Extensión de una red local mediante ExpressRoute

Esta arquitectura de referencia muestra cómo conectar una red local a las redes virtuales en Azure, mediante Azure ExpressRoute. Las conexiones de ExpressRoute utilizan una conexión privada y dedicada a través de un proveedor de conectividad de terceros. La conexión privada extiende la red local en Azure.

Architecture

Descargue un archivo Visio de esta arquitectura.

Flujo de trabajo

La arquitectura consta de los siguientes componentes:

• Red corporativa local. Una red de área local privada que se ejecuta dentro de una organización.

• Circuito ExpressRoute. Un circuito de capa 2 o capa 3 suministrado por el proveedor de conectividad que se une a la red local con Azure a través de los enrutadores perimetrales. El circuito usa la infraestructura de hardware administrada por el proveedor de conectividad.

• Enrutadores perimetrales locales. Enrutadores que conectan la red local al circuito administrado por el proveedor. En función de cómo se aprovisione la conexión, debe proporcionar las direcciones IP públicas utilizadas por los enrutadores.

• Enrutadores perimetrales de Microsoft. Dos enrutadores en una configuración de alta disponibilidad activa/activa. Estos enrutadores permiten a un proveedor de conectividad conectar sus circuitos directamente a su centro de datos. En función de cómo se aprovisione la conexión, debe proporcionar las direcciones IP públicas utilizadas por los enrutadores.

• Redes virtuales Azure (VNets) . Cada red virtual se encuentra en una sola región de Azure y puede hospedar varios niveles de aplicación. Los niveles de aplicación se pueden segmentar con subredes en cada red virtual.

• Servicios públicos de Azure. Servicios de Azure que pueden usarse en una aplicación híbrida. Estos servicios también están disponibles a través de Internet, pero acceder a ellos mediante un circuito ExpressRoute proporciona baja latencia y un rendimiento más predecible, ya que el tráfico no pasa a través de Internet.

• Servicios de Microsoft 365. Aplicaciones y servicios de Microsoft 365 disponibles públicamente y proporcionados por Microsoft. Las conexiones se realizan mediante el emparejamiento de Microsoft, con direcciones que son propiedad de su organización o proporcionadas por el proveedor de conectividad. También puede conectarse directamente a Microsoft CRM Online a través del emparejamiento de Microsoft.

• Proveedores de conectividad (no se muestran). Empresas que proporcionan una conexión a través de conectividad de nivel 2 o de nivel 3 entre el centro de datos y un centro de datos de Azure.

Componentes

• Azure ExpressRoute. ExpressRoute le permite ampliar las redes locales a la nube de Microsoft mediante una conexión privada con la ayuda de un proveedor de conectividad. Con ExpressRoute, puede establecer conexiones con servicios en la nube de Microsoft, como Microsoft Azure y Microsoft 365.

• Azure Virtual Network. Azure Virtual Network (VNet) es el bloque de creación fundamental de una red privada en Azure. VNet permite muchos tipos de recursos de Azure, como Azure Virtual Machines (máquinas virtuales), para comunicarse de forma segura entre usuarios, con Internet y con las redes locales.

Recomendaciones

Las siguientes recomendaciones sirven para la mayoría de los escenarios. Sígalas a menos que tenga un requisito concreto que las invalide.

Proveedores de conectividad

Seleccione un proveedor de conectividad de ExpressRoute adecuado para su ubicación. Para obtener una lista de los proveedores de conectividad disponibles en su ubicación, utilice el siguiente comando de Azure PowerShell:

Get-AzExpressRouteServiceProvider

Los proveedores de conectividad de ExpressRoute conectan el centro de datos a Microsoft de las maneras siguientes:

• Ubicación compartida en un intercambio en la nube. Si comparte la ubicación en la misma instalación con un intercambio en la nube, puede solicitar conexiones cruzadas virtuales a Azure a través del intercambio de Ethernet del proveedor de la ubicación compartida. Los proveedores de ubicación compartida pueden ofrecer conexiones cruzadas de nivel 2, o conexiones cruzadas de nivel 3 administradas entre la infraestructura en la instalación de ubicación compartida y Azure.
• Conexiones Ethernet de punto a punto. Puede conectar los centros de datos u oficinas locales a Azure a través de vínculos de Ethernet de punto a punto. Los proveedores de Ethernet de punto a punto pueden ofrecer conexiones de nivel 2 o de nivel 3 administradas entre el sitio y Azure.
• Redes de conexión universal (IPVPN) . Puede integrar la red de área extensa (WAN) con Azure. Los proveedores de red privada virtual del protocolo de Internet (IPVPN), normalmente una VPN de conmutación de etiquetas multiprotocolo, ofrecen una conectividad universal entre los centros de datos y las sucursales. Azure puede estar conectada a la WAN de forma que parezca otra sucursal más. Los proveedores de WAN normalmente ofrecen una conectividad de nivel 3 administrada.

