Topología de red hub-and-spoke de IPv6

En este artículo se describe cómo realizar la transición de una topología de red hub-and-spoke de IPv4 a IPv6. Presenta la topología de red hub-and-spoke como punto de partida y describe los pasos que puede seguir para implementar la compatibilidad con IPv6.

En una red hub-and-spoke, la red virtual del concentrador es un punto central de conectividad para las redes virtuales de radio. Las redes virtuales de radio se conectan al concentrador y pueden proporcionar aislamiento para los recursos de la aplicación. Para más información, consulte Transición a IPv6.

Architecture

Descargue un archivo Visio de esta arquitectura.

Flujo de trabajo

1. Red pública de Internet y entre locales: los usuarios o servicios pueden acceder a los recursos de Azure a través de la red pública de Internet. La red entre locales tiene máquinas virtuales locales que se conectan de forma segura a la red de Azure a través de una puerta de enlace VPN.

2. Azure Virtual Network Manager: este componente es la capa de administración que supervisa toda la infraestructura de red dentro de Azure. Controla el enrutamiento, las directivas y el estado general de la red virtual.

3. Red virtual de concentrador: el concentrador es el punto central de la topología de red. La configuración de red admite IPv4 e IPv6 (pila doble).

   • Azure Bastion proporciona conectividad segura e ininterrumpida de Protocolo de escritorio remoto (RDP) y Secure Shell (SSH) directamente desde Azure Portal a las máquinas virtuales a través de la seguridad de la capa de transporte (TLS).
   • Azure Firewall inspecciona y filtra el tráfico entre el concentrador y la red pública.
   • ExpressRoute conecta la red entre locales al concentrador.
   • VPN Gateway también conecta la red entre locales al concentrador y proporciona redundancia.
   • Los servicios de la red virtual del concentrador envían registros y métricas (diagnósticos) a Azure Monitor para la supervisión.

4. Redes virtuales radiales: hay cuatro radios conectados al concentrador. Cada radio es una red de doble pila, que admite tanto IPv4 como IPv6.

   • Las rutas definidas por el usuario (UDR) IPv6 definen rutas personalizadas para el tráfico IPv6 desde el radio.
   • Las redes virtuales de radio están conectadas a través de conexiones de emparejamiento o grupos conectados. Las conexiones de emparejamiento y los grupos conectados son conexiones no transitivas de baja latencia entre las redes virtuales. Las redes virtuales emparejadas o conectadas pueden intercambiar tráfico a través de la red troncal de Azure.
   • Todo el tráfico saliente de las redes virtuales de radio fluye a través del concentrador, mediante una configuración en Azure Firewall denominada tunelización forzada.
   • Dentro de cada radio, hay tres subredes designadas como subredes de recursos, donde cada una hospeda una máquina virtual.
   • Cada máquina virtual se conecta a un equilibrador de carga interno configurado para admitir intervalos de direcciones IPv4 e IPv6. El equilibrador de carga distribuye el tráfico de red entrante entre las máquinas virtuales.

Componentes

• Azure Virtual Network es el bloque de creación fundamental para las redes privadas en Azure. Virtual Network permite muchos recursos de Azure, como máquinas virtuales de Azure, para comunicarse de forma segura entre ellos, con Internet y entre redes locales.
• Se requiere una interfaz de red virtual para la comunicación de la máquina virtual. Puede configurar máquinas virtuales y otros recursos para tener varias interfaces de red, lo que le permite crear configuraciones de doble pila (IPv4 e IPv6).
• Se usa una dirección IP pública para la conectividad IPv4 e IPv6 entrante a los recursos de Azure.
• Virtual Network Manager se utiliza para crear y administrar los grupos de red y sus conexiones.
• Azure Firewall es un servicio seguridad de red administrado basado en la nube. Protege los recursos de Azure Virtual Network. Existe una instancia de Azure Firewall administrada en su propia subred.
• Azure VPN Gateway o Azure ExpressRoute se pueden usar para crear una puerta de enlace de red virtual para conectar una red virtual a un dispositivo de red privada virtual (VPN) o a un circuito de ExpressRoute. La puerta de enlace proporciona conectividad de red entre entornos locales.
• Azure Load Balancer se usa para habilitar varias máquinas que tienen el mismo propósito para compartir el tráfico. En esta arquitectura, los equilibradores de carga distribuyen el tráfico entre varias subredes que admiten IPv6.
• En Azure, una tabla de rutas es un conjunto de UDR que proporciona definiciones de ruta personalizadas para el tráfico de red.
• Azure Virtual Machines es una solución informática de infraestructura como servicio (IaaS) que admite IPv6.
• Azure Bastion es una oferta de plataforma como servicio (PaaS) totalmente administrada que Microsoft proporciona y mantiene. Proporciona un protocolo de escritorio remoto seguro y sin problemas y acceso SSH a máquinas virtuales sin exposición de direcciones IP públicas.
• Monitor es una solución completa de supervisión para recopilar y analizar los datos de supervisión de entornos locales y en la nube y para responder a ellos. Puede usar Monitor para maximizar la disponibilidad y el rendimiento de las aplicaciones y los servicios.

