Conexión de una red local a Azure mediante VPN GatewayConnect an on-premises network to Azure using a VPN gateway

Esta arquitectura de referencia muestra cómo extender una red local o en Azure Stack a Azure mediante una red privada virtual (VPN) de sitio a sitio.This reference architecture shows how to extend a network on premises or on Azure Stack to Azure, using a site-to-site virtual private network (VPN). El tráfico fluye entre la red local y una Virtual Network de Azure (VNet) a través de un túnel VPN de IPSec o a través del Azure Stack puerta de enlace de VPN multiinquilino.Traffic flows between the on-premises network and an Azure Virtual Network (VNet) through an IPSec VPN tunnel or through the Azure Stack multitenant VPN gateway. Implemente esta solución.Deploy this solution.

Red híbrida que abarca las infraestructuras de Azure y local

Descargue un archivo Visio de esta arquitectura.Download a Visio file of this architecture.

ArquitecturaArchitecture

La arquitectura consta de los siguientes componentes:The architecture consists of the following components.

  • Red local.On-premises network. Una red de área local privada que se ejecuta dentro de una organización.A private local-area network running within an organization.

  • Azure Stack.Azure Stack. Un entorno de red en una suscripción de inquilino de Azure Stack, que se ejecuta dentro de una organización.A network environment on an Azure Stack tenant subscription, running within an organization. La puerta de enlace de VPN de Azure Stack envía tráfico cifrado a través de una conexión pública a direcciones IP virtuales (VIP) e incluye los componentes siguientes:The Azure Stack VPN gateway sends encrypted traffic across a public connection to virtual IP (VIP) addresses and includes the following components:

    • Subred de puerta de enlace.Gateway subnet. Una subred especial necesaria para implementar el VPN Gateway en Azure Stack.A special subnet required to deploy the VPN Gateway on Azure Stack.
    • Puerta de enlace de red local.Local network gateway. Indica la dirección IP de destino de la puerta de enlace de VPN en Azure, así como el espacio de direcciones de la red virtual de Azure.Indicates the target IP of the VPN gateway in Azure, as well as the address space of the Azure VNet.
    • Túnel VPN de sitio a sitio.Site-to-site VPN tunnel. El tipo de conexión (IPSec) y la clave compartida con la VPN Gateway de Azure para cifrar el tráfico.The connection type (IPSec) and the key shared with the Azure VPN Gateway to encrypt traffic.
  • Dispositivo VPN.VPN appliance. Un dispositivo o servicio que proporciona conectividad externa a la red local.A device or service that provides external connectivity to the on-premises network. El dispositivo VPN puede ser un dispositivo de hardware, o puede ser una solución de software como el servicio de Enrutamiento y acceso remoto (RRAS) en Windows Server 2012.The VPN appliance may be a hardware device, or it can be a software solution such as the Routing and Remote Access Service (RRAS) in Windows Server 2012. Para obtener una lista de los dispositivos VPN admitidos e información sobre cómo configurarlos para que se conecten a una puerta de enlace de VPN de Azure, consulte las instrucciones para el dispositivo seleccionado en el artículo acerca de los dispositivos VPN para conexiones de sitio a sitio VPN Gateway.For a list of supported VPN appliances and information on configuring them to connect to an Azure VPN gateway, see the instructions for the selected device in the article About VPN devices for Site-to-Site VPN Gateway connections.

  • Red virtual.Virtual network (VNet). La aplicación en la nube y los componentes de la puerta de enlace de VPN de Azure residen en la misma red virtual.The cloud application and the components for the Azure VPN gateway reside in the same VNet.

