Conexión de un circuito ExpressRoute a una red virtual
Un circuito ExpressRoute representa una conexión lógica entre la infraestructura local y los servicios en la nube de Microsoft a través de un proveedor de conectividad. Puede solicitar varios circuitos ExpressRoute. Cada circuito puede estar en la misma o en diferentes regiones y se puede conectarse a sus instalaciones a través de diferentes proveedores de conectividad. Los circuitos ExpressRoute no se asignan a entidades físicas. Un circuito usa un GUID estándar denominado clave de servicio (s-key).
Conexión de una red virtual a un circuito ExpressRoute
- Tiene que tener un circuito ExpressRoute activo.
- Asegúrese de que dispone de un emparejamiento privado de Azure configurado para el circuito.
- Asegúrese de que el emparejamiento privado de Azure se configure y establezca el emparejamiento BGP entre la red y Microsoft para la conectividad de un extremo a otro.
- Asegúrese de que ha creado y aprovisionado totalmente una red virtual y una puerta de enlace de red virtual. Una puerta de enlace de red virtual para ExpressRoute usa el GatewayType "ExpressRoute", no VPN.
- Es posible vincular hasta 10 redes virtuales a un circuito ExpressRoute estándar. Todas las redes virtuales deben pertenecer a la misma región geopolítica al utilizar un circuito de ExpressRoute estándar.
- Una única red virtual se puede vincular a 16 circuitos ExpressRoute como máximo. Los circuitos ExpressRoute pueden estar en la misma suscripción, en suscripciones diferentes o en una combinación de ambas.
- Si habilita el complemento prémium de ExpressRoute, puede vincular redes virtuales fuera de la región geopolítica del circuito ExpressRoute. El complemento premium también permite conectar más de 10 redes virtuales al circuito ExpressRoute en función del ancho de banda elegido.
- Para crear la conexión desde el circuito ExpressRoute a la puerta de enlace de red virtual de ExpressRoute de destino, el número de espacios de direcciones anunciados desde las redes virtuales locales o emparejadas debe ser igual o menor que 200. Una vez creada correctamente la conexión, puede agregar otros espacios de direcciones, hasta 1000, a las redes virtuales locales o emparejadas.
Adición de una VPN a una implementación de ExpressRoute
Esta sección le ayuda a configurar una conexión cifrada segura entre la red local y la redes virtuales (VNet) de Azure por medio de una conexión privada de ExpressRoute. Puede usar el emparejamiento de Microsoft para establecer un túnel VPN de IPsec/IKE de sitio a sitio entre las redes locales seleccionadas y las redes virtuales de Azure. La configuración de un túnel seguro a través de ExpressRoute permite el intercambio de datos con confidencialidad, antireproducción, autenticidad e integridad.
Nota:
Al configurar una VPN de sitio a sitio a través del emparejamiento de Microsoft, se le aplican cargos por VPN Gateway y la salida de VPN.
Para obtener alta disponibilidad y redundancia, puede configurar varios túneles sobre los dos pares de MSEE-PE de un circuito ExpressRoute y habilitar el equilibrio de carga entre los túneles.
Los túneles VPN sobre el emparejamiento de Microsoft se pueden finalizar mediante VPN Gateway, o bien mediante una aplicación virtual de red (NVA) disponible desde Azure Marketplace. Puede intercambiar rutas de forma estática o dinámica a través de los túneles cifrados sin exponer el intercambio de ruta al emparejamiento de Microsoft subyacente. En esta sección se usa BGP (diferente de la sesión BGP utilizada para crear el emparejamiento de Microsoft) para intercambiar prefijos de forma dinámica sobre los túneles cifrados.
Importante
Para el lado local, el emparejamiento de Microsoft suele finalizarse en la red perimetral y el emparejamiento privado, en la zona de la red principal. Las dos zonas deben separarse mediante firewalls. Si configura el emparejamiento de Microsoft exclusivamente para habilitar la tunelización segura a través de ExpressRoute, recuerde realizar el filtrado solo a través de las direcciones IP públicas de interés que se anuncian a través del emparejamiento de Microsoft.
Pasos
- Configure el emparejamiento de Microsoft para su circuito ExpressRoute.
- Anuncie los prefijos públicos regionales de Azure seleccionados en su red local a través del emparejamiento de Microsoft.
- Configure una instancia de VPN Gateway y establezca los túneles IPsec.
- Configure el dispositivo VPN local.
- Cree la conexión IPsec/IKE de sitio a sitio.
- (Opcional) Configure los firewalls o el filtrado en el dispositivo VPN local.
- Pruebe y valide la comunicación IPsec a través del circuito ExpressRoute.