Para obtener más información acerca de los proveedores de conectividad, consulte la Introducción a ExpressRoute.

Circuito ExpressRoute

Asegúrese de que su organización cumple los requisitos previos de ExpressRoute para conectarse a Azure.

Si aún no lo ha hecho, agregue una subred con el nombre GatewaySubnet a la red virtual de Azure y cree una puerta de enlace de red virtual de ExpressRoute con el servicio de puerta de enlace de VPN de Azure. Para más información sobre este proceso, vea Flujos de trabajo de ExpressRoute para aprovisionamiento de circuitos y estados de circuitos.

Cree un circuito ExpressRoute como se indica a continuación:

1. Ejecute el siguiente comando de PowerShell:

   New-AzExpressRouteCircuit -Name <<circuit-name>> -ResourceGroupName <<resource-group>> -Location <<location>> -SkuTier <<sku-tier>> -SkuFamily <<sku-family>> -ServiceProviderName <<service-provider-name>> -PeeringLocation <<peering-location>> -BandwidthInMbps <<bandwidth-in-mbps>>
   

2. Envíe el valor de ServiceKey para el circuito nuevo al proveedor de servicios.

3. Espere a que el proveedor aprovisione el circuito. Para comprobar el estado de aprovisionamiento de un circuito, ejecute el siguiente comando de PowerShell:

   Get-AzExpressRouteCircuit -Name <<circuit-name>> -ResourceGroupName <<resource-group>>
   

   El campo Provisioning state de la sección Service Provider de la salida cambiará de NotProvisioned a Provisioned cuando el circuito esté listo.

   Nota

   Si usa una conexión de nivel 3, el proveedor debe configurar y administrar el enrutamiento en su lugar. Proporcione la información necesaria para permitir que el proveedor implemente las rutas adecuadas.

4. Si usa una conexión de nivel 2:

   1. Reserve dos subredes /30 compuestas de direcciones IP públicas válidas para cada tipo de emparejamiento que desee implementar. Estas subredes /30 se usarán para proporcionar direcciones IP para los enrutadores utilizados para el circuito. Si va a implementar el emparejamiento de Microsoft privado, necesitará cuatro subredes /30 con direcciones IP públicas válidas.

   2. Configure el enrutamiento para el circuito ExpressRoute. Ejecute los siguientes comandos de PowerShell para cada tipo de emparejamiento que desee configurar (privado y Microsoft). Para más información, vea Creación y modificación del enrutamiento de un circuito ExpressRoute.

      Set-AzExpressRouteCircuitPeeringConfig -Name <<peering-name>> -ExpressRouteCircuit <<circuit-name>> -PeeringType <<peering-type>> -PeerASN <<peer-asn>> -PrimaryPeerAddressPrefix <<primary-peer-address-prefix>> -SecondaryPeerAddressPrefix <<secondary-peer-address-prefix>> -VlanId <<vlan-id>>
      
      Set-AzExpressRouteCircuit -ExpressRouteCircuit <<circuit-name>>
      

   3. Reserve otro grupo de direcciones IP públicas válidas para usarlas en la traducción de direcciones de red (NAT) para el emparejamiento de Microsoft. Se recomienda tener un grupo diferente para cada emparejamiento. Especifique el grupo para el proveedor de conectividad, de modo que puedan configurar los anuncios del Protocolo de puerta de enlace fronteriza (BGP) para esos intervalos.

5. Ejecute los siguientes comandos de PowerShell para vincular sus redes virtuales privadas al circuito ExpressRoute. Para más información, consulte Vinculación de la red virtual a circuitos ExpressRoute.

   $circuit = Get-AzExpressRouteCircuit -Name <<circuit-name>> -ResourceGroupName <<resource-group>>
   $gw = Get-AzVirtualNetworkGateway -Name <<gateway-name>> -ResourceGroupName <<resource-group>>
   New-AzVirtualNetworkGatewayConnection -Name <<connection-name>> -ResourceGroupName <<resource-group>> -Location <<location> -VirtualNetworkGateway1 $gw -PeerId $circuit.Id -ConnectionType ExpressRoute
   

Puede conectar varias redes virtuales que se encuentren en regiones diferentes al mismo circuito ExpressRoute, siempre y cuando todos ellos se encuentren en la misma región geopolítica.

