Conectar una red local con una red virtual de Microsoft AzureConnect an on-premises network to a Microsoft Azure virtual network

Una red virtual de Azure entre locales se conecta a la red local, extendiendo la red para incluir subredes y máquinas virtuales hospedadas en servicios de infraestructura de Azure. Esta conexión permite a los equipos de la red local obtener acceso directamente a máquinas virtuales en Azure, y viceversa.A cross-premises Azure virtual network is connected to your on-premises network, extending your network to include subnets and virtual machines hosted in Azure infrastructure services. This connection lets computers on your on-premises network to directly access virtual machines in Azure and vice versa.

Por ejemplo, un servidor de sincronización de directorios que se ejecute en una máquina virtual de Azure necesita consultar los controladores de dominio locales para identificar cambios en cuentas y sincronizar esos cambios con la suscripción de Office 365. En este artículo, se muestra cómo configurar una red virtual de Azure entre locales con una conexión de red privada virtual (VPN) de sitio a sitio que esté preparada para hospedar Azure Virtual Machines.For example, a directory synchronization server running on an Azure virtual machine needs to query your on-premises domain controllers for changes to accounts and synchronize those changes with your Office 365 subscription. This article shows you how to set up a cross-premises Azure virtual network using a site-to-site virtual private network (VPN) connection that is ready to host Azure virtual machines.

Información generalOverview

Las máquinas virtuales en Azure no tienen que estar aisladas de su entorno local. Para conectar máquinas virtuales de Azure en sus recursos de red locales, debe configurar una red virtual de Azure entre locales. En el siguiente diagrama se muestran los componentes requeridos para implementar una red virtual de Azure entre locales con una máquina virtual en Azure.Your virtual machines in Azure don't have to be isolated from your on-premises environment. To connect Azure virtual machines to your on-premises network resources, you must configure a cross-premises Azure virtual network. The following diagram shows the required components to deploy a cross-premises Azure virtual network with a virtual machine in Azure.

Red local conectada a Microsoft Azure con una conexión VPN de sitio a sitio.

En el diagrama, hay dos redes conectadas por una conexión de red privada virtual (VPN) de sitio a sitio: la red local y la red virtual de Azure. La conexión VPN de sitio a sitio:In the diagram, there are two networks connected by a site-to-site VPN connection: the on-premises network and the Azure virtual network. The site-to-site VPN connection is:

  • Se realiza entre dos puntos de conexión direccionables que se encuentran en Internet de acceso público.Between two endpoints that are addressable and located on the public Internet.
  • Se termina con un dispositivo VPN en la red local y una Azure VPN Gateway en la red virtual de Azure.Terminated by a VPN device on the on-premises network and an Azure VPN gateway on the Azure virtual network.

La red virtual de Azure hospeda las máquinas virtuales. El tráfico de red que procede de las máquinas virtuales en la red virtual de Azure se reenvía a la VPN Gateway que, a su vez, reenvía el tráfico a través de una conexión VPN de sitio a sitio hasta el dispositivo VPN en la red local. Después, la infraestructura de enrutamiento de la red local reenvía el tráfico a su destino.The Azure virtual network hosts virtual machines. Network traffic originating from virtual machines on the Azure virtual network gets forwarded to the VPN gateway, which then forwards the traffic across the site-to-site VPN connection to the VPN device on the on-premises network. The routing infrastructure of the on-premises network then forwards the traffic to its destination.

Nota

También puede usar ExpressRoute, que es una conexión directa entre su organización y la red de Microsoft. El tráfico a través de ExpressRoute no viaja por el Internet público. En este artículo, no se describe el uso de ExpressRoute.You can also use ExpressRoute, which is a direct connection between your organization and Microsoft's network. Traffic over ExpressRoute does not travel over the public Internet. This article does not describe the use of ExpressRoute.

