Configuración de conexiones ExpressRoute y de sitio a sitio coexistentes mediante Azure Portal

  • Artículo

En este artículo se le ayuda a configurar conexiones ExpressRoute y VPN de sitio a sitio que coexisten. Tener la posibilidad de configurar VPN de sitio a sitio y ExpressRoute tiene varias ventajas. Puede configurar una VPN de sitio a sitio como una ruta de acceso seguro de conmutación por error para ExpressRoute, o bien usar las VPN de sitio a sitio para conectarse a sitios que no están conectados mediante ExpressRoute. En este artículo se tratan los pasos para configurar ambos escenarios. Este artículo se aplica al modelo de implementación de Resource Manager.

La configuración de las conexiones coexistentes de VPN de sitio a sitio y ExpressRoute tiene varias ventajas:

  • Puede configurar una VPN de sitio a sitio como una ruta de conmutación por error segura para ExpressRoute.
  • Si lo desea, también puede usar redes VPN de sitio a sitio para conectarse a los sitios que no están conectados mediante ExpressRoute.

En este artículo, se explican los pasos para configurar ambos escenarios. Puede configurar cualquier puerta de enlace en primer lugar. Normalmente, no se incurrirá en ningún tiempo de inactividad cuando se agrega una nueva puerta de enlace o una conexión de puerta de enlace.

Nota

Si desea crear una VPN de sitio a sitio a través de una conexión ExpressRoute, consulte Emparejamiento de sitio a sitio de Microsoft.

Límites y limitaciones

  • Solo se admite la VPN Gateway basada en rutas. Debe usar una VPN Gateway basada en rutas. También puede usar una VPN Gateway basada en rutas con una conexión VPN configurada para "selectores de tráfico basados en directivas", tal y como se describe en Conexión a varios dispositivos VPN basados en directivas.
  • Las configuraciones de la coexistencia de ExpressRoute-VPN Gateway no se admiten en la SKU de nivel Básico.
  • Las puertas de enlace de ExpressRoute y VPN deben poder comunicarse entre sí a través de BGP para funcionar correctamente. Si usa una UDR en la subred de puerta de enlace, asegúrese de que no incluye una ruta para el intervalo de subredes de puerta de enlace, ya que esto interferirá con el tráfico BGP.
  • Si desea usar el enrutamiento de tránsito entre ExpressRoute y VPN, el ASN de Azure VPN Gateway se debe establecer en 65515. Azure VPN Gateway admite el protocolo de enrutamiento de BGP. Para que ExpressRoute y la VPN de Azure funcionen juntos, debe mantener el número de sistema autónomo de la puerta de enlace de VPN de Azure en su valor predeterminado, 65515. Si previamente ha seleccionado un ASN que no sea 65515 y cambia el valor a 65515, debe restablecer la puerta de enlace de VPN para que la configuración surta efecto.
  • La subred de la puerta de enlace debe ser /27 o un prefijo más corto, como /26, /25. De lo contrario, recibirá un mensaje de error al agregar la puerta de enlace de red virtual de ExpressRoute.
  • Coexistencia solo para el tráfico IPv4. Se admite la coexistencia de ExpressRoute con puertas de enlace de VPN, pero solo para el tráfico IPv4. El tráfico IPv6 no se admite para las puertas de enlace de VPN.

Diseños de configuración

Configuración de una VPN de sitio a sitio como una ruta de acceso de conmutación por error para ExpressRoute

Puede configurar una conexión VPN de sitio a sitio como una copia de seguridad para ExpressRoute. Esta conexión se aplica únicamente a las redes virtuales vinculadas a la ruta de acceso de emparejamiento privado de Azure. No hay ninguna solución de conmutación por error basada en VPN para servicios que sea accesible mediante el emparejamiento de Microsoft Azure. El circuito ExpressRoute siempre es el vínculo principal. Los datos fluyen a través de la ruta de acceso de la VPN de sitio a sitio solo si se produce un error en el circuito ExpressRoute. Para evitar el enrutamiento asimétrico, la configuración de red local también debería preferir el circuito ExpressRoute a través de la VPN de sitio a sitio. Si prefiere utilizar la ruta de ExpressRoute, dé mayor preferencia local a las rutas que reciben ExpressRoute.