  • Azure VPN Gateway.Azure VPN gateway. El servicio de puerta de enlace de VPN le permite conectar la red virtual a la red local a través de un dispositivo VPN o conectarse a Azure Stack a través de un túnel VPN de sitio a sitio.The VPN gateway service enables you to connect the VNet to the on-premises network through a VPN appliance or to connect to Azure Stack through a site-to-site VPN tunnel. Para obtener más información, consulte conexión de una red local a una red virtual Microsoft Azure.For more information, see Connect an on-premises network to a Microsoft Azure virtual network. VPN Gateway incluye los siguientes elementos:The VPN gateway includes the following elements:

    • Puerta de enlace de red virtual.Virtual network gateway. Recurso que proporciona un dispositivo VPN virtual para la red virtual.A resource that provides a virtual VPN appliance for the VNet. Es responsable de enrutar el tráfico de la red local a la red virtual.It is responsible for routing traffic from the on-premises network to the VNet.
    • Puerta de enlace de red local.Local network gateway. Abstracción del dispositivo VPN local.An abstraction of the on-premises VPN appliance. El tráfico de red de la aplicación en la nube a la red local se enruta a través de esta puerta de enlace.Network traffic from the cloud application to the on-premises network is routed through this gateway.
    • Conexión.Connection. La conexión tiene propiedades que especifican el tipo de conexión (IPSec) y la clave compartida con el dispositivo VPN local para cifrar el tráfico.The connection has properties that specify the connection type (IPSec) and the key shared with the on-premises VPN appliance to encrypt traffic.
    • Subred de puerta de enlace.Gateway subnet. La puerta de enlace de red virtual se mantiene en su propia subred, que está sujeta a los distintos requisitos que se describen a continuación, en la sección Recomendaciones.The virtual network gateway is held in its own subnet, which is subject to various requirements, described in the Recommendations section below.
  • Aplicación en la nube.Cloud application. La aplicación hospedada en Azure.The application hosted in Azure. Puede incluir varios niveles, con varias subredes que se conectan a través de equilibradores de carga de Azure.It might include multiple tiers, with multiple subnets connected through Azure load balancers. Para más información sobre la infraestructura de la aplicación, consulte ejecución de cargas de trabajo de máquinas virtuales Windows y ejecución de cargas de trabajo de máquinas virtuales Linux.For more information about the application infrastructure, see Running Windows VM workloads and Running Linux VM workloads.

  • Equilibrador de carga interno.Internal load balancer. El tráfico de red de VPN Gateway se enruta a la aplicación en la nube a través de un equilibrador de carga interno.Network traffic from the VPN gateway is routed to the cloud application through an internal load balancer. El equilibrador de carga se encuentra en la subred front-end de la aplicación.The load balancer is located in the front-end subnet of the application.

RecomendacionesRecommendations

Las siguientes recomendaciones sirven para la mayoría de los escenarios.The following recommendations apply for most scenarios. Sígalas a menos que tenga un requisito concreto que las invalide.Follow these recommendations unless you have a specific requirement that overrides them.

Red virtual y subred de puerta de enlaceVNet and gateway subnet

Cree una red virtual de Azure con un espacio de direcciones lo suficientemente grande para todos los recursos necesarios.Create an Azure VNet with an address space large enough for all of your required resources. Asegúrese de que el espacio de direcciones de la red virtual tiene suficiente espacio para crecer si es probable que se necesiten máquinas virtuales adicionales en el futuro.Ensure that the VNet address space has sufficient room for growth if additional VMs are likely to be needed in the future. El espacio de direcciones de la red virtual no debe superponerse a la red local.The address space of the VNet must not overlap with the on-premises network. Por ejemplo, en el diagrama anterior se usa el espacio de direcciones 10.20.0.0/16 para la red virtual.For example, the diagram above uses the address space 10.20.0.0/16 for the VNet.

Cree una subred denominada GatewaySubnet, con un intervalo de direcciones de /27.Create a subnet named GatewaySubnet, with an address range of /27. Esta subred es necesaria para la puerta de enlace de red virtual.This subnet is required by the virtual network gateway. La asignación de treinta y dos direcciones a esta subred ayudará a evitar que se alcancen las limitaciones de tamaño de la puerta de enlace en el futuro.Allocating 32 addresses to this subnet will help to prevent reaching gateway size limitations in the future. Evite también colocar esta subred en el centro del espacio de direcciones.Also, avoid placing this subnet in the middle of the address space. Una práctica recomendada consiste en establecer el espacio de direcciones para la subred de la puerta de enlace en el extremo superior del espacio de direcciones de la red virtual.A good practice is to set the address space for the gateway subnet at the upper end of the VNet address space. El ejemplo que aparece en el diagrama usa 10.20.255.224/27.The example shown in the diagram uses 10.20.255.224/27. Este es un procedimiento rápido para calcular el CIDR:Here is a quick procedure to calculate the CIDR:

