Compartir a través de

Conexión de AWS y Azure mediante una puerta de enlace VPN habilitada para BGP

Este artículo le guiará por la configuración de una conexión habilitada para BGP entre Azure y Amazon Web Services (AWS). Usará una puerta de enlace VPN de Azure con BGP y activa-activa habilitadaos una puerta de enlace privada virtual de AWS con dos conexiones de sitio a sitio.

Architecture

En esta configuración, creará los siguientes recursos:

Azure

  • Una red virtual
  • Una puerta de enlace de red virtual con activa-activa y BGP habilitados
  • Cuatro puertas de enlace de red local
  • Cuatro conexiones de sitio a sitio

AWS

  • Una nube privada virtual (VPC)
  • Una puerta de enlace privada virtual
  • Dos puertas de enlace de cliente
  • Dos conexiones de sitio a sitio, cada una con dos túneles (total de cuatro túneles)

Una conexión de sitio a sitio en AWS tiene dos túneles, cada uno con su propia dirección IP externa y dentro de CIDR IPv4 (usado para APIPA BGP). Una puerta de enlace VPN activa y pasiva solo admite una APIPA BGP personalizada. Deberá habilitar activa-activaen la puerta de enlace VPN de Azure para conectarse a varios túneles de AWS.

En AWS, creará una puerta de enlace de cliente y una conexión de sitio a sitio para cada una de las dos instancias de la puerta de enlace VPN de Azure (un total de cuatro túneles salientes). En Azure, deberá crear cuatro puertas de enlace de red local y cuatro conexiones para recibir estos cuatro túneles de AWS.

Diagrama que muestra la arquitectura de esta configuración

Elegir direcciones de APIPA BGP

Puede usar los valores siguientes para la configuración de APIPA BGP durante todo el tutorial.

Túnel Segunda dirección IP BGP de APIPA de Azure personalizada Dirección IP del par de BGP de AWS CIDR de IPv4 interno de AWS
Túnel de AWS 1 a instancia de Azure 0 169.254.21.2 169.254.21.1 169.254.21.0/30
Túnel de AWS 2 a instancia de Azure 0 169.254.22.2 169.254.22.1 169.254.22.0/30
Túnel de AWS 1 a instancia de Azure 1 169.254.21.6 169.254.21.5 169.254.21.4/30
Túnel de AWS 2 a instancia de Azure 1 169.254.22.6 169.254.22.5 169.254.22.4/30

También puede configurar sus propias direcciones APIPA personalizadas. AWS requiere un CIDR de IPv4\ interno /30 en el rango APIPA de 169.254.0.0/16 para cada túnel. Este CIDR también debe estar en el rango APIPA reservado de Azure para VPN, que es de 169.254.21.0 a 169.254.22.255. AWS usa la primera dirección IP de su /30 dentro de CIDR y Azure usa la segunda. Esto significa que tendrá que reservar espacio para dos direcciones IP en su CIDR de AWS /30.

Por ejemplo, si establece que su CIDR de IPv4 interno de AWS sea 169.254.21.0/30, AWS usa la dirección IP BGP 169.254.21.1 y Azure usa la dirección IP 169.254.21.2.

Importante

  • Las direcciones APIPA no deben superponerse entre los dispositivos VPN locales y todas las puertas de enlace VPN de Azure conectadas.
  • Si decide configurar varias direcciones del mismo nivel del BGP de APIPA en la puerta de enlace de VPN, también debe configurar todos los objetos Connection con la dirección IP correspondiente que prefiera. Si no lo hace, todas las conexiones usarán la primera dirección IP de APIPA de la lista, independientemente de cuántas IP estén presentes.

Prerrequisitos

Debe tener una cuenta de Azure y una cuenta de AWS con una suscripción activa. Si todavía no la tiene, puede activar sus ventajas como suscriptor de MSDN o registrarse para obtener una cuenta gratuita.

Parte 1: Creación de una puerta de enlace VPN activa en Azure

Creación de una red virtual

Cree una red virtual. Puede consultar los pasos descritos en el Tutorial de sitio a sitio.

