Tutorial: Enrutamiento del tráfico de red con una tabla de rutas mediante Azure Portal
De forma predeterminada, Azure enruta el tráfico entre todas las subredes de una red virtual. Sin embargo, puede crear sus propias rutas para invalidar las predeterminadas de Azure. Las rutas personalizadas resultan de utilidad si, por ejemplo, quiere enrutar el tráfico entre subredes por medio de una aplicación virtual de red (NVA).
En este tutorial, aprenderá a:
- Creación de una red virtual y subredes
- Creación de una aplicación virtual de red para enrutar el tráfico
- Creación de una tabla de rutas
- Creación de una ruta
- Asociación de una tabla de rutas a una subred
- Implementación de máquinas virtuales (VM) en subredes diferentes
- Enrutamiento del tráfico desde una subred a otra a través de una aplicación virtual de red
Este tutorial usa Azure Portal. También puede completarlo mediante la CLI de Azure o PowerShell.
Si no tiene una suscripción a Azure, cree una cuenta gratuita antes de empezar.
Información general
En este diagrama se muestran los recursos creados en este tutorial junto con las rutas de red esperadas.
Requisitos previos
- Una suscripción de Azure
Inicio de sesión en Azure
Inicie sesión en Azure Portal.
Creación de una red virtual
En esta sección, creará una red virtual, tres subredes y un host bastión. Usará el host bastión para conectarse de forma segura a las máquinas virtuales.
En el menú de Azure Portal, seleccione +Crear un recurso>Redes>Red virtual o busque Red virtual en el cuadro de búsqueda del portal.
Seleccione Crear.
En la pestaña Aspectos básicos de Crear red virtual, escriba o seleccione esta información:
Parámetro Value Subscription Seleccione su suscripción. Resource group Seleccione Crear nuevo y escriba myResourceGroup. Seleccione . Nombre Escriba myVirtualNetwork. Region Seleccione Este de EE. UU. Seleccione la pestaña Direcciones IP o el botón Siguiente: Direcciones IP situado en la parte inferior de la página.
En Espacio de direcciones IPv4, seleccione el espacio de direcciones existente y cámbielo a 10.0.0.0/16.
Seleccione + Agregar subred y escriba Public en Nombre de subred y 10.0.0.0/24 en Intervalo de direcciones de subred.
Seleccione Agregar.
Seleccione + Agregar subred y escriba Private en Nombre de subred y 10.0.1.0/24 en Intervalo de direcciones de subred.
Seleccione Agregar.
Seleccione + Agregar subred y escriba DMZ en Nombre de subred y 10.0.2.0/24 en Intervalo de direcciones de subred.
Seleccione Agregar.
Seleccione la pestaña Seguridad o elija el botón Siguiente: Seguridad situado en la parte inferior de la página.
En BastionHost, seleccione Habilitar. Escriba esta información:
Configuración Value Nombre del bastión Escriba MyBastionHost. Espacio de direcciones de AzureBastionSubnet Escriba 10.0.3.0/24. Dirección IP pública Seleccione Crear nuevo. Escriba myBastionIP en Nombre. Seleccione . Seleccione la pestaña Revisar y crear o el botón Revisar y crear.
Seleccione Crear.
Creación de una máquina virtual de NVA
Las aplicaciones virtuales de red (NVA) son máquinas virtuales que ayudan con las funciones de red, como la optimización del enrutamiento y del firewall. En esta sección, creará una NVA mediante una máquina virtual de Windows Server 2019 Datacenter. Si lo desea puede seleccionar un sistema operativo diferente.
En el menú de Azure Portal, seleccione +Crear un recurso>Proceso>Máquina virtual, o busque Máquina virtual en el cuadro de búsqueda del portal.
Seleccione Crear.
En la pestaña Aspectos básicos de Crear una máquina virtual, escriba o seleccione esta información:
Parámetro Valor Detalles del proyecto Subscription Seleccione su suscripción. Grupo de recursos Seleccione myResourceGroup. Detalles de instancia Nombre de la máquina virtual Escriba myVMNVA. Region Seleccione (EE. UU.) Este de EE. UU. . Opciones de disponibilidad Seleccione No se requiere redundancia de la infraestructura. Tipo de seguridad Seleccione Estándar. Imagen Seleccione Windows Server 2019 Datacenter - Gen2. Instancia de Azure Spot así que seleccione No. Size Elija el tamaño de la máquina virtual o acepte la configuración predeterminada. Cuenta de administrador Nombre de usuario Especifique un nombre de usuario. Contraseña Escriba una contraseña. La contraseña debe tener al menos 12 caracteres de largo y cumplir con los requisitos de complejidad definidos. Confirmación de la contraseña Vuelva a escribir la contraseña. Reglas de puerto de entrada Puertos de entrada públicos Seleccione Ninguno. Seleccione la pestaña Redes o seleccione Siguiente: Discos y, después, Siguiente: Redes.
