Compartir a través de

Simulación de la conectividad de red remota mediante Azure VNG

  • Artículo

Es posible que las organizaciones quieran ampliar las funcionalidades de Microsoft Entra Internet Access a redes completas no solo a dispositivos individuales en los que pueden instalar el cliente de acceso seguro global en. En este artículo se muestra cómo ampliar estas funcionalidades a una red virtual de Azure hospedada en la nube. Es posible que se apliquen principios similares al equipo de red local de un cliente.

Requisitos previos

Para completar los pasos de este proceso, debe cumplir los siguientes requisitos previos:

Componentes de la red virtual

La creación de esta funcionalidad en Azure proporciona a las organizaciones la capacidad de comprender cómo funciona Microsoft Entra Internet Access en una implementación más amplia. Los recursos que creamos en Azure corresponden a conceptos locales de las siguientes maneras:

Diagrama que muestra una red virtual en Azure conectada a Microsoft Entra Internet Access simulando la red de un cliente.

Recurso de Azure Componente local tradicional
Red virtual El espacio de direcciones IP local
Puerta de enlace de red virtual Su enrutador local, que a veces se conoce como equipo local del cliente (CPE)
Puerta de enlace de red local La puerta de enlace de Microsoft a la que el enrutador (puerta de enlace de red virtual de Azure) crea un túnel IPsec para
Connection Túnel VPN de IPsec creado entre la puerta de enlace de red virtual y la puerta de enlace de red local
Máquina virtual Dispositivos cliente en la red local

En este documento, usamos los siguientes valores predeterminados. No dude en configurar estas opciones según sus propios requisitos.

  • Suscripción: Visual Studio Enterprise
  • Nombre del grupo de recursos: Network_Simulation
  • Región: Este de EE. UU.

Pasos generales

Los pasos para simular la conectividad de red remota con redes virtuales de Azure se completan en Azure Portal y en el Centro de administración de Microsoft Entra. Puede ser útil tener varias pestañas abiertas para que pueda cambiar entre ellas fácilmente.

Antes de crear los recursos virtuales, necesita un grupo de recursos y una red virtual para usarlos en las secciones siguientes. Si ya tiene configurado un grupo de recursos de prueba y una red virtual, puede empezar en el paso 3.

  1. Creación de un grupo de recursos (Azure Portal)
  2. Creación de una red virtual (Azure Portal)
  3. Creación de una puerta de enlace de red virtual (Azure Portal)
  4. Crear una red remota con vínculos de dispositivo (Centro de administración de Microsoft Entra)
  5. Creación de una puerta de enlace de red virtual (Azure Portal)
  6. Creación de una conexión VPN de sitio a sitio (S2S) (Azure Portal)
  7. Comprobar la conectividad de (ambos)

Crear un grupo de recursos

Crear un grupo de recursos que contenga todos los recursos necesarios.

  1. Inicie sesión en Azure Portal con el permiso para crear recursos.
  2. Vaya a Grupos de recursos.
  3. Seleccione Crear.
  4. Seleccione la Suscripción, la Región y proporcione un nombre al Grupo de recursos.
  5. Seleccione Revisar + crear.
  6. Confirme los detalles y, después, seleccione Crear.

Captura de pantalla de los campos de creación de un grupo de recursos.

Creación de una red virtual

Cree una red virtual dentro del nuevo grupo de recursos.

  1. En Azure Portal, vaya a Redes virtuales.
  2. Seleccione Crear.
  3. Seleccione el grupo de recursos que acaba de crear.
  4. Proporcione a la red un nombre de red virtual.
  5. Deje los valores predeterminados para los demás campos.
  6. Seleccione Revisar + crear.
  7. Seleccione Crear.

Captura de pantalla de los campos de creación de una red virtual.

Creación de una puerta de enlace de red virtual

Cree una puerta de enlace de red virtual dentro del nuevo grupo de recursos.

