Planee e implemente Virtual Wide Area Network, incluyendo el centro virtual protegido

Completado

Usar Virtual WAN para conectarse a los recursos de Azure a través de una conexión VPN de IPsec/IKE (IKEv1 e IKEv2). Este tipo de conexión requiere un dispositivo VPN local que tenga una dirección IP pública asignada.

Requisitos previos

• Compruebe que tiene una suscripción a Azure. Si todavía no la tiene, puede activar sus ventajas como suscriptor de MSDN o registrarse para obtener una cuenta gratuita.

• Decida el intervalo de direcciones IP que desea usar para el espacio de direcciones privadas del centro virtual. Esta información se usa al configurar el centro virtual. Un centro de conectividad virtual es una red virtual que Virtual WAN crea y usa. Es el núcleo de la red Virtual WAN en una región. El intervalo del espacio de direcciones debe cumplir determinadas reglas.

  • El intervalo de direcciones que especifique para el centro no se puede superponer con ninguna de las redes virtuales existentes a las que se conecta.
    
  • El intervalo de direcciones no se puede superponer con los intervalos de direcciones locales a las que se conecta.
  • Si no está familiarizado con los intervalos de direcciones IP ubicados en la configuración de red local, consulte a alguien que pueda proporcionarle estos detalles.

Azure Portal o Azure PowerShell

Puede usar los cmdlets de Azure Portal o Azure PowerShell para crear una conexión de sitio a sitio para Azure Virtual WAN. Cloud Shell es un shell interactivo gratis que tiene herramientas comunes de Azure preinstaladas y configuradas para usar con la cuenta.

Para abrir Cloud Shell, seleccione Abrir Cloud Shell en la esquina superior derecha de un bloque de código. También puede abrir Cloud Shell en una pestaña independiente desde https://shell.azure.com/powershell. Seleccione Copiar para copiar los bloques de código, péguelos en Cloud Shell y, a continuación, seleccione la tecla Entrar para ejecutarlos.

También puede instalar y ejecutar los cmdlets de Azure PowerShell localmente en el equipo. Los cmdlets de PowerShell se actualizan con frecuencia. Si no ha instalado la última versión, los valores especificados en las instrucciones pueden dar lugar a errores. Para buscar las versiones de Azure PowerShell instaladas en el equipo, use el Get-Module -ListAvailable Az cmdlet.

Iniciar sesión

Si usa Azure Cloud Shell, se le dirigirá automáticamente para iniciar sesión en su cuenta después de abrir Cloud Shell. No es necesario ejecutar Connect-AzAccount. Una vez que haya iniciado sesión, podrá cambiar las suscripciones si fuera necesario mediante Get-AzSubscription y Select-AzSubscription.

Si PowerShell se ejecuta localmente, abra la consola de PowerShell con privilegios elevados y conéctese a su cuenta de Azure. El cmdlet Connect-AzAccount le pide las credenciales. Después de la autenticación, descarga la configuración de la cuenta para que esté disponible en Azure PowerShell. Puede cambiar la suscripción mediante Get-AzSubscription y Select-AzSubscription -SubscriptionName "Name of subscription".

Creación de una instancia de Virtual WAN

Para poder crear una WAN virtual, debe crear un grupo de recursos para hospedarla o usar un grupo de recursos existente. Use uno de los ejemplos que se muestran a continuación.

En este ejemplo se crea un grupo de recursos denominado TestRG en la ubicación Este de EE. UU. Si quiere usar un grupo de recursos existente en su lugar, podría modificar el comando $resourceGroup = Get-AzResourceGroup -ResourceGroupName "NameofResourceGroup" y, a continuación, completar los pasos de este ejercicio con sus propios valores.