Para configurar la conexión VPN entre la red virtual de Azure y su red local, siga estos pasos:To set up the VPN connection between your Azure virtual network and your on-premises network, follow these steps:

  1. Local: Defina y cree una ruta de red local para el espacio de direcciones de la red virtual de Azure que señale a su dispositivo de VPN local.On-premises: Define and create an on-premises network route for the address space of the Azure virtual network that points to your on-premises VPN device.

  2. Microsoft Azure: cree una red virtual de Azure con una conexión VPN de sitio a sitio.Microsoft Azure: Create an Azure virtual network with a site-to-site VPN connection.

  3. Local: configure el dispositivo VPN de hardware o software local para finalizar la conexión VPN, que usa el Protocolo de seguridad de Internet (IPsec).On premises: Configure your on-premises hardware or software VPN device to terminate the VPN connection, which uses Internet Protocol security (IPsec).

Después de establecer la conexión VPN de sitio a sitio, agregue máquinas virtuales de Azure a las subredes de la red virtual.After you establish the site-to-site VPN connection, you add Azure virtual machines to the subnets of the virtual network.

Planear la red virtual de AzurePlan your Azure virtual network

Requisitos previosPrerequisites

  • Una suscripción de Azure. Para obtener información sobre las suscripciones de Azure, vaya a la página Comprar Azure.An Azure subscription. For information about Azure subscriptions, go to the How To Buy Azure page.

  • Un espacio de direcciones IPv4 privadas que está disponible y que se puede asignar a la red virtual y sus subredes, con suficiente espacio para albergar el incremento en el número de máquinas virtuales necesarias ahora y en el futuro.An available private IPv4 address space to assign to the virtual network and its subnets, with sufficient room for growth to accommodate the number of virtual machines needed now and in the future.

  • Un dispositivo VPN disponible en la red local para finalizar la conexión VPN de sitio a sitio que admite los requisitos para IPsec. Para obtener más información, consulte Acerca de los dispositivos VPN para las conexiones de red virtual de sitio a sitio.An available VPN device in your on-premises network to terminate the site-to-site VPN connection that supports the requirements for IPsec. For more information, see About VPN devices for site-to-site virtual network connections.

  • Cambios en la infraestructura de enrutamiento de modo que el tráfico enrutado al espacio de direcciones de la red virtual de Azure se reenvía al dispositivo VPN que hospeda a la conexión VPN de sitio a sitio.Changes to your routing infrastructure so that traffic routed to the address space of the Azure virtual network gets forwarded to the VPN device that hosts the site-to-site VPN connection.

  • Un proxy web que da acceso a Internet a los equipos que están conectados a la red local y la red virtual de Azure.A web proxy that gives computers that are connected to the on-premises network and the Azure virtual network access to the Internet.

Suposiciones de diseño de la arquitectura de la soluciónSolution architecture design assumptions

En la siguiente lista se representan las elecciones de diseño que se han tomado para la arquitectura de esta solución.The following list represents the design choices that have been made for this solution architecture.

  • Esta solución usa una sola red virtual de Azure con una conexión VPN de sitio a sitio. La red virtual de Azure hospeda a una sola subred que puede contener varias máquinas virtuales.This solution uses a single Azure virtual network with a site-to-site VPN connection. The Azure virtual network hosts a single subnet that can contain multiple virtual machines.

  • Puede usar el Servicio de enrutamiento y acceso remoto (RRAS) en Windows Server 2016 o Windows Server 2012 para establecer una conexión VPN de sitio a sitio de IPsec entre la red local y la red virtual de Azure. También puede usar otras opciones, como dispositivos VPN de Cisco o Juniper Networks.You can use the Routing and Remote Access Service (RRAS) in Windows Server 2016 or Windows Server 2012 to establish an IPsec site-to-site VPN connection between the on-premises network and the Azure virtual network. You can also use other options, such as Cisco or Juniper Networks VPN devices.

