Agregar una conexión de sitio a sitio a una red virtual con una conexión de VPN Gateway existente (clásico)
Este artículo le guiará a través del uso de PowerShell para agregar conexiones de sitio a sitio (S2S) a la puerta de enlace de VPN con una conexión existente mediante el modelo de implementación clásica (heredada). Este tipo de conexión se denomina con frecuencia configuración "multisitio". Estos pasos no se aplican a las configuraciones de conexión coexistentes de ExpressRoute y sitio a sitio.
Los pasos de este artículo se aplican al modelo de implementación clásica (heredada), y no al modelo de implementación actual, Resource Manager. A menos que quiera trabajar específicamente en el modelo de implementación clásica, le recomendamos que utilice la versión de Resource Manager de este artículo.
Nota
Este artículo se ha escrito para el modelo de implementación clásica (heredada). Se recomienda usar el modelo de implementación de Azure más reciente en su lugar. El modelo de implementación de Resource Manager es el modelo más reciente y ofrece más opciones y compatibilidad de características que el modelo de implementación clásica. Para comprender la diferencia entre estos dos modelos de implementación, consulte Conozca los modelos de implementación y el estado de los recursos.
Si desea usar una versión diferente a la de este artículo, use la tabla de contenido del panel izquierdo.
Acerca de la conexión
Puede conectar varios sitios locales a una única red virtual. Esto resulta especialmente atractivo para crear soluciones híbridas en la nube. La creación de una conexión de varios sitios en la puerta de enlace de red virtual de Azure es similar a la creación de otras conexiones de sitio a sitio. De hecho, puede utilizar una Azure VPN Gateway existente, siempre que la puerta de enlace sea dinámica (basada en ruta).
Si ya se ha conectado una puerta de enlace estática a la red virtual, puede cambiar el tipo de puerta de enlace a dinámico sin tener que recompilar la red virtual para dar cabida a varios sitios. Antes de cambiar el tipo de enrutamiento, asegúrese de que la VPN Gateway local admite configuraciones de VPN basadas en ruta.
Puntos que se deben tener en cuenta
No podrá usar el portal para realizar cambios en esta red virtual. Tiene que realizar los cambios en el archivo de configuración de red en lugar de usar el portal. Si realiza cambios en el portal, sobrescribirán la configuración de referencia a varios sitios de esta red virtual.
Debe sentirse cómodo al usar el archivo de configuración de red en el momento en el que complete el procedimiento de varios sitios. Sin embargo, si hay más personas que trabajan en la configuración de red, tendrá que asegurarse de que todos conocen esta limitación. Esto no significa que no pueda usar el portal en absoluto. Puede usarlo para todo lo demás menos para hacer cambios de configuración en esta red virtual concreta.
Antes de empezar
Antes de comenzar la configuración, compruebe que dispone de lo siguiente:
- Hardware VPN compatible para cada ubicación local. Consulte Acerca de los dispositivos VPN para conectividad de red virtual para comprobar si el dispositivo que quiere usar es un dispositivo que se sabe que es compatible.
- Una dirección IP IPv4 pública orientada externamente para cada dispositivo VPN. Esta dirección IP no puede estar detrás de una NAT. Esta acción es obligatoria.
- Alguna persona con experiencia en configuración de hardware de VPN Necesitará un conocimiento amplio de cómo configurar el dispositivo VPN o trabajar con alguien que lo tenga.
- Los intervalos de dirección IP que desea usar para la red virtual (si aún no ha creado uno).
- Los intervalos de direcciones IP para cada uno de los sitios de red locales a los que se va a conectar. Deberá asegurarse de que los intervalos de dirección IP para cada uno de los sitios de red locales a los que desea conectarse no se superpongan. De lo contrario, el portal o la API de REST rechazarán la configuración que se carga.
Por ejemplo, si dispone de dos sitios de red locales que contienen el intervalo de dirección IP 10.2.3.0/24 y dispone de un paquete con una dirección de destino 10.2.3.3, Azure no sabrá a qué sitio desea enviar el paquete porque se solapan los intervalos de dirección. Para evitar problemas de enrutamiento, Azure no loe permite cargar un archivo de configuración que disponga de intervalos que se solapan.