1. Cree un grupo de recursos.

   New-AzResourceGroup -Location "East US" -Name "TestRG"
   
   
   
   
   
   
   
   

2. Cree la WAN virtual mediante el cmdlet New-AzVirtualWan.

   $virtualWan = New-AzVirtualWan -ResourceGroupName TestRG -Name TestVWAN1 -Location "East US"
   
   
   
   
   
   
   
   

Creación del centro y configuración de valores del centro

Un centro de conectividad es una red virtual que puede contener puertas de enlace para las funcionalidades de sitio a sitio, ExpressRoute o de punto a sitio. Cree una ruta de centro virtual con New-AzVirtualHub. En este ejemplo, se creará un centro virtual predeterminado denominado Hub1 con el prefijo de dirección especificado y una ubicación para el centro.

$virtualHub = New-AzVirtualHub -VirtualWan $virtualWan -ResourceGroupName "TestRG" -Name "Hub1" -AddressPrefix "10.1.0.0/16" -Location "westus"

Crear una puerta de enlace de VPN de sitio a sitio

En esta sección, creará una puerta de enlace de VPN de sitio a sitio en la misma ubicación del centro virtual al que se hace referencia. Al crear la puerta de enlace de VPN, especifique las unidades de escalado que desee. La creación de la puerta de enlace suele tardar unos 30 minutos.

1. Si cerró Azure Cloud Shell o agotó el tiempo de espera de la conexión, es posible que tenga que volver a declarar la variable para $virtualHub.

   $virtualHub = Get-AzVirtualHub -ResourceGroupName "TestRG" -Name "Hub1"
   
   
   
   
   
   
   
   

2. Cree una puerta de enlace de VPN mediante el cmdlet New-AzVpnGateway.

   New-AzVpnGateway -ResourceGroupName "TestRG" -Name "vpngw1" -VirtualHubId $virtualHub.Id -VpnGatewayScaleUnit 2
   
   
   
   
   
   
   
   

3. Una vez que se cree la puerta de enlace de VPN, puede verla mediante el ejemplo siguiente.

   Get-AzVpnGateway -ResourceGroupName "TestRG" -Name "vpngw1"
   
   
   
   
   
   
   
   

Creación de un sitio y de las conexiones

En esta sección, creará sitios que se correspondan con las ubicaciones físicas y las conexiones. Estos sitios contienen los puntos de conexión de dispositivo VPN locales; puede crear hasta 1000 sitios por centro virtual en una WAN virtual. Si tiene varios centros, puede crear 1000 sitios en cada uno de ellos.

1. Establezca la variable para la puerta de enlace de VPN y para el espacio de direcciones IP que se encuentra en el sitio local. El tráfico destinado a este espacio de direcciones se enruta al sitio local. Esto es necesario cuando no se habilita BGP para el sitio.

   $vpnGateway = Get-AzVpnGateway -ResourceGroupName "TestRG" -Name "vpngw1"
   $vpnSiteAddressSpaces = New-Object string[] 2
   $vpnSiteAddressSpaces[0] = "192.168.2.0/24"
   $vpnSiteAddressSpaces[1] = "192.168.3.0/24"
   
   
   
   
   
   
   
   

2. Cree vínculos para agregar información sobre los vínculos físicos en la rama, incluidos los metadatos sobre la velocidad del vínculo, el nombre del proveedor de vínculos y la dirección IP pública del dispositivo local.

   $vpnSiteLink1 = New-AzVpnSiteLink -Name "TestSite1Link1" -IpAddress "15.25.35.45" -LinkProviderName "SomeTelecomProvider" -LinkSpeedInMbps "10"
   
   $vpnSiteLink2 = New-AzVpnSiteLink -Name "TestSite1Link2" -IpAddress "15.25.35.55" -LinkProviderName "SomeTelecomProvider2" -LinkSpeedInMbps "100"
   
   
   
   
   
   
   
   

3. Cree el sitio VPN y haga referencia a las variables de los vínculos del sitio VPN que acaba de crear. Si cerró Azure Cloud Shell o agotó el tiempo de espera de la conexión, vuelva a declarar la variable virtual WAN:

   $virtualWan = Get-AzVirtualWAN -ResourceGroupName "TestRG" -Name "TestVWAN1"
   
   
   
   
   
   
   
   

   Cree el sitio VPN mediante el cmdlet New-AzVpnSite.