  • La red local aún podría tener servicios de red, como Servicios de dominio de Active Directory (AD DS), Sistema de nombres de dominio (DNS) y servidores proxy. Según los requisitos, podría resultar conveniente colocar algunos de estos recursos de red en la red virtual de Azure.The on-premises network might still have network services like Active Directory Domain Services (AD DS), Domain Name System (DNS), and proxy servers. Depending on your requirements, it might be beneficial to place some of these network resources in the Azure virtual network.

Para una red virtual de Azure existente con una subred o más, determine si queda espacio de direcciones para que una subred adicional hospede las máquinas virtuales que necesita, en función de los requisitos. Si no le queda más espacio de direcciones para una subred adicional, cree una red virtual adicional que tenga su propia conexión VPN de sitio a sitio.For an existing Azure virtual network with one or more subnets, determine whether there is remaining address space for an additional subnet to host your needed virtual machines, based on your requirements. If you don't have remaining address space for an additional subnet, create an additional virtual network that has its own site-to-site VPN connection.

Planear los cambios de infraestructura de enrutamiento de la red virtual de AzurePlan the routing infrastructure changes for the Azure virtual network

Debe configurar la infraestructura de enrutamiento local para reenviar tráfico destinado para el espacio de direcciones de la red virtual de Azure al dispositivo VPN local que está hospedando la conexión VPN de sitio a sitio.You must configure your on-premises routing infrastructure to forward traffic destined for the address space of the Azure virtual network to the on-premises VPN device that is hosting the site-to-site VPN connection.

El método exacto de actualizar su infraestructura de enrutamiento depende de cómo administra la información de enrutamiento, que puede ser:The exact method of updating your routing infrastructure depends on how you manage routing information, which can be:

  • Actualizaciones de tabla de enrutamiento basadas en configuración manual.Routing table updates based on manual configuration.

  • Actualizaciones de tabla de enrutamiento basadas en protocolos de enrutamiento, como Protocolo de información de enrutamiento (RIP) o Abrir ruta de acceso más corta primero (OSPF).Routing table updates based on routing protocols, such as Routing Information Protocol (RIP) or Open Shortest Path First (OSPF).

Consulte con su especialista en enrutamiento para asegurarse de que el tráfico destinado a la red virtual de Azure se reenvía al dispositivo de VPN local.Consult with your routing specialist to make sure that traffic destined for the Azure virtual network is forwarded to the on-premises VPN device.

Planear para reglas de firewall para tráfico desde el dispositivo VPN local y hacia el dispositivoPlan for firewall rules for traffic to and from the on-premises VPN device

Si el dispositivo VPN está en una red perimetral que tiene un firewall entre la red perimetral e Internet, es posible que deba configurar el firewall para las siguientes reglas a fin de permitir la conexión de VPN de sitio a sitio.If your VPN device is on a perimeter network that has a firewall between the perimeter network and the Internet, you might have to configure the firewall for the following rules to allow the site-to-site VPN connection.

  • Tráfico al dispositivo VPN (entrante desde Internet):Traffic to the VPN device (incoming from the Internet):

    • Dirección IP de destino del dispositivo VPN y protocolo IP 50Destination IP address of the VPN device and IP protocol 50

    • Dirección IP de destino del dispositivo VPN y puerto de destino UDP 500Destination IP address of the VPN device and UDP destination port 500

    • Dirección IP de destino del dispositivo VPN y puerto de destino UDP 4500Destination IP address of the VPN device and UDP destination port 4500

  • Tráfico desde el dispositivo VPN (saliente a Internet):Traffic from the VPN device (outgoing to the Internet):

    • Dirección IP de origen del dispositivo VPN y protocolo IP 50Source IP address of the VPN device and IP protocol 50

    • Dirección IP de origen del dispositivo VPN y puerto de origen UDP 500Source IP address of the VPN device and UDP source port 500

    • Dirección IP de origen del dispositivo VPN y puerto de origen UDP 4500Source IP address of the VPN device and UDP source port 4500

Planear el espacio de direcciones IP privadas de la red virtual de AzurePlan for the private IP address space of the Azure virtual network

El espacio de direcciones IP privadas de la red virtual de Azure debe poder albergar las direcciones utilizadas por Azure para hospedar a la red virtual con al menos una subred que tenga suficientes direcciones para sus máquinas virtuales de Azure.The private IP address space of the Azure virtual network must be able to accommodate addresses used by Azure to host the virtual network and with at least one subnet that has enough addresses for your Azure virtual machines.