Solución de problemas

Si un circuito de ExpressRoute que funcionaba ahora no se puede conectar, en ausencia de cambios de configuración local o dentro de la red virtual privada, debe ponerse en contacto con el proveedor de conectividad y colaborar para corregir el problema. Use los siguientes comandos de PowerShell para verificar que se haya aprovisionado el circuito de ExpressRoute:

Get-AzExpressRouteCircuit -Name <<circuit-name>> -ResourceGroupName <<resource-group>>

El resultado de este comando muestra varias propiedades para el circuito, incluidas ProvisioningState, CircuitProvisioningState y ServiceProviderProvisioningState, tal y como se muestra a continuación.

ProvisioningState                : Succeeded
Sku                              : {
                                     "Name": "Standard_MeteredData",
                                     "Tier": "Standard",
                                     "Family": "MeteredData"
                                   }
CircuitProvisioningState         : Enabled
ServiceProviderProvisioningState : NotProvisioned

Si la propiedad ProvisioningState no está establecida en Succeeded después de intentar crear un nuevo circuito, quite el circuito mediante el comando siguiente e intente crearlo de nuevo.

Remove-AzExpressRouteCircuit -Name <<circuit-name>> -ResourceGroupName <<resource-group>>

Si el proveedor ya tenía aprovisionado el circuito y la propiedad ProvisioningState ya está establecida en Failed, o la propiedad CircuitProvisioningState no es Enabled, póngase en contacto con su proveedor para obtener más ayuda.

Consideraciones

Estas consideraciones implementan los pilares del marco de buena arquitectura de Azure, que es un conjunto de principios guía que se pueden usar para mejorar la calidad de una carga de trabajo. Para más información, consulte Marco de buena arquitectura de Microsoft Azure.

Escalabilidad

Los circuitos de ExpressRoute proporcionan una ruta de acceso de gran ancho de banda entre redes. Por lo general, cuanto mayor sea el ancho de banda mayor será el costo.

ExpressRoute ofrece dos planes de precios a los clientes, un plan de datos limitados y un plan de datos ilimitados. Los cargos pueden variar según el ancho de banda del circuito. Es probable que el ancho de banda disponible varíe de un proveedor a otro. Use el cmdlet Get-AzExpressRouteServiceProvider para ver los proveedores disponibles en su región y los anchos de banda que ofrecen.

Un solo circuito ExpressRoute puede admitir un número determinado de emparejamientos y vínculos de red virtual. Para más información, consulte el artículo Límites de ExpressRoute.

Por un costo adicional, el complemento Premium de ExpressRoute proporciona más capacidad:

• Mayores límites de rutas para el emparejamiento privado.
• Aumento del número de vínculos de red virtual por cada circuito ExpressRoute.
• Conectividad global para los servicios.

Vea Precios de ExpressRoute para conocer más detalles.

Los circuitos ExpressRoute están diseñados para permitir hasta dos veces el límite de ancho de banda adquirido sin costo adicional. Esto se logra mediante el uso de vínculos redundantes. Sin embargo, no todos los proveedores de conectividad admiten esta característica. Verifique que el proveedor de conectividad habilita esta característica antes de depender de ella.

Aunque algunos proveedores le permiten cambiar el ancho de banda, asegúrese de elegir uno inicial que sobrepase sus necesidades y proporcione espacio para el crecimiento. Si necesita aumentar el ancho de banda en el futuro, le quedan dos opciones:

• Aumentar el ancho de banda. Debe evitar esta opción en la medida de lo posible; no todos los proveedores le permiten aumentar dinámicamente el ancho de banda. Pero, si se necesita aumentarlo, póngase en contacto con su proveedor para verificar que permite variar las propiedades de ancho de banda de ExpressRoute a través de comandos de PowerShell. Si es así, ejecute los comandos siguientes.

  $ckt = Get-AzExpressRouteCircuit -Name <<circuit-name>> -ResourceGroupName <<resource-group>>
  $ckt.ServiceProviderProperties.BandwidthInMbps = <<bandwidth-in-mbps>>
  Set-AzExpressRouteCircuit -ExpressRouteCircuit $ckt
  

  Puede aumentar el ancho de banda sin perder conectividad. Degradar el ancho de banda provocará una interrupción en la conectividad, ya que debe eliminar el circuito y volver a crearlo con la nueva configuración.