   $vpnSite = New-AzVpnSite -ResourceGroupName "TestRG" -Name "TestSite1" -Location "westus" -VirtualWan $virtualWan -AddressSpace $vpnSiteAddressSpaces -DeviceModel "SomeDevice" -DeviceVendor "SomeDeviceVendor" -VpnSiteLink @($vpnSiteLink1, $vpnSiteLink2)
   
   
   
   
   
   
   
   

4. Cree la conexión de los vínculos del sitio. La conexión está compuesta por dos túneles activo-activo desde una rama o sitio a la puerta de enlace escalable.

   $vpnSiteLinkConnection1 = New-AzVpnSiteLinkConnection -Name "TestLinkConnection1" -VpnSiteLink $vpnSite.VpnSiteLinks[0] -ConnectionBandwidth 100
   
   $vpnSiteLinkConnection2 = New-AzVpnSiteLinkConnection -Name "testLinkConnection2" -VpnSiteLink $vpnSite.VpnSiteLinks[1] -ConnectionBandwidth 10
   
   
   
   
   
   
   
   

Conexión del sitio de VPN con el centro de conectividad

1. Antes de ejecutar el comando, es posible que tenga que volver a declarar las siguientes variables:

   $virtualWan = Get-AzVirtualWAN -ResourceGroupName "TestRG" -Name "TestVWAN1"
   $vpnGateway = Get-AzVpnGateway -ResourceGroupName "TestRG" -Name "vpngw1"
   $vpnSite = Get-AzVpnSite -ResourceGroupName "TestRG" -Name "TestSite1"
   
   
   
   
   
   
   
   

2. Conexión del sitio de VPN con el centro de conectividad.

   New-AzVpnConnection -ResourceGroupName $vpnGateway.ResourceGroupName -ParentResourceName $vpnGateway.Name -Name "testConnection" -VpnSite $vpnSite -VpnSiteLinkConnection @($vpnSiteLinkConnection1, $vpnSiteLinkConnection2)
   
   
   
   
   
   
   
   

Conexión de una red virtual al centro

El siguiente paso será conectar el centro a la red virtual. Si creó un nuevo grupo de recursos para este ejercicio, normalmente no tendrá una red virtual (VNet) en el grupo de recursos. Los pasos siguientes le ayudarán a crear una red virtual si aún no tuviera una. Entonces, puede crear una conexión entre el centro de conectividad y la red virtual.

Creación de una red virtual

Puede usar los siguientes valores de ejemplo para crear una red virtual. Asegúrese de sustituir los valores de los ejemplos por los valores que usó para su entorno.

1. Crear una red virtual

   $vnet = @{ Name = 'VNet1' ResourceGroupName = 'TestRG' Location = 'eastus' AddressPrefix = '10.21.0.0/16' } $virtualNetwork = New-AzVirtualNetwork @vnet
   
   
   
   
   
   
   
   

2. Especifique la configuración de subred.

   $subnet = @{ Name = 'Subnet-1' VirtualNetwork = $virtualNetwork AddressPrefix = '10.21.0.0/24' } $subnetConfig = Add-AzVirtualNetworkSubnetConfig @subnet
   
   
   
   
   
   
   
   

3. Establezca la red virtual.

   $virtualNetwork | Set-AzVirtualNetwork
   
   
   
   
   
   
   
   

Conectar una red virtual a un concentrador

Los siguientes pasos le permiten conectar la red virtual al centro virtual mediante PowerShell. También puede utilizar el Azure Portal para completar esta tarea. Repita estos pasos para cada red virtual que desee conectar.

Antes de crear una conexión, tenga en cuenta lo siguiente:

• Una red virtual solo se puede conectar a un centro virtual a la vez.
  
• Para conectarla a un centro virtual, la red virtual remota no debe tener ninguna puerta de enlace.
  
• Algunas opciones de configuración, como Propagar ruta estática, solo se pueden configurar en Azure Portal en este momento.
  