Nota

Si tiene habilitado el emparejamiento de Microsoft para ExpressRoute, puede recibir la dirección IP pública de la puerta de enlace de VPN de Azure en la conexión de ExpressRoute. Para configurar la conexión VPN de sitio a sitio como copia de seguridad, debe configurar la red local para que la conexión VPN se enrute a Internet.

Nota

Si bien se prefiere el circuito ExpressRoute a la VPN de sitio a sitio cuando ambas rutas son las mismas, Azure utilizará la coincidencia de prefijo más larga para elegir la ruta hacia el destino del paquete.

Diagrama de una conexión VPN de sitio a sitio que se usa como copia de seguridad para ExpressRoute.

Configuración de una VPN de sitio a sitio para conectarse a sitios no conectados mediante ExpressRoute

Puede configurar la red para sitios que se conectan directamente a Azure mediante una VPN de sitio a sitio y otros que se conectan a través de ExpressRoute.

Diagrama de una conexión VPN de sitio a sitio que coexiste con una conexión de ExpressRoute para dos sitios diferentes.

Selección de los pasos a seguir

Hay dos conjuntos diferentes de procedimientos que puede elegir. El procedimiento de configuración que seleccione depende de si ya tiene una red virtual existente a la que quiere conectarse o si desea crear una nueva.

  • No tengo una red virtual y necesito crear una.

    Si aún no tiene una red virtual, este procedimiento le guía en la creación de una nueva red virtual mediante el modelo de implementación de Resource Manager y la creación de nuevas conexiones VPN de sitio a sitio y ExpressRoute. Para configurar una red virtual, siga los pasos que se describen en Creación de una nueva red virtual y conexiones coexistentes.

  • Ya tengo una red virtual del modelo de implementación de Resource Manager.

    Puede que ya tenga una red virtual con una conexión VPN de sitio a sitio o una conexión ExpressRoute existentes. En este escenario, si la máscara de subred de la puerta de enlace es /28 o superior (/29, /30, etc.), deberá eliminar la puerta de enlace existente. La sección Configuración de conexiones coexistentes para una red virtual existente le guía en la eliminación de la puerta de enlace y la creación de nuevas conexiones VPN de sitio a sitio y ExpressRoute.

    Si elimina y crea de nuevo la puerta de enlace, se producirá un tiempo de inactividad en las conexiones entre locales. Sin embargo, las máquinas virtuales y los servicios pueden seguir comunicándose con el exterior a través del equilibrador de carga mientras usted configura la puerta de enlace (siempre que se hayan configurado para ello).

Creación de una nueva red virtual y conexiones coexistentes

Este procedimiento le guía en la creación de una red virtual y conexiones de sitio a sitio y ExpressRoute que coexisten.

  1. Inicie sesión en Azure Portal.

  2. En la parte superior izquierda de la pantalla, seleccione + Crear un recurso y busque Red virtual.

  3. Seleccione Crear para empezar a configurar la red virtual.

    Captura de pantalla de la creación de una página de red virtual.

  4. En la pestaña Aspectos básicos, seleccione o cree un nuevo grupo de recursos para almacenar la red virtual. A continuación, escriba el nombre y seleccione la región para implementar la red virtual. Seleccione Siguiente: Direcciones IP > para configurar el espacio de direcciones y las subredes.

    Captura de pantalla de la pestaña de aspectos básicos para crear una red virtual.

  5. En la pestaña Direcciones IP, configure el espacio de direcciones de red virtual. A continuación, defina las subredes que desea crear, incluida la subred de puerta de enlace. Seleccione Revisar y crear y, a continuación, Crear para implementar la red virtual. Para más información acerca de cómo crear una red virtual en Azure, consulte Create a virtual network (Creación de una red virtual). Para más información acerca de cómo crear subredes, consulte Incorporación de una subred

    Importante

    La subred de puerta de enlace debe ser /27 o un prefijo más corto (por ejemplo, /26 o /25).

