Cómo funciona Azure ExpressRoute

Completado

Ha obtenido información sobre la finalidad del servicio Azure ExpressRoute y los servicios en los que puede usarlo. Ya está listo para empezar a obtener información sobre cómo funciona el servicio. Examinemos cómo interactúa con Azure y las redes locales para ayudarle a crear una conexión segura y fiable entre el centro de datos local y la nube de Microsoft.

En esta unidad, aprenderá a crear y usar circuitos de Azure para conectar las redes locales a la nube. Verá los pasos que debe seguir para crear un circuito. También obtendrá información sobre el resto de componentes de una conexión ExpressRoute, que funcionan conjuntamente para formar una conexión del centro de centros de trabajo local a la nube de Microsoft.

Arquitectura de ExpressRoute

ExpressRoute es compatible con todas las ubicaciones y regiones. Para implementar ExpressRoute, debe trabajar con un asociado de este servicio. El asociado proporciona el servicio perimetral: una conexión autorizada y autenticada que funciona a través de un enrutador controlado por el asociado. El servicio perimetral es responsable de ampliar la red a la nube de Microsoft.

El asociado configura las conexiones a un punto de conexión en una ubicación de ExpressRoute (implementada por un enrutador perimetral de Microsoft). Estas conexiones le permiten emparejar las redes locales con las redes virtuales disponibles a través del punto de conexión. Estas conexiones se denominan circuitos.

Nota:

En el contexto de ExpressRoute, Microsoft Edge describe los enrutadores perimetrales en el lado de Microsoft del circuito ExpressRoute.

Un circuito proporciona una conexión física para transmitir datos a través de los enrutadores perimetrales del proveedor de ExpressRoute hasta los enrutadores perimetrales de Microsoft. Un circuito se establece a través de una conexión privada en lugar de a través de la red pública de Internet. La red local está conectada a los enrutadores perimetrales del proveedor de ExpressRoute. Los enrutadores perimetrales de Microsoft proporcionan el punto de entrada a la nube de Microsoft.

Requisitos previos de ExpressRoute

Para conectarse a los Servicios en la nube de Microsoft mediante ExpressRoute, necesitará tener lo siguiente:

• Un asociado de conectividad ExpressRoute o un proveedor de intercambio en la nube que pueda configurar una conexión de las redes locales a la nube de Microsoft.
• Una suscripción a Azure registrada con el asociado de conectividad ExpressRoute que haya elegido.
• Una cuenta de Microsoft Azure activa que se pueda usar para solicitar un circuito ExpressRoute.
• Una suscripción activa de Office 365 (si quiere conectarse a la nube de Microsoft y obtener acceso a los servicios de Office 365).

ExpressRoute funciona emparejando las redes locales con redes que se ejecutan en la nube de Microsoft. Los recursos de las redes pueden comunicarse directamente con los recursos que hospeda Microsoft. Para admitir estos emparejamientos, ExpressRoute tiene varios requisitos de red y enrutamiento:

• Asegúrese de que se han configurado las sesiones BGP para los dominios de enrutamiento. En función del asociado, la responsabilidad podría ser suya o de este asociado. Además, para cada circuito ExpressRoute, Microsoft requiere sesiones BGP redundantes entre los enrutadores de Microsoft y los de emparejamiento.
• Usted o sus proveedores deben traducir las direcciones IP privadas que se usan de forma local a direcciones IP públicas mediante un servicio NAT. Microsoft rechaza todo excepto las direcciones IP públicas a través del emparejamiento de Microsoft.
• Reserve varios bloques de direcciones IP en la red para enrutar el tráfico a la nube de Microsoft. Estos bloques se configuran como una subred /29 o dos subredes /30 en el espacio de direcciones IP. Una de estas subredes se usa para configurar el vínculo principal en la nube de Microsoft y la otra implementa un vínculo secundario. La primera dirección de estas subredes representa el final del par BGP y la segunda es la dirección IP del par BGP de Microsoft.