  1. En Azure Portal, vaya a puertas de enlace de red virtual.

  2. Seleccione Crear.

  3. Proporcione la puerta de enlace de red virtual con un Nombre y seleccione la región adecuada.

  4. Seleccione la red virtual creada en la sección anterior.

    Captura de pantalla de Azure Portal en la que se muestran las opciones de configuración de una puerta de enlace de red virtual.

  5. Cree una dirección IP pública y proporcione un nombre descriptivo.

    • OPCIONA: si desea un túnel IPsec secundario, en la sección SECOND PUBLIC IP ADDRESS, cree otra dirección IP pública y asígnele un nombre. Si crea un segundo túnel IPsec, deberá crear dos vínculos de dispositivo en el paso Crear una red remota.
    • Establezca el Habilitar el modo activo-activo en Deshabilitado si no necesita una segunda dirección IP pública.
    • El ejemplo de este artículo utiliza un único túnel IPsec.

  6. Seleccione una zona de disponibilidad.

  7. Establezca Configurar BGP en Enabled.

  8. Establezca el número de sistema autónomo (ASN) en un valor adecuado. Consulte la lista de valores ASN válidos para obtener los valores reservados que no se pueden usar.

    Captura de pantalla de los campos de dirección IP para crear una pasarela de red virtual.

  9. Deje todas las demás opciones de configuración en sus valores predeterminados o en blanco.

  10. Seleccione Revisar + crear. Confirme la configuración.

  11. Seleccione Crear.

Nota:

La puerta de enlace de red virtual puede tardar varios minutos en implementarse y crearse. Puede iniciar la sección siguiente mientras se crea, pero necesita las direcciones IP públicas de la puerta de enlace de red virtual para completar el paso siguiente.

Para ver estas direcciones IP, navegue a la página Configuración de la puerta de enlace de red virtual después de la implementación.

Captura de pantalla que muestra cómo encontrar las direcciones IP públicas de una puerta de enlace de red virtual.

Creación de una red remota

El proceso para crear una red remota se completa en el Centro de administración de Microsoft Entra. Hay dos conjuntos de pestañas donde se escribe la información.

Captura de pantalla de los dos conjuntos de pestañas utilizados en el proceso.

Los pasos siguientes proporcionan la información básica necesaria para crear una red remota con acceso seguro global. Este proceso se trata con mayor detalle en dos artículos independientes. Hay varios detalles que se pueden mezclar fácilmente, por lo que revise los siguientes artículos para obtener más información:

Redundancia de zona

Antes de crear la red remota para el acceso seguro global, dedique un momento a revisar las dos opciones sobre redundancia. Las redes remotas se pueden crear con o sin redundancia. Puede agregar redundancia de dos maneras:

  • Elija redundancia de zona al crear un vínculo de dispositivo en el Centro de administración de Microsoft Entra.
    • En este escenario, creamos otra puerta de enlace para usted en una zona de disponibilidad diferente dentro del mismo centro de datos Región ha seleccionado al crear la red remota.
    • En este escenario, solo necesita una dirección IP pública en la puerta de enlace de red virtual.
    • Se crean dos túneles IPSec a partir de la misma dirección IP pública del enrutador a diferentes puertas de enlace de Microsoft en distintas zonas de disponibilidad.
  • Cree una dirección IP pública secundaria en Azure Portal y cree dos vínculos de dispositivo con direcciones IP públicas diferentes en el Centro de administración de Microsoft Entra.
    • Puede elegir Sin redundancia después al agregar vínculos de dispositivo a la red remota en el Centro de administración de Microsoft Entra.
    • En este escenario, necesita direcciones IP públicas principales y secundarias en la puerta de enlace de red virtual.

En este artículo, se elige la ruta de acceso de redundancia de zona.

Sugerencia

La dirección BGP local debe ser una dirección IP privada que esté fuera del espacio de direcciones de la red virtual asociada a la puerta de enlace de red virtual. Por ejemplo, si el espacio de direcciones de la red virtual es 10.1.0.0/16, puede usar 10.2.0.0 como dirección BGP local.