Para este ejercicio, usamos los valores de ejemplo siguientes:

  • Suscripción: si tiene más de una suscripción, compruebe que usa la correcta.
  • Grupo de recursos: TestRG1
  • Name: VNet1
  • Ubicación: Este de EE. UU.
  • Espacio de direcciones IPv4: 10.1.0.0/16
  • Nombre de subred: FrontEnd
  • Intervalo de direcciones de subred: 10.1.0.0/24

Creación de una puerta de enlace de VPN activa-activa

En esta sección se crea la puerta de enlace VPN activa-activa. Puede consultar los pasos descritos en el Tutorial de sitio a sitio.

Para este ejercicio, usamos los valores de ejemplo siguientes:

  • Name: VNet1GW

  • Región: Este de EE. UU.

  • Tipo de puerta de enlace: VPN

  • Tipo de VPN:: basada en rutas

  • SKU: VpnGw2AZ

  • Generación: generación 2

  • Red virtual: VNet1

  • Intervalo de direcciones de subred de puerta de enlace: 10.1.1.0/24

  • Dirección IP pública: Crear nuevo

  • Nombre de dirección IP pública: VNet1GWpip

  • Zona de disponibilidad: Con redundancia de zona

  • Habilitación del modo activo-activo: Habilitado

  • SEGUNDA DIRECCIÓN IP PÚBLICA: Crear nueva

  • Nombre de dirección IP pública 2: VNet1GWpip2

  • Zona de disponibilidad: Con redundancia de zona

  • Valores de BGP: cuando configure BGP, preste atención a las siguientes configuraciones:

    • Seleccione Habilitado en Configurar BGP para mostrar la sección de configuración de BGP.

    • Rellene el ASN (número de sistema autónomo). Este ASN debe ser diferente del ASN usado por AWS.

      • Ejemplo: 65000

    • Agregue dos direcciones a Dirección IP BGP de APIPA de Azure personalizada. Incluya las direcciones IP para Túnel AWS 1 a instancia de Azure 0 y Túnel AWS 2 a instancia de Azure 0 en la configuración APIPA que eligió. La segunda entrada solo aparecerá después de agregar la primera dirección IP BGP de APIPA.

      • Ejemplo: 169.254.21.2, 169.254.22.2

    • Agregue dos direcciones a Segunda dirección IP BGP de APIPA de Azure personalizada. Incluya las direcciones IP para Túnel AWS 1 a instancia de Azure 1 y Túnel AWS 2 a instancia de Azure 1 en la configuración APIPA que eligió. La segunda entrada solo aparecerá después de agregar la primera dirección IP BGP de APIPA.

      • Ejemplo: 169.254.21.6, 169.254.22.6

Seleccione Revisar y crear para ejecutar la validación. Una vez superada la validación, seleccione Crear para implementar VPN Gateway. La creación de una puerta de enlace suele tardar 45 minutos o más, según la SKU de la puerta de enlace seleccionada. Puede ver el estado de implementación en la página Información general de la puerta de enlace.

Para ver las direcciones IP públicas asignadas a su puerta de enlace, vaya a su puerta de enlace de red virtual en el portal y navegue hasta Configuración -> Propiedades.

Parte 2: Conexión a la puerta de enlace de VPN desde AWS

En esta sección, se conectará a la puerta de enlace de la VPN de Azure desde AWS. Para obtener instrucciones actualizadas, consulte siempre la documentación oficial de AWS.

Creación de una VPC

Cree una VPC con los valores siguientes y la documentación más reciente de AWS.

  • Nombre: VPC1
  • Bloque CIDR: 10.2.0.0/16

Asegúrese de que el bloque CIDR no se superponga con la red virtual que creó en Azure.

Creación de la puerta de enlace privada virtual

Cree una puerta de enlace virtual privada con los valores siguientes y la documentación de AWS más reciente.

  • Nombre: AzureGW
  • ASN: ASN predeterminado de Amazon (64512)
  • VPC: Asociado a VPC1

Si elige usar un ASN personalizado, asegúrese de que es diferente del ASN que usó en Azure.

Habilitación de la propagación de rutas BGP

Habilite la propagación de rutas en su puerta de enlace privada virtual con la documentación de AWS más reciente.

Creación de puertas de enlace de cliente

Cree dos puertas de enlace de cliente con los valores siguientes y la documentación de AWS más reciente.