  1. Establezca los bits variables del espacio de direcciones de la red virtual en 1 hasta alcanzar los bits que usa la subred de puerta de enlace. A continuación, establezca los bits restantes en 0.Set the variable bits in the address space of the VNet to 1, up to the bits being used by the gateway subnet, then set the remaining bits to 0.
  2. Convierta los bits resultantes a decimales y expréselos como un espacio de direcciones con la longitud del prefijo establecida en el tamaño de la subred de puerta de enlace.Convert the resulting bits to decimal and express it as an address space with the prefix length set to the size of the gateway subnet.

Por ejemplo, al aplicar el paso 1 anterior a una red virtual con un intervalo de direcciones IP de 10.20.0.0/16, se convierte en 10.20.0b11111111.0b11100000.For example, for a VNet with an IP address range of 10.20.0.0/16, applying step #1 above becomes 10.20.0b11111111.0b11100000. Si se convierte en decimales y se expresa como un espacio de direcciones, da como resultado 10.20.255.224/27.Converting that to decimal and expressing it as an address space yields 10.20.255.224/27.

Advertencia

No implemente ninguna máquina virtual en la subred de puerta de enlace.Do not deploy any VMs to the gateway subnet. Tampoco asigne ningún NSG a esta subred, ya que causaría que la puerta de enlace dejase de funcionar.Also, do not assign an NSG to this subnet, as it will cause the gateway to stop functioning.

Puerta de enlace de red virtualVirtual network gateway

Asigne una dirección IP pública para la puerta de enlace de la red virtual.Allocate a public IP address for the virtual network gateway.

Cree la puerta de enlace de red virtual en la subred de puerta de enlace y asígnele la dirección IP pública recién asignada.Create the virtual network gateway in the gateway subnet and assign it the newly allocated public IP address. Use el tipo de puerta de enlace que mejor se ajuste a sus requisitos y que su dispositivo VPN haya habilitado:Use the gateway type that most closely matches your requirements and that is enabled by your VPN appliance:

  • Cree una puerta de enlace basada en directivas si necesita controlar de cerca cómo se enrutan las solicitudes en función de criterios de directiva como prefijos de direcciones.Create a policy-based gateway if you need to closely control how requests are routed based on policy criteria such as address prefixes. Las puertas de enlace basadas en directivas utilizan el enrutamiento estático y solo funcionan con conexiones de sitio a sitio.Policy-based gateways use static routing, and only work with site-to-site connections.

  • Cree una puerta de enlace basada en rutas si se conecta a la red local mediante RRAS, admite conexiones de varios sitios o entre regiones, o implementa conexiones de red virtual a red virtual (incluidas las rutas que atraviesan varias redes virtuales).Create a route-based gateway if you connect to the on-premises network using RRAS, support multi-site or cross-region connections, or implement VNet-to-VNet connections (including routes that traverse multiple VNets). Las puertas de enlace basadas en rutas utilizan el enrutamiento dinámico para dirigir el tráfico entre redes.Route-based gateways use dynamic routing to direct traffic between networks. Dado que pueden intentar rutas alternativas, pueden tolerar mejor los errores en la ruta de acceso de red que las rutas estáticas.They can tolerate failures in the network path better than static routes because they can try alternative routes. Las puertas de enlace basadas en rutas también pueden reducir la sobrecarga de administración porque es posible que las rutas no tengan que actualizarse manualmente cuando las direcciones de red cambien.Route-based gateways can also reduce the management overhead because routes might not need to be updated manually when network addresses change.

Para obtener una lista de los dispositivos VPN admitidos, consulte Acerca de los dispositivos VPN para conexiones de sitio a sitio VPN Gateway.For a list of supported VPN appliances, see About VPN devices for Site-to-Site VPN Gateway connections.

Nota

Tras crear la puerta de enlace, no se puede cambiar entre los tipos de puerta de enlace sin antes eliminarla y volverla a crear.After the gateway has been created, you cannot change between gateway types without deleting and re-creating the gateway.

Seleccione la SKU de Azure VPN Gateway que mejor se ajuste a sus requisitos de rendimiento.Select the Azure VPN gateway SKU that most closely matches your throughput requirements. Para obtener más información, consulte SKU de puerta de enlace .For more information, see Gateway SKUs

Nota

La SKU Básica no es compatible con Azure ExpressRoute.The Basic SKU is not compatible with Azure ExpressRoute. Puede cambiar la SKU una vez creada la puerta de enlace.You can change the SKU after the gateway has been created.

Se le aplicará un cargo dependiendo del tiempo de aprovisionamiento y de la disponibilidad de la puerta de enlace.You are charged based on the amount of time that the gateway is provisioned and available. Vea los precios de VPN Gateway.See VPN Gateway Pricing.

En lugar de permitir que las solicitudes pasen directamente a las máquinas virtuales de la aplicación, cree reglas de enrutamiento para la subred de puerta de enlace que dirige el tráfico de aplicaciones entrante desde la puerta de enlace hacia el equilibrador de carga interno.Create routing rules for the gateway subnet that direct incoming application traffic from the gateway to the internal load balancer, rather than allowing requests to pass directly to the application VMs.

Conexión de red localOn-premises network connection

Cree una puerta de enlace de red local.Create a local network gateway. Especifique la dirección IP pública del dispositivo VPN local y el espacio de direcciones de la red local.Specify the public IP address of the on-premises VPN appliance, and the address space of the on-premises network. Tenga en cuenta que el dispositivo VPN local debe tener una dirección IP pública a la cual pueda tener acceso la puerta de enlace de red local de Azure VPN Gateway.Note that the on-premises VPN appliance must have a public IP address that can be accessed by the local network gateway in Azure VPN Gateway. El dispositivo VPN no puede ubicarse detrás de un dispositivo de traducción de direcciones de red (NAT).The VPN device cannot be located behind a network address translation (NAT) device.

Cree una conexión de sitio a sitio para la puerta de enlace de red virtual y la puerta de enlace de red local.Create a site-to-site connection for the virtual network gateway and the local network gateway. Seleccione el tipo de conexión de sitio a sitio (IPSec) y especifique la clave compartida.Select the site-to-site (IPSec) connection type, and specify the shared key. El cifrado de sitio a sitio con Azure VPN Gateway se basa en el protocolo IPSec y utiliza claves compartidas previamente para la autenticación.Site-to-site encryption with the Azure VPN gateway is based on the IPSec protocol, using preshared keys for authentication. La clave se especifica al crear la instancia de Azure VPN Gateway.You specify the key when you create the Azure VPN gateway. Debe configurar el dispositivo VPN que se ejecuta localmente con la misma clave.You must configure the VPN appliance running on-premises with the same key. Actualmente, no se admiten otros mecanismos de autenticación.Other authentication mechanisms are not currently supported.

Asegúrese de que la infraestructura de enrutamiento local esté configurada para reenviar al dispositivo VPN las solicitudes destinadas a direcciones de la red virtual de Azure.Ensure that the on-premises routing infrastructure is configured to forward requests intended for addresses in the Azure VNet to the VPN device.

Abra los puertos de la red local que requiera la aplicación en la nube.Open any ports required by the cloud application in the on-premises network.

Pruebe la conexión para comprobar que:Test the connection to verify that:

  • El dispositivo VPN local enruta correctamente el tráfico a la aplicación en la nube a través de Azure VPN Gateway.The on-premises VPN appliance correctly routes traffic to the cloud application through the Azure VPN gateway.
  • La red virtual enruta correctamente el tráfico a la red local.The VNet correctly routes traffic back to the on-premises network.
  • El tráfico prohibido en ambas direcciones está bloqueado correctamente.Prohibited traffic in both directions is blocked correctly.