Para determinar el número de direcciones necesarias para la subred, cuente el número de máquinas virtuales que necesita ahora, estime el crecimiento futuro y luego use la siguiente tabla para determinar el tamaño de la subred.To determine the number of addresses needed for the subnet, count the number of virtual machines that you need now, estimate for future growth, and then use the following table to determine the size of the subnet.

Número de máquinas virtuales necesariasNumber of virtual machines needed Número de bits de host necesariosNumber of host bits needed Tamaño de la subredSize of the subnet
1-31-3
33
/29/29
4-114-11
44
/28/28
12-2712-27
55
/27/27
28-5928-59
66
/26/26
60-12360-123
77
/25/25

Planear la hoja de cálculo para configurar la red virtual de AzurePlanning worksheet for configuring your Azure virtual network

Antes de crear una red virtual de Azure para hospedar las máquinas virtuales, debe determinar la configuración necesaria en las tablas siguientes.Before you create an Azure virtual network to host virtual machines, you must determine the settings needed in the following tables.

Para la configuración de la red virtual, rellene la Tabla V.For the settings of the virtual network, fill in Table V.

Tabla V: Configuración de la red virtual entre localesTable V: Cross-premises virtual network configuration

ElementoItem Elemento ConfigurationConfiguration element DescripciónDescription ValorValue
1.1.
Nombre de la red virtualVirtual network name
Nombre que se va a asignar a la red virtual de Azure (por ejemplo, DirSyncNet).A name to assign to the Azure virtual network (example DirSyncNet).
línea
2.2.
Ubicación de la red virtualVirtual network location
Centro de datos de Azure que contendrá la red virtual (por ejemplo, Oeste de EE. UU.).The Azure datacenter that will contain the virtual network (such as West US).
línea
3.3.
Dirección IP del dispositivo VPNVPN device IP address
Dirección IPv4 pública de la interfaz del dispositivo VPN en Internet. Colabore con su departamento de TI para determinar esta dirección.The public IPv4 address of your VPN device's interface on the Internet. Work with your IT department to determine this address.
línea
4.4.
Espacio de direcciones de la red virtualVirtual network address space
Espacio de direcciones (definido en un único prefijo de dirección privada) para la red virtual. Colabore con su departamento de TI para determinar este espacio de direcciones. El espacio de direcciones debe estar en formato de Enrutamiento de interdominios sin clases (CIDR), también conocido como formato de prefijo de red. Por ejemplo, 10.24.64.0/20.The address space (defined in a single private address prefix) for the virtual network. Work with your IT department to determine this address space. The address space should be in Classless Interdomain Routing (CIDR) format, also known as network prefix format. An example is 10.24.64.0/20.
línea
5.5.
Clave compartida IPsecIPsec shared key
Cadena alfanumérica aleatoria de 32 caracteres que se usará para autenticar ambos lados de la conexión VPN de sitio a sitio. Colabore con su departamento de TI o de seguridad para determinar el valor de esta clave y después almacénelo en una ubicación segura. También puede consultar Crear una cadena aleatoria para una clave precompartida IPsec.A 32-character random, alphanumeric string that will be used to authenticate both sides of the site-to-site VPN connection. Work with your IT or security department to determine this key value and then store it in a secure location. Alternately, see Create a random string for an IPsec preshared key.
línea

Rellene la Tabla S para las subredes de esta solución.Fill in Table S for the subnets of this solution.

