Puerta de enlace RAS
Con la puerta de enlace de RAS, los proveedores de servicios en la nube (CSP) y las empresas pueden habilitar el enrutamiento del tráfico de red del centro de datos y de la nube entre redes virtuales y físicas, incluida Internet.
Nota
La puerta de enlace de RAS admite IPv4 e IPv6, incluido el reenvío. Solo es compatible con NAT44 al configurar la puerta de enlace de RAS con la traducción de direcciones de red (NAT), solo es compatible con NAT44.
La puerta de enlace de RAS, ¿a quién le puede interesar?
Si es administrador del sistema, arquitecto de redes u otro profesional de TI, la puerta de enlace de RAS podría interesarle bajo una o más de las siguientes circunstancias:
Diseña o proporciona soporte técnico a la infraestructura de TI de una organización que está utilizando o planeando la utilización de Hyper-V para implementar máquinas virtuales (VM) en redes virtuales.
Diseña o proporciona soporte técnico a la infraestructura de red de una organización que ha implementado o planea implementar tecnologías de nube.
Desea proporcionar conectividad de red completa entre redes físicas y redes virtuales.
Quiere proporcionar a los clientes de su organización acceso a sus redes virtuales a través de Internet.
Quiere conectar oficinas en diferentes ubicaciones físicas a través de Internet.
Este tema, dirigido a los profesionales de las tecnologías de la información (TI), proporciona información sobre las puertas de enlace de RAS, incluidos los modos de implementación y sus funciones.
Este tema contiene las siguientes secciones:
Modos de implementación de puertas de enlace de RAS
La puerta de enlace de RAS incluye los siguientes modos de implementación:
Modo de inquilino único
Se recomienda no implementar la puerta de enlace de RAS en modo de inquilino único. Para los escenarios de modo de inquilino único, consulte Inquilino único.
Modo multiinquilino
Si su organización es un CSP o una empresa con varios inquilinos, puede implementar la puerta de enlace de RAS en modo multiinquilino para proporcionar enrutamiento de tráfico de red hacia y desde redes virtuales y físicas.
La arquitectura multiinquilinato es la capacidad que tiene una infraestructura en la nube de admitir las cargas de trabajo de las máquinas virtuales de varios inquilinos, aislándolas unas de otras, mientras todas las cargas de trabajo se ejecutan en la misma infraestructura. Las distintas cargas de trabajo de un inquilino individual pueden interconectarse y administrarse de manera remota, pero estos sistemas no se interconectan con las cargas de trabajo de los demás inquilinos, ni tampoco pueden los demás inquilinos administrarlas de manera remota.
Por ejemplo, una empresa puede tener muchas subredes virtuales distintas, cada una de ellas dedicada a prestar servicio a un departamento específico, como Investigación y desarrollo o Contabilidad. En otro ejemplo, un CSP tiene muchos inquilinos con subredes virtuales aisladas en el mismo centro de datos físico. En ambos casos, la puerta de enlace de RAS puede redirigir el tráfico hacia y desde cada inquilino manteniendo a la vez el aislamiento diseñado de cada inquilino. Esta capacidad hace que la puerta de enlace de RAS sea compatible con multiinquilinos.
Las redes virtuales se crean mediante Virtualización de red de Hyper-V. Las puertas de enlace de RAS se integran con Virtualización de red de Hyper-V y pueden redirigir el tráfico de red de manera eficaz en circunstancias en las que hay muchos clientes distintos (o inquilinos) con redes virtuales aisladas en el mismo centro de datos.
Virtualización de red de Hyper-V proporciona la capacidad para implementar una máquina virtual (VM) independiente de la red física subyacente. Con las redes de VM, que se componen de una o más subredes virtuales, la ubicación física exacta de una subred IP está desacoplada de la topología de la red virtual. Como resultado, puede mover fácilmente sus subredes locales a la nube y a la vez conservar su topología y sus direcciones IP existentes en la nube. Esta capacidad de preservar la infraestructura permite a los servicios existentes seguir trabajando, sin tener en cuenta la ubicación física de las subredes. Es decir, Virtualización de red de Hyper-V hace posible una nube híbrida perfecta.
Nota
Virtualización de red de Hyper-V es una tecnología de superposición de red que utiliza Virtualización de red para encapsulación de enrutamiento genérico (NVGRE), que permite a los inquilinos traer su propio espacio de direcciones y permite a los CSP una mejor escalabilidad que la posibilitada por el uso de redes VLAN para el aislamiento de inquilino.