Trabajo con Azure PowerShell
Cuando se trabaja con el modelo de implementación clásica, no se puede usar Azure Cloud Shell. En su lugar, debe instalar la versión más reciente de los cmdlets de PowerShell para Azure Service Management (SM) en el equipo. Estos cmdlets son diferentes de los de AzureRM o Az. Para instalar los cmdlets de SM, consulte Instalación de cmdlets de Service Management. Para más información sobre Azure PowerShell en general, consulte la documentación de Azure PowerShell.
1. Crear una VPN de sitio a sitio
Si ya tiene una VPN de sitio a sitio con una puerta de enlace de enrutamiento dinámico, perfecto. Puede pasar a Exportación de la configuración de la red virtual. De lo contrario, haga lo siguiente:
Si ya dispone de una red virtual de sitio a sitio, pero con una puerta de enlace de enrutamiento estático (basada en directivas):
- Cambie el tipo de puerta de enlace a enrutamiento dinámico. Una VPN de varios sitios requiere una puerta de enlace de enrutamiento dinámico (también denominada basada en ruta). Para cambiar el tipo de puerta de enlace, tendrá que eliminar primero la puerta de enlace existente y, a continuación, crear una nueva.
- Configure la nueva puerta de enlace y cree un túnel de VPN. Para obtener instrucciones, consulte Especificación del tipo de VPN y SKU. Asegúrese de especificar el tipo de enrutamiento como "Dinámico".
Si no dispone de una red virtual de sitio a sitio:
- Cree una red virtual de sitio a sitio con estas instrucciones: Creación de una red virtual con una conexión VPN de sitio a sitio.
- Configure una puerta de enlace de enrutamiento dinámico con estas instrucciones: Configuración de una instancia de VPN Gateway. Asegúrese de seleccionar enrutamiento dinámico como tipo de puerta de enlace.
2. Exportar el archivo de configuración de red
Abra la consola de PowerShell con privilegios elevados. Para cambiar a la administración de servicios, use este comando:
azure config mode asm
Conéctese a su cuenta. Use el siguiente ejemplo para conectarse:
Add-AzureAccount
Exporte el archivo de configuración de red de Azure mediante la ejecución del comando siguiente. Puede cambiar la ubicación del archivo que se va a exportar a una ubicación diferente si es necesario.
Get-AzureVNetConfig -ExportToFile C:\AzureNet\NetworkConfig.xml
3. Abrir el archivo de configuración de red
Abra el archivo de configuración de red que descargó en el último paso. Use el editor xml que desee. El archivo debe tener un aspecto similar al siguiente:
<NetworkConfiguration xmlns:xsd="https://www.w3.org/2001/XMLSchema" xmlns:xsi="https://www.w3.org/2001/XMLSchema-instance" xmlns="http://schemas.microsoft.com/ServiceHosting/2011/07/NetworkConfiguration">
<VirtualNetworkConfiguration>
<LocalNetworkSites>
<LocalNetworkSite name="Site1">
<AddressSpace>
<AddressPrefix>10.0.0.0/16</AddressPrefix>
<AddressPrefix>10.1.0.0/16</AddressPrefix>
</AddressSpace>
<VPNGatewayAddress>131.2.3.4</VPNGatewayAddress>
</LocalNetworkSite>
<LocalNetworkSite name="Site2">
<AddressSpace>
<AddressPrefix>10.2.0.0/16</AddressPrefix>
<AddressPrefix>10.3.0.0/16</AddressPrefix>
</AddressSpace>
<VPNGatewayAddress>131.4.5.6</VPNGatewayAddress>
</LocalNetworkSite>
</LocalNetworkSites>
<VirtualNetworkSites>
<VirtualNetworkSite name="VNet1" AffinityGroup="USWest">
<AddressSpace>
<AddressPrefix>10.20.0.0/16</AddressPrefix>
<AddressPrefix>10.21.0.0/16</AddressPrefix>
</AddressSpace>
<Subnets>
<Subnet name="FE">
<AddressPrefix>10.20.0.0/24</AddressPrefix>
</Subnet>
<Subnet name="BE">
<AddressPrefix>10.20.1.0/24</AddressPrefix>
</Subnet>
<Subnet name="GatewaySubnet">
<AddressPrefix>10.20.2.0/29</AddressPrefix>
</Subnet>
</Subnets>
<Gateway>
<ConnectionsToLocalNetwork>
<LocalNetworkSiteRef name="Site1">
<Connection type="IPsec" />
</LocalNetworkSiteRef>
</ConnectionsToLocalNetwork>
</Gateway>
</VirtualNetworkSite>
</VirtualNetworkSites>
</VirtualNetworkConfiguration>
</NetworkConfiguration>
4. Agregar referencias de varios sitios
Cuando agregue o quite la información de referencia del sitio, realizará cambios de configuración en ConnectionsToLocalNetwork/LocalNetworkSiteRef. Si se agrega una nueva referencia a sitio local se activa Azure para la creación de un nuevo túnel. En el ejemplo siguiente, la configuración de red es para una conexión de sitio único. Cuando haya terminado de realizar los cambios, guarde el archivo.