• Cambiar el plan de precios o actualizar a Premium. Para ello, ejecute los siguientes comandos: La propiedad Sku.Tier puede ser Standard o Premium; la propiedad Sku.Name puede ser MeteredData o UnlimitedData.

  $ckt = Get-AzExpressRouteCircuit -Name <<circuit-name>> -ResourceGroupName <<resource-group>>
  
  $ckt.Sku.Tier = "Premium"
  $ckt.Sku.Family = "MeteredData"
  $ckt.Sku.Name = "Premium_MeteredData"
  
  Set-AzExpressRouteCircuit -ExpressRouteCircuit $ckt
  

  Importante

  Asegúrese de que la propiedad Sku.Name concuerda con las propiedades Sku.Tier y Sku.Family. Si cambia la familia y el nivel, pero no el nombre, la conexión se deshabilitará.

  Puede actualizar la SKU sin interrupciones, pero no se puede cambiar del plan de precios ilimitado al limitado. Al degradar la SKU, el consumo de ancho de banda debe permanecer en el límite predeterminado de la SKU estándar.

Disponibilidad

ExpressRoute no admite protocolos de redundancia de enrutador como el Protocolo de enrutamiento en espera activa (HSRP) y el Protocolo de redundancia de enrutador virtual (VRRP) para implementar la alta disponibilidad. En su lugar, utiliza un par redundante de sesiones BGP por emparejamiento. Para facilitar las conexiones de alta disponibilidad a la red, Azure proporciona dos puertos de redundancia en los dos enrutadores (parte de Microsoft Edge) en una configuración activa/activa.

De forma predeterminada, las sesiones BGP usan un valor de tiempo de espera de inactividad de 60 segundos. Si una sesión agota el tiempo de espera tres veces (180 segundos en total), el enrutador se marca como no disponible y todo el tráfico se redirige al enrutador restante. Este tiempo de espera de 180 segundos puede ser demasiado largo para las aplicaciones críticas. Si es así, puede cambiar la configuración del tiempo de espera BGP en el enrutador local con un valor menor. ExpressRoute admite la detección de reenvío bidireccional (BFD) a través del emparejamiento privado. Al habilitar BFD a través de ExpressRoute, puede acelerar la detección de errores de vínculo entre los dispositivos de Microsoft Enterprise Edge (MSEE) y los enrutadores en los que finaliza el circuito de ExpressRoute (PE). Puede finalizar ExpressRoute a través de dispositivos de enrutamiento del lado del cliente o dispositivos de enrutamiento perimetrales asociados (si se ha completado con el servicio administrado de conexión de nivel 3).

Puede configurar la alta disponibilidad para la conexión de Azure de maneras diferentes, dependiendo del tipo de proveedor que utilice y del número de circuitos ExpressRoute y de conexiones de puerta de enlace de red virtual que esté dispuesto a configurar. A continuación se resumen las opciones de disponibilidad:

• Si usa una conexión de nivel 2, implemente enrutadores redundantes en su red local en una configuración activa/activa. Conecte el circuito principal a un enrutador y el circuito secundario al otro. Esto le proporcionará una conexión de alta disponibilidad en ambos extremos de la conexión. Esto es necesario si requiere el Acuerdo de Nivel de Servicio (SLA) de ExpressRoute. Vea SLA de Azure ExpressRoute para obtener más detalles.

  El siguiente diagrama muestra una configuración con enrutadores redundantes locales conectados a los circuitos principales y secundarios. Cada circuito controla el tráfico de un emparejamiento privado (cada uno se designa con un par de espacios de direcciones /30, tal como se describe en la sección anterior).

  

• Si usa una conexión de nivel 3, verifique que proporciona sesiones BGP redundantes que controlan la disponibilidad en su lugar.

• Conecte la red virtual a varios circuitos ExpressRoute, proporcionados por otros proveedores de servicios. Esta estrategia proporciona funcionalidades de recuperación ante desastres y alta disponibilidad adicional.

• Configure una VPN de sitio a sitio como una ruta de acceso de conmutación por error para ExpressRoute. Para más información sobre esta opción, vea Conexión de una red local a Azure mediante ExpressRoute con conmutación por error de VPN. Esta opción solo se aplica al emparejamiento privado. Para los servicios de Azure y Microsoft 365, Internet es la única ruta de acceso para la conmutación por error.

Seguridad

La seguridad proporciona garantías contra ataques deliberados y el abuso de datos y sistemas valiosos. Para más información, consulte Introducción al pilar de seguridad.

