Configuración de BGP para Azure VPN Gateway

  • Artículo

Este artículo le ayuda a habilitar BGP en conexiones VPN de sitio a sitio (S2S) entre entornos locales y conexiones de red virtual a red virtual mediante Azure Portal. También puede crear esta configuración mediante los pasos para la CLI de Azure o PowerShell.

BGP es el protocolo de enrutamiento estándar usado habitualmente en Internet para intercambiar información de enrutamiento y disponibilidad entre dos o más redes. BGP permite que instancias de Azure VPN Gateway y los dispositivos VPN locales, denominados vecinos o pares BGP, intercambien "rutas" que comunicarán a ambas puertas de enlace la disponibilidad y la posibilidad de que dichos prefijos pasen a través de las puertas de enlace o los enrutadores implicados. BGP también puede permitir el enrutamiento del tránsito entre varias redes mediante la propagación de las rutas que una puerta de enlace de BGP aprende de un par BGP a todos los demás pares BGP.

Para más información sobre las ventajas de BGP y conocer los requisitos técnicos y las consideraciones sobre el uso de BGP, consulte Acerca de BGP con Azure VPN Gateway.

Introducción

Cada parte de este artículo le ayuda a constituir un bloque de creación básico para habilitar BGP en la conectividad de red. Si completa las tres partes (configurar BGP en la puerta de enlace, la conexión S2S y la conexión de red virtual a red virtual), creará una topología como la que se muestra en el diagrama 1. Puede combinar estos elementos juntos para crear una red de tránsito más compleja y de saltos múltiples que satisfaga sus necesidades.

Diagrama 1

Diagrama que muestra la configuración y la arquitectura de red.

Para dar contexto, en referencia al diagrama 1, si BGP fuera a deshabilitarse entre TestVNet2 y TestVNet1, TestVNet2 no aprendería las rutas de la red local, Site5, y, por tanto, no podría comunicarse con Site5. Una vez que habilite BGP, las tres redes podrán comunicarse a través de las conexiones de sitio a sitio de IPsec y de red virtual a red virtual.

Requisitos previos

Compruebe que tiene una suscripción a Azure. Si todavía no la tiene, puede activar sus ventajas como suscriptor de MSDN o registrarse para obtener una cuenta gratuita.

Habilitación de BGP para VPN Gateway

Esta sección es necesaria antes de realizar alguno de los pasos de las otras dos secciones de configuración. Los siguientes pasos de configuración permiten establecer los parámetros de BGP de la instancia de Azure VPN Gateway, como se muestra en el diagrama 2.

Diagrama 2

Diagrama que muestra la configuración de la puerta de enlace de red virtual.

1. Creación de TestVNet1

En este paso, creará y configurará TestVNet1. Use los pasos del tutorial de creación de una puerta de enlace para crear y configurar la red virtual de Azure y VPN Gateway.

Valores de ejemplo de red virtual:

  • Grupo de recursos: TestRG1
  • Red virtual: TestVNet1
  • Ubicación o región: EastUS
  • Espacio de direcciones: 10.11.0.0/16, 10.12.0.0/16
  • Subredes:
    • front-end: 10.11.0.0/24
    • BackEnd: 10.12.0.0/24
    • GatewaySubnet: 10.12.255.0/27

2. Creación de una puerta de enlace TestVNet1 con BGP

En este paso, creará una instancia de VPN Gateway con los parámetros BGP correspondientes.

  1. Siga los pasos que se indican en Creación y administración de una instancia de VPN Gateway para crear una puerta de enlace con los parámetros siguientes:

    • Detalles de la instancia:

      • Nombre: VNet1GW
      • Región: EastUS
      • Tipo de puerta de enlace: VPN
      • Tipo de VPN: basada en rutas
      • SKU: VpnGW1 o posterior
      • Generación: seleccione una generación.
      • Red virtual: TestVNet1

    • Dirección IP pública

      • Dirección IP pública. Tipo: Básico o Estándar
      • Dirección IP pública: Crear nuevo
      • Nombre de la dirección IP pública: VNet1GWIP
      • Habilitar el modo activo-activo: deshabilitado
      • Configurar BGP: Habilitado

  2. En la sección Configuración de BGP de la página, establezca la siguiente configuración:

    • Seleccione Configuración de BGP - Habilitada para mostrar la sección de configuración de BGP.

    • Rellene el ASN (número de sistema autónomo).