ExpressRoute admite dos esquemas de emparejamiento:

• Uso de emparejamiento privado para conectarse a los servicios IaaS y PaaS de Azure implementados en las redes virtuales de Azure. Todos los recursos a los que se tiene acceso deben estar ubicados en una o varias redes virtuales de Azure con direcciones IP privadas. No se puede acceder a los recursos a través de su dirección IP pública a través de un emparejamiento privado.
• Uso del emparejamiento de Microsoft para conectarse a los servicios PaaS de Azure, a los servicios de Office 365 y a Dynamics 365.

Nota:

También puede usar Azure Portal para configurar el emparejamiento público. Esta forma de emparejamiento permite conectarse a las direcciones públicas que exponen los servicios de Azure. Sin embargo, este emparejamiento está en desuso y no está disponible para los nuevos circuitos. Este módulo no describe el emparejamiento público.

Creación de un circuito y un emparejamiento ExpressRoute

El establecimiento de una conexión a Azure a través de ExpressRoute es un proceso que consta de varios pasos. Puede realizar muchos de estos pasos mediante Azure Portal o desde la línea de comandos mediante PowerShell o la CLI de Azure. En esta sección se describe el proceso mediante el uso de Azure Portal. Para obtener instrucciones sobre PowerShell y la CLI, consulte la sección "Más información" al final de este módulo.

Creación de un circuito

Cuando use Azure Portal, seleccione + Crear un recurso y busque ExpressRoute. La página Crear circuito ExpressRoute le exige completar los campos siguientes:

Pestaña Aspectos básicos

Propiedad	Valor
Suscripción	Suscripción que ha registrado con el proveedor de ExpressRoute.
Grupo de recursos	Grupo de recursos de Azure en el que se crea el circuito.
Región	Ubicación de Azure en la que se crea el circuito.
Nombre	Nombre descriptivo del circuito, sin espacios en blanco ni caracteres especiales.

Pestaña Configuración

Propiedad	Value
Tipo de puerto	Seleccione Proveedor si se va a conectar mediante un proveedor de servicios, o bien seleccione Directo si se va a conectar directamente a Microsoft.
Crear o importar a partir de clásico	Cree un circuito o seleccione Importar para mover un circuito existente del modelo clásico a Resource Manager.
Proveedor	Proveedor de ExpressRoute con el que ha registrado la suscripción.
Ubicación del emparejamiento	Ubicación que el proveedor de ExpressRoute habilita y en la que se va a crear el circuito.
Ancho de banda	Seleccione el ancho de banda, desde 50 Mbps hasta 10 Gbps. Empiece con una valor bajo. Puede aumentarlo más adelante sin que se produzca interrupción en el servicio. Sin embargo, no puede reducir el ancho de banda si lo establece demasiado alto al principio.
SKU	Seleccione Local (si está disponible) si solo necesita conectarse al recurso de Azure en 1 o 2 regiones de Azure en el mismo metro. Seleccione Estándar si tiene hasta 10 redes virtuales y solo necesita conectarse a recursos de la misma región geográfica. De lo contrario, seleccione Premium, lo que le permite conectar más de 10 redes virtuales y conectividad global a los recursos de Azure.
Modelo de facturación	Seleccione Sin límite para pagar una tarifa plana independiente del uso. O seleccione Uso medido para pagar según el volumen de tráfico que entra y sale del circuito.
Permitir las operaciones clásicas	Seleccione Sí para permitir que las redes virtuales clásicas se conecten al circuito. De lo contrario, seleccione No.

La creación del circuito puede tardar varios minutos. Tras aprovisionar el circuito, puede usar Azure Portal para ver las propiedades. Puede ver que el Estado del circuito está habilitado, lo que significa que el lado del circuito de Microsoft está listo para aceptar conexiones. El estado del proveedor es No aprovisionado inicialmente porque el proveedor no ha configurado su lado del circuito para conectarse a la red.

Enviará al proveedor el valor del campo Clave de servicio para permitirle configurar la conexión. Esta configuración puede tardar varios días. Puede volver a visitar esta página para comprobar el estado del proveedor.

Creación de la configuración de emparejamiento

Después de que el estado del proveedor se notifique como Aprovisionado, puede configurar el enrutamiento para los emparejamientos. Estos pasos solo se aplican a los circuitos, que se crean con proveedores de servicios que ofrecen conectividad de nivel 2. En el caso de los circuitos que operan en el nivel 3, es posible que el proveedor pueda configurar el enrutamiento.