Configuración de la puerta de enlace de cliente 1:

  • Nombre: ToAzureInstance0
  • Enrutamiento: Dinámico
  • BGP ASN: 65000 (el ASN para la puerta de enlace VPN de Azure)
  • Dirección IP: la primera dirección IP pública de la puerta de enlace VPN de Azure

Configuración de la puerta de enlace de cliente 2:

  • Nombre: ToAzureInstance1
  • Enrutamiento: Dinámico
  • BGP ASN: 65000 (el ASN para la puerta de enlace VPN de Azure)
  • Dirección IP: la segunda dirección IP pública de la puerta de enlace VPN de Azure

Puede buscar su dirección IP pública y su segunda dirección IP pública en Azure en la sección Configuración de la puerta de enlace de red virtual.

Creación de conexiones VPN de sitio a sitio

Cree dos conexiones VPN de sitio a sitio con los valores siguientes y la documentación más reciente de AWS.

Configuración de conexión de sitio a sitio 1:

  • Nombre: ToAzureInstance0
  • Tipo de puerta de enlace de destino: Puerta de enlace privada virtual
  • Puerta de enlace privada virtual: AzureGW
  • Puerta de enlace de cliente: Existente
  • Puerta de enlace de cliente: ToAzureInstance0
  • Opciones de enrutamiento: Dinámico (requiere BGP)
  • CIDR de red iPv4 local: 0.0.0.0/0
  • Versión de IP interna del túnel: IPv4
  • CIDR de iPv4 interno para túnel 1: 169.254.21.0/30
  • Clave previamente compartida para túnel 1: elija una clave segura
  • CIDR de iPv4 interno para túnel 2: 169.254.22.0/30
  • Clave previamente compartida para túnel 2: elija una clave segura
  • Acción de inicio: Iniciar

Configuración de conexión de sitio a sitio 2:

  • Nombre: ToAzureInstance1
  • Tipo de puerta de enlace de destino: Puerta de enlace privada virtual
  • Puerta de enlace privada virtual: AzureGW
  • Puerta de enlace de cliente: Existente
  • Puerta de enlace de cliente: ToAzureInstance1
  • Opciones de enrutamiento: Dinámico (requiere BGP)
  • CIDR de red iPv4 local: 0.0.0.0/0
  • Versión de IP interna del túnel: IPv4
  • CIDR de iPv4 interno para túnel 1: 169.254.21.4/30
  • Clave previamente compartida para túnel 1: elija una clave segura
  • CIDR de iPv4 interno para túnel 2: 169.254.22.4/30
  • Clave previamente compartida para túnel 2: elija una clave segura
  • Acción de inicio: Iniciar

Para CIDR de iPv4 interno para túnel 1 y CIDR de iPv4 interno para túnel 2 en ambas conexiones, consulte la configuración APIPA que eligió.

Parte 3: Conexión a las puertas de enlace de cliente de AWS desde Azure

A continuación, conectará los túneles de AWS a Azure. Para cada uno de los cuatro túneles, tendrá una puerta de enlace de red local y una conexión de sitio a sitio.

Importante

Repita las siguientes secciones para cada uno de sus cuatro túneles de AWS, usando su respectiva dirección IP externa.

Creación de puertas de enlace de red local

Repita estas instrucciones para crear cada puerta de enlace de red local.

  1. En Azure Portal, vaya al recurso de puerta de enlace de red virtual de Marketplace y seleccione Crear.

  2. Seleccione la misma suscripción, grupo de recursos y región que utilizó para crear su puerta de enlace de red virtual.

  3. Especifique el nombre del objeto de puerta de enlace de red local.

  4. Deje Dirección IP como valor de Punto de conexión.

  5. En Dirección IP, escriba la dirección IP externa (de AWS) para el túnel que está creando.

  6. Deje Espacio de direcciones como valor de Punto de conexión.

  7. En la pestaña Avanzado, configure los siguientes valores:

    • Seleccione en Configurar BGP.
    • En Número de sistema autónomo (ASN), escriba el ASN para su red privada virtual de AWS. Use el ASN 64512 si dejó su ASN como el valor predeterminado de AWS.
    • Para la dirección IP del par de BGP, escriba la dirección IP del mismo nivel BGP de AWS en función de la configuración de APIPA que haya elegido.

Creación de conexiones

Repita estos pasos para crear cada una de las conexiones necesarias.

  1. Abra la página de su puerta de enlace de red virtual, navegue hasta la página Conexiones.

  2. En la página Conexiones, seleccione + Agregar.

  3. En la página Conceptos básicos, use los siguientes valores:

    • Tipo de conexión:: de sitio a sitio (IPsec)
    • Name: Escriba un nombre para la conexión. Ejemplo: AWSTunnel1toAzureInstance0.