  • Para la primera subred, determine un espacio de direcciones de 28 bits (con una longitud de prefijo /28) para la subred de puerta de enlace de Azure. Consulte Calcular el espacio de direcciones de la subred de puerta de enlace para las redes virtuales de Azure para obtener información sobre cómo determinar este espacio de direcciones.For the first subnet, determine a 28-bit address space (with a /28 prefix length) for the Azure gateway subnet. See Calculating the gateway subnet address space for Azure virtual networks for information about how to determine this address space.

  • Para la segunda subred, especifique un nombre descriptivo, un único espacio de direcciones IP basado en el espacio de direcciones de la red virtual y una finalidad descriptiva.For the second subnet, specify a friendly name, a single IP address space based on the virtual network address space, and a descriptive purpose.

Colabore con su departamento de TI para determinar estos espacios de direcciones a partir del espacio de direcciones de la red virtual. Ambos espacios de direcciones deben estar en formato CIDR.Work with your IT department to determine these address spaces from the virtual network address space. Both address spaces should be in CIDR format.

Tabla S: Subredes de la red virtualTable S: Subnets in the virtual network

ElementoItem Nombre de la subredSubnet name Espacio de direcciones de la subredSubnet address space FinalidadPurpose
1.1.
GatewaySubnetGatewaySubnet
línea
Subred usada por la puerta de enlace de Azure.The subnet used by the Azure gateway.
2.2.
línea
línea
línea

Para los servidores DNS locales que desea que sean usados por las máquinas virtuales de la red virtual, rellene la Tabla D. Asígnele a cada servidor DNS un nombre descriptivo y una única dirección IP. No hace falta que este nombre descriptivo coincida con el nombre de host o con el nombre de equipo del servidor DNS. Observe que aparecen dos entradas en blanco, pero puede agregar más. Colabore con su departamento de TI para determinar esta lista.For the on-premises DNS servers that you want the virtual machines in the virtual network to use, fill in Table D. Give each DNS server a friendly name and a single IP address. This friendly name does not need to match the host name or computer name of the DNS server. Note that two blank entries are listed, but you can add more. Work with your IT department to determine this list.

Tabla D: Servidores DNS localesTable D: On-premises DNS servers

ElementoItem Nombre descriptivo del servidor DNSDNS server friendly name Dirección IP del servidor DNSDNS server IP address
1.1.
línea
línea
2.2.
línea
línea

Para enrutar paquetes desde la red virtual de Azure a la red de su organización a través de la conexión VPN de sitio a sitio, debe configurar la red virtual con una red local. Esta red local contiene una lista de los espacios de direcciones (en formato CIDR) para todas las ubicaciones de la red local de su organización a las que deben llegar las máquinas virtuales de la red virtual. Pueden ser todas las ubicaciones de la red local o bien un subconjunto. La lista de espacios de direcciones que definen la red local debe ser única y no debe solaparse con los espacios de direcciones que se usan para esta red virtual o con sus otras redes virtuales entre locales.To route packets from the Azure virtual network to your organization network across the site-to-site VPN connection, you must configure the virtual network with a local network. This local network has a list of the address spaces (in CIDR format) for all of the locations on your organization's on-premises network that the virtual machines in the virtual network must reach. This can be all of the locations on the on-premises network or a subset. The list of address spaces that define your local network must be unique and must not overlap with the address spaces used for this virtual network or your other cross-premises virtual networks.

Para el conjunto de espacios de direcciones de la red local, rellene la Tabla L. Fíjese en que aparecen tres entradas en blanco, pero lo normal es que necesite más. Colabore con su departamento de TI para determinar esta lista.For the set of local network address spaces, fill in Table L. Note that three blank entries are listed but you will typically need more. Work with your IT department to determine this list.

Tabla L: Prefijos de direcciones para la red localTable L: Address prefixes for the local network

ElementoItem Espacio de direcciones de la red localLocal network address space
1.1.
línea
2.2.
línea
3.3.
línea

Guía de implementaciónDeployment roadmap

La creación de la red virtual entre locales y la adición de máquinas virtuales en Azure consta de tres fases:Creating the cross-premises virtual network and adding virtual machines in Azure consists of three phases:

  • Fase 1: Prepare la red local.Phase 1: Prepare your on-premises network.

  • Fase 2: Cree la red virtual entre locales en Azure.Phase 2: Create the cross-premises virtual network in Azure.

  • Fase 3 (opcional): Agregue máquinas virtuales.Phase 3 (Optional): Add virtual machines.

Fase 1: Prepare la red local.Phase 1: Prepare your on-premises network

Debe configurar su red local con una ruta que señale al tráfico destinado al espacio de direcciones de la red virtual, y que en última instancia proporcione ese tráfico al enrutador en el perímetro de la red local. Consulte con su administrador de red para determinar cómo agregar la ruta a la infraestructura de enrutamiento de su red local.You must configure your on-premises network with a route that points to and ultimately delivers traffic destined for the address space of the virtual network to the router on the edge of the on-premises network. Consult with your network administrator to determine how to add the route to the routing infrastructure of your on-premises network.

Esta es la configuración resultante.Here is your resulting configuration.

La red local debe tener una ruta para el espacio de direcciones de la red virtual que apunte hacia el dispositivo VPN.

Fase 2: Cree la red virtual entre locales en Azure.Phase 2: Create the cross-premises virtual network in Azure

En primer lugar, abra un símbolo del sistema de Azure PowerShell. Si no ha instalado Azure PowerShell, vea Introducción a los cmdlets de Azure PowerShell.First, open an Azure PowerShell prompt. If you have not installed Azure PowerShell, see Get started with Azure PowerShell.

A continuación, inicie sesión en su cuenta de Azure con este comando.Next, login to your Azure account with this command.

Connect-AzAccount

Obtenga su nombre de suscripción mediante el comando siguiente.Get your subscription name using the following command.

Get-AzSubscription | Sort SubscriptionName | Select SubscriptionName

Establezca su suscripción de Azure con estos comandos. Reemplace todo el contenido entrecomillado, incluidos los caracteres < y >, por el nombre correcto de la suscripción.Set your Azure subscription with these commands. Replace everything within the quotes, including the < and > characters, with the correct subscription name.

$subscrName="<subscription name>"
Select-AzSubscription -SubscriptionName $subscrName

Después, cree un nuevo grupo de recursos para su red virtual. Para determinar un nombre único de grupo de recursos, use este comando a fin de enumerar los grupos de recursos existentes.Next, create a new resource group for your virtual network. To determine a unique resource group name, use this command to list your existing resource groups.

Get-AzResourceGroup | Sort ResourceGroupName | Select ResourceGroupName

Cree el nuevo grupo de recursos con estos comandos.Create your new resource group with these commands.

$rgName="<resource group name>"
$locName="<Table V - Item 2 - Value column>"
New-AzResourceGroup -Name $rgName -Location $locName

A continuación, cree la red virtual de Azure.Next, you create the Azure virtual network.

# Fill in the variables from previous values and from Tables V, S, and D
$rgName="<name of your new resource group>"
$locName="<Azure location of your new resource group>"
$vnetName="<Table V - Item 1 - Value column>"
$vnetAddrPrefix="<Table V - Item 4 - Value column>"
$gwSubnetPrefix="<Table S - Item 1 - Subnet address space column>"
$SubnetName="<Table S - Item 2 - Subnet name column>"
$SubnetPrefix="<Table S - Item 2 - Subnet address space column>"
$dnsServers=@( "<Table D - Item 1 - DNS server IP address column>", "<Table D - Item 2 - DNS server IP address column>" )
$locShortName=(Get-AzResourceGroup -Name $rgName).Location