Transición de una red virtual de concentrador a IPv6

Para realizar la transición de una red virtual de concentrador para admitir IPv6, debe actualizar la infraestructura de red para dar cabida a intervalos de direcciones IPv6, para que la parte central, la que controla parte de la red, pueda controlar el tráfico IPv6. Este enfoque garantiza que el concentrador central pueda enrutar y administrar eficazmente el tráfico entre varios segmentos de red (radios) mediante IPv6. Para implementar IPv6 en la red virtual del concentrador, siga estos pasos:

Añada un espacio de direcciones IPv6 a la red virtuales del concentrador y a las subredes del concentrador.

Primero debe añadir intervalos de direcciones IPv6 a la red virtual del concentrador y, a continuación, a sus subredes. Use el bloque de direcciones /56 para la red virtual y el bloque de direcciones /64 para cada subred. En la siguiente tabla se muestra una configuración de ejemplo.

Estas direcciones IPv6 son ejemplos. Debe reemplazar 2001:db8:1234:: por el bloque de direcciones IPv6 de su organización. Planee y documente cuidadosamente las asignaciones de direcciones IPv6 para evitar superposiciones y garantizar un uso eficaz del espacio de direcciones. Para añadir el espacio de direcciones IPv6 a la red virtual del concentrador, puede usar Azure Portal, PowerShell o la CLI de Azure.

Configuración de rutas definidas por el usuario (UDR) para cada subred del concentrador

Las UDR son rutas que se configuran manualmente para anular las rutas del sistema predeterminadas de Azure. En Azure, las UDR son esenciales para controlar el flujo de tráfico de red en una red virtual. Puede usar UDR para dirigir el tráfico de una subred a dispositivos, puertas de enlace o destinos específicos dentro de Azure o a redes locales. Al añadir compatibilidad con IPv6 a la red virtual del concentrador, debe hacer lo siguiente:

• Añadir rutas IPv6. Si hay una tabla de rutas establecida, añada rutas nuevas que especifiquen los prefijos de dirección IPv6.
• Modificar las rutas existentes. Si ya hay rutas para IPv4, puede que tenga que modificarlas para asegurarse de que también se aplican al tráfico IPv6 o crear rutas independientes específicas de IPv6.
• Asociar la tabla de rutas con subredes. Después de definir las rutas, asocie la tabla de rutas a las subredes pertinentes dentro de la red virtual. Esta asociación determina qué subredes usan las rutas definidas.

No es necesario añadir una ruta para cada recurso, pero necesita una ruta para cada subred. Cada subred puede tener varios recursos y todos siguen las reglas definidas en la tabla de rutas asociada a su subred. Para más información, consulte la introducción a las rutas definidas por el usuario.

Para la arquitectura de ejemplo, la red virtual del concentrador tiene cuatro subredes: Azure Bastion, Azure Firewall, VPN Gateway y ExpressRoute. En la tabla siguiente se muestran UDR de ejemplo para cada subred.

Al configurar las UDR, debe alinearlas con las directivas de red de la organización y la arquitectura de la implementación de Azure.

Modificar el circuito de ExpressRoute (si procede)

Para dotar al circuito de ExpressRoute de compatibilidad con IPv6, debe:

• Habilitar el emparejamiento privado IPv6. Habilitar el emparejamiento privado IPv6 para el circuito de ExpressRoute. Esta configuración habilita el tráfico IPv6 entre la red local y la red virtual del concentrador.
• Asignar el espacio de direcciones IPv6. Proporcione subredes IPv6 para los vínculos de ExpressRoute principal y secundario.
• Actualizar las tablas de rutas. Asegúrese de dirigir el tráfico IPv6 de forma adecuada a través del circuito de ExpressRoute.

