Compartir vía


Configuración del tránsito de la puerta de enlace de VPN para el emparejamiento de red virtual

Este artículo le ayuda a configurar el tránsito de la puerta de enlace para el emparejamiento de red virtual. El emparejamiento de red virtual conecta perfectamente dos redes virtuales de Azure, combinando las dos redes virtuales en una sola para favorecer la conectividad. El tránsito de puerta de enlace es una propiedad del emparejamiento que permite que una red virtual utilice la puerta de enlace de VPN en la red virtual emparejada para la conectividad entre locales o entre redes virtuales.

El siguiente diagrama muestra cómo funciona el tránsito de la puerta de enlace con el emparejamiento de red virtual. En el diagrama, el tránsito de la puerta de enlace permite que las redes virtuales emparejadas usen Azure VPN Gateway en Hub-RM. La conectividad disponible en la puerta de enlace de VPN, que incluye las conexiones S2S, P2S y entre redes virtuales, se aplica a las tres redes virtuales.

Diagrama del tránsito de puerta de enlace.

La opción de tránsito se puede usar con todas las SKU de VPN Gateway, excepto la SKU básica.

En la arquitectura de red del tipo hub-and-spoke, el tránsito de la puerta de enlace permite que las redes virtuales de radio compartan la puerta de enlace de VPN en el concentrador, en lugar de implementar puertas de enlace de VPN en todas las redes virtuales de radio. Las rutas a las redes virtuales conectadas a la puerta de enlace o a las redes locales se propagan a las tablas de enrutamiento de las redes virtuales emparejadas mediante el tránsito de la puerta de enlace.

Puede deshabilitar la propagación automática de rutas de la puerta de enlace de VPN. Cree una tabla de enrutamiento con la opción "Deshabilitar la propagación de rutas BGP" y asóciela con las subredes para evitar la distribución de rutas en dichas subredes. Para más información, consulte Tabla de enrutamiento de redes virtuales.

Nota:

Si realiza un cambio en la topología de la red y tiene clientes VPN de Windows, el paquete de cliente VPN para clientes de Windows se debe descargar e instalar nuevamente para que los cambios se apliquen en el cliente.

Requisitos previos

En este artículo se requieren las siguientes redes virtuales y permisos.

Redes virtuales

VNet Pasos de configuración Puerta de enlace de red virtual
Hub-RM Resource Manager
Spoke-RM Resource Manager No

Permisos

Las cuentas que use para crear un emparejamiento de redes virtuales deben tener los rol o permisos necesarios. En el ejemplo siguiente, si fuera a emparejar dos redes virtuales llamadas Hub-RM y Spoke-Classic, la cuenta debería tener los siguientes roles o permisos mínimos para cada red virtual:

VNet Modelo de implementación Role Permisos
Hub-RM Resource Manager Colaborador de la red Microsoft.Network/virtualNetworks/virtualNetworkPeerings/write
Spoke-RM Resource Manager Colaborador de la red Microsoft.Network/virtualNetworks/peer

Obtenga más información sobre los roles integrados y la asignación de permisos específicos a roles personalizados (solo Resource Manager).

Para agregar un emparejamiento y habilitar el tránsito:

  1. En Azure Portal, cree o actualice el emparejamiento de red virtual de Hub-RM. Vaya a la red virtual Hub-RM. Seleccione Emparejamientos y, después, + Agregar para abrir Agregar emparejamiento.

  2. En la página Agregar emparejamiento, configure los valores para Resumen de red virtual remota.

    • Nombre del vínculo de emparejamiento: Asigne un nombre al vínculo. Ejemplo: SpokeRMToHubRM
    • Modelo de implementación de red virtual: Resource Manager
    • Conozco mi id. de recurso: dejar en blanco. Solo tiene que seleccionar esta opción si no tiene acceso de lectura a la red virtual o la suscripción con la que quiere realizar el emparejamiento.
    • Suscripción: seleccione la suscripción.
    • Red virtual: Spoke-RM
  3. En la página Agregar emparejamiento, configure los valores de Configuración de emparejamiento de red virtual remota.

    • Permitir que "Spoke-RM" acceda a "Hub-RM": Deje el valor predeterminado seleccionado.
    • Permitir que "Spoke-RM" reciba tráfico reenviado de "Hub-RM": Active la casilla.
    • Permitir que la puerta de enlace o el servidor de rutas de la red virtual emparejada reenvíen el tráfico a "Hub-RM": Deje sin seleccionar el valor predeterminado.
    • Habilite "SpokeRM" para usar la puerta de enlace remota o el servidor de rutas de "Hub-RM": Active la casilla.

    Captura de pantalla que muestra Agregar emparejamiento.

  4. En la página Agregar emparejamiento, configure los valores de Resumen de red virtual local.

    • Nombre del vínculo de emparejamiento: Asigne un nombre al vínculo. Ejemplo: HubRMToSpokeRM
  5. En la página Agregar emparejamiento, configure los valores de Configuración de emparejamiento de red virtual local.

    • Permitir que "Hub-RM" acceda a la red virtual emparejada: Deje el valor predeterminado seleccionado.
    • Permitir que "Hub-RM" reciba tráfico reenviado de la red virtual emparejada: Active la casilla.
    • Permitir que la puerta de enlace o el servidor de rutas en "Hub-RM" reenvíen el tráfico a la red virtual emparejada: Active la casilla.
    • Habilite "Hub-RM" para usar la puerta de enlace remota o el servidor de rutas de la red virtual emparejada: Deje sin seleccionar el valor predeterminado.

    Captura de pantalla que muestra los valores de la red virtual remota.

  6. Seleccione Agregar para crear el emparejamiento.

  7. Compruebe que el estado de emparejamiento sea Conectado en ambas redes virtuales.

Para modificar un emparejamiento existente para el tránsito:

Si ya tiene un emparejamiento, puede modificar el emparejamiento para el tránsito.

  1. Vaya a la red virtual. Seleccione Emparejamientos y elija el emparejamiento que quiere modificar. Por ejemplo, en la red virtual Spoke-RM, seleccione el emparejamiento SpokeRMtoHubRM.

  2. Actualice el emparejamiento de red virtual.

    Habilite "Spoke-RM" para usar la puerta de enlace remota o el servidor de rutas de "Hub-RM": Active la casilla.

  3. Guarde la configuración de emparejamiento.

Ejemplo de PowerShell

También puede usar PowerShell para crear o actualizar el emparejamiento. Reemplace las variables por los nombres de las redes virtuales y los grupos de recursos.

$SpokeRG = "SpokeRG1"
$SpokeRM = "Spoke-RM"
$HubRG   = "HubRG1"
$HubRM   = "Hub-RM"

$spokermvnet = Get-AzVirtualNetwork -Name $SpokeRM -ResourceGroup $SpokeRG
$hubrmvnet   = Get-AzVirtualNetwork -Name $HubRM -ResourceGroup $HubRG

Add-AzVirtualNetworkPeering `
  -Name SpokeRMtoHubRM `
  -VirtualNetwork $spokermvnet `
  -RemoteVirtualNetworkId $hubrmvnet.Id `
  -UseRemoteGateways

Add-AzVirtualNetworkPeering `
  -Name HubRMToSpokeRM `
  -VirtualNetwork $hubrmvnet `
  -RemoteVirtualNetworkId $spokermvnet.Id `
  -AllowGatewayTransit

Pasos siguientes