    • El campo de dirección IP de BGP APIPA de Azure es opcional. Si sus dispositivos VPN locales usan la dirección APIPA para BGP, debe seleccionar una dirección en el intervalo de direcciones APIPA reservado de Azure para VPN, que se sitúa entre 169.254.21.0 y 169.254.22.255.

    • Si crea una instancia de VPN Gateway con el modo activo-activo, en la sección de BGP se mostrará una segunda dirección IP de BGP APIPA de Azure personalizada. Cada dirección que seleccione debe ser única y estar en el rango de APIPA permitido (169.254.21.0 a 169.254.22.255). Las puertas de enlace activas también admiten varias direcciones tanto para la dirección IP de BGP APIPA de Azure como para la segunda dirección IP de BGP APIPA de Azure personalizada. Las entradas adicionales solo aparecerán después de escribir la primera dirección IP de BGP APIPA.

      Importante

      • De forma predeterminada, Azure asigna una dirección IP privada desde el intervalo del prefijo GatewaySubnet automáticamente como dirección IP de BGP de Azure en la instancia de Azure VPN Gateway. La dirección de BGP APIPA de Azure es necesaria cuando los dispositivos VPN locales usan una dirección APIPA (169.254.0.1 a 169.254.255.254) como dirección IP de BGP. VPN Gateway elegirá la dirección APIPA personalizada si el recurso de puerta de enlace de red local correspondiente (red local) tiene una dirección APIPA como dirección IP del par BGP. Si la puerta de enlace de red local usa una dirección IP normal (no APIPA), VPN Gateway revertirá a la dirección IP privada del intervalo GatewaySubnet.

      • Las direcciones de BGP APIPA no deben superponerse entre los dispositivos VPN locales y todas las instancias de VPN Gateway conectadas.

      • Cuando se usan direcciones de APIPA en instancias de VPN Gateway, estas últimas no inician sesiones de emparejamiento de BGP con direcciones IP de origen APIPA. El dispositivo VPN local debe iniciar conexiones de emparejamiento de BGP.

  3. Seleccione Revisar y crear para ejecutar la validación. Una vez superada la validación, seleccione Crear para implementar VPN Gateway. La creación de una puerta de enlace suele tardar 45 minutos o más, según la SKU de la puerta de enlace seleccionada. Puede ver el estado de implementación en la página Información general de la puerta de enlace.

3. Obtención de direcciones IP del par BGP de Azure

Una vez creada la puerta de enlace, puede obtener las direcciones IP del par BGP en la instancia de VPN Gateway. Estas direcciones son necesarias para configurar los dispositivos VPN locales para establecer sesiones de BGP con la instancia de VPN Gateway.

En la página Configuración de la puerta de enlace de red virtual, puede ver toda la información de configuración de BGP en la instancia de VPN Gateway: ASN, dirección IP pública y las direcciones IP del par BGP correspondientes en el lado de Azure (predeterminada y APIPA). También puede realizar los cambios de configuración siguientes:

  • Puede actualizar el ASN o la dirección IP de BGP APIPA si es necesario.
  • Si tiene una instancia de VPN Gateway en modo activo-activo, se mostrará en esta página la dirección IP pública, la predeterminada y direcciones IP de BGP APIPA de la segunda instancia de VPN Gateway.

Para obtener la dirección IP del par BGP de Azure:

  1. Vaya al recurso de puerta de enlace de red virtual y seleccione la página Configuración para ver la información de configuración de BGP.
  2. Anote la dirección IP del par BGP.

Configuración de BGP en conexiones S2S entre locales

Las instrucciones de esta sección se aplican a las configuraciones entre sitios locales.

Para establecer una conexión entre locales, debe crear una puerta de enlace de red local para representar el dispositivo VPN local y una conexión para conectarse a la instancia de VPN Gateway con la puerta de enlace de red local como se explica en Creación de una conexión de sitio a sitio. Las secciones siguientes contienen las propiedades adicionales necesarias para especificar los parámetros de configuración de BGP, como se muestra en el diagrama 3.

Diagrama 3

Diagrama que muestra la configuración de IPsec.

Antes de continuar, asegúrese de que ha habilitado BGP para VPN Gateway.

1. Creación de una puerta de enlace de red local

Configure una puerta de enlace de red local con la configuración de BGP.

  • Para obtener información y pasos, consulte la sección puerta de enlace de red local del artículo sobre conexiones de sitio a sitio.
  • Si ya tiene una puerta de enlace de red local, puede modificarla. Para modificar una puerta de enlace de red local, vaya a la página Configuración del recurso de puerta de enlace de red local y realice los cambios necesarios.