En la pestaña Redes, seleccione o escriba:
Configuración Valor Interfaz de red Virtual network Seleccione myVirtualNetwork. Subnet Seleccione DMZ. Dirección IP pública Seleccione Ninguno. Grupo de seguridad de red de NIC Seleccione Básica. Red de puertos de entrada públicos Seleccione Ninguno. Seleccione la pestaña Revisar y crear o elija el botón Revisar y crear en la parte inferior de la página.
Revise la configuración y, a continuación, seleccione Crear.
Creación de una tabla de rutas
En esta sección, creará una tabla de rutas.
En el menú de Azure Portal, seleccione +Crear un recurso>Redes>Tabla de rutas o busque Tabla de rutas en el cuadro de búsqueda del portal.
Seleccione Crear.
En la pestaña Aspectos básicos de Crear tabla de rutas, escriba o seleccione esta información:
Parámetro Value Detalles del proyecto Subscription Seleccione su suscripción. Resource group Seleccione myResourceGroup. Detalles de instancia Region Seleccione Este de EE. UU. Nombre Escriba myRouteTablePublic. Propagar las rutas de la puerta de enlace Seleccione Sí. 
Seleccione la pestaña Revisar y crear o el botón azul Revisar y crear en la parte inferior de la página.
Creación de una ruta
En esta sección, creará una ruta en la tabla de rutas que creó en los pasos anteriores.
Seleccione Ir al recurso o busque myRouteTablePublic en el cuadro de búsqueda del portal.
En la página de myRouteTablePublic, en la sección Configuración, seleccione Rutas.
En la página Rutas, seleccione el botón +Agregar.
En Agregar ruta, escriba o seleccione esta información:
Configuración Value Nombre de ruta Escriba ToPrivateSubnet. Destino del prefijo de dirección Seleccione Direcciones IP. Intervalos de direcciones IP de destino y CIDR Escriba 10.0.1.0/24 (el intervalo de direcciones de la subred Privada creada anteriormente). Tipo de próximo salto Seleccione Aplicación virtual. Siguiente dirección de salto Escriba 10.0.2.4 (la dirección de la máquina virtual myVMNVA creada anteriormente en la subred DMZ). 
Seleccione Agregar.
Asociación de una tabla de rutas a una subred
En esta sección, asociará la tabla de rutas que creó en los pasos anteriores a una subred.
Busque myVirtualNetwork en el cuadro de búsqueda del portal.
En la página de myVirtualNetwork, en la sección Configuración, seleccione Subredes.
En la lista de subredes de la red virtual, elija Público.
En Tabla de rutas, seleccione la subred myRouteTablePublic que creó en los pasos anteriores.
Seleccione Guardar para asociar la tabla de rutas a la subred Public.
Creación de máquinas virtuales públicas y privadas
Creará dos máquinas virtuales en la red virtual myVirtualNetwork y, luego, permitirá el Protocolo de mensajes de control de Internet (ICMP) en ellas para poder usar la herramienta tracert para realizar un seguimiento del tráfico.
Nota
Para entornos de producción, no se recomienda permitir ICMP a través del Firewall de Windows.
Creación de una máquina virtual pública
En Azure Portal, en el panel izquierdo, seleccione Crear un recurso>Proceso>Máquina virtual.
En Crear una máquina virtual, escriba o seleccione los datos siguientes en la pestaña Conceptos básicos:
Configuración Value Detalles del proyecto Subscription Seleccione su suscripción. Grupo de recursos Seleccione myResourceGroup. Detalles de instancia Nombre de la máquina virtual Escriba myVmPublic. Region Seleccione (EE. UU.) Este de EE. UU. . Opciones de disponibilidad Seleccione No se requiere redundancia de la infraestructura. Tipo de seguridad Seleccione Estándar. Imagen Seleccione Windows Server 2019 Datacenter - Gen2. Instancia de Azure Spot así que seleccione No. Size Elija el tamaño de la máquina virtual o acepte la configuración predeterminada. Cuenta de administrador Nombre de usuario Especifique un nombre de usuario. Contraseña Escriba una contraseña. La contraseña debe tener al menos 12 caracteres de largo y cumplir con los requisitos de complejidad definidos. Confirmación de la contraseña Vuelva a escribir la contraseña. Reglas de puerto de entrada Puertos de entrada públicos Seleccione Ninguno. Seleccione la pestaña Redes o seleccione Siguiente: Discos y, después, Siguiente: Redes.
