Configuración de puertas de enlace de VPN activo-activo mediante Azure Portal

Este artículo le ayuda a crear puertas de enlace de VPN activo-activo de alta disponibilidad mediante el modelo de implementación de Resource Manager y Azure Portal. También puede configurar una puerta de enlace activo-activo mediante PowerShell.

Para lograr una alta disponibilidad en la conectividad de red virtual a red virtual y entre entornos locales, debe implementar varias puertas de enlace VPN y establecer varias conexiones en paralelo entre sus redes y Azure. Consulte Conectividad de alta disponibilidad entre locales y de red virtual a red virtual para obtener información general de las opciones de conectividad y la topología.

Importante

El modo activo-activo está disponible para todas las SKU, excepto Basic o Standard. Consulte el artículo Acerca de las SKU de puerta de enlace para obtener la información más reciente sobre las SKU de puerta de enlace, el rendimiento y las características admitidas. Para esta configuración se requieren direcciones IP públicas de SKU estándar. No se puede usar una dirección IP pública de SKU básica.

Los pasos de este artículo le ayudarán a configurar una puerta de enlace de VPN en modo activo-activo. Hay algunas diferencias entre los modos activo-activo y activo-en espera. Las demás propiedades son las mismas que las de las puertas de enlace que no son activo-activo.

• Las puertas de enlace activo-activo tienen dos configuraciones IP de puerta de enlace y dos direcciones IP públicas.
• Las puertas de enlace activo-activo tienen habilitada la configuración activo-activo.
• La SKU de puerta de enlace de red virtual no puede ser Basic ni Standard.

Si ya tiene una puerta de enlace de VPN, puede actualizar una puerta de enlace de VPN existente de modo activo-en espera a activo-activo, o de modo activo-activo a modo activo-en espera.

Creación de una red virtual

Si aún no dispone de una red virtual (VNet) que desee utilizar, cree una VNet utilizando los siguientes valores:

• Grupo de recursos: TestRG1
• Nombre: VNet1
• Región: (EE. UU.) Este de EE. UU.
• Espacio de direcciones IPv4: 10.1.0.0/16
• Nombre de subred: FrontEnd
• Espacio de direcciones de subred: 10.1.0.0/24

1. Inicie sesión en Azure Portal.

2. En Buscar recursos, servicios y documentos (G+/) en la parte superior de la página del portal, escriba red virtual. Seleccione Red virtual en los resultados de búsqueda de Marketplace para abrir la página Red virtual.

3. En la página Red virtual, seleccione Crear para abrir la página Crear red virtual.

4. En la pestaña Aspectos básicos, configure las opciones de la red virtual en Detalles del proyecto y Detalles de la instancia. Verá una marca de verificación verde cuando se validen los valores que escriba. Puede ajustar los valores que se muestran en el ejemplo según la configuración que necesite.

   

   • Suscripción: compruebe que la suscripción que aparece en la lista es la correcta. Puede cambiar las suscripciones mediante el cuadro desplegable.
   • Grupo de recursos: Seleccione uno existente o seleccione Crear nuevo para crear uno. Para más información sobre los grupos de recursos, consulte Información general de Azure Resource Manager.
   • Name: escriba el nombre de la red virtual.
   • Región: Seleccione la ubicación de la red virtual. La ubicación determina dónde van a residir los recursos que implemente en esta red virtual.

5. Seleccione Siguiente o Seguridad para ir a la pestaña Seguridad. Para este ejercicio, mantenga los valores predeterminados para todos los servicios de esta página.

6. Seleccione Direcciones IP para ir a la pestaña Direcciones IP. Configure los valores en la pestaña Direcciones IP.

   • Espacio de direcciones IPv4: de manera predeterminada, se crea automáticamente un espacio de direcciones. Puede seleccionar el espacio de direcciones y modificarlo para que refleje sus valores. También puede agregar un espacio de direcciones diferente y quitar el valor predeterminado que se creó automáticamente. Por ejemplo, puede especificar la dirección inicial como 10.1.0.0 y especificar el tamaño del espacio de direcciones como /16. A continuación, seleccione Agregar para agregar ese espacio de direcciones.

   • + Agregar subred: Si usa el espacio de direcciones predeterminado, se crea automáticamente una subred predeterminada. Si cambia el espacio de direcciones, agregue una nueva subred dentro de ese espacio de direcciones. Seleccione + Agregar una subred para abrir la ventana Agregar subred. Configure las siguientes opciones y, a continuación, seleccione Agregar al final de la página para agregar los valores.

     • Nombre de subred: Un ejemplo es FrontEnd.
     • Rango de direcciones de subred: intervalo de direcciones para esta subred. Algunos ejemplos de ello son 10.1.0.0 y /24.