Consulte la lista de direcciones BGP válidas para conocer los valores reservados que no se pueden utilizar.

  1. Inicie sesión en el Centro de administración Microsoft Entra como Administrador de acceso global seguro.
  2. Vaya a Acceso global seguro>Conectar>Redes remotas.
  3. Seleccione el botón Crear red remota y proporcione los detalles siguientes en la pestaña Aspectos básicos:
    • Nombre
    • Región

Captura de pantalla de la pestaña básica para crear una red remota.

  1. En la pestaña Conectividad, seleccione Agregar un vínculo.

  2. En la pestaña Agregar un vínculo: General, escriba los detalles siguientes:

    • Nombre del vínculo: nombre del equipo local del cliente (CPE).
    • Tipo de dispositivo: elija una de las opciones de dispositivo de la lista desplegable.
    • Dirección IP del dispositivo: dirección IP pública del dispositivo CPE (equipo local del cliente).
    • Dirección BGP del dispositivo: introduzca la dirección IP de BGP del CPE.
      • Introduzca esta dirección como la dirección IP BGP local en el CPE.
    • ASN del dispositivo: proporcione el número de sistema autónomo (ASN) del CPE.
      • Una conexión habilitada para BGP entre dos puertas de enlace de red requiere que tengan diferentes ASN.
      • Para obtener más información, consulte la sección ASN válidos del artículo Configuraciones de red remota.
    • Redundancia: seleccione Sin redundancia o Redundancia de zona para el túnel IPSec.
    • Dirección BGP local con redundancia de zona: se trata de un campo opcional que solo se muestra si se selecciona Redundancia de zona.
      • Introduzca una dirección IP BGP que no forme parte de la red local donde reside el CPE y que sea diferente de la dirección BGP del dispositivo.
    • Capacidad de ancho de banda (Mbps): especifique el ancho de banda del túnel. Las opciones disponibles son 250, 500, 750 y 1000 Mbps.
    • Dirección BGP local: introduzca una dirección IP de BGP que no forme parte de la red local donde reside el CPE.
      • Por ejemplo, si su red local es 10.1.0.0/16, entonces puede utilizar 10.2.0.4 como dirección BGP local.
      • Esta dirección se escribe como BGP del mismo nivelObtener la dirección IP en el CPE.
      • Consulte la lista de direcciones BGP válidas para obtener los valores reservados que no se pueden usar.

    Captura de pantalla de la pestaña Agregar un vínculo: General con ejemplos en cada campo.

  3. En la pestaña Agregar un vínculo: Detalles deje los valores predeterminados seleccionados, a menos que haya realizado una selección diferente anteriormente y seleccione el botón Siguiente.

  4. En la pestaña Agregar un vínculo: Seguridad, escriba la tecla Precompartida (PSK) y seleccione el botón Guardar. Vuelva al principal Crear una red remota conjunto de pestañas.

  5. En la pestaña Perfiles de tráfico, seleccione el perfil de reenvío de tráfico adecuado.

  6. Seleccione el botón Revisar y Crear.

  7. Si todo parece correcto, seleccione el botón Crear red remota.

Visualización de la configuración de conectividad

Después de crear una red remota y agregar un vínculo de dispositivo, los detalles de configuración están disponibles en el Centro de administración de Microsoft Entra. Necesita varios detalles de esta configuración para completar el paso siguiente.

  1. Navegue a Acceso global seguro>Conectar>Redes remotas.

  2. En la última columna de la derecha de la tabla, seleccione Ver configuración para la red remota que creó. La configuración se muestra como un blob JSON.

  3. Localice y guarde la dirección IP pública de Microsoft endpoint, asn y bgpAddress en el panel que se abre.

    Captura de pantalla del panel de configuración de vistas.