  4. En la página Configuración, siga estos pasos:

    • Puerta de enlace de red virtual: seleccione la puerta de enlace de VPN.
    • Puerta de enlace de red local: seleccione la puerta de enlace de red local que ha creado.
    • Escriba la Clave compartida (PSK) que coincida con la clave previamente compartida que introdujo al realizar las conexiones de AWS.
    • Habilitar BGP: seleccione esta opción para habilitarla.
    • Habilitar direcciones BGP personalizadas: seleccione esta opción para habilitarla.

  5. En Dirección BGP personalizada:

    • Escriba la dirección BGP personalizada en función de la configuración de APIPA que eligió.
    • La dirección BGP personalizada (CIDR de IPv4 interno de AWS) debe coincidir con la dirección IP (dirección IP externa de AWS) que especificó en la puerta de enlace de red local que usa para esta conexión.
    • Solo se usará una de las dos direcciones BGP personalizadas, según el túnel para el que lo especifique.
    • Para realizar una conexión desde AWS a la primera dirección IP pública de la puerta de enlace VPN (instancia 0), solo se usará la dirección BGP personalizada principal.
    • Para realizar una conexión desde AWS a la segunda dirección IP pública de la puerta de enlace VPN (instancia 1), solo se usará la dirección BGP personalizada secundaria.
    • Puede dejar las otras direcciones BCP personalizadas con el valor predeterminado.

    Si usó la configuración predeterminada de APIPA, puede usar las siguientes direcciones.

    Túnel Dirección BGP personalizada principal Dirección BGP personalizada secundaria
    Túnel de AWS 1 a instancia de Azure 0 169.254.21.2 No se usa (seleccione 169.254.21.6)
    Túnel de AWS 2 a instancia de Azure 0 169.254.22.2 No se usa (seleccione 169.254.21.6)
    Túnel de AWS 1 a instancia de Azure 1 No se usa (seleccione 169.254.21.2) 169.254.21.6
    Túnel de AWS 2 a instancia de Azure 1 No se usa (seleccione 169.254.21.2) 169.254.22.6

  6. Configure las siguientes opciones:

    • FastPath: deje el valor predeterminado (deseleccionado)
    • Directiva IPsec/IKE: valor predeterminado
    • Usar la directiva basada en el selector de tráfico: deshabilitar
    • Tiempo de espera de DPD en segundos: deje el valor predeterminado
    • Modo de conexión: Puede seleccionar cualquiera de las opciones disponibles (Valor predeterminado, Solo iniciador, Solo respondedor). Para obtener más información, consulte Configuración de VPN Gateway: modos de conexión.

  7. Seleccione Guardar.

  8. Seleccione Revisar y crear para crear la conexión.

  9. Repita estos pasos para crear conexiones adicionales.

  10. Antes de continuar a la siguiente sección, compruebe que tenga una puerta de enlace de red local y una conexión para cada uno de sus cuatro túneles de AWS.

Parte 4: (Opcional) Comprobación del estado de las conexiones

Comprobación del estado de las conexiones en Azure

  1. Abra la página de su puerta de enlace de red virtual, navegue hasta la página Conexiones.

  2. Compruebe que las 4 conexiones se muestran como Conectado.

    Captura de pantalla que muestras las conexiones comprobadas.

Comprobación del estado del par de BGP en Azure

  1. Abra la página de su puerta de enlace de red virtual, navegue hasta la página del par de BGP.

  2. En la tabla Pares de BGP, compruebe que todas las conexiones con la dirección del mismo nivel especificadas se muestran como Conectado y están intercambiando rutas.

    Captura de pantalla que muestras los nodo del mismo nivel de BGP.

Comprobación del estado de las conexiones en AWS

  1. Abra la consola de VPC de Amazon.
  2. En el panel de navegación, haga clic en Conexiones VPN de sitio a sitio.
  3. Seleccione la primera conexión que realizó y, a continuación, seleccione Detalles del túnel.
  4. Compruebe que el estado de ambos túneles se muestra como ACTIVO.
  5. Compruebe que los detalles de ambos túneles muestren una o varias rutas BGP.

Pasos siguientes

Para más información sobre VPN Gateway, consulte Preguntas más frecuentes.