# Create the Azure virtual network and a network security group that allows incoming remote desktop connections to the subnet that is hosting virtual machines
$gatewaySubnet=New-AzVirtualNetworkSubnetConfig -Name "GatewaySubnet" -AddressPrefix $gwSubnetPrefix
$vmSubnet=New-AzVirtualNetworkSubnetConfig -Name $SubnetName -AddressPrefix $SubnetPrefix
New-AzVirtualNetwork -Name $vnetName -ResourceGroupName $rgName -Location $locName -AddressPrefix $vnetAddrPrefix -Subnet $gatewaySubnet,$vmSubnet -DNSServer $dnsServers
$rule1=New-AzNetworkSecurityRuleConfig -Name "RDPTraffic" -Description "Allow RDP to all VMs on the subnet" -Access Allow -Protocol Tcp -Direction Inbound -Priority 100 -SourceAddressPrefix Internet -SourcePortRange * -DestinationAddressPrefix * -DestinationPortRange 3389
New-AzNetworkSecurityGroup -Name $SubnetName -ResourceGroupName $rgName -Location $locShortName -SecurityRules $rule1
$vnet=Get-AzVirtualNetwork -ResourceGroupName $rgName -Name $vnetName
$nsg=Get-AzNetworkSecurityGroup -Name $SubnetName -ResourceGroupName $rgName
Set-AzVirtualNetworkSubnetConfig -VirtualNetwork $vnet -Name $SubnetName -AddressPrefix $SubnetPrefix -NetworkSecurityGroup $nsg
$vnet | Set-AzVirtualNetwork

Esta es la configuración resultante.Here is your resulting configuration.

La red virtual aún no está conectada a la red local.

Después, use estos comandos para crear las puertas de enlace para la conexión VPN de sitio a sitio.Next, use these commands to create the gateways for the site-to-site VPN connection.

# Fill in the variables from previous values and from Tables V and L
$vnetName="<Table V - Item 1 - Value column>"
$localGatewayIP="<Table V - Item 3 - Value column>"
$localNetworkPrefix=@( <comma-separated, double-quote enclosed list of the local network address prefixes from Table L, example: "10.1.0.0/24", "10.2.0.0/24"> )
$vnetConnectionKey="<Table V - Item 5 - Value column>"
$vnet=Get-AzVirtualNetwork -Name $vnetName -ResourceGroupName $rgName
# Attach a virtual network gateway to a public IP address and the gateway subnet
$publicGatewayVipName="PublicIPAddress"
$vnetGatewayIpConfigName="PublicIPConfig"
New-AzPublicIpAddress -Name $vnetGatewayIpConfigName -ResourceGroupName $rgName -Location $locName -AllocationMethod Dynamic
$publicGatewayVip=Get-AzPublicIpAddress -Name $vnetGatewayIpConfigName -ResourceGroupName $rgName
$vnetGatewayIpConfig=New-AzVirtualNetworkGatewayIpConfig -Name $vnetGatewayIpConfigName -PublicIpAddressId $publicGatewayVip.Id -SubnetId $vnet.Subnets[0].Id
# Create the Azure gateway
$vnetGatewayName="AzureGateway"
$vnetGateway=New-AzVirtualNetworkGateway -Name $vnetGatewayName -ResourceGroupName $rgName -Location $locName -GatewayType Vpn -VpnType RouteBased -IpConfigurations $vnetGatewayIpConfig
# Create the gateway for the local network
$localGatewayName="LocalNetGateway"
$localGateway=New-AzLocalNetworkGateway -Name $localGatewayName -ResourceGroupName $rgName -Location $locName -GatewayIpAddress $localGatewayIP -AddressPrefix $localNetworkPrefix
# Create the Azure virtual network VPN connection
$vnetConnectionName="S2SConnection"
$vnetConnection=New-AzVirtualNetworkGatewayConnection -Name $vnetConnectionName -ResourceGroupName $rgName -Location $locName -ConnectionType IPsec -SharedKey $vnetConnectionKey -VirtualNetworkGateway1 $vnetGateway -LocalNetworkGateway2 $localGateway

Esta es la configuración resultante.Here is your resulting configuration.