En Windows Server, la puerta de enlace de RAS enruta el tráfico de red entre la red física y los recursos de red de VM, independientemente de su ubicación. Puede usar la puerta de enlace de RAS para redirigir el tráfico de red entre las redes físicas y virtuales en la misma ubicación física o en muchas ubicaciones físicas distintas.
Por ejemplo, si tiene una red física y una red virtual en la misma ubicación física, puede implementar un equipo que ejecute Hyper-V configurado con una VM de la puerta de enlace de RAS para que actúe como puerta de enlace de reenvío y redirija el tráfico entre las redes virtual y física.
Otro ejemplo, si las redes virtuales residen en la nube, el CSP puede implementar una puerta de enlace de RAS de manera que pueda crear una conexión de sitio a sitio de red privada virtual (VPN) entre el servidor VPN y la puerta de enlace de RAS del CSP; cuando este vínculo esté establecido, podrá conectarse a los recursos virtuales en la nube a través de la conexión VPN.
Para más información, consulte Alta disponibilidad de la puerta de enlace de RAS.
Clúster de puertas de enlace de RAS para una mayor disponibilidad
La puerta de enlace de RAS se implementa en un equipo dedicado que ejecuta Hyper-V y que está configurado con una VM. A continuación, la VM se configura como puerta de enlace de RAS.
Para una mayor disponibilidad de los recursos de red, puede desplegar la puerta de enlace de RAS con conmutación por error utilizando dos servidores de host físicos que ejecutan Hyper-V y una máquina virtual (VM) configurada como puerta de enlace. Las VM de la puerta de enlace están configuradas, por lo tanto, como clúster para proporcionar protección de conmutación por error frente a las interrupciones de red y los errores de hardware.
Por ejemplo, si la organización es una empresa con una implementación de nube privada, es posible que solo necesite dos VM de puerta de enlace de RAS, cada una instalada en un equipo diferente que ejecuta Hyper-V. En este escenario, las máquinas virtuales de puerta de enlace de RAS se agregan a un clúster para proporcionar alta disponibilidad.
Otro ejemplo, si la organización es un proveedor de servicios de nube (CSP) con doscientos inquilinos en el centro de datos, puede usar ocho máquinas virtuales de puerta de enlace de RAS con cada par de máquinas virtuales de puertas de enlace de RAS en clúster proporcionando servicios de enrutamiento para cincuenta inquilinos. En este escenario, dos equipos que ejecutan cada uno Hyper-V tienen cuatro máquinas virtuales configuradas como puertas de enlace de RAS. Después, configure cuatro clústeres de VM de puerta de enlace de RAS y que cada clúster que contenga una máquina virtual de cada equipo ejecute Hyper-V.
Al implementar una puerta de enlace de RAS, los servidores de host que ejecutan Hyper-V y las VM configuradas como puertas de enlace deben ejecutar Windows Server.
Características de la puerta de enlace de RAS
La puerta de enlace de Ras incluye las siguientes capacidades:
VPN de sitio a sitio. Esta característica de puerta de enlace de RAS permite conectar dos redes en diferentes ubicaciones físicas por Internet mediante una conexión VPN de sitio a sitio. Si tiene una oficina principal y varias sucursales, puede implementar una puerta de enlace de RAS perimetral en cada ubicación y crear conexiones de sitio a sitio para proporcionar flujo de tráfico de red entre las ubicaciones. Para los CSP que hospedan muchos inquilinos en su centros de datos, la puerta de enlace de RAS proporciona una solución de puerta de enlace multiinquilino, que permite a los inquilinos acceder y gestionar sus recursos a través de conexiones VPN de sitio a sitio desde sitios remotos, y que permite el flujo de tráfico de red entre los recursos virtuales del centro de datos y su red física.
VPN de punto a sitio. Esta característica de puerta de enlace de RAS permite a los empleados o administradores de la organización conectarse a la red de la organización desde ubicaciones remotas. En el caso de las implementaciones de inquilino único de puertas de enlace de RAS, los empleados remotos pueden conectarse a la red de la organización mediante una conexión VPN. Esta conexión les permite usar recursos de red internos, como sitios web de intranet y servidores de archivos. En el caso de las implementaciones multiinquilino, los administradores de red de inquilinos pueden usar conexiones VPN de punto a sitio para acceder a los recursos de red virtual en el centro de datos de CSP.
