Conexión de una red local a Azure mediante ExpressRoute con conmutación por error de VPNConnect an on-premises network to Azure using ExpressRoute with VPN failover

Esta arquitectura de referencia muestra cómo conectar una red local a una red Azure Virtual Network (VNet) mediante ExpressRoute, con una red privada virtual (VPN) de sitio a sitio como conexión de conmutación por error.This reference architecture shows how to connect an on-premises network to an Azure virtual network (VNet) using ExpressRoute, with a site-to-site virtual private network (VPN) as a failover connection. El tráfico fluye entre la red local y la red virtual de Azure a través de una conexión de ExpressRoute.Traffic flows between the on-premises network and the Azure VNet through an ExpressRoute connection. Si se produce una pérdida de conectividad en el circuito de ExpressRoute, el tráfico se enruta a través de un túnel de VPN con IPSec.If there is a loss of connectivity in the ExpressRoute circuit, traffic is routed through an IPSec VPN tunnel. Implemente esta solución.Deploy this solution.

Tenga en cuenta que si el circuito de ExpressRoute no está disponible, la ruta VPN solo se ocupará de conexiones entre pares privados.Note that if the ExpressRoute circuit is unavailable, the VPN route will only handle private peering connections. Las conexiones entre pares públicos y de Microsoft pasarán por Internet.Public peering and Microsoft peering connections will pass over the Internet.

Arquitectura de referencia de una arquitectura de red híbrida de alta disponibilidad mediante ExpressRoute y VPN gateway

Descargue un archivo Visio de esta arquitectura.Download a Visio file of this architecture.

ArquitecturaArchitecture

La arquitectura consta de los siguientes componentes:The architecture consists of the following components.

  • Red local.On-premises network. Una red de área local privada que se ejecuta dentro de una organización.A private local-area network running within an organization.

  • Dispositivo VPN.VPN appliance. Un dispositivo o servicio que proporciona conectividad externa a la red local.A device or service that provides external connectivity to the on-premises network. El dispositivo VPN puede ser un dispositivo de hardware, o puede ser una solución de software como el servicio de Enrutamiento y acceso remoto (RRAS) en Windows Server 2012.The VPN appliance may be a hardware device, or it can be a software solution such as the Routing and Remote Access Service (RRAS) in Windows Server 2012. Para obtener una lista de los dispositivos VPN admitidos e información sobre cómo configurar las aplicaciones VPN seleccionadas para conectarse a Azure, consulte Acerca de los dispositivos VPN para conexiones de sitio a sitio VPN Gateway.For a list of supported VPN appliances and information on configuring selected VPN appliances for connecting to Azure, see About VPN devices for Site-to-Site VPN Gateway connections.

  • Circuito ExpressRoute.ExpressRoute circuit. Un circuito de capa 2 o capa 3 suministrado por el proveedor de conectividad que se une a la red local con Azure a través de los enrutadores perimetrales.A layer 2 or layer 3 circuit supplied by the connectivity provider that joins the on-premises network with Azure through the edge routers. El circuito usa la infraestructura de hardware administrada por el proveedor de conectividad.The circuit uses the hardware infrastructure managed by the connectivity provider.

  • Puerta de enlace de red virtual de ExpressRoute.ExpressRoute virtual network gateway. La puerta de enlace de red virtual de ExpressRoute permite que la red virtual se conecte al circuito de ExpressRoute que se usa para la conectividad con la red local.The ExpressRoute virtual network gateway enables the VNet to connect to the ExpressRoute circuit used for connectivity with your on-premises network.

  • Puerta de enlace de red virtual de VPNVPN virtual network gateway. La puerta de enlace de red virtual de VPN permite que la red virtual se conecte al dispositivo VPN en la red local.The VPN virtual network gateway enables the VNet to connect to the VPN appliance in the on-premises network. La puerta de enlace de red virtual de VPN está configurada para aceptar las solicitudes procedentes de la red local solo a través del dispositivo VPN.The VPN virtual network gateway is configured to accept requests from the on-premises network only through the VPN appliance. Para obtener más información, consulte conexión de una red local a una red virtual Microsoft Azure.For more information, see Connect an on-premises network to a Microsoft Azure virtual network.