Estas configuraciones amplían la conectividad IPv6 a los servicios de Azure a través de un circuito de ExpressRoute, por lo que puede enrutar las funcionalidades de doble pila simultáneamente. Para modificar ExpressRoute, puede usar Azure Portal, PowerShell o la CLI de Azure.

Transición de redes virtuales de radio a IPv6

Las redes virtuales de radio están conectadas al concentrador central. Cuando se proporcionan las redes virtuales de radio con compatibilidad con IPv6, cada red de radio puede comunicarse a través del protocolo IPv6 más avanzado y amplía la uniformidad a través de la red. Para dotar a las redes virtuales de radio con compatibilidad con IPv6, siga estos pasos:

Añada un espacio de direcciones IPv6 a las redes virtuales de radio y a las subredes de radio.

Al igual que la red virtual del concentrador, debe añadir intervalos de direcciones IPv6 a cada red virtual de radio y, a continuación, sus subredes. Use el bloque de direcciones /56 para las redes virtuales y el bloque de direcciones /64 para las subredes. En la tabla siguiente se proporciona un ejemplo de intervalos de direcciones IPv6 para redes virtuales de radio y sus subredes.

Para la configuración, ajuste las direcciones IPv6 según las necesidades y la asignación de su organización.

Modifique los recursos de red virtual de radio

Cada red virtual de radio contiene varias máquinas virtuales y un equilibrador de carga interno. El equilibrador de carga interno permite enrutar el tráfico IPv4 e IPv6 a las máquinas virtuales. Debe modificar las máquinas virtuales y los equilibradores de carga internos para que admitan IPv6.

Para cada máquina virtual, debe crear una interfaz de red IPv6 y asociarla a la máquina virtual para añadir compatibilidad con IPv6. Para obtener más información, consulte Adición de la configuración de IPv6 a una máquina virtual.

Si no hay un equilibrador de carga interno en cada red virtual de radio, debe crear un equilibrador de carga interno de doble pila. Para obtener más información, consulte Creación de un equilibrador de carga interno de doble pila. Si hay un equilibrador de carga interno, puede usar PowerShell o la CLI de Azure para añadir compatibilidad con IPv6.

Configure rutas definidas por el usuario (UDR) para cada subred de radio

Para configurar UDR, las redes virtuales de radio usan la misma configuración que las redes virtuales de concentrador. Al agregar compatibilidad con IPv6 a una red virtual de radio, debe:

• Añadir rutas IPv6. Si hay una tabla de rutas establecida, añada rutas nuevas que especifiquen los prefijos de dirección IPv6.

• Modificar las rutas existentes. Si ya hay rutas para IPv4, puede que tenga que modificarlas para asegurarse de que también se aplican al tráfico IPv6 o crear rutas independientes específicas de IPv6.

• Asociar la tabla de rutas con subredes. Después de definir las rutas, asocie la tabla de rutas a las subredes pertinentes dentro de la red virtual. Esta asociación determina qué subredes usan las rutas definidas.

En la tabla siguiente se muestran UDR de ejemplo para cada subred de una red virtual de radio.

Para la configuración, debe alinear las UDR con las directivas de red de la organización y la arquitectura de la implementación de Azure.

Colaboradores

Microsoft se encarga del mantenimiento de este artículo. Los siguientes colaboradores escribieron originalmente este artículo.

Autor principal:

• Werner Rall | Arquitecto-ingeniero sénior de soluciones en la nube

Otros colaboradores:

• Sherri Babylon | Administradora de programas técnicos sénior
• Dawn Bedard | Director principal de programas técnicos
• Brandon Stephenson | Ingeniero sénior de clientes

Para ver los perfiles no públicos de LinkedIn, inicie sesión en LinkedIn.

Pasos siguientes

• Creación de una máquina virtual con una red de pila doble IPv6
• Administración de intervalos de direcciones IP
• Cloud Adoption Framework: planificación del direccionamiento IP
• IPv6 para Azure Virtual Network
• Adición de compatibilidad con IPv6 a través de ExpressRoute
• Compatibilidad con IPv6 de Azure DNS
• IPv6 para Azure Load Balancer
• Adición de compatibilidad con IPv6 para el emparejamiento privado mediante Azure Portal

Recursos relacionados

• Transición a IPv6
• Elección entre el emparejamiento de red virtual y las puertas de enlace de VPN
• Firewall y Application Gateway para redes virtuales
• Microservicios sin servidor integrados en la red virtual
• Implementación de AD DS en una red virtual de Azure