En la pestaña Redes, seleccione o escriba:
Configuración Valor Interfaz de red Virtual network Seleccione myVirtualNetwork. Subnet Seleccione Público. Dirección IP pública Seleccione Ninguno. Grupo de seguridad de red de NIC Seleccione Básica. Red de puertos de entrada públicos Seleccione Ninguno. Seleccione la pestaña Revisar y crear o el botón azul Revisar y crear en la parte inferior de la página.
Revise la configuración y, a continuación, seleccione Crear.
Creación de una máquina virtual privada
En Azure Portal, en el panel izquierdo, seleccione Crear un recurso>Proceso>Máquina virtual.
En Crear una máquina virtual, escriba o seleccione los datos siguientes en la pestaña Conceptos básicos:
Configuración Value Detalles del proyecto Subscription Seleccione su suscripción. Grupo de recursos Seleccione myResourceGroup. Detalles de instancia Nombre de la máquina virtual Escriba myVmPrivate. Region Seleccione (EE. UU.) Este de EE. UU. . Opciones de disponibilidad Seleccione No se requiere redundancia de la infraestructura. Tipo de seguridad Seleccione Estándar. Imagen Seleccione Windows Server 2019 Datacenter - Gen2. Instancia de Azure Spot así que seleccione No. Size Elija el tamaño de la máquina virtual o acepte la configuración predeterminada. Cuenta de administrador Nombre de usuario Especifique un nombre de usuario. Contraseña Escriba una contraseña. La contraseña debe tener al menos 12 caracteres de largo y cumplir con los requisitos de complejidad definidos. Confirmación de la contraseña Vuelva a escribir la contraseña. Reglas de puerto de entrada Puertos de entrada públicos Seleccione Ninguno. Seleccione la pestaña Redes o seleccione Siguiente: Discos y, después, Siguiente: Redes.
En la pestaña Redes, seleccione o escriba:
Configuración Valor Interfaz de red Virtual network Seleccione myVirtualNetwork. Subnet Seleccione Private (Privado). Dirección IP pública Seleccione Ninguno. Grupo de seguridad de red de NIC Seleccione Básica. Red de puertos de entrada públicos Seleccione Ninguno. Seleccione la pestaña Revisar y crear o el botón azul Revisar y crear en la parte inferior de la página.
Revise la configuración y, a continuación, seleccione Crear.
Permitir ICMP en el firewall de Windows
Seleccione Ir al recurso o busque myVMPrivate en el cuadro de búsqueda del portal.
En la página Información general de myVMPrivate, seleccione Conectar y, luego, Bastión.
Escriba el nombre de usuario y la contraseña que creó anteriormente para la máquina virtual myVMPrivate.
Seleccione el botón Conectar.
Abra Windows PowerShell después de conectarse.
Escriba este comando:
New-NetFirewallRule –DisplayName "Allow ICMPv4-In" –Protocol ICMPv4En PowerShell, abra una conexión de Escritorio remoto a la máquina virtual myVMPublic:
mstsc /v:myvmpublicDespués de conectarse a la máquina virtual myVMPublic, abra Windows PowerShell y escriba el mismo comando del paso 6.
Cierre la conexión de Escritorio remoto a la máquina virtual myVMPublic.
Habilitación del reenvío IP
Para enrutar el tráfico mediante la NVA, active el reenvío de IP en Azure y en el sistema operativo de la máquina virtual myVMNVA. Una vez habilitado el reenvío de IP, el tráfico recibido por la máquina virtual myVMNVA destinado a una dirección IP diferente no se quitará y se reenviará al destino correcto.
Activación del reenvío de IP en Azure
En esta sección, activará el reenvío de IP para la interfaz de red de la máquina virtual myVMNVA en Azure.
Busque myVMWeb en el cuadro de búsqueda del portal.
En la página de información general de myVMNVA, vaya a Configuración y seleccione Redes.
En la página Redes de myVMNVA, seleccione la interfaz de red junto a Interfaz de red. El nombre de la interfaz comenzará por myvmnva.
En la página de información general de la interfaz de red, en Configuración, seleccione Configuraciones de IP.
En la página Configuraciones de IP, establezca Reenvío IPen Habilitado y seleccione Guardar.
Activación del reenvío de IP en el sistema operativo
En esta sección, activará el reenvío de IP para el sistema operativo de la máquina virtual myVMNVA para reenviar el tráfico de red. Usará la misma conexión bastión a la máquina virtual myVMPrivate, que inició en los pasos anteriores, para abrir una conexión de escritorio remoto a la máquina virtual myVMNVA.