7. Revise la página Direcciones IP y quite los espacios de direcciones o subredes que no necesite.

8. Seleccione Revisar y crear para validar la configuración de la red virtual.

9. Después de validar la configuración, seleccione Crear para crear la red virtual.

Creación de una puerta de enlace de VPN activo-activo

En este paso, se crea una puerta de enlace de red virtual activo-activo (puerta de enlace VPN) para la red virtual. La creación de una puerta de enlace suele tardar 45 minutos o más, según la SKU de la puerta de enlace seleccionada.

Cree una puerta de enlace de red virtual con los siguientes valores:

• Nombre: VNet1GW
• Región: Este de EE. UU.
• Tipo de puerta de enlace: VPN
• Tipo de VPN:: basada en rutas
• SKU: VpnGw2
• Generación: generación 2
• Red virtual: VNet1
• Intervalo de direcciones de subred de puerta de enlace: 10.1.255.0/27
• Dirección IP pública: Crear nuevo
• Nombre de dirección IP pública: VNet1GWpip

1. En Buscar recursos, servicios y documentos (G+/), escriba puerta de enlace de red virtual. Busque Puerta de enlace de red virtual en los resultados de búsqueda de Marketplace y selecciónelo para abrir la página Crear puerta de enlace de red virtual.

2. En la pestaña Aspectos básicos, rellene los valores de Detalles del proyecto y Detalles de la instancia.

   

   • Subscripción: Seleccione la suscripción que quiere usar en la lista desplegable.

   • Grupo de recursos: Este valor se rellena automáticamente cuando se selecciona la red virtual en esta página.

   • Name: Asigne un nombre a la puerta de enlace. Asignar un nombre a la puerta de enlace no es el mismo que asignar un nombre a una subred de puerta de enlace. Este es el nombre del objeto de puerta de enlace que va a crear.

   • Región: Seleccione la región en la que quiere crear este recurso. La región de la puerta de enlace debe ser la misma que la red virtual.

   • Tipo de puerta de enlace: Seleccione VPN. Las puertas de enlace VPN usan el tipo de puerta de enlace de red virtual VPN.

   • SKU: En la lista desplegable, seleccione el SKU de puerta de enlace que admita las características que desea usar. Consulte SKU de puerta de enlace. En el portal, los SKU disponibles de la lista desplegable dependen de la opción de la opción de VPN type que seleccione. El SKU Básico solo se puede configurar mediante PowerShell o la CLI de Azure. No se puede configurar el SKU Básico en Azure Portal.

   • Generación: seleccione la generación que desea usar. Se recomienda usar una SKU de segunda generación. Consulte SKU de puertas de enlace para más información.

   • Red virtual: En la lista desplegable, seleccione la red virtual a la que quiere agregar esta puerta de enlace. Si no puede ver la red virtual para la que desea crear una puerta de enlace, asegúrese de haber seleccionado la suscripción y la región correctas en la configuración anterior.

   • Intervalo de direcciones de subred de puerta de enlace o subred: La subred de puerta de enlace es necesaria para crear una puerta de enlace de VPN.

     En este momento, este campo puede mostrar varias opciones de configuración diferentes, según el espacio de direcciones de la red virtual y de si ya ha creado una subred denominada GatewaySubnet para la red virtual.

     Si no tiene una subred de puerta de enlace y no ve la opción de crear una en esta página, vuelva a la red virtual y cree la subred de puerta de enlace. A continuación, vuelva a esta página y configure la puerta de enlace de VPN.

4. Especifique en los valores de Dirección IP pública. estas opciones de configuración especifican el objeto de dirección IP pública que se asocia a la puerta de enlace de VPN. Al crear un objeto de IP pública, se le asigna una dirección IP. Luego, el objeto dirección IP pública se asocia a la puerta de enlace. Para las pasarelas que no son redundancia de zona, la única vez que cambia la dirección IP pública es cuando se elimina y se vuelve a crear la pasarela. No cambia cuando se cambia el tamaño, se restablece o se realizan actualizaciones u otras operaciones de mantenimiento interno de una puerta de enlace VPN. Debe asociar un objeto dirección IP pública que use la SKU estándar. El objeto IP pública de la SKU básica solo se admite para puertas de enlace de VPN de SKU básica.

   

   • Dirección IP pública: Mantenga la opción Crear nueva seleccionada.
   • Nombre de dirección IP pública: En el cuadro de texto, escriba un nombre para la dirección IP pública.
   • Asignación: estática se selecciona automáticamente.
   • Habilitar el modo activo/activo: seleccione Habilitado.
   • Segunda dirección IP pública: seleccione Crear nueva.
   • Nombre de dirección IP pública: asigne un nombre al recurso de dirección IP pública.
   • Mantenga Configurar BGP en Deshabilitado, a menos que su configuración requiera específicamente este valor. Si necesita esta configuración, el ASN predeterminado es 65515, pero se pueden usar otros ASN.

