Compartir vía

Configuración de conexiones ExpressRoute y de sitio a sitio coexistentes mediante Azure Portal

  • Artículo

En este artículo se le ayuda a configurar conexiones ExpressRoute y VPN de sitio a sitio que coexisten. La configuración de ambas conexiones tiene varias ventajas, como proporcionar una ruta de conmutación por error segura o conectarse a sitios que no están vinculados a través de ExpressRoute. Esta guía se aplica al modelo de implementación de Resource Manager.

Ventajas de las conexiones coexistentes

  • Ruta de conmutación por error segura:configure una VPN de sitio a sitio como respaldo para ExpressRoute.
  • Conéctese a sitios adicionales: use VPN de sitio a sitio para conectarse a sitios que no estén conectados a través de ExpressRoute.

En este artículo, se explican los pasos para configurar ambos escenarios. Puede configurar primero cualquiera de las puertas de enlace, normalmente sin incurrir en tiempo de inactividad al añadir una nueva puerta de enlace o conexión de puerta de enlace.

Nota:

  • Para crear una VPN de sitio a sitio a través de una conexión ExpressRoute, consulte Sitio a sitio a través del emparejamiento de Microsoft.
  • Si ya tiene ExpressRoute, no necesita crear una red virtual o una subred de puerta de enlace, ya que son requisitos previos para crear una ExpressRoute.
  • Para la puerta de enlace de ExpressRoute cifrado, el MSS (tamaño máximo de segmento) se realiza a través de Azure VPN Gateway para limitar el tamaño del paquete TCP a 1 250 bytes.

Límites y limitaciones

  • Solo es compatible con la puerta de enlace de VPN basada en enrutamiento: use una puerta de enlace de VPN basada en enrutamiento. También puede usar una puerta de enlace VPN basada en rutas con una conexión VPN configurada para "selectores de tráfico basados en directivas", tal y como se describe en Conexión a varios dispositivos VPN basados en directivas.
  • Las configuraciones de la coexistencia de ExpressRoute-VPN Gateway no se admiten en la SKU de nivel Básico.
  • Comunicación BGP: tanto ExpressRoute como las puertas de enlace de VPN deben comunicarse a través de BGP. Asegúrese de que ningún UDR de la subred de la puerta de enlace incluya una ruta para el propio rango de la subred de la puerta de enlace, ya que hacerlo interfiere con el tráfico de BGP.
  • Enrutamiento de tránsito: para el enrutamiento de tránsito entre ExpressRoute y VPN, el ASN de la puerta de enlace VPN de Azure debe establecerse en 65515. Azure VPN Gateway admite el protocolo de enrutamiento de BGP. Para trabajar juntos, mantenga el ASN de su puerta de enlace VPN de Azure en su valor predeterminado, 65515. Si cambia el ASN a 65515, restablezca la puerta de enlace VPN para que la configuración surta efecto.
  • Tamaño de la subred de la puerta de enlace: la subred de la puerta de enlace debe ser /27 o un prefijo más corto (como /26 o /25), o recibirá un mensaje de error al añadir la puerta de enlace de red virtual ExpressRoute.

Diseños de configuración

Configure una VPN de sitio a sitio como ruta de conmutación por error para ExpressRoute

Puede configurar una conexión VPN de sitio a sitio como respaldo de ExpressRoute. Esta configuración solo es aplicable a redes virtuales vinculadas a la ruta de interconexión privada de Azure. No hay ninguna solución de conmutación por error basada en VPN para servicios que sea accesible mediante el emparejamiento de Microsoft Azure. El circuito de ExpressRoute sigue siendo el enlace principal, y los datos fluyen a través de la ruta VPN de sitio a sitio solo si falla el circuito de ExpressRoute. Para evitar el enrutamiento asimétrico, configure su red local para que prefiera el circuito ExpressRoute a la VPN de sitio a sitio estableciendo una preferencia local más alta para las rutas recibidas a través de ExpressRoute.