Puede configurar las opciones de seguridad para la conexión de Azure de maneras diferentes, en función de las necesidades de cumplimiento de normas y de los problemas de seguridad.

ExpressRoute funciona en el nivel 3. Las amenazas del nivel de aplicación pueden evitarse mediante el uso de un dispositivo de seguridad de red que restrinja el tráfico a los recursos legítimos.

Para maximizar la seguridad, agregue dispositivos de seguridad de red entre la red local y los enrutadores perimetrales del proveedor. Esto le ayudará a impedir el flujo de entrada de tráfico no autorizado de la red virtual:

Para fines relacionados con la auditoría y el cumplimiento de normas, puede ser necesario prohibir el acceso directo a Internet de los componentes que se ejecutan en la red virtual e implementar la tunelización forzada. En esta situación, el tráfico de Internet se debe redirigir a través de un proxy que se ejecute de forma local donde se pueda auditar. El proxy puede configurarse para bloquear el tráfico no autorizado que fluya hacia fuera y filtrar el tráfico de entrada potencialmente malintencionado.

Para maximizar la seguridad, no habilite una dirección IP pública para las máquinas virtuales y utilice los grupos de seguridad de red para asegurarse de que estas máquinas virtuales no están accesibles públicamente. Las máquinas virtuales solo deben estar disponibles mediante la dirección IP interna. Estas direcciones pueden hacerse accesibles a través de la red de ExpressRoute, permitiendo al personal de DevOps local para que realice la configuración o el mantenimiento.

Si debe exponer los puntos de conexión de administración para las máquinas virtuales a una red externa, use grupos de seguridad de red o listas de control de acceso a fin de restringir la visibilidad de estos puertos a una lista de direcciones IP o redes permitidas.

Supervisión de redes

Use Network Watcher para supervisar y solucionar problemas de los componentes de red, las herramientas, como Análisis de tráfico, mostrarán los sistemas de sus redes virtuales que generan la mayor parte del tráfico, para que pueda identificar visualmente los cuellos de botella antes de que degeneren en problemas. El administrador del rendimiento de la red tiene la capacidad de supervisar la información sobre los circuitos ExpressRoute de Microsoft.

Puede usar Azure Connectivity Toolkit (AzureCT) para supervisar la conectividad entre el centro de datos local y Azure.

Para más información, consulte la sección DevOps en Marco de buena arquitectura de Microsoft Azure. Para obtener información específica de la supervisión, consulte Supervisión de DevOps.

Optimización de costos

La optimización de costos trata de buscar formas de reducir los gastos innecesarios y mejorar las eficiencias operativas. Para más información, vea Información general del pilar de optimización de costos.

Puede usar la calculadora de precios de Azure para calcular los costos.

En las secciones siguientes se explican los cargos de servicio que se usan en esta arquitectura.

Azure ExpressRoute

En esta arquitectura, se usa un circuito ExpressRoute para unir la red local con Azure a través de los enrutadores perimetrales.

Hay dos planes principales. En el plan de datos limitados, toda la transferencia de datos de entrada es gratuita. Toda la transferencia de datos de salida se cobra en función de una tasa predeterminada.

También puede optar por el plan de datos ilimitados en el que toda la transferencia de datos de entrada y salida es gratuita. A los usuarios se les cobra un precio de puerto mensual fijo basado en puertos duales de alta disponibilidad.

Calcule el uso y elija un plan de facturación en consecuencia. Se recomienda el plan de datos ilimitados si supera el 68 % de utilización.

Para más información, consulte Precios de Azure ExpressRoute.

Azure Virtual Network

Todos los niveles de aplicación se hospedan en una única red virtual y se segmentan mediante subredes.

Azure Virtual Network es gratis. A cada suscripción se le permite crear un máximo de 50 redes virtuales en todas las regiones. Todo el tráfico que produce dentro de los límites de una red virtual es gratis. Por consiguiente, la comunicación entre dos máquinas virtuales de la misma red virtual es gratis.

Pasos siguientes

Documentación del producto:

• Servicios de Microsoft 365
• ¿Qué es Azure ExpressRoute?
• ¿Qué es Azure Virtual Network?

Módulos de Microsoft Learn:

• Configuración de ExpressRoute y Virtual WAN
• Configurar el emparejamiento de la red virtual
• Diseño e implementación de Azure ExpressRoute
• Explorar los servicios de la plataforma Microsoft 365

Recursos relacionados

• Diseño de arquitectura híbrida
• Conexión de una red local a Azure mediante ExpressRoute
• Extensión de una red local mediante VPN