Desde PowerShell en la máquina virtual myVMPrivate, abra una sesión de escritorio remoto a la máquina virtual myVMNVA:
mstsc /v:myvmnvaDespués de conectarse a la máquina virtual myVMNVA, abra Windows PowerShell y escriba este comando para activar el reenvío de IP:
Set-ItemProperty -Path HKLM:\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters -Name IpEnableRouter -Value 1Reinicie la máquina virtual myVMNVA.
Restart-Computer
Prueba del enrutamiento del tráfico de red
Probará el enrutamiento del tráfico de red mediante la herramienta tracert desde la máquina virtual myVMPublic hasta la máquina virtual myVMPrivate y, luego, probará el enrutamiento en la dirección opuesta.
Prueba del tráfico de red desde la máquina virtual myVMPublic hasta la máquina virtual myVMPrivate
Desde PowerShell en la máquina virtual myVMPrivate, abra una sesión de escritorio remoto a la máquina virtual myVMNVA:
mstsc /v:myvmpublicDespués de conectarse a la máquina virtual myVMPublic, abra Windows PowerShell y escriba este comando tracert para realizar un seguimiento del enrutamiento del tráfico de red desde la máquina virtual myVMPublic hasta la máquina virtual myVMPrivate:
tracert myvmprivateLa respuesta es similar a este ejemplo:
Tracing route to myvmprivate.q04q2hv50taerlrtdyjz5nza1f.bx.internal.cloudapp.net [10.0.1.4] over a maximum of 30 hops: 1 1 ms * 2 ms myvmnva.internal.cloudapp.net [10.0.2.4] 2 2 ms 1 ms 1 ms myvmprivate.internal.cloudapp.net [10.0.1.4] Trace complete.Puede ver que hay dos saltos en la respuesta anterior para el tráfico ICMP de tracert desde la máquina virtual myVMPublic hasta la máquina virtual myVMPrivate. El primer salto es la máquina virtual myVMNVA y el segundo salto es la máquina virtual myVMPrivate de destino.
Azure envió el tráfico desde la subred Pública mediante la NVA y no directamente a la subred Privada porque anteriormente agregó la ruta ToPrivateSubnet a la tabla de rutas myRouteTablePublic y la asoció a la subred Pública.
Cierre la conexión de Escritorio remoto a la máquina virtual myVMPublic.
Prueba del tráfico de red desde la máquina virtual myVMPrivate hasta la máquina virtual myVMPublic
Desde PowerShell en la máquina virtual myVMPrivate, escriba este comando tracert para realizar un seguimiento del enrutamiento del tráfico de red desde la máquina virtual myVmPrivate hasta la máquina virtual myVmPublic.
tracert myvmpublicLa respuesta es similar a este ejemplo:
Tracing route to myvmpublic.q04q2hv50taerlrtdyjz5nza1f.bx.internal.cloudapp.net [10.0.0.4] over a maximum of 30 hops: 1 1 ms 1 ms 1 ms myvmpublic.internal.cloudapp.net [10.0.0.4] Trace complete.Puede ver que hay un salto en la respuesta anterior, que es el destino de la máquina virtual myVMPublic.
Azure envió el tráfico directamente desde la subred Privada hasta la subred Pública. De forma predeterminada, Azure enruta el tráfico directamente entre subredes.
Cierre la sesión de bastión.
Limpieza de recursos
Cuando el grupo de recursos ya no sea necesario, elimine myResourceGroup y todos los recursos que contiene:
Escriba myResourceGroup en el cuadro Buscar que se encuentra en la parte superior de Azure Portal. Seleccione myResourceGroup cuando lo vea en los resultados de la búsqueda.
Seleccione Eliminar grupo de recursos.
Escriba myResourceGroup para ESCRIBA EL NOMBRE DEL GRUPO DE RECURSOS: y seleccione Eliminar.
Pasos siguientes
En este tutorial ha:
- Creado una tabla de rutas y la ha asociado a una subred.
- Creado una aplicación virtual de red sencilla que enrutó el tráfico desde una subred pública hasta una subred privada.
Puede implementar diferentes aplicaciones virtuales de red preconfiguradas desde Azure Marketplace, que proporcionan muchas funciones de red útiles.
Para más información acerca del enrutamiento, consulte Introducción al enrutamiento y Administración de una tabla de rutas.
Para aprender a restringir el acceso de red a los recursos de PaaS mediante puntos de conexión de servicio de red virtual, avance al siguiente tutorial.