Nota:

Si tiene habilitado el emparejamiento de Microsoft para ExpressRoute, puede recibir la dirección IP pública de la puerta de enlace de VPN de Azure en la conexión de ExpressRoute. Para configurar la conexión VPN de sitio a sitio como copia de seguridad, configure la red local para que la conexión VPN se enrute a Internet.

Nota:

Si bien se prefiere el circuito ExpressRoute a la VPN de sitio a sitio cuando ambas rutas son las mismas, Azure utilizará la coincidencia de prefijo más larga para elegir la ruta hacia el destino del paquete.

Diagrama de una conexión VPN de sitio a sitio que se usa como copia de seguridad para ExpressRoute.

Configuración de una VPN de sitio a sitio para conectarse a sitios no conectados mediante ExpressRoute

Puede configurar su red para que algunos sitios se conecten directamente a Azure a través de VPN de sitio a sitio, mientras que otros se conectan a través de ExpressRoute.

Diagrama de una conexión VPN de sitio a sitio que coexiste con una conexión de ExpressRoute para dos sitios diferentes.

Selección de los pasos que se van a usar

Hay dos conjuntos diferentes de procedimientos que puede elegir. El procedimiento de configuración que seleccione depende de si ya tiene una red virtual existente a la que quiere conectarse o si debe crear una nueva.

  • No tengo una red virtual y necesito crear una.

    Si aún no tiene una red virtual, siga los pasos de Creación de una nueva red virtual y conexiones coexistentes para crear una nueva red virtual utilizando el modelo de implementación de Resource Manager y configurar nuevas conexiones de ExpressRoute y VPN de sitio a sitio.

  • Ya tengo una red virtual del modelo de implementación de Resource Manager.

    Si ya tiene una red virtual con una conexión VPN de sitio a sitio o una conexión ExpressRoute existentes, y el prefijo de subred de la puerta de enlace es /28 o mayor (/29, /30, etc.), debe eliminar la puerta de enlace existente. Siga los pasos de Configuración de conexiones coexistentes para una red virtual ya existente para eliminar la puerta de enlace y crear nuevas conexiones de ExpressRoute y VPN de sitio a sitio.

    Si elimina y vuelve a crear su puerta de enlace, se producirá un tiempo de inactividad en sus conexiones entre ubicaciones. Sin embargo, sus máquinas virtuales y servicios pueden seguir comunicándose a través del equilibrador de carga durante este proceso si están configurados para ello.

Creación de una nueva red virtual y conexiones coexistentes

Este procedimiento le guiará a través de la creación de una red virtual y la configuración de conexiones coexistentes de sitio a sitio y ExpressRoute.

  1. Inicie sesión en Azure Portal.

  2. En la parte superior izquierda de la pantalla, seleccione + Crear un recurso y busque Red virtual.

  3. Seleccione Crear para empezar a configurar la red virtual.

    Captura de pantalla de la creación de una página de red virtual.

  4. En la pestaña Aspectos básicos, seleccione o cree un nuevo grupo de recursos para almacenar la red virtual. Escriba el nombre y seleccione la región para implementar la red virtual. Seleccione Siguiente: Direcciones IP > para configurar el espacio de direcciones y las subredes.

    Captura de pantalla de la pestaña de aspectos básicos para crear una red virtual.

  5. En la pestaña Direcciones IP, configure el espacio de direcciones de red virtual. Defina las subredes que desea crear, incluida la subred de puerta de enlace. Seleccione Revisar y crear y, a continuación, Crear para implementar la red virtual. Para más información acerca de cómo crear una red virtual en Azure, consulte Create a virtual network (Creación de una red virtual). Para más información acerca de cómo crear subredes, consulte Incorporación de una subred.

    Importante

    La subred de puerta de enlace debe ser /27 o un prefijo más corto (por ejemplo, /26 o /25).

    Captura de pantalla de la pestaña de direcciones IP para crear una red virtual.