  • Conexión VPN.VPN connection. La conexión tiene propiedades que especifican el tipo de conexión (IPSec) y la clave compartida con el dispositivo VPN local para cifrar el tráfico.The connection has properties that specify the connection type (IPSec) and the key shared with the on-premises VPN appliance to encrypt traffic.

  • Azure Virtual Network (VNet) .Azure Virtual Network (VNet). Cada red virtual se encuentra en una sola región de Azure y puede hospedar varios niveles de aplicación.Each VNet resides in a single Azure region, and can host multiple application tiers. Los niveles de aplicación se pueden segmentar con subredes en cada red virtual.Application tiers can be segmented using subnets in each VNet.

  • Subred de puerta de enlace.Gateway subnet. Las puertas de enlace de red virtual se conservan en la misma subred.The virtual network gateways are held in the same subnet.

  • Aplicación en la nube.Cloud application. La aplicación hospedada en Azure.The application hosted in Azure. Puede incluir varios niveles, con varias subredes que se conectan a través de equilibradores de carga de Azure.It might include multiple tiers, with multiple subnets connected through Azure load balancers. Para más información sobre la infraestructura de la aplicación, consulte ejecución de cargas de trabajo de máquinas virtuales Windows y ejecución de cargas de trabajo de máquinas virtuales Linux.For more information about the application infrastructure, see Running Windows VM workloads and Running Linux VM workloads.

RecomendacionesRecommendations

Las siguientes recomendaciones sirven para la mayoría de los escenarios.The following recommendations apply for most scenarios. Sígalas a menos que tenga un requisito concreto que las invalide.Follow these recommendations unless you have a specific requirement that overrides them.

VNet y GatewaySubnetVNet and GatewaySubnet

Cree la conexión de puerta de enlace de red virtual de ExpressRoute y la conexión de puerta de enlace de red virtual de VPN en la misma red virtual con un objeto de puerta de enlace ya implementado.Create the ExpressRoute virtual network gateway connection and the VPN virtual network gateway connection in the same VNet with a Gateway object already in place. Ambos compartirán la misma subred denominada GatewaySubnet.They will both share the same subnet named GatewaySubnet.

Si la red virtual ya incluye una subred denominada GatewaySubnet, asegúrese de que tiene un espacio de direcciones de /27 o más grande.If the VNet already includes a subnet named GatewaySubnet, ensure that it has a /27 or larger address space. Si la subred es demasiado pequeña, use el siguiente comando de PowerShell para quitarla:If the existing subnet is too small, use the following PowerShell command to remove the subnet:

$vnet = Get-AzureRmVirtualNetworkGateway -Name <yourvnetname> -ResourceGroupName <yourresourcegroup>
Remove-AzureRmVirtualNetworkSubnetConfig -Name GatewaySubnet -VirtualNetwork $vnet

Si la red virtual no contiene una subred denominada GatewaySubnet, cree una nueva con el siguiente comando de PowerShell:If the VNet does not contain a subnet named GatewaySubnet, create a new one using the following PowerShell command:

$vnet = Get-AzureRmVirtualNetworkGateway -Name <yourvnetname> -ResourceGroupName <yourresourcegroup>
Add-AzureRmVirtualNetworkSubnetConfig -Name "GatewaySubnet" -VirtualNetwork $vnet -AddressPrefix "10.200.255.224/27"
$vnet = Set-AzureRmVirtualNetwork -VirtualNetwork $vnet

VPN y puertas de enlace de ExpressRouteVPN and ExpressRoute gateways

Compruebe que su organización cumple los requisitos previos de ExpressRoute para conectarse a Azure.Verify that your organization meets the ExpressRoute prerequisite requirements for connecting to Azure.

Si ya tiene una puerta de enlace de red virtual de VPN en la red virtual de Azure, use el siguiente comando de PowerShell para quitarla:If you already have a VPN virtual network gateway in your Azure VNet, use the following PowerShell command to remove it:

Remove-AzureRmVirtualNetworkGateway -Name <yourgatewayname> -ResourceGroupName <yourresourcegroup>

Siga las instrucciones de implementación de una arquitectura de red híbrida con Azure ExpressRoute para establecer la conexión de expressroute.Follow the instructions in Implementing a hybrid network architecture with Azure ExpressRoute to establish your ExpressRoute connection.