En el siguiente diagrama se conectan los detalles clave de estos detalles de configuración a su rol de correlación en la red remota simulada. Una descripción de texto del diagrama sigue la imagen.

Diagrama de las configuraciones de la red remota y dónde se correlacionan los detalles con la red.

El centro del diagrama muestra un grupo de recursos que contiene una máquina virtual conectada a una red virtual. Una puerta de enlace de red virtual se conecta a la puerta de enlace de red local a través de una conexión VPN redundante de sitio a sitio.

Una captura de pantalla de los detalles de conectividad tiene dos secciones resaltadas. La primera sección resaltada en localConfigurations contiene los detalles de la puerta de enlace de acceso seguro global, que es la puerta de enlace de red local.

Puerta de enlace de red local 1

  • Dirección IP pública/punto de conexión: 120.x.x.76
  • ASN: 65476
  • Dirección IP de BGP/bgpAddress: 192.168.1.1

Puerta de enlace de red local 2

  • Dirección IP pública o punto de conexión: 4.x.x.193
  • ASN: 65476
  • Dirección IP de BGP/bgpAddress: 192.168.1.2

La segunda sección resaltada en peerConfiguration contiene los detalles de la puerta de enlace de red virtual, que es el equipo del enrutador local.

Puerta de enlace de red virtual

  • Dirección IP pública o punto de conexión: 20.x.x.1
  • ASN: 65533
  • Dirección IP BGP/bgpAddress: 10.1.1.1

Otra llamada apunta a la red virtual que ha creado en su grupo de recursos. El espacio de direcciones de la red virtual es 10.2.0.0/16. La dirección BGP local y la dirección BGP del mismo nivel no pueden estar en el mismo espacio de direcciones.

Crear puerta de enlace de red local

Este paso se completa en Azure Portal. Se necesitan varios detalles del paso anterior para completar este paso.

Si ha seleccionado No redundancia al crear vínculos de dispositivo en el centro de administración de Microsoft Entra, debe crear solo una puerta de enlace de red local.

Si ha seleccionado Redundancia de zona, debe crear dos puertas de enlace de red local. Tiene dos conjuntos de endpoint, asn y bgpAddress en localConfigurations para los vínculos del dispositivo. Esta información se proporciona en Ver configuración detalles de esa red remota en el Centro de administración de Microsoft Entra.

  1. En Azure Portal, vaya a puertas de enlace de red local.

  2. Seleccione Crear.

  3. Seleccione el Grupo de recursos creado anteriormente.

  4. Seleccione la región apropiada.

  5. Proporcione un nombre a la puerta de enlace de red loca.

  6. Para punto de conexión, seleccione dirección IPy proporcione la dirección IP endpoint proporcionada en el Centro de administración de Microsoft Entra.

  7. Seleccione Siguiente: Opciones avanzadas.

  8. Establezca Configurar BGP en .

  9. Introduzca el número de sistema autónomo (ASN) en la localConfigurations sección Ver detalles de configuración.

  10. Introduzca la dirección IP del nodo del mismo nivel BGP en la sección localConfigurations Ver detalles de configuración.

    Captura de pantalla de los campos ASN y BGP en el proceso de puerta de enlace de red local.

  11. Seleccione Revisar y crear y confirme la configuración.

  12. Seleccione Crear.

Si usó redundancia de zona, repita estos pasos para crear otra puerta de enlace de red local con el segundo conjunto de valores.

Vaya a las Configuraciones para revisar los detalles de la puerta de enlace de red local.

Captura de pantalla de Azure Portal en la que se muestran las opciones de configuración de una puerta de enlace de red local.

Creación de una conexión VPN de sitio a sitio (S2S)

Este paso se completa en Azure Portal. Debe crear dos conexiones aquí si creó una segunda puerta de enlace, una para las puertas de enlace principales y secundarias. Para este paso, mantenga toda la configuración establecida en el valor predeterminado a menos que se indique.