Si existen puertas de enlace de VPN en el centro virtual, esta operación, así como cualquier otra operación de escritura en la red virtual conectada, puede provocar la desconexión de clientes de punto a sitio, así como la reconexión de túneles de sitio a sitio y de sesiones de protocolo de puerta de enlace de borde (BGP).

Agregar una conexión

1. Declare las variables de los recursos existentes, incluida la red virtual existente.

   $resourceGroup = Get-AzResourceGroup -ResourceGroupName "TestRG" $virtualWan = Get-AzVirtualWan -ResourceGroupName "TestRG" -Name "TestVWAN1" $virtualHub = Get-AzVirtualHub -ResourceGroupName "TestRG" -Name "Hub1" $remoteVirtualNetwork = Get-AzVirtualNetwork -Name "VNet1" -ResourceGroupName "TestRG"
   
   
   
   
   
   
   
   

2. Cree una conexión para emparejar la red virtual con el centro de conectividad virtual.

   New-AzVirtualHubVnetConnection -ResourceGroupName "TestRG" -VirtualHubName "Hub1" -Name "VNet1-connection" -RemoteVirtualNetwork $remoteVirtualNetwork
   
   
   
   
   
   
   
   

Configurar dispositivo VPN

Descarga de la configuración de VPN

Use el archivo de configuración del dispositivo VPN para configurar el dispositivo VPN local. Estos son los pasos básicos:

1. En la página de Virtual WAN, vaya a la página Centros de conectividad ->Centro de conectividad virtual ->VPN (de sitio a sitio).

2. En la parte superior de la página VPN (de sitio a sitio), seleccione Descargar la configuración de VPN. Verá una serie de mensajes mientras Azure crea una cuenta de almacenamiento en el grupo de recursos "microsoft-network-[ubicación]", donde "ubicación" es la ubicación de la WAN. También puede agregar una cuenta de almacenamiento existente haciendo clic en "Usar existente" y agregando una dirección URL de SAS válida con permisos de escritura habilitados.

3. Una vez que se termina de crear el archivo, haga clic en el vínculo para descargarlo. Esto crea un archivo con la configuración de VPN en la ubicación de dirección URL de SAS proporcionada.
   

4. Aplique la configuración al dispositivo VPN local. Para obtener más información, consulte Configuración del dispositivo VPN en esta sección.
   

5. Después de aplicar la configuración a los dispositivos VPN, no es necesario que mantengas la cuenta de almacenamiento que has creado.

   • Espacio de direcciones de la red virtual del centro de conectividad virtual.

     • Ejemplo:

       • "AddressSpace":"10.1.0.0/24"

   • Espacio de direcciones de las redes virtuales que están conectadas al centro de conectividad virtual.

     • Ejemplo:

       • "ConnectedSubnets":["10.2.0.0/16","10.3.0.0/16"]

   • espacio de direcciones IP del centro de conectividad virtual vpngateway. Dado que cada conexión vpngateway consta de dos túneles con una configuración activo-activo, verá ambas direcciones IP en este archivo. En este ejemplo puede ver "Instance0" e "Instance1" para cada sitio.

     • Ejemplo:

       • "Instance0":"nnn.nn.nn.nnn"
       • "Instance1":"nnn.nn.nn.nnn"

   • Dirección IP pública: la asigna Azure.
     

   • Dirección IP privada: la asigna Azure.
     

   • Dirección IP de BGP predeterminada: la asigna Azure.
     

   • Dirección IP de BGP personalizada: este campo está reservado para APIPA (direcciones IP privadas automáticas). Azure admite IP de BGP en los intervalos 169.254.21.* y 169.254.22.*. Azure acepta conexiones BGP en estos intervalos, pero marcará la conexión con la IP de BGP predeterminada. Los usuarios pueden especificar varias direcciones IP BGP personalizadas para cada instancia. No se debe usar la misma dirección IP BGP personalizada para ambas instancias.