Azure Stack conexión de redAzure Stack network connection

Esta arquitectura de referencia muestra cómo conectar una red virtual en la implementación de Azure Stack a una red virtual de Azure a través del Azure Stack puerta de enlace de VPN multiinquilino.This reference architecture shows how to connect a virtual network in your Azure Stack deployment to a virtual network in Azure through the Azure Stack multitenant VPN gateway. Un escenario común es aislar las operaciones críticas y los datos confidenciales en Azure Stack y aprovechar las ventajas de Azure para las operaciones transitorias y no confidenciales de transacciones públicas.A common scenario is to isolate critical operations and sensitive data in Azure Stack and take advantage of Azure for public transaction and transitory, non-sensitive operations.

En esta arquitectura, el tráfico de red fluye a través de un túnel VPN mediante la puerta de enlace para varios inquilinos en Azure Stack.In this architecture, network traffic flows through a VPN tunnel using the multitenant gateway on Azure Stack. Como alternativa, el tráfico puede fluir por Internet entre Azure Stack y Azure a través de VIP de inquilino, Azure ExpressRoute o una aplicación virtual de red que actúa como el punto de conexión de VPN.Alternatively, traffic can flow over the Internet between Azure Stack and Azure through tenant VIPs, Azure ExpressRoute, or a network virtual appliance that acts as the VPN endpoint.

Azure Stack capacidad de puerta de enlace de red virtualAzure Stack virtual network gateway capacity

Tanto Azure VPN Gateway como Azure Stack admiten Protocolo de puerta de enlace de borde (BGP) para intercambiar información de enrutamiento entre Azure y Azure Stack.Both the Azure VPN Gateway and the Azure Stack VPN gateway support Border Gateway Protocol (BGP) for exchanging routing information between Azure and Azure Stack. Azure Stack no admite el enrutamiento estático para la puerta de enlace para varios inquilinos.Azure Stack does not support static routing for the multitenant gateway.

Cree una red virtual Azure Stack con un espacio de direcciones IP asignado lo suficientemente grande para todos los recursos necesarios.Create an Azure Stack VNet with an assigned IP address space large enough for all your required resources. El espacio de direcciones de la red virtual no debe superponerse con ninguna otra red que se vaya a conectar a esta red virtual.The address space of the VNet must not overlap with any other network that is going to be connected to this VNet.

Se asigna una dirección IP pública a la puerta de enlace para varios inquilinos durante la implementación de Azure Stack.A public IP address is assigned to the multitenant gateway during the deployment of Azure Stack. Se toma del grupo de direcciones VIP públicas.It is taken from the public VIP pool. El operador Azure Stack no tiene control sobre la dirección IP que se usa, pero puede determinar su asignación.The Azure Stack operator has no control over what IP address is used but can determine its assignment.

Precaución

No se pueden implementar máquinas virtuales de carga de trabajo en la subred de puerta de enlace Azure Stack.Workload VMs cannot be deployed on the Azure Stack gateway subnet. Tampoco asigne ningún NSG a esta subred, ya que causaría que la puerta de enlace dejase de funcionar.Also, do not assign an NSG to this subnet, as it will cause the gateway to stop functioning.

Consideraciones sobre escalabilidadScalability considerations

Puede lograr una escalabilidad vertical limitada si cambia de las SKU de VPN Gateway Estándar o Básica a la SKU Alto rendimiento de VPN.You can achieve limited vertical scalability by moving from the Basic or Standard VPN Gateway SKUs to the High Performance VPN SKU.

Para las redes virtuales que esperan un gran volumen de tráfico VPN, considere la posibilidad de distribuir las diferentes cargas de trabajo en redes virtuales más pequeñas independientes y de configurar una puerta de enlace VPN para cada una de ellas.For VNets that expect a large volume of VPN traffic, consider distributing the different workloads into separate smaller VNets and configuring a VPN gateway for each of them.

Puede dividir la red virtual de forma horizontal o vertical.You can partition the VNet either horizontally or vertically. Para dividirla horizontalmente, mueva algunas instancias de máquina virtual de cada capa a subredes de la red virtual nueva.To partition horizontally, move some VM instances from each tier into subnets of the new VNet. El resultado es que cada red virtual tiene la misma estructura y funcionalidad.The result is that each VNet has the same structure and functionality. Para dividirla verticalmente, vuelva a diseñar cada capa para dividir la funcionalidad en diferentes áreas lógicas (por ejemplo, gestión de pedidos, facturación, administración de cuentas de clientes, etc.).To partition vertically, redesign each tier to divide the functionality into different logical areas (such as handling orders, invoicing, customer account management, and so on). Cada área funcional se puede colocar en su propia red virtual.Each functional area can then be placed in its own VNet.