Siga las instrucciones de implementación de una arquitectura de red híbrida con Azure y VPN local para establecer la conexión de puerta de enlace de red virtual de VPN.Follow the instructions in Implementing a hybrid network architecture with Azure and On-premises VPN to establish your VPN virtual network gateway connection.

Después de haber establecido las conexiones de puerta de enlace de red virtual, pruebe el entorno como sigue:After you have established the virtual network gateway connections, test the environment as follows:

  1. Asegúrese de que puede conectarse desde su red local a la red virtual de Azure.Make sure you can connect from your on-premises network to your Azure VNet.
  2. Póngase en contacto con su proveedor para detener la conectividad de ExpressRoute para la prueba.Contact your provider to stop ExpressRoute connectivity for testing.
  3. Compruebe que todavía puede conectarse desde su red local a la red virtual de Azure mediante la conexión de puerta de enlace de red virtual de VPN.Verify that you can still connect from your on-premises network to your Azure VNet using the VPN virtual network gateway connection.
  4. Póngase en contacto con su proveedor para restablecer la conectividad de ExpressRoute.Contact your provider to reestablish ExpressRoute connectivity.

ConsideracionesConsiderations

Para conocer las consideraciones de ExpressRoute, consulte la guía implementación de una arquitectura de red híbrida con Azure ExpressRoute .For ExpressRoute considerations, see the Implementing a Hybrid Network Architecture with Azure ExpressRoute guidance.

Para conocer las consideraciones de VPN de sitio a sitio, consulte la guía implementación de una arquitectura de red híbrida con Azure y VPN local .For site-to-site VPN considerations, see the Implementing a Hybrid Network Architecture with Azure and On-premises VPN guidance.

Para conocer las consideraciones generales de seguridad de Azure, consulte servicios en la nube de Microsoft y seguridad de red.For general Azure security considerations, see Microsoft cloud services and network security.

Implementación de la soluciónDeploy the solution

Requisitos previos.Prerequisites. Debe tener una infraestructura local existente ya configurada con un dispositivo de red adecuado.You must have an existing on-premises infrastructure already configured with a suitable network appliance.

Para implementar la solución, siga estos pasos:To deploy the solution, perform the following steps.

  1. Haga clic en el vínculo siguiente.Click the link below.

    Implementación en AzureDeploy to Azure

  2. Espere a que el vínculo abra Azure Portal y, a continuación, siga estos pasos:Wait for the link to open in the Azure portal, then follow these steps:

    • El nombre del Grupo de recursos ya está definido en el archivo de parámetros, así que seleccione Crear nuevo y escriba ra-hybrid-vpn-er-rg en el cuadro de texto.The Resource group name is already defined in the parameter file, so select Create New and enter ra-hybrid-vpn-er-rg in the text box.
    • Seleccione la región en el cuadro de lista desplegable Ubicación.Select the region from the Location drop down box.
    • No modifique los cuadros de texto URI raíz de plantilla o URI raíz de parámetro.Do not edit the Template Root Uri or the Parameter Root Uri text boxes.
    • Revise los términos y condiciones, y haga clic en la casilla Acepto los términos y condiciones indicados anteriormente.Review the terms and conditions, then click the I agree to the terms and conditions stated above checkbox.
    • Haga clic en el botón Comprar.Click the Purchase button.
  3. Espere a que la implementación se complete.Wait for the deployment to complete.

  4. Haga clic en el vínculo siguiente.Click the link below.

    Implementación en AzureDeploy to Azure

  5. Espere a que el vínculo abra Azure Portal y, a continuación, siga estos pasos:Wait for the link to open in the Azure portal, then enter then follow these steps:

    • Seleccione Usar existente en la sección Grupo de recursos y escriba ra-hybrid-vpn-er-rg en el cuadro de texto.Select Use existing in the Resource group section and enter ra-hybrid-vpn-er-rg in the text box.
    • Seleccione la región en el cuadro de lista desplegable Ubicación.Select the region from the Location drop down box.
    • No modifique los cuadros de texto URI raíz de plantilla o URI raíz de parámetro.Do not edit the Template Root Uri or the Parameter Root Uri text boxes.
    • Revise los términos y condiciones, y haga clic en la casilla Acepto los términos y condiciones indicados anteriormente.Review the terms and conditions, then click the I agree to the terms and conditions stated above checkbox.
    • Haga clic en el botón Comprar.Click the Purchase button.