    Captura de pantalla de la pestaña de direcciones IP para crear una red virtual.

  6. Cree la puerta de enlace de VPN de sitio a sitio y la puerta de enlace de red local. Para más información sobre la configuración de VPN Gateway, consulte Creación de una red virtual con una conexión de sitio a sitio mediante PowerShell. GatewaySku solamente es compatible con las puertas de enlace de VPN VpnGw1, VpnGw2, VpnGw3, Standard y HighPerformance. Las configuraciones de la coexistencia de ExpressRoute-VPN Gateway no se admiten en la SKU de nivel Básico. El valor de VpnType debe ser RouteBased.

  7. Configure el dispositivo VPN local para que se conecte a la nueva puerta de enlace de VPN de Azure. Para obtener más información sobre la configuración del dispositivo VPN, vea Configuración de dispositivos VPN.

  8. Si está conectado a un circuito ExpressRoute existente, omita los pasos 8 y 9 y pase directamente al paso 10. Configure los circuitos ExpressRoute. Para más información acerca de cómo configurar los circuitos ExpressRoute, consulte Creación de un circuito ExpressRoute.

  9. Configure el emparejamiento privado de Azure a través del circuito ExpressRoute. Para obtener más información sobre cómo configurar el emparejamiento privado de Azure en el circuito ExpressRoute, vea Configuración del emparejamiento.

  10. Seleccione + Crear un recurso y busque la Puerta de enlace de red virtual. Seleccione Crear.

  11. Seleccione el tipo de puerta de enlace de ExpressRoute, la SKU adecuada y la red virtual en la que se implementará la puerta de enlace.

    Captura de pantalla de la creación de una puerta de enlace de red virtual para ExpressRoute.

  12. Vincule la puerta de enlace de ExpressRoute al circuito ExpressRoute. Una vez completado este paso, se ha establecido la conexión entre su red local y Azure a través de ExpressRoute. Para más información sobre la operación de vinculación, consulte Vinculación de redes virtuales a circuitos ExpressRoute.

Para configurar conexiones coexistentes para una red virtual ya existente

Si tiene una red virtual con una sola una puerta de enlace de red virtual (por ejemplo, una puerta de enlace de VPN de sitio a sitio) y desea agregar una segunda puerta de enlace de otro tipo (por ejemplo, una puerta de enlace de ExpressRoute), compruebe el tamaño de la subred de la puerta de enlace. Si la subred de la puerta de enlace es /27, o mayor, puede omitir los pasos siguientes y seguir los de la sección anterior para agregar una puerta de enlace VPN de sitio a sitio o una puerta de enlace de ExpressRoute. Si la subred de la puerta de enlace es /28 o /29, primero debe eliminar la puerta de enlace de red virtual y aumentar el tamaño de la subred de la puerta de enlace. Los pasos de esta sección le muestran cómo hacerlo.

  1. Elimine la puerta de enlace de la VPN de ExpressRoute o de sitio a sitio.

  2. Elimine y vuelva a crear GatewaySubnet para que tenga el prefijo /27 o más corto.

  3. Configure una red virtual con una conexión de sitio a sitio y, a continuación, configure la puerta de enlace de ExpressRoute.

  4. Una vez implementada la puerta de enlace de ExpressRoute, puede vincular la red virtual al circuito de ExpressRoute.

Incorporación de la configuración de punto a sitio a la puerta de enlace de VPN

Puede agregar una configuración de punto a sitio al conjunto existente siguiendo las instrucciones de Configuración de la conexión VPN de punto a sitio mediante la autenticación de certificados de Azure

Habilitación del enrutamiento de tránsito entre ExpressRoute y VPN de Azure

Si desea habilitar la conectividad entre una de las redes locales que está conectada a ExpressRoute y otra de la red local que está conectada a una conexión VPN de sitio a sitio, debe configurar Azure Route Server.

Pasos siguientes

Para obtener más información acerca de ExpressRoute, consulte P+F de ExpressRoute.