En la página Circuito ExpressRoute mostrada anteriormente, se enumera cada emparejamiento y sus propiedades. Puede seleccionar un emparejamiento para configurar estas propiedades.

Configuración del emparejamiento privado

El emparejamiento privado se puede usar para conectar la red a las redes virtuales que se ejecutan en Azure. Para configurar un emparejamiento privado, debe proporcionar la información siguiente:

• ASN del mismo nivel: el número de sistema autónomo de su lado del emparejamiento. Este ASN puede ser público o privado, y de 16 bits o 32 bits.
• Subredes: seleccione si quiere usar IPv4, IPv6 o ambas para las subredes de emparejamiento.
• Subred principal: el intervalo de direcciones de la subred /30 principal que creó en la red. Usará la primera dirección IP de esta subred para el enrutador. Microsoft usará la segunda para su enrutador.
• Subred secundaria: el intervalo de direcciones de la subred /30 secundaria. Esta subred proporciona un vínculo secundario a Microsoft. Las dos primeras direcciones se usan para retener la dirección IP del enrutador y el enrutador de Microsoft.
• Habilitar emparejamiento de IPv4: esta opción le permite habilitar y deshabilitar la sesión BGP de emparejamiento privado.
• Id. de VLAN: el identificador de VLAN en la que se establece el emparejamiento. Los vínculos principal y secundario utilizarán este identificador de VLAN.
• Clave compartida: esta clave es un hash MD5 opcional que se usa para codificar los mensajes que pasan por el circuito.

Configuración del emparejamiento de Microsoft

Use el emparejamiento de Microsoft para conectarse a Office 365 y sus servicios asociados. Para configurar el emparejamiento de Microsoft, se proporciona gran parte de la información descrita para un emparejamiento privado: un ASN del mismo nivel, un rango de direcciones de subred primaria, un rango de direcciones de subred secundaria, la versión IP de la subred, un identificador de VLAN y una clave compartida opcional. También debe proporcionar la información siguiente:

• Prefijos públicos anunciados: lista de los prefijos de dirección que se usan en la sesión BGP. Estos prefijos se deben registrar en el usuario y deben ser prefijos para los rangos de direcciones públicas.
• ASN del cliente: un número de sistema autónomo del lado del cliente opcional que se usa si se anuncian prefijos que no están registrados en el ASN del mismo nivel.
• Nombre del registro de enrutamiento: este nombre identifica el registro en el que se registran los prefijos públicos y el ASN del cliente.

Conexión de una red virtual a un circuito ExpressRoute

Una vez establecido el circuito ExpressRoute, el emparejamiento privado de Azure se configura para el circuito. La sesión BGP entre la red y Microsoft está activa, por lo que puede habilitar la conectividad desde la red local a Azure.

Para poder conectarse a un circuito privado, debe crear una puerta de enlace de red virtual de Azure mediante una subred en una de las redes virtuales de Azure. La puerta de enlace de red virtual proporciona el punto de entrada al tráfico que entra desde la red local. Dirige el tráfico entrante a través de la red virtual a los recursos de Azure.

Puede configurar grupos de seguridad de red y reglas de firewall para controlar el tráfico que se enruta desde la red local. También puede bloquear solicitudes de direcciones no autorizadas en la red local.

Nota:

Debe crear la puerta de enlace de red virtual con el tipo ExpressRoute y no con el tipo VPN.

Se pueden vincular hasta 10 redes virtuales a un circuito ExpressRoute, pero estas redes virtuales deben estar ubicadas en la misma región geopolítica que el circuito ExpressRoute al usar un SKU estándar. Puede vincular una única red virtual única con cuatro circuitos ExpressRoute, si fuera necesario. El circuito ExpressRoute puede estar en la misma suscripción a la red virtual o en una diferente.

Si utiliza Azure Portal, puede conectar un emparejamiento a una puerta de enlace de red virtual tal como se indica a continuación:

1. En la página Circuito ExpressRoute del circuito, seleccione Conexiones.
2. En la página Conexiones, seleccione Agregar.
3. En la página Agregar conexión, asigne un nombre a la conexión y luego seleccione la puerta de enlace de red virtual. Una vez finalizada la operación, la red local se conectará a la red virtual de Azure a través de la puerta de enlace de red virtual. La conexión se realizará a través de la conexión ExpressRoute.

Alta disponibilidad y conmutación por error con ExpressRoute

En cada circuito ExpressRoute, hay dos conexiones desde el proveedor de conectividad a dos enrutadores perimetrales distintos de Microsoft. Esta configuración se produce automáticamente. Proporciona un grado de disponibilidad dentro de una sola ubicación.

Considere la posibilidad de configurar circuitos ExpressRoute en distintas ubicaciones de emparejamiento para proporcionar alta disponibilidad y ayudar a protegerse contra una interrupción regional. Por ejemplo, puede crear circuitos en las regiones Este de EE. UU. y Centro de EE. UU., y conectar estos circuitos a la red virtual. De este modo, si un circuito ExpressRoute deja de estar disponible, no perdería conectividad con el recurso y podría conmutar por error la conexión a otro circuito ExpressRoute.

También puede tener varios circuitos en proveedores distintos para asegurarse de que la red se mantiene disponible, incluso si se produce una interrupción que afecte a todos los circuitos de un único proveedor aprobado. Si prefiere un circuito y no otro, puede usar la propiedad Peso de la conexión.

ExpressRoute Direct y FastPath

Microsoft también proporciona una opción de ultra alta velocidad llamada ExpressRoute Direct. Este servicio permite conectividad dual de 100 Gbps. Es apropiado para escenarios que implican una ingesta de datos masiva y frecuente. También es apropiado para las soluciones que requieren una escalabilidad extrema, como bancos, administración pública y comercios minoristas.

Puede inscribir la suscripción con Microsoft para activar ExpressRoute Direct. Para obtener más información, consulte el artículo de ExpressRoute en la sección "Más información" al final de este módulo.

ExpressRoute Direct admite FastPath. Cuando FastPath está habilitado, envía el tráfico de red directamente a la máquina virtual que es el destino previsto. El tráfico omite la puerta de enlace de red virtual, por lo que mejora el rendimiento entre las redes virtuales de Azure y las redes locales.

FastPath admite el emparejamiento de redes virtuales (donde se conectan entre redes virtuales). También admite rutas definidas por el usuario en la subred de puerta de enlace.

Comprobación de conocimientos

1.

¿Qué es el emparejamiento de Microsoft?

Proporciona una conexión directa de la red local a un centro de datos de Azure.

Permite conectar la red local con los servicios de Office 365 y Dynamics 365.

Proporciona una conexión entre la red local y un proveedor de ExpressRoute.

Proporciona una conexión de punto a sitio para los equipos de la ubicación local a los servicios de Office 365.

2.

¿Qué es un circuito ExpressRoute?

Un circuito ExpressRoute implementa una conexión de sitio a sitio través de una conexión VPN a un centro de datos de Azure.

Un circuito ExpressRoute es una conexión directa por cable entre el centro de datos local y un centro de datos de Azure.

Un servicio de copia de seguridad que proporciona conectividad a la nube de Microsoft si se produce un error en la conexión VPN.

Un circuito proporciona una conexión física para transmitir datos a través de los enrutadores perimetrales del proveedor de ExpressRoute hasta los enrutadores perimetrales de Microsoft.

3.

¿Qué ventajas de seguridad proporciona Azure ExpressRoute?

Una conexión ExpressRoute se cifra automáticamente para ayudar a proteger el tráfico que recorre Internet hasta la nube de Microsoft.

La velocidad a la que los datos recorren una conexión ExpressRoute dificulta la interceptación mediante monitores de red y analizadores de protocolos de paquetes.

ExpressRoute usa una red privada dedicada para conectarse a la nube de Microsoft. El tráfico no recorre la red pública de Internet, por lo que es difícil interceptarlo.

ExpressRoute usa un protocolo de transmisión de su propiedad que varía constantemente, por lo que es difícil interceptar el tráfico.

Debe responder todas las preguntas antes de comprobar su trabajo.