Con la replicación de un controlador de dominio de Active Directory local en la red virtual y la implementación de DNS en la red virtual, puede ayudar a reducir tráfico relacionado con la seguridad y la administración que fluye de la red local a la nube.Replicating an on-premises Active Directory domain controller in the VNet, and implementing DNS in the VNet, can help to reduce some of the security-related and administrative traffic flowing from on-premises to the cloud. Para obtener más información, consulte extensión de Active Directory Domain Services (AD DS) en Azure.For more information, see Extending Active Directory Domain Services (AD DS) to Azure.

Consideraciones sobre disponibilidadAvailability considerations

Si necesita asegurarse de que la red local sigue estando disponible en Azure VPN Gateway, implemente un clúster de conmutación por error para la instancia de VPN Gateway local.If you need to ensure that the on-premises network remains available to the Azure VPN gateway, implement a failover cluster for the on-premises VPN gateway.

Si su organización tiene varios sitios locales, cree conexiones de varios sitios a una o varias redes virtuales de Azure.If your organization has multiple on-premises sites, create multi-site connections to one or more Azure VNets. Este enfoque requiere enrutamiento dinámico (basado en rutas), así que debe asegurarse de que la instancia de VPN Gateway local admite esta característica.This approach requires dynamic (route-based) routing, so make sure that the on-premises VPN gateway supports this feature.

Para obtener más información acerca de los acuerdos de nivel de servicio, consulte SLA para VPN Gateway.For details about service level agreements, see SLA for VPN Gateway.

En Azure Stack, puede expandir las puertas de enlace de VPN para incluir interfaces en varias Azure Stack sellos e implementaciones de Azure.On Azure Stack, you can expand VPN gateways to include interfaces to multiple Azure Stack stamps and Azure deployments.

Consideraciones sobre la manejabilidadManageability considerations

Supervise la información de diagnóstico de los dispositivos VPN locales.Monitor diagnostic information from on-premises VPN appliances. Este proceso depende de las características que proporcione el dispositivo VPN.This process depends on the features provided by the VPN appliance. Por ejemplo, si usa el servicio de enrutamiento y acceso remoto en Windows Server 2012, el registro de RRAS.For example, if you are using the Routing and Remote Access Service on Windows Server 2012, RRAS logging.

Use diagnósticos de Azure VPN Gateway para capturar información sobre problemas de conectividad.Use Azure VPN gateway diagnostics to capture information about connectivity issues. Estos registros se pueden utilizar para realizar el seguimiento de información, como el origen y los destinos de las solicitudes de conexión, el protocolo que se utilizó y cómo se estableció la conexión (o por qué el intento fue erróneo).These logs can be used to track information such as the source and destinations of connection requests, which protocol was used, and how the connection was established (or why the attempt failed).

Supervise los registros operativos de Azure VPN Gateway mediante los registros de auditoría disponibles en Azure Portal.Monitor the operational logs of the Azure VPN gateway using the audit logs available in the Azure portal. Hay disponibles registros independientes para la puerta de enlace de red local, la puerta de enlace de red de Azure y la conexión.Separate logs are available for the local network gateway, the Azure network gateway, and the connection. Esta información puede utilizarse para realizar un seguimiento de los cambios realizados en la puerta de enlace y puede resultar útil si una puerta de enlace que funcionaba previamente dejó de hacerlo por algún motivo.This information can be used to track any changes made to the gateway, and can be useful if a previously functioning gateway stops working for some reason.

Registros de auditoría en Azure Portal

Supervise la conectividad y realice un seguimiento de los eventos de error de conectividad.Monitor connectivity, and track connectivity failure events. Puede usar un paquete de supervisión como Nagios para capturar y notificar esta información.You can use a monitoring package such as Nagios to capture and report this information.

Consideraciones sobre la seguridadSecurity considerations

Genere una clave compartida diferente para cada instancia de VPN Gateway.Generate a different shared key for each VPN gateway. Use una clave compartida segura para resistir los ataques de fuerza bruta.Use a strong shared key to help resist brute-force attacks.

En el caso de las conexiones Azure Stack, genere una clave compartida diferente para cada túnel VPN.For Azure Stack connections, generate a different shared key for each VPN tunnel. Use una clave compartida segura para resistir los ataques de fuerza bruta.Use a strong shared key to help resist brute-force attacks.

Nota

Actualmente, no se puede usar Azure Key Vault para la compartición de claves previa en Azure VPN Gateway.Currently, you cannot use Azure Key Vault to preshare keys for the Azure VPN gateway.

Asegúrese de que el dispositivo VPN local use un método de cifrado que sea compatible con la puerta de enlace de VPN de Azure.Ensure that the on-premises VPN appliance uses an encryption method that is compatible with the Azure VPN gateway. Para el enrutamiento basado en directivas, Azure VPN Gateway admite los algoritmos de cifrado AES256, AES128 y 3DES.For policy-based routing, the Azure VPN gateway supports the AES256, AES128, and 3DES encryption algorithms. Las puertas de enlace basadas en rutas admiten AES256 y 3DES.Route-based gateways support AES256 and 3DES.

Si el dispositivo VPN local se encuentra en una red perimetral (DMZ) que tiene un firewall entre la red perimetral e Internet, es posible que tenga que configurar reglas de Firewall adicionales para permitir la conexión VPN de sitio a sitio.If your on-premises VPN appliance is on a perimeter network (DMZ) that has a firewall between the perimeter network and the Internet, you might have to configure additional firewall rules to allow the site-to-site VPN connection.

Si la aplicación de la red virtual envía datos a Internet, considere la posibilidad de implementar la tunelización forzada para enrutar todo el tráfico vinculado a Internet a través de la red local.If the application in the VNet sends data to the Internet, consider implementing forced tunneling to route all Internet-bound traffic through the on-premises network. Este enfoque le permite auditar las solicitudes salientes que realiza la aplicación desde la infraestructura local.This approach enables you to audit outgoing requests made by the application from the on-premises infrastructure.

Nota

La tunelización forzada puede afectar a la conectividad a los servicios de Azure (por ejemplo, el servicio de almacenamiento) y el administrador de licencias de Windows.Forced tunneling can impact connectivity to Azure services (the Storage Service, for example) and the Windows license manager.

Implementación de la soluciónDeploy the solution

Requisitos previos.Prerequisites. Debe tener una infraestructura local existente ya configurada con un dispositivo de red adecuado.You must have an existing on-premises infrastructure already configured with a suitable network appliance.

Para implementar la solución, siga estos pasos:To deploy the solution, perform the following steps.

  1. Haga clic en el vínculo siguiente para implementar la solución.Click the link below to deploy the solution.

    Implementación en AzureDeploy to Azure

  2. Espere a que el vínculo abra Azure Portal y, a continuación, siga estos pasos:Wait for the link to open in the Azure portal, then follow these steps:

    • El nombre del Grupo de recursos ya está definido en el archivo de parámetros, así que seleccione Crear nuevo y escriba ra-hybrid-vpn-rg en el cuadro de texto.The Resource group name is already defined in the parameter file, so select Create New and enter ra-hybrid-vpn-rg in the text box.
    • Seleccione la región en el cuadro de lista desplegable Ubicación.Select the region from the Location drop down box.
    • No modifique los cuadros de texto URI raíz de plantilla o URI raíz de parámetro.Do not edit the Template Root Uri or the Parameter Root Uri text boxes.
    • Revise los términos y condiciones, y haga clic en la casilla Acepto los términos y condiciones indicados anteriormente.Review the terms and conditions, then click the I agree to the terms and conditions stated above checkbox.
    • Haga clic en el botón Comprar.Click the Purchase button.
  3. Espere a que la implementación se complete.Wait for the deployment to complete.

Para solucionar problemas de conexión, consulte Solución de problemas de una conexión VPN híbrida.To troubleshoot the connection, see Troubleshoot a hybrid VPN connection.