  6. Cree la puerta de enlace de VPN de sitio a sitio y la puerta de enlace de red local. Para más información sobre la configuración de la puerta de enlace VPN consulte Configuración de una red virtual con una conexión de sitio a sitio mediante PowerShell. GatewaySku solamente es compatible con las puertas de enlace de VPN VpnGw1, VpnGw2, VpnGw3, Standard y HighPerformance. Las configuraciones de la coexistencia de ExpressRoute-VPN Gateway no se admiten en la SKU de nivel Básico. El valor de VpnType debe ser RouteBased.

  7. Configure el dispositivo VPN local para que se conecte a la nueva puerta de enlace de VPN de Azure. Para obtener más información sobre la configuración del dispositivo VPN, vea Configuración de dispositivos VPN.

  8. Si está conectado a un circuito ExpressRoute existente, omita los pasos 8 y 9 y pase directamente al paso 10. Configure los circuitos ExpressRoute. Para más información acerca de cómo configurar los circuitos ExpressRoute, consulte Creación de un circuito ExpressRoute.

  9. Configure el emparejamiento privado de Azure a través del circuito ExpressRoute. Para más información acerca de cómo configurar el emparejamiento privado de Azure a través del circuito ExpressRoute, consulte Configuración del emparejamiento.

  10. Seleccione + Crear un recurso y busque la Puerta de enlace de red virtual. Seleccione Crear.

  11. Seleccione el tipo de puerta de enlace de ExpressRoute, la SKU adecuada y la red virtual en la que se implementará la puerta de enlace.

    Captura de pantalla de la creación de una puerta de enlace de red virtual para ExpressRoute.

  12. Vincule la puerta de enlace de ExpressRoute al circuito ExpressRoute. Una vez completado este paso, se ha establecido la conexión entre su red local y Azure a través de ExpressRoute. Para más información sobre la operación de vinculación, consulte Vinculación de redes virtuales a circuitos ExpressRoute.

Configuración de conexiones coexistentes para una red virtual ya existente

Si tiene una red virtual con una sola una puerta de enlace de red virtual (por ejemplo, una puerta de enlace de VPN de sitio a sitio) y desea agregar una segunda puerta de enlace de otro tipo (por ejemplo, una puerta de enlace de ExpressRoute), compruebe el tamaño de la subred de la puerta de enlace. Si la subred de la puerta de enlace es /27, o mayor, puede omitir los pasos siguientes y seguir los de la sección anterior para agregar una puerta de enlace VPN de sitio a sitio o una puerta de enlace de ExpressRoute. Si la subred de puerta de enlace es /28 o /29, primero debe eliminar la puerta de enlace de red virtual y aumentar el tamaño de la subred de puerta de enlace. Los pasos de esta sección le muestran cómo hacerlo.

  1. Elimine la puerta de enlace de la VPN de ExpressRoute o de sitio a sitio.

  2. Elimine y vuelva a crear GatewaySubnet para que tenga el prefijo /27 o más corto.

  3. Configure una red virtual con una conexión de sitio a sitio y, a continuación, Configure la puerta de enlace de ExpressRoute.

  4. Una vez implementada la puerta de enlace de ExpressRoute, puede vincular la red virtual al circuito de ExpressRoute.

Incorporación de la configuración de punto a sitio a la puerta de enlace de VPN

Puede agregar una configuración de punto a sitio al conjunto existente siguiendo las instrucciones de Configuración de la conexión VPN de punto a sitio mediante la autenticación de certificados de Azure.

Habilitación del enrutamiento de tránsito entre ExpressRoute y VPN de Azure

Si quiere habilitar la conectividad entre una de las redes locales que está conectada a ExpressRoute y otra red local que está conectada a una conexión VPN de sitio a sitio, debe configurar Azure Route Server.

Pasos siguientes

Para obtener más información acerca de ExpressRoute, consulte P+F de ExpressRoute.