  1. En Azure Portal, vaya a Conexiones.
  2. Seleccione Crear.
  3. Seleccione el Grupo de recursos creado anteriormente.
  4. En Tipo de conexión, seleccione Sitio a sitio (IPsec).
  5. Proporcione un Nombre para la conexión y seleccione la Región adecuada.
  6. Seleccione Siguiente: Configuración.
  7. Seleccione la Puerta de enlace de red virtual y la Puerta de enlace de red local creadas anteriormente.
  8. Escriba la misma clave compartida (PSK) que ha especificado al crear el vínculo del dispositivo en el paso anterior.
  9. Active la casilla Habilitar BGP.
  10. Seleccione Revisar + crear. Confirme la configuración.
  11. Seleccione Crear.

Repita estos pasos para crear otra conexión con la segunda puerta de enlace de red local.

Captura de pantalla de Azure Portal que muestra las opciones de configuración para una conexión de sitio a sitio.

Verificación de la conectividad

Para comprobar la conectividad, debe simular el flujo de tráfico. Un método consiste en crear una máquina virtual (VM) para iniciar el tráfico.

Simulación del tráfico con una máquina virtual

Este paso crea una máquina virtual e inicia el tráfico a los servicios Microsoft. Deje toda la configuración establecida en el valor predeterminado a menos que se indique.

  1. En Azure Portal, vaya a Máquinas virtuales.
  2. Selecciona Crear>Máquina virtual de Azure.
  3. Seleccione el Grupo de recursos creado anteriormente.
  4. Especifique un Nombre de máquina virtual.
  5. Seleccione la imagen que quiere usar; en este ejemplo, elegimos Windows 11 Pro, versión 22H2 - x64 Gen2
  6. Seleccione Ejecutar con descuento de Azure Spot para esta prueba.
  7. Proporcione un Nombre de usuario y una Contraseña para la máquina virtual.
  8. Confirme que tiene una licencia válida de Windows 10/11 con derechos de hospedaje multiinquilino en la parte inferior de la página.
  9. Ve a la pestaña Redes.
  10. Seleccione la red virtual que ha creado antes.
  11. Ir a la pestaña Administración
  12. Active la casilla Inicio de sesión con Microsoft Entra ID.
  13. Seleccione Revisar + crear. Confirme la configuración.
  14. Seleccione Crear.

Puede optar por bloquear el acceso remoto al grupo de seguridad de red solo a una red o dirección IP específica.

Comprobación del estado de conectividad

Una vez creadas las redes y conexiones remotas en los pasos anteriores, la conexión puede tardar unos minutos en establecerse. En Azure Portal, puede validar que el túnel VPN está conectado y que el emparejamiento BGP se realiza correctamente.

  1. En Azure Portal, vaya a la puerta de enlace de red virtual creada anteriormente y seleccione Conexiones.
  2. Para cada una de las conexiones, el Estado debería indicar Conectado una vez que la configuración se haya aplicado correctamente.
  3. Vaya a del mismo nivel BGP en la sección Supervisión para confirmar que el emparejamiento BGP se ha realizado correctamente. Busque las direcciones del mismo nivel que proporciona Microsoft. Una vez aplicada correctamente la configuración, el Estado debe indicarConectado.

Captura de pantalla que muestra cómo encontrar el estado de conexión de su puerta de enlace de red virtual.

Puedes usar la máquina virtual que ha creado para validar que el tráfico fluye hacia servicios Microsoft. La navegación a recursos en SharePoint o Exchange Online debería generar tráfico en su puerta de enlace de red virtual. Para ver este tráfico, acceder a Métricas en la puerta de enlace de red virtual o Configurar la captura de paquetes para las puertas de enlace de VPN.

Sugerencia

Si usa este artículo para probar Microsoft Entra Internet Access, limpie todos los recursos de Azure relacionados mediante la eliminación del nuevo grupo de recursos una vez que haya terminado.

Pasos siguientes