  1. Al crear la puerta de enlace de red local de este ejercicio, use los siguientes valores:

    • Nombre: Site5
    • Dirección IP: la dirección IP del punto de conexión de puerta de enlace al que desea conectarse. Ejemplo: 128.9.9.9
    • Espacios de direcciones: si BGP está habilitado, no se requiere espacio de direcciones.

  2. Para configurar los valores de BGP, vaya a la página Avanzado. Use los siguientes valores de ejemplo (los indicados en el diagrama 3). Modifique los valores necesarios para que coincidan con su entorno.

    • Configurar BGP: Sí
    • Número de sistema autónomo (ASN): 65050
    • Dirección IP del nodo del mismo nivel de BGP: la dirección del dispositivo VPN local. Ejemplo: 10.51.255.254

  3. Haga clic en Revisar y crear para crear la puerta de enlace de red local.

Consideraciones importantes sobre la configuración

  • El ASN y la dirección IP del par BGP deben coincidir con la configuración del enrutador VPN local.
  • Puede dejar el especio de direcciones vacío solo si usa BGP para conectarse a esta red. Azure VPN Gateway agregará de forma interna una ruta de la dirección IP del par BGP al túnel IPsec correspondiente. Si NO usa BGP entre la instancia de VPN Gateway y esta red en particular, debe proporcionar una lista de prefijos de dirección válidos para el espacio de direcciones.
  • Opcionalmente, puede usar una dirección IP APIPA (169.254.x.x) como dirección IP del par BGP local si es necesario. Sin embargo, también tendrá que especificar una dirección IP APIPA como se ha descrito anteriormente en este artículo para la instancia de VPN Gateway; de lo contrario, la sesión de BGP no podrá establecerse para esta conexión.
  • Puede especificar la información de configuración de BGP durante la creación de la puerta de enlace de red local, o bien puede agregar o cambiar la configuración de BGP en la página Configuración del recurso de puerta de enlace de red local.

2. Configuración de una conexión S2S con BGP habilitado

En este paso, creará una nueva conexión con BGP habilitado. Si ya tiene una conexión y desea habilitar BGP en ella, puede actualizarla.

Para crear una conexión

  1. Para crear una nueva conexión, vaya a la página Conexiones de la puerta de enlace de red virtual.
  2. Seleccione + Agregar para abrir la página Agregar conexión.
  3. Rellene los valores necesarios.
  4. Seleccione Habilitar BGP para habilitar BGP en esta conexión.
  5. Seleccione Aceptar para guardar los cambios.

Para actualizar una conexión existente

  1. Vaya a la página Conexiones de la puerta de enlace de red virtual.
  2. Seleccione la conexión que desee modificar.
  3. Vaya a la página Configuración de la conexión.
  4. Cambie el valor de BGP a Habilitado.
  5. Guarde los cambios mediante Guardar.

Configuración del dispositivo local

En el ejemplo siguiente se enumeran los parámetros que deberá especificar en la sección de configuración de BGP en el dispositivo VPN local para este ejercicio:

- Site5 ASN            : 65050
- Site5 BGP IP         : 10.51.255.254
- Prefixes to announce : (for example) 10.51.0.0/16
- Azure VNet ASN       : 65010
- Azure VNet BGP IP    : 10.12.255.30
- Static route         : Add a route for 10.12.255.30/32, with nexthop being the VPN tunnel interface on your device
- eBGP Multihop        : Ensure the "multihop" option for eBGP is enabled on your device if needed

Habilitación de BGP en conexiones de red virtual a red virtual

Los pasos de esta sección se aplican a las conexiones de red virtual a red virtual.

Para habilitar o deshabilitar BGP en una conexión de red virtual a red virtual, siga los mismos pasos que los pasos entre locales de S2S de la sección anterior. Puede habilitar BGP al crear la conexión o actualizar la configuración en una conexión de red virtual a red virtual existente.

Nota:

Una conexión de red virtual a red virtual sin BGP limitará la comunicación solo a las dos redes virtuales conectadas. Habilite BGP para permitir la funcionalidad de enrutamiento a otras conexiones de sitio a sitio o de red virtual a red virtual de estas dos redes virtuales.

Pasos siguientes

Para más información sobre BGP, consulte Acerca de BGP con Azure VPN Gateway.