<Gateway>
<ConnectionsToLocalNetwork>
<LocalNetworkSiteRef name="Site1"><Connection type="IPsec" /></LocalNetworkSiteRef>
</ConnectionsToLocalNetwork>
</Gateway>
Para agregar referencias a sitios adicionales (crear una configuración de varios sitios), basta con agregar líneas "LocalNetworkSiteRef" adicionales, como se muestra en el ejemplo siguiente:
<Gateway>
<ConnectionsToLocalNetwork>
<LocalNetworkSiteRef name="Site1"><Connection type="IPsec" /></LocalNetworkSiteRef>
<LocalNetworkSiteRef name="Site2"><Connection type="IPsec" /></LocalNetworkSiteRef>
</ConnectionsToLocalNetwork>
</Gateway>
5. Importar el archivo de configuración de red
Importe un archivo de configuración de red. Cuando importe este archivo con los cambios, se agregan nuevos túneles. Los túneles usan la puerta de enlace dinámica que ha creado anteriormente. Puede usar PowerShell para importar el archivo.
6. Descargar las claves
Después de agregar los nuevos túneles, use el cmdlet de PowerShell "Get-AzureVNetGatewayKey" para obtener las claves IPsec/IKE compartidas previamente para cada túnel.
Por ejemplo:
Get-AzureVNetGatewayKey –VNetName "VNet1" –LocalNetworkSiteName "Site1"
Get-AzureVNetGatewayKey –VNetName "VNet1" –LocalNetworkSiteName "Site2"
Si lo prefiere, también puede usar la API de REST de Obtención de la clave compartida de puerta de enlace de la red virtual para obtener claves compartidas previamente.
7. Comprobación de las conexiones
Compruebe el estado del túnel de varios sitios. Después de descargar las claves para cada túnel, querrá comprobar las conexiones. Use "Get-AzureVnetConnection" para obtener una lista de túneles de redes virtuales, como se muestra en el siguiente ejemplo. VNet1 es el nombre de la red virtual.
Get-AzureVnetConnection -VNetName VNET1
Valor devuelto del ejemplo:
ConnectivityState : Connected
EgressBytesTransferred : 661530
IngressBytesTransferred : 519207
LastConnectionEstablished : 5/2/2014 2:51:40 PM
LastEventID : 23401
LastEventMessage : The connectivity state for the local network site 'Site1' changed from Not Connected to Connected.
LastEventTimeStamp : 5/2/2014 2:51:40 PM
LocalNetworkSiteName : Site1
OperationDescription : Get-AzureVNetConnection
OperationId : 7f68a8e6-51e9-9db4-88c2-16b8067fed7f
OperationStatus : Succeeded
ConnectivityState : Connected
EgressBytesTransferred : 789398
IngressBytesTransferred : 143908
LastConnectionEstablished : 5/2/2014 3:20:40 PM
LastEventID : 23401
LastEventMessage : The connectivity state for the local network site 'Site2' changed from Not Connected to Connected.
LastEventTimeStamp : 5/2/2014 2:51:40 PM
LocalNetworkSiteName : Site2
OperationDescription : Get-AzureVNetConnection
OperationId : 7893b329-51e9-9db4-88c2-16b8067fed7f
OperationStatus : Succeeded
Pasos siguientes
Para más información sobre las VPN Gateway, consulte Acerca de las VPN Gateway.