Configurar una puerta de enlace RAS de SDN en el tejido de VMMSet up an SDN RAS gateway in the VMM fabric

Se aplica a: System Center 2016 - Virtual Machine ManagerApplies To: System Center 2016 - Virtual Machine Manager

En este artículo se describe cómo configurar una puerta de enlace RAS de Redes definidas por software (SDN) en el tejido de System Center 2016 Virtual Machine Manager (VMM).This article describes how to set up a Software Defined Networking (SDN) RAS gateway in the System Center 2016 - Virtual Machine Manager (VMM) fabric.

Una puerta de enlace RAS de SDN es un elemento de ruta de acceso a datos en SDN que permite la conectividad de sitio a sitio entre dos sistemas autónomos.An SDN RAS gateway is a data path element in SDN that enables site-to-site connectivity between two autonomous systems. En concreto, una puerta de enlace RAS permite la conectividad de sitio a sitio entre redes de inquilinos remotos y su centro de datos mediante IPsec, encapsulación de enrutamiento genérico (GRE) o reenvío de capa 3.Specifically, a RAS gateway enables site-to-site connectivity between remote tenant networks and your datacenter using IPSec, Generic Routing Encapsulation (GRE) or Layer 3 Forwarding. Obtenga más información.Learn more.

Antes de empezarBefore you start

Antes de comenzar, asegúrese de lo siguiente:Ensure the following before you start:

  • Planeación: obtenga información sobre cómo planear una red definida por software y revise la topología de planeación en este documento.Planning: Read about planning a software defined network, and review the planning topology in this document. El diagrama muestra una configuración de 4 nodos de ejemplo.The diagram shows a sample 4-node setup. La configuración es de alta disponibilidad con tres nodos de controladora de red (máquina virtual) y tres nodos SLB/MUX.The setup is highly available with Three network controller nodes (VM), and Three SLB/MUX nodes. Muestra dos inquilinos con una red virtual dividida en dos subredes virtuales para simular un nivel web y un nivel de base de datos.It shows Two tenants with One virtual network broken into Two virtual subnets to simulate a web tier and a database tier. Tanto la infraestructura como las máquinas virtuales de inquilino se pueden distribuir en cualquier host físico.Both the infrastructure and tenant virtual machines can be redistributed across any physical host.
  • Controladora de red: debe implementar la controladora de red antes de implementar la puerta de enlace RAS.Network controller: You should deploy the network controller before you deploy the RAS gateway.
  • SLB: para asegurarse de que las dependencias se controlan correctamente, también debe implementar el SLB antes de configurar la puerta de enlace.SLB: To ensure that dependencies are handled correctly, you should also deploy the SLB before setting up the gateway. Si se han configurado un SLB y una puerta de enlace, puede usar y validar una conexión IPsec.If an SLB and a gateway are configured, you can use and validate an IPsec connection.
  • Plantilla de servicio: VMM usa una plantilla de servicio para automatizar la implementación de la puerta de enlace.Service template: VMM uses a service template to automate GW deployment. Las plantillas de servicio admiten la implementación de varios nodos en máquinas virtuales de primera y segunda generación.Service templates support multi-node deployment on generation 1 and generation 2 VMs.

Pasos de implementaciónDeployment steps

Para configurar una puerta de enlace RAS, haga lo siguiente:To set up a RAS gateway, do the following:

  1. Descargar la plantilla de servicio: descargue la plantilla de servicio que necesite para implementar la puerta de enlace.Download the service template: Download the service template that you need to deploy the GW.
  2. Crear la red lógica de VIP: cree una red lógica de VIP GRE.Create the VIP logical network: Create a GRE VIP logical network. Necesita un grupo de direcciones IP para VIP privadas y la asignación de VIP a puntos de conexión GRE.It needs an IP address pool for private VIPs, and to assign VIPs to GRE endpoints. La red existe para definir las VIP que se asignan a las máquinas virtuales de puerta de enlace que se ejecutan en el tejido de SDN para una conexión GRE de sitio a sitio.The network exists to define VIPs that are assigned to gateway VMs running on the SDN fabric for a site-to-site GRE connection.
  3. Importar la plantilla de servicio: importe la plantilla de servicio de puerta de enlace RAS.Import the service template: Import the RAS gateway service template.
  4. Implementación de la puerta de enlace: implemente una instancia de servicio de puerta de enlace y configure sus propiedades.Deploy the gateway: Deploy a gateway service instance, and configure its properties.
  5. Validación de la implementación: configure L3, IPsec o GRE de sitio a sitio y valide la implementación.Validate the deployment: Configure site-to-site GRE, IPSec, or L3, and validate the deployment.

Descargar la plantilla de servicioDownload the service template

  1. Descargue la carpeta SDN del repositorio de GitHub de SDN de Microsoft y copie las plantillas de VMM >Plantillas > GW en una ruta de acceso local en el servidor VMM.Download the SDN folder from the Microsoft SDN GitHub repository and copy the templates from VMM >Templates > GW to a local path on the VMM server.
  2. Extraiga el contenido en una carpeta de un equipo local.Extract the contents to a folder on a local computer. Las importará en la biblioteca más adelante.You'll import them to the library later.

La descarga contiene dos plantillas:The download contains Two templates:

  • La plantilla EdgeServiceTemplate_Generation 1 VM.xml es para implementar el servicio de puerta de enlace en máquinas virtuales de primera generación.The EdgeServiceTemplate_Generation 1 VM.xml template is for deploying the GW Service on generation 1 virtual machines.
  • La plantilla EdgeServiceTemplate_Generation 2 VM.xml es para implementar el servicio de puerta de enlace en máquinas virtuales de segunda generación.The EdgeServiceTemplate_Generation 2 VM.xml is for deploying the GW Service on Generation 2 virtual machines.

Ambas plantillas tienen un recuento predeterminado de tres máquinas virtuales que pueden modificarse en el Diseñador de plantilla de servicio.Both the templates have a default count of three virtual machines which can be changed in the service template designer.

Creación de la red lógica VIP GRECreate the GRE VIP logical network

  1. En la consola VMM, ejecute el Asistente para crear redes lógicas.In the VMM console, run the Create Logical Network Wizard. Escriba un nombre, proporcione una descripción si quiere y haga clic en Siguiente.Type a Name, optionally provide a description, and click Next.
  2. En Configuración, seleccione Una red conectada.In Settings, select One Connected Network. Opcionalmente, puede seleccionar Crear una red de VM con el mismo nombre.Optionally you can select Create a VM network with the same name. Esta configuración permite que las máquinas virtuales accedan a esta red lógica directamente.This setting allows VMs to access this logical network directly. Seleccione Managed by the network controller (Administrado por la controladora de red) y haga clic en Siguiente.Select Managed by the Network Controller, and click Next.
  3. En Sitio de red, especifique estos valores de configuración:In Network Site, specify the settings:

    Estos son los valores de ejemplo:Here are the sample values:

    • Nombre de red: VIP GRENetwork name: GRE VIP
    • Subred: 31.30.30.0Subnet: 31.30.30.0
    • Máscara: 24Mask: 24
    • Id. de VLAN en tronco: N/DVLAN ID on trunk: NA
    • Puerta de enlace: 31.30.30.1Gateway: 31.30.30.1
  4. En Resumen, revise la configuración y finalice el asistente.In Summary, review the settings and finish the wizard.

Crear un grupo de direcciones IP para direcciones VIP GRECreate an IP address pool for GRE VIP addresses

  1. Haga clic con el botón derecho en la red lógica VIP GRE > Crear grupo de direcciones IP.Right-click the GRE VIP logical network > Create IP Pool.
  2. Escriba un nombre y una descripción opcional para el grupo y compruebe que la red VIP esté seleccionada.Type a Name and optional description for the pool, and check that the VIP network is selected. Haga clic en Siguiente.Click Next.
  3. Acepte el sitio de red predeterminado y haga clic en Siguiente.Accept the default network site and click Next.
  4. Elija una dirección IP inicial y final para su intervalo.Choose a starting and ending IP address for your range.

    Nota: Inicie el intervalo en la segunda dirección de la subred disponible.Note: Start the range on the second address of your available subnet. Por ejemplo, si su subred disponible va de .1 a .254, comience el intervalo en .2.For example, if your available subnet is from .1 to .254, start the range at .2.

  5. En el cuadro Direcciones IP reservadas para VIP de equilibrador de carga, escriba el intervalo de direcciones IP de la subred.In the IP addresses reserved for load balancer VIPs box, type the IP addresses range in the subnet. Debe coincidir con el intervalo usado para las direcciones IP inicial y final.This should match the range you used for starting and ending IP addresses.

  6. No es necesario proporcionar información de puerta de enlace, DNS o WINS, dado que este grupo se usa para asignar direcciones IP a VIP solo mediante la controladora de red.You don't need to provide gateway, DNS or WINS information as this pool is used to allocate IP addresses for VIPs through the network controller only. Haga clic en Siguiente para omitir estas pantallas.Click Next to skip these screens.
  7. En Resumen, revise la configuración y finalice el asistente.In Summary, review the settings and finish the wizard.

Importación de la plantilla de servicioImport the service template

  1. Haga clic en Biblioteca > Importar plantilla.Click Library > Import Template.
  2. Vaya a la carpeta de plantillas de servicio.Browse to your service template folder. Por ejemplo, seleccione el archivo EdgeServiceTemplate Generation 2.xml.As an example, select the EdgeServiceTemplate Generation 2.xml file.
  3. Actualice los parámetros para su entorno al importar la plantilla de servicio.Update the parameters for your environment as you import the service template. Tenga en cuenta que, durante la implementación de la controladora de red, se importaron los recursos de biblioteca.Note that the library resources were imported during network controller deployment.

    • WinServer.vhdx: seleccione la imagen de disco duro virtual que ha preparado e importado anteriormente durante la implementación de la controladora de red.WinServer.vhdx: Select the virtual hard drive image that you prepared and imported earlier, during the network controller deployment.
    • EdgeDeployment.CR: asígnelo al recurso de biblioteca EdgeDeployment.cr de la biblioteca VMM.EdgeDeployment.CR: Map to the EdgeDeployment.cr library resource in the VMM library.
  4. En la página Resumen, revise los detalles y haga clic en Importar.On the Summary page, review the details and click Import.

    Nota: Puede personalizar la plantilla de