Archivo de configuración del dispositivo VPN

El archivo de configuración de dispositivo contiene la configuración que se debe usar al configurar el dispositivo VPN local. Cuando visualice este archivo, tenga en cuenta la siguiente información:

• vpnSiteConfiguration: en esta sección se indican los detalles del dispositivo configurados como un sitio que se conecta a la WAN virtual. Incluye el nombre y la dirección IP pública del dispositivo de rama.
  

vpnSiteConnections: en esta sección se proporciona información sobre la siguiente configuración:

• Detalles de configuración de conexión de Vpngateway como BGP, clave precompartida, etc. La PSK es la clave precompartida que se genera automáticamente para usted. Siempre puede editar la conexión en la página Información general para una clave previamente compartida (PSK) personalizada.
  

Archivo de configuración de dispositivo de ejemplo

{ "configurationVersion":{ "LastUpdatedTime":"2018-07-03T18:29:49.8405161Z", "Version":"r403583d-9c82-4cb8-8570-1cbbcd9983b5" }, "vpnSiteConfiguration":{ "Name":"testsite1", "IPAddress":"73.239.3.208" }, "vpnSiteConnections":[ { "hubConfiguration":{ "AddressSpace":"10.1.0.0/24", "Region":"West Europe", "ConnectedSubnets":[ "10.2.0.0/16", "10.3.0.0/16" ] }, "gatewayConfiguration":{ "IpAddresses":{ "Instance0":"104.45.18.186", "Instance1":"104.45.13.195" } }, "connectionConfiguration":{ "IsBgpEnabled":false, "PSK":"bkOWe5dPPqkx0DfFE3tyuP7y3oYqAEbI", "IPsecParameters":{ "SADataSizeInKilobytes":102400000, "SALifeTimeInSeconds":3600 } } } ] }, { "configurationVersion":{ "LastUpdatedTime":"2018-07-03T18:29:49.8405161Z", "Version":"1f33f891-e1ab-42b8-8d8c-c024d337bcac" }, "vpnSiteConfiguration":{ "Name":" testsite2", "IPAddress":"66.193.205.122" }, "vpnSiteConnections":[ { "hubConfiguration":{ "AddressSpace":"10.1.0.0/24", "Region":"West Europe" }, "gatewayConfiguration":{ "IpAddresses":{ "Instance0":"104.45.18.187", "Instance1":"104.45.13.195" } }, "connectionConfiguration":{ "IsBgpEnabled":false, "PSK":"XzODPyAYQqFs4ai9WzrJour0qLzeg7Qg", "IPsecParameters":{ "SADataSizeInKilobytes":102400000, "SALifeTimeInSeconds":3600 } } } ] }, { "configurationVersion":{ "LastUpdatedTime":"2018-07-03T18:29:49.8405161Z", "Version":"cd1e4a23-96bd-43a9-93b5-b51c2a945c7" }, "vpnSiteConfiguration":{ "Name":" testsite3", "IPAddress":"182.71.123.228" }, "vpnSiteConnections":[ { "hubConfiguration":{ "AddressSpace":"10.1.0.0/24", "Region":"West Europe" }, "gatewayConfiguration":{ "IpAddresses":{ "Instance0":"104.45.18.187", "Instance1":"104.45.13.195" } }, "connectionConfiguration":{ "IsBgpEnabled":false, "PSK":"YLkSdSYd4wjjEThR3aIxaXaqNdxUwSo9", "IPsecParameters":{ "SADataSizeInKilobytes":102400000, "SALifeTimeInSeconds":3600 } } } ] }

Configuración del dispositivo VPN

Nota

Si trabaja con una solución de asociado de WAN virtual, se produce automáticamente la configuración de los dispositivos de la VPN. El controlador de dispositivos obtiene el archivo de configuración de Azure y lo aplica al dispositivo para configurar la conexión con Azure. Esto significa que no es necesario saber cómo configurar manualmente el dispositivo VPN.

Visualización o edición de la configuración de la puerta de enlace

Puede ver y editar la configuración de la instancia de VPN Gateway en cualquier momento. Vaya a Centro de conectividad virtual ->VPN (de sitio a sitio) y seleccione Ver/Configurar.

En la página Editar VPN Gateway, puede ver los valores siguientes: