Configuración de la tunelización forzada mediante el modelo de implementación clásicaConfigure forced tunneling using the classic deployment model

La tunelización forzada permite redirigir o forzar todo el tráfico vinculado a Internet de vuelta a su ubicación local a través de un túnel VPN de sitio a sitio con fines de inspección y auditoría.Forced tunneling lets you redirect or "force" all Internet-bound traffic back to your on-premises location via a Site-to-Site VPN tunnel for inspection and auditing. Se trata de un requisito de seguridad crítico en la mayoría de las directivas de las empresas de TI.This is a critical security requirement for most enterprise IT policies. Sin la tunelización forzada, el tráfico vinculado a Internet desde las máquinas virtuales en Azure siempre irá desde la infraestructura de red de Azure directamente a Internet, sin la opción que permite inspeccionar o auditar el tráfico.Without forced tunneling, Internet-bound traffic from your VMs in Azure will always traverse from Azure network infrastructure directly out to the Internet, without the option to allow you to inspect or audit the traffic. Un acceso no autorizado a Internet puede provocar la divulgación de información u otros tipos de infracciones de seguridad.Unauthorized Internet access can potentially lead to information disclosure or other types of security breaches.

Azure actualmente funciona con dos modelos de implementación: el de Resource Manager y el clásico.Azure currently works with two deployment models: Resource Manager and classic. Los dos modelos no son totalmente compatibles entre sí.The two models are not completely compatible with each other. Antes de empezar, es preciso saber el modelo en que se desea trabajar.Before you begin, you need to know which model that you want to work in. Para obtener información sobre los modelos de implementación, consulte Modelos de implementación de Azure.For information about the deployment models, see Understanding deployment models. Si es la primera vez que usa Azure, se recomienda usar el modelo de implementación de Resource Manager.If you are new to Azure, we recommend that you use the Resource Manager deployment model.

Este artículo le guiará a través del proceso de configuración de la tunelización forzada para redes virtuales creadas mediante el modelo de implementación clásica.This article walks you through configuring forced tunneling for virtual networks created using the classic deployment model. La tunelización forzada puede configurarse mediante el uso de PowerShell, no a través del portal.Forced tunneling can be configured by using PowerShell, not through the portal. Si quiere configurar la tunelización forzada para el modelo de implementación de Resource Manager, seleccione el artículo de Resource Manager de la siguiente lista desplegable:If you want to configure forced tunneling for the Resource Manager deployment model, select Resource Manager article from the following dropdown list:

Requisitos y consideracionesRequirements and considerations

La tunelización forzada en Azure se configura a través de rutas definidas por el usuario (UDR) de redes virtuales.Forced tunneling in Azure is configured via virtual network user-defined routes (UDR). La redirección del tráfico a un sitio local se expresa como una ruta predeterminada a la puerta de enlace de VPN de Azure.Redirecting traffic to an on-premises site is expressed as a Default Route to the Azure VPN gateway. La sección siguiente muestra la limitación actual de la tabla de enrutamiento y las rutas de una instancia de Azure Virtual Network:The following section lists the current limitation of the routing table and routes for an Azure Virtual Network:

  • Cada subred de la red virtual tiene una tabla de enrutamiento del sistema integrada.Each virtual network subnet has a built-in, system routing table. La tabla de enrutamiento del sistema tiene los siguientes tres grupos de rutas:The system routing table has the following three groups of routes:

    • Rutas de red virtual local: directamente a las máquinas virtuales de destino en la misma red virtual.Local VNet routes: Directly to the destination VMs in the same virtual network.
    • Rutas locales: a la instancia de Azure VPN Gateway.On-premises routes: To the Azure VPN gateway.
    • Ruta predeterminada: directamente a Internet.Default route: Directly to the Internet. Los paquetes destinados a las direcciones IP privadas que no están cubiertos por las dos rutas anteriores se anularán.Packets destined to the private IP addresses not covered by the previous two routes will be dropped.
  • Con la liberación de las rutas definidas por el usuario, puede crear una tabla de enrutamiento para agregar una ruta predeterminada y, después, asociar la tabla de enrutamiento a las subredes de la red virtual para habilitar la tunelización forzada en esas subredes.With the release of user-defined routes, you can create a routing table to add a default route, and then associate the routing table to your VNet subnet(s) to enable forced tunneling on those subnets.

  • Deberá establecer un "sitio predeterminado" entre los sitios locales entre entornos conectados a la red virtual.You need to set a "default site" among the cross-premises local sites connected to the virtual network.

  • La tunelización forzada debe asociarse a una red virtual que tiene una puerta de enlace de VPN de enrutamiento dinámico (no una puerta de enlace estática).Forced tunneling must be associated with a VNet that has a dynamic routing VPN gateway (not a static gateway).

  • La tunelización forzada ExpressRoute no se configura mediante este mecanismo, sino que se habilita mediante el anuncio de una ruta predeterminada a través de las sesiones de emparejamiento BGP de ExpressRoute.ExpressRoute forced tunneling is not configured via this mechanism, but instead, is enabled by advertising a default route via the ExpressRoute BGP peering sessions. Consulte la Documentación de ExpressRoute para obtener más información.Please see the ExpressRoute Documentation for more information.

Información general sobre la configuraciónConfiguration overview

En el ejemplo siguiente, la subred Frontend no usa la tunelización forzada.In the following example, the Frontend subnet is not forced tunneled. Las cargas de trabajo de la subred Frontend pueden continuar para aceptar y responder a las solicitudes de los clientes directamente desde Internet.The workloads in the Frontend subnet can continue to accept and respond to customer requests from the Internet directly. Las subredes Mid-tier y Backend usan la tunelización forzada.The Mid-tier and Backend subnets are forced tunneled. Las conexiones salientes desde estas dos subredes a Internet se fuerzan o redirigen a un sitio local a través de uno de los túneles VPN de sitio a sitio.Any outbound connections from these two subnets to the Internet will be forced or redirected back to an on-premises site via one of the S2S VPN tunnels.

Esto permite restringir e inspeccionar el acceso a Internet desde sus máquinas virtuales o servicios en la nube en Azure, al tiempo que continúa posibilitando la arquitectura de varios niveles de servicio necesaria.This allows you to restrict and inspect Internet access from your virtual machines or cloud services in Azure, while continuing to enable your multi-tier service architecture required. También tiene la opción de aplicar la tunelización forzada a redes virtuales completas si no hay ninguna carga de trabajo a través de Internet en las redes virtuales.You also can apply forced tunneling to the entire virtual networks if there are no Internet-facing workloads in your virtual networks.

Tunelización forzada

Antes de empezarBefore you begin

Antes de comenzar con la configuración, comprueba que dispones de los elementos siguientes:Verify that you have the following items before beginning configuration.

Configuración de la tunelización forzadaConfigure forced tunneling

El siguiente procedimiento lo ayudará a especificar la tunelización forzada en una red virtual.The following procedure will help you specify forced tunneling for a virtual network. Los pasos de configuración corresponden al archivo de configuración de red virtual.The configuration steps correspond to the VNet network configuration file.

<VirtualNetworkSite name="MultiTier-VNet" Location="North Europe">
     <AddressSpace>
      <AddressPrefix>10.1.0.0/16</AddressPrefix>
        </AddressSpace>
        <Subnets>
          <Subnet name="Frontend">
            <AddressPrefix>10.1.0.0/24</AddressPrefix>
          </Subnet>
          <Subnet name="Midtier">
            <AddressPrefix>10.1.1.0/24</AddressPrefix>
          </Subnet>
          <Subnet name="Backend">
            <AddressPrefix>10.1.2.0/23</AddressPrefix>
          </Subnet>
          <Subnet name="GatewaySubnet">
            <AddressPrefix>10.1.200.0/28</AddressPrefix>
          </Subnet>
        </Subnets>
        <Gateway>
          <ConnectionsToLocalNetwork>
            <LocalNetworkSiteRef name="DefaultSiteHQ">
              <Connection type="IPsec" />
            </LocalNetworkSiteRef>
            <LocalNetworkSiteRef name="Branch1">
              <Connection type="IPsec" />
            </LocalNetworkSiteRef>
            <LocalNetworkSiteRef name="Branch2">
              <Connection type="IPsec" />
            </LocalNetworkSiteRef>
            <LocalNetworkSiteRef name="Branch3">
              <Connection type="IPsec" />
            </LocalNetworkSiteRef>
        </Gateway>
      </VirtualNetworkSite>
    </VirtualNetworkSite>

En este ejemplo, la red virtual "MultiTier-VNet" tiene tres subredes: las subredes "Frontend", "Midtier" y "Backend", con cuatro conexiones entre locales: "DefaultSiteHQ" y tres ramas.In this example, the virtual network 'MultiTier-VNet' has three subnets: 'Frontend', 'Midtier', and 'Backend' subnets, with four cross premises connections: 'DefaultSiteHQ', and three Branches.

Los pasos establecerán 'DefaultSiteHQ' como la conexión de sitio predeterminada para la tunelización forzada y configurarán las subredes Midtier y Backend para que usen dicha tunelización.The steps will set the 'DefaultSiteHQ' as the default site connection for forced tunneling, and configure the Midtier and Backend subnets to use forced tunneling.

  1. Cree una tabla de enrutamiento.Create a routing table. Use el siguiente cmdlet para crear la tabla de enrutamiento.Use the following cmdlet to create your route table.

    New-AzureRouteTable –Name "MyRouteTable" –Label "Routing Table for Forced Tunneling" –Location "North Europe"
    
  2. Agregue una ruta predeterminada a la tabla de enrutamiento.Add a default route to the routing table.

    El siguiente ejemplo agrega una ruta predeterminada a la tabla de enrutamiento que creó en el paso 1.The following example adds a default route to the routing table created in Step 1. Tenga en cuenta que la única ruta admitida es el prefijo de destino de 0.0.0.0/0 para el próximo salto VPNGateway.Note that the only route supported is the destination prefix of "0.0.0.0/0" to the "VPNGateway" NextHop.

    Get-AzureRouteTable -Name "MyRouteTable" | Set-AzureRoute –RouteTable "MyRouteTable" –RouteName "DefaultRoute" –AddressPrefix "0.0.0.0/0" –NextHopType VPNGateway
    
  3. Asocie la tabla de enrutamiento a las subredes.Associate the routing table to the subnets.

    Una vez creada una tabla de enrutamiento y agregada una ruta, use el ejemplo siguiente para agregar o asociar la tabla de enrutamiento a una subred de la red virtual.After a routing table is created and a route added, use the following example to add or associate the route table to a VNet subnet. Los siguientes ejemplos agregan la tabla de enrutamiento MyRouteTable a las subredes Midtier y Backend de VNet MultiTier-VNet.The example adds the route table "MyRouteTable" to the Midtier and Backend subnets of VNet MultiTier-VNet.

    Set-AzureSubnetRouteTable -VirtualNetworkName "MultiTier-VNet" -SubnetName "Midtier" -RouteTableName "MyRouteTable"
    Set-AzureSubnetRouteTable -VirtualNetworkName "MultiTier-VNet" -SubnetName "Backend" -RouteTableName "MyRouteTable"
    
  4. Asigne un sitio predeterminado para la tunelización forzada.Assign a default site for forced tunneling.

    En el paso anterior, los scripts del cmdlet de ejemplo crean la tabla de enrutamiento y la tabla de enrutamiento asociada a dos de las subredes de la red virtual.In the preceding step, the sample cmdlet scripts created the routing table and associated the route table to two of the VNet subnets. El paso restante consiste en seleccionar un sitio local entre las conexiones de varios sitios de la red virtual como el sitio predeterminado o túnel.The remaining step is to select a local site among the multi-site connections of the virtual network as the default site or tunnel.

    $DefaultSite = @("DefaultSiteHQ")
    Set-AzureVNetGatewayDefaultSite –VNetName "MultiTier-VNet" –DefaultSite "DefaultSiteHQ"
    

Cmdlets de PowerShell adicionalesAdditional PowerShell cmdlets

Para eliminar una tabla de enrutamientoTo delete a route table

Remove-AzureRouteTable -Name <routeTableName>

Para mostrar una tabla de enrutamientoTo list a route table

Get-AzureRouteTable [-Name <routeTableName> [-DetailLevel <detailLevel>]]

Para eliminar una ruta de una tabla de enrutamientoTo delete a route from a route table

Remove-AzureRouteTable –Name <routeTableName>

Para quitar una ruta de una subredTo remove a route from a subnet

Remove-AzureSubnetRouteTable –VirtualNetworkName <virtualNetworkName> -SubnetName <subnetName>

Para mostrar la tabla de enrutamiento asociada a una subredTo list the route table associated with a subnet

Get-AzureSubnetRouteTable -VirtualNetworkName <virtualNetworkName> -SubnetName <subnetName>

Para quitar un sitio predeterminado de una puerta de enlace de VPN de VNetTo remove a default site from a VNet VPN gateway

Remove-AzureVnetGatewayDefaultSite -VNetName <virtualNetworkName>