Enrutamiento dinámico con el protocolo de puerta de enlace de borde (BGP). BGP reduce la necesidad de configuración de enrutamiento manual en los enrutadores, ya que es un protocolo de enrutamiento dinámico y aprende automáticamente las rutas entre sitios que están conectados mediante conexiones VPN de sitio a sitio. Si la organización tiene varios sitios conectados mediante enrutadores habilitados para BGP, como puertas de enlace de RAS, el BGP permitirá a los enrutadores calcular y usar rutas válidas entre sí automáticamente en caso de que se produzcan interrupciones o errores en la red. Para obtener más información, consulte RFC 4271.
Traducción de direcciones de red (NAT). La traducción de direcciones de red (NAT) permite compartir una conexión a la red pública de Internet a través de una única interfaz con una sola dirección IP pública. Los equipos de la red privada usan direcciones privadas y no enrutables. La NAT asigna las direcciones privadas a la dirección pública. Esta característica de la puerta de enlace de RAS permite a los empleados de la organización con implementaciones de inquilino único acceder a recursos de Internet desde detrás de la puerta de enlace. En el caso de los CSP, esta característica permite que las aplicaciones que se ejecutan en VM de inquilino tengan acceso a Internet. Por ejemplo, una VM de inquilino configurada como servidor web puede ponerse en contacto con recursos financieros externos para procesar transacciones de tarjetas de crédito.
Escenarios de implementación de puertas de enlace de RAS
A continuación se muestran los escenarios de implementación recomendados para la puerta de enlace de RAS:
Lado de la empresa: implementación de un solo inquilino. Con la implementación empresarial de un solo inquilino, puede conectar una ubicación física a varias ubicaciones físicas por Internet mediante la característica VPN de sitio a sitio y, además, el protocolo de puerta de enlace de borde (BGP) permite usar el enrutamiento dinámico. También puede proporcionar a los empleados acceso remoto a la red de la organización mediante conexiones VPN de punto a sitio y conexiones de DirectAccess. (Las conexiones de DirectAccess siempre están activadas y también proporcionan la ventaja de que puede administrar fácilmente los equipos conectados mediante DirectAccess, ya que están conectados siempre que estén conectados a Internet). También puede configurar puertas de enlace de RAS empresariales de inquilino único con NAT, y así los equipos de la intranet pueden comunicarse fácilmente con Internet.
Lado del proveedor de servicios en la nube: implementación multiinquilino. La implementación multiinquilino de puerta de enlace de RAS para CSP le permite ofrecer a los inquilinos todas las características disponibles con la implementación de un solo inquilino del lado de la empresa. Las conexiones VPN de sitio a sitio entre las redes virtuales de inquilino en el centro de datos y las ubicaciones de red del inquilino a través de Internet significan que los inquilinos tienen acceso por conexión directa a sus recursos en la nube en todo momento. Un acceso VPN de punto a sitio para los inquilinos significa que los administradores de inquilinos siempre pueden conectarse a sus redes virtuales en el centro de datos para administrar sus recursos. BGP proporciona enrutamiento dinámico y mantiene a los inquilinos conectados a sus recursos, incluso cuando se producen problemas de red en Internet o en otro lugar. Y NAT permite a las VM de inquilino conectarse a recursos en Internet, como los recursos de procesamiento de tarjetas de crédito.
Herramientas de administración de puerta de enlace de RAS
A continuación se muestran las herramientas de administración de la puerta de enlace de RAS:
En Windows Server 2016, para implementar un enrutador de puerta de enlace de RAS, debe usar comandos de Windows PowerShell. Para obtener más información, consulte Cmdlets de acceso remoto para Windows Server y Windows 11.
En System Center Virtual Machine Manager (VMM), la puerta de enlace de RAS se denomina Puerta de enlace de Windows Server. Un conjunto limitado de opciones de configuración del protocolo de puerta de enlace de borde (BGP) está disponible en la interfaz del software VMM, incluida la Dirección IP BGP local y los Números de sistema autónomo (ASN), Lista de direcciones IP de nodos del mismo nivel, y Valores ASN. Puede, no obstante, utilizar los comandos de Windows PowerShell BGP de acceso remoto para configurar el resto de características de la puerta de enlace de Windows Server. Para obtener más información, consulte Virtual Machine Manager (VMM) y Cmdlets de acceso remoto para Windows Server y el cliente de Windows.