gateway VPN all’interno dell’hub virtuale, connettere circuiti ExpressRoute a un hub virtuale o anche connettere utenti di dispositivi mobili a un gateway da punto a sito nell’hub virtuale. L’hub è l’elemento centrale della rete in un’area. Può esistere solo un unico hub per ogni area di Azure.

Un gateway dell’hub non equivale a un gateway di rete virtuale, usato per ExpressRoute e Gateway VPN. Quando si usa una rete WAN virtuale, ad esempio, non si crea una connessione da sito a sito dal sito locale direttamente alla rete virtuale, ma al contrario una connessione da sito a sito all’hub. Il traffico passa sempre attraverso il gateway dell’hub. Questo significa che le reti virtuali non hanno bisogno di un gateway di rete virtuale proprio.

  • Connessione di rete virtuale hub: la risorsa connessione di rete virtuale hub viene usata per connettere l’hub alla rete virtuale.
  • Connessione da hub a hub (preview) : gli hub sono connessi tra loro in una rete WAN virtuale. Ciò implica che un ramo, un utente o una rete virtuale connessa a un hub locale può comunicare con un altro ramo o rete virtuale usando l’architettura full mesh degli hub connessi. È anche possibile connettere reti virtuali all’interno di un hub che transita attraverso l’hub virtuale, oltre a reti virtuali tra hub.
  • Tabella delle rotte dell’hub (route table): è possibile creare una rotta dell’hub virtuale e applicare la rotta alla tabella di routing dell’hub virtuale.
  • Sito: Questa risorsa viene utilizzata solo per le connessioni da sito a sito. La risorsa sito è vpnsite. Rappresenta il dispositivo VPN locale e le relative impostazioni.

Qual è la differenza tra un gateway di rete virtuale di Azure (gateway VPN) e un gateway VPN di Azure virtual WAN?

Azure virtual WAN offre connettività da sito a sito su larga scala ed è ideale per velocità, scalabilità e semplicità d’uso. La connessione di un sito a un gateway VPN WAN virtuale è diversa da un normale gateway di rete virtuale che usa un gateway di tipo “VPN”. Analogamente, quando si esegue la connessione di un circuito ExpressRoute a un hub WAN virtuale, viene usata una risorsa diversa per il gateway ExpressRoute rispetto al normale gateway di rete virtuale che usa il tipo di gateway “ExpressRoute”.

La rete WAN virtuale supporta fino a 20 Gbps di velocità effettiva aggregata sia per VPN che per ExpressRoute e dispone anche di automazione per la connettività con un ecosistema di partner per dispositivi del ramo CPE (Customer Premise Equipment). I dispositivi del ramo CPE eseguono il provisioning automatico e si connettono alla rete WAN virtuale di Azure. Questi dispositivi sono disponibili da un ecosistema di partner VPN e SD-WAN in continua crescita. Per maggiori informazioni visitate l’elenco dei partner preferiti.

Attualmente sono supportati i seguenti partner:

  • 128 Technology
  • Barracuda Networks
  • Check Point
  • Citrix
  • Cloudgenix
  • Fortinet
  • Netfoundry
  • Nuage (Nokia)
  • Palo Alto Networks
  • Riverbed Technology
  • Silver Peak
  • Viceversa

Prossimamente saranno supportati anche

  • Arista
  • Aruba HPE
  • Cisco Systems
  • F5 Networks
  • Open Systems
  • Oracle SD-WAN
  • SharpLink
  • VMWare Velocloud

In che modo la rete WAN virtuale è diversa dal gateway di rete virtuale di Azure?

Una VPN di gateway di rete virtuale è limitata a 30 tunnel. È possibile eseguire fino a 1.000 connessioni di ramo per regione (hub virtuale) con un aggregato di 20 Gbps per hub. Una connessione è un tunnel attivo-attivo dal dispositivo VPN locale all’hub virtuale.

Creare una connessione da sito a sito con la rete WAN virtuale di Azure

Di seguito verrà mostrato come usare la rete WAN virtuale per connettersi alle risorse in Azure tramite una connessione VPN IPSec/IKE (IKEv1 e IKEv2). Questo tipo di connessione richiede un dispositivo VPN che si trova in locale e che possiede un indirizzo IP pubblico esterno.

Prima di iniziare assicuratevi che:

  • Nessuna delle subnet della rete locale possa sovrapporsi alle reti virtuali a cui ci si vuole connettere.
  • La rete virtuale non presenta alcun gateway di rete virtuale. Se la rete virtuale presenta un gateway (VPN o ExpressRoute) è necessario rimuovere tutti i gateway. Questa configurazione richiede che le reti virtuali siano invece connesse al gateway dell’hub della rete WAN virtuale.
  • Decidere un intervallo di indirizzi IP per l’area dell’hub. L’hub è una rete virtuale che viene creata e usata dalla rete WAN virtuale. L’intervallo di indirizzi specificati per l’hub non può sovrapporsi ad alcuna delle reti virtuali esistenti a cui ci si connette. Inoltre non può sovrapporsi agli intervalli di indirizzi a cui ci si connette in locale.

Figura 2: Schema della rete reralizzata

Per creare una rete WAN virtuale, in un browser collegatevi al portale di Azure e accedete con l’account Azure. Nel portale fate clic su +Crea una risorsa e digitate Rete WAN virtuale nella casella di ricerca.

Figura 3: Creazione di una nuova risorsa Azure di tipo Virtual WAN

Compilate i campi inserendo le informazioni richieste. Durante la creazione della risorsa viene richiesto di specificare una location. In realtà si tratta di una risorsa globale che non è associata ad una regione di Azure particolare.

Figura 4: Creazione della Azure WAN

Al termine della creazione potrete collegarvi alla risorsa Azure Virtual WAN appena creata. Nella pagina di Overview vi verrà mostrata la possibilità di accedere ad un wizard id creazione delle risorse necessarie.

Figura 5: Pagina di Overview di Azure Virtual WAN

Come prima operazione creeremo un HUB. Un HUB è una rete virtuale che può contenere gateway per connessioni VPN da sito a sito, ExpressRoute o da punto a sito. Dopo aver creato l’hub, verranno addebitati i relativi costi, anche se si non collega alcun sito. La creazione del gateway VPN da sito a sito nell’hub virtuale richiede circa 30 minuti.

Figura 6: Pagina di aiuto per la creazione delle risorse della Azure Virtual WAN

Se non volete seguire il wizard, nella pagina della rete WAN virtuale selezionate Hub nella sezione Connettività. Nella pagina Hub selezionare +Nuovo hub per aprire la pagina Crea hub virtuale. Date un nome al virtual HUB e decidete lo spazio di indirizzamento che dovrà utilizzare.

Figura 7: Creazione del virtual HUB in Azure Virtual WAN

Nella schermata successive definite la creazione di un Site to Site VPN Gateway per poter effettuare la connessione verso le vostre sedi. Indicate la Unità di scala gateway. L’unità di scala consente di scegliere la velocità effettiva aggregata del gateway VPN creato nell’hub virtuale a cui si collegano i siti. Se si sceglie l’unità di scala 1 = 500 Mbps, verranno create due istanze ridondate, ciascuna con una velocità effettiva massima di 500 Mbps.

Figura 8: Creazione del Site to Site VPN gateway

Nella schermata successiva, se volete utilizzare questo HUB anche per le connessioni Point to Site VPN per gli utenti remoti, sarà necessario creare una nuova configurazione indicando il tipo di tunnel e il metodo di autenticazione. Trovate maggiori informazioni sulla VPN Point to Site alla pagina https://docs.microsoft.com/it-it/azure/vpn-gateway/point-to-site-about

Figura 9: Configurazione della connessione Point to Site

Terminata la configurazione della Point to Site VPN, proseguite inserendo il Client Address Pool che verrà utilizzato per dare gli indirizzi agli utenti che si collegheranno in VPN.

Figura 10: Completamento della creazione della Point to Site VPN

Se volete utilizzare connessioni ExpressRoute indicate i parametri corretti:

Figura 11: Configurazione del gateway Express Route per l’HUB di Azure Virtual WAN

È possibile anche definire delle rotte, che verranno utilizzate per instradare il traffico di rete.

Figura 12: Creazione delle rotte per l’HUB di Azure Virtual WAN

Controllate le informazioni che avete inserito e fate clic su Create per creare il virtual HUB. Poiché verrà creato anche il VPN Gateway per la connettività Site to Site, la creazione durerà circa 30 minuti.

Figura 13: Riepilogo delle informazioni per la creazione del vIrtual HUB

Creazione del VPN site

A questo punto è possibile creare i siti che corrispondono alle posizioni fisiche. Create un sito per ogni sede della vostra azienda. Questi siti contengono gli endpoint di dispositivo VPN locale. È possibile creare fino a 1000 siti per ciascun hub virtuale in una Azure Virtual WAN. Dalla pagina di Overview cliccate sul link Getting Started presente nella schermata principale e poi su Create VPN Sites. In alternativa potete cliccare sulla risorsa Azure Virtual WAN e dopo aver cliccato sull’HUB appena creato nella sezione Connettività selezionate Siti VPN per aprire la pagina Siti VPN.

Figura 14: Collegamento per la creazione di un sito VPN

Nella pagina Siti VPN fate clic su +Crea sito e compilate i campi richiesti. Se decidete di abilitare il Border Gateway Protocol ricordatevi che la configurazione di BGP in una Azure Virtual WAN equivale alla configurazione di BGP in un gateway VPN della rete virtuale di Azure. L’indirizzo del peer BGP locale non deve essere uguale all’indirizzo IP pubblico del dispositivo VPN né allo spazio di indirizzi della rete virtuale del sito VPN. Se non utilizzate BGP dovete compilare lo spazio di indirizzi IP nel sito locale.

Figura 15: Informazioni sul sito VPN locale (sede dell’azienda)

Nella scheda Links inserite le informazioni sui collegamenti fisici al ramo dell’HUB di Azure Virtual WAN. Inserite l’indirizzo IP pubblico del vostro Endpoint
VPN.

Figura 16: Informazioni sul collegamento fisico al VPN site

Verificate le informazioni inserite e create il VPN Site.

Figura 17: Creazione del nuovo VPN Site

Connettere il sito VPN all’HUB

Per connettere il sito VPN (la sede dell’azienda) all’HUB di Azure Virtual WAN, cliccate sul sito creato e successivamente sul pulsante +New Hub connection.

Figura 18: Collegamento dell’Azure Virtual WAN HUB al VPN Site

Inserite una chiave precondivisa e scegliete il protocollo della VPN. Se non si immette una chiave, Azure ne genera automaticamente una. Selezionate l’opzione appropriata per Propagate default route. L’opzione Abilita consente all’hub virtuale di propagare a questa connessione una route predefinita appresa.

Figura 19: Connessione del sito VPN all’HUB di Azure Virtual WAN

Nel giro di qualche minuto il sito visualizzerà lo stato di connessione e di connettività.

Configurazione del dispositivo VPN locale

Usare la configurazione del dispositivo VPN per configurare il dispositivo VPN locale. Nella parte superiore della pagina Hub-> VPN (Site to Site) fate clic su Scarica configurazione VPN. Al termine della creazione del file è possibile fare clic sul collegamento per scaricarlo.

Se avete bisogno di istruzioni per configurare il dispositivo, è possibile usare le istruzioni riportate nella pagina degli script di configurazione del dispositivo VPN facendo attenzione al fatto che le istruzioni nella pagina dei dispositivi VPN non vengono scritte per la Azure Virtual WAN, ma è possibile utilizzare i valori della rete WAN virtuale dal file di configurazione per configurare manualmente il dispositivo VPN.

Figura 20: Creazione e download del file di configurazione per la VPN Site to Site

Applicate la configurazione al dispositivo VPN locale. Io ho aperto il file di configurazione con Notepad++ e ho recuperato gli indirizzi IP pubblici del gateway VPN dell’HUB di Azure Virtual WAN.

Figura 21: Contenuto del file di configurazione

Figura 22: Connessione al VPN Gateway effettuata con successo

Connessione di una VNET all’HUB di Azure Virtual WAN

Per creare una connessione tra la Virtual WAN ed una Azure Virtual Network (VNET) cliccate su Connessioni rete virtuale e nella pagina di connessione alla rete virtuale fate clic su + Aggiungi connessione. Inserite le informazioni richieste, specificando la rete virtuale di Azure a cui vi volete connettere. La rete virtuale non può avere un gateway di rete virtuale già esistente e deve trovarsi nella stessa regione di Azure.

Figura 23: Connessione dell’Azure Virtual WAN Hub ad una Azure VNET

Figura 24: Connessione alla VNET effettuata

È possibile connettere una VNet in una regione diversa rispetto a quella dove avete creato l’hub della Azure Virtual WAN. Prima però è necessario verificare che la VNET non sia già collegata ad un altro HUB di Azure Virtual WAN e che non sia collegata ad un gateway VPN di Azure o un gateway di rete virtuale ExpressRoute. Se la VNet contiene un gateway di rete virtuale, è necessario rimuovere il gateway prima di connettere la VNet spoke all’hub.

Dopo le opportune verifiche, sarà necessario configurare il peering VNet globale (VNet tra più aree) per la rete WAN virtuale utilizzando PowerShell. In Azure Cloud Shell eseguite i seguenti comandi per la registrazione:

 

Per verificare che la funzionalità sia abilitata utilizzate il comando PowerShell

 

Figura 25: Abilitazione del peering VNet globale (VNet tra più aree) per la rete WAN virtuale

Dopo la registrazione della funzionalità potete procedere ad aggiungere la nuova connessione verso la VNET nell’altra regione di Azure cliccando su Connessioni rete virtuale e nella pagina di connessione alla rete virtuale fate clic su + Aggiungi connessione. Inserite le informazioni richieste, specificando la rete virtuale di Azure (VNET) a cui vi volete connettere. Se non avete registrato la funzionalità di peering VNet globale (VNet tra più aree) per la rete WAN virtuale riceverete il messaggio di errore mostrato nella figura sotto:

Figura 26: Messaggio di errore se non è stato abilitato il peering VNET globale (VNet tra più aree) per la rete WAN virtuale

Figura 27: Connessione dell’HUB di Azure Virtual WAN ad uno spoke in un’altra regione di Azure

Figura 28: Connessione allo spoke remoto riuscita

Nella schermata Overview di Azure Virtual WAN è possibile vedere il riepilogo delle connessioni effettuate.

Figura 29: Schermata di Overview di Azure Virtual WAN

Connessione Point to Site ad Azure Virtual WAN

Per poter effettuare una connessione Point to site ad Azure Virtual WAN è sufficiente selezionare il Virtual HUB e da User VPN (point to Site) selezionare il collegamento Download virtual Hub User VPN Profile.

Figura 30: Download del virtual Hub User VPN Profile

Estraete il file .zip che avrete scaricato ed installate la connessione VPN per il vostro client Windows. Da Settings scegliete VPN e lanciate la connessione, come mostrato in figura:

Figura 31: Avvio della connessione VPN da parte di un client mobile

Conclusioni

Azure Virtual WAN permette di creare un HUB a cui collegare le nostre sedi remote e le nostre reti virtuali (VNET) create in Azure.  In una singola interfaccia operativa vengono raggruppati numerosi servizi di connettività cloud di Azure, ad esempio VPN da sito a sito, VPN utente da punto a sito ed ExpressRoute. Il modello di connettività hub-spoke creato con l’hub di rete ospitato nel cloud consente la connettività di transito tra gli endpoint e semplifica enormemente la gestione della configurazione delle reti offerta dai provider di SD-WAN.