5. Seleccione Revisar y crear para ejecutar la validación.

6. Una vez superada la validación, seleccione Crear para implementar VPN Gateway.

Puede ver el estado de implementación en la página Información general de la puerta de enlace. Una vez creada la puerta de enlace, puede ver la dirección IP que se le ha asignado consultando la red virtual en el portal. La puerta de enlace aparece como un dispositivo conectado.

Importante

Cuando trabaje con subredes de puerta de enlace, evite asociar grupos de seguridad de red (NSG) a la subred de la puerta de enlace. La asociación de grupos de seguridad de red a esta subred podría causar que la puerta de enlace de la red virtual (puertas de enlace de ExpressRoute y VPN) dejase de funcionar como cabría esperar. Para más información acerca de los grupos de seguridad de red, consulte ¿Qué es un grupo de seguridad de red?

Actualización de una instancia de VPN Gateway existente

En esta sección, le ayudamos a cambiar una instancia de Azure VPN Gateway existente del modo activo-en espera al modo activo-activo o viceversa. Al cambiar una puerta de enlace de activo-en espera a activo-activo, crea otra dirección IP pública y después agrega una segunda configuración IP de puerta de enlace.

Cambio del modo activo-en espera a activo-activo

Use los pasos siguientes para convertir la puerta de enlace del modo activo-en espera al modo activo-activo. Si la puerta de enlace se creó con el modelo de implementación de Resource Manager, también puede actualizar la SKU en esta página.

1. Vaya a la página de la puerta de enlace de red virtual.

2. En el menú de la izquierda, seleccione Configuración.

3. En la página Configuración, defina las siguientes opciones:

   • Cambie el modo activo-activo a Habilitado.
   • Haga clic en Agregar nuevo para agregar otra dirección IP pública. Si ya tiene una dirección IP que creó anteriormente que está disponible para dedicar a este recurso, puede seleccionarla en la lista desplegable SEGUNDA DIRECCIÓN IP PÚBLICA.

   

4. En la página Elegir dirección IP pública especifique una dirección IP pública existente que cumpla los criterios, o seleccione +Crear nuevo para crear una nueva dirección IP pública que se usará para la segunda instancia de VPN Gateway. Después de especificar la segunda dirección IP pública, haga clic en Aceptar.

5. En la parte superior de la página Configuración, haga clic en Guardar. Esta actualización puede tardar unos 30-45 minutos en completarse.

Importante

Si tiene sesiones BGP en ejecución, tenga en cuenta que la configuración de BGP de Azure VPN Gateway cambiará y se aprovisionarán dos direcciones IP de BGP recién asignadas dentro del intervalo de direcciones de subred de puerta de enlace. La antigua dirección IP de BGP de Azure VPN Gateway ya no existirá. Esto incurrirá en tiempo de inactividad y se requerirá la actualización de los elementos del mismo nivel de BGP en los dispositivos locales. Una vez finalizado el aprovisionamiento de la puerta de enlace, se pueden obtener las nuevas direcciones IP de BGP y la configuración del dispositivo local deberá actualizarse en consecuencia. Esto se aplica a direcciones IP de BGP que no son APIPA. Para comprender cómo configurar BGP en Azure, consulte Configuración de BGP en instancias de Azure VPN Gateway.

Cambio del modo activo-activo a activo-en espera

Use los pasos siguientes para convertir la puerta de enlace del modo activo-activo al modo activo-en espera.

1. Vaya a la página de la puerta de enlace de red virtual.

2. En el menú de la izquierda, seleccione Configuración.

3. En la página Configuración, cambie el modo activo-activo a Deshabilitado.

4. En la parte superior de la página Configuración, haga clic en Guardar.

Importante

Si tiene sesiones BGP en ejecución, tenga en cuenta que la configuración de BGP de Azure VPN Gateway cambiará de dos direcciones IP de BGP a una única dirección BGP. La plataforma suele asignar la última dirección IP utilizable de la subred de puerta de enlace. Esto incurrirá en tiempo de inactividad y se requerirá la actualización de los elementos del mismo nivel de BGP en los dispositivos locales. Esto se aplica a direcciones IP de BGP que no son APIPA. Para comprender cómo configurar BGP en Azure, consulte Configuración de BGP en instancias de Azure VPN Gateway.

Pasos siguientes

Para configurar las conexiones, consulte los artículos siguientes:

• Conexiones VPN de sitio a sitio
• Conexiones de red virtual a red virtual