La red virtual ahora tiene una puerta de enlace.

Luego configure el dispositivo VPN local para conectarse a la puerta de enlace VPN de Azure. Para obtener más información, consulte Acerca de los dispositivos VPN para las conexiones de puerta de enlace de VPN de sitio a sitio.Next, configure your on-premises VPN device to connect to the Azure VPN gateway. For more information, see About VPN Devices for site-to-site Azure Virtual Network connections.

Para configurar el dispositivo VPN, necesita lo siguiente:To configure your VPN device, you will need the following:

  • La dirección IPv4 pública de la puerta de enlace de VPN para la red virtual.The public IPv4 address of the Azure VPN gateway for your virtual network. Use el comando Get-AzPublicIpAddress -Name $vnetGatewayIpConfigName -ResourceGroupName $rgName para mostrar esta dirección.Use the Get-AzPublicIpAddress -Name $vnetGatewayIpConfigName -ResourceGroupName $rgName command to display this address.

  • La clave precompartida IPsec para la conexión VPN de sitio a sitio (Tabla V, elemento 5, columna Valor).The IPsec pre-shared key for the site-to-site VPN connection (Table V- Item 5 - Value column).

Esta es la configuración resultante.Here is your resulting configuration.

La red virtual está ahora conectada a la red local.

Fase 3 (opcional): Agregar máquinas virtualesPhase 3 (Optional): Add virtual machines

Cree las máquinas virtuales que necesite en Azure. Para obtener más información, vea Crear una máquina virtual de Windows con Azure Portal.Create the virtual machines you need in Azure. For more information, see Create a Windows virtual machine with the Azure portal.

Use la configuración siguiente:Use the following settings:

  • En la pestaña Datos básicos, seleccione la misma suscripción y grupo de recursos que la red virtual. Los necesitará más adelante para iniciar sesión en la máquina virtual. En la sección Detalles de la instancia, elija el tamaño adecuado de la máquina virtual. Guarde el nombre de usuario del administrador y la contraseña en una ubicación segura.On the Basics tab, select the same subscription and resource group as your virtual network. You will need these later to sign in to the virtual machine. In the Instance details section, choose the appropriate virtual machine size. Record the administrator account user name and password in a secure location.

  • En la pestaña Red, seleccione el nombre de la red virtual y la subred que van a hospedar las máquinas virtuales (no la subred de puerta de enlace). Deje todas las demás opciones con sus valores predeterminados.On the Networking tab, select the name of your virtual network and the subnet for hosting virtual machines (not the GatewaySubnet). Leave all other settings at their default values.

Compruebe que la máquina virtual use DNS correctamente. Para ello, compruebe el DNS interno para asegurarse de que se agregaron registros de Dirección (A) a la nueva máquina virtual. Para tener acceso a Internet, las máquinas virtuales de Azure deben estar configuradas para usar el servidor proxy de la red local. Póngase en contacto con el administrador de red para informarse sobre los pasos de configuración adicionales que se deben realizar en el servidor.Verify that your virtual machine is using DNS correctly by checking your internal DNS to ensure that Address (A) records were added for you new virtual machine. To access the Internet, your Azure virtual machines must be configured to use your on-premises network's proxy server. Contact your network administrator for additional configuration steps to perform on the server.

Esta es la configuración resultante.Here is your resulting configuration.

La red virtual ahora hospeda máquinas virtuales que son accesibles desde la red local.

Paso siguienteNext step

Implementar la sincronización de directorios de Office 365 en Microsoft AzureDeploy Office 365 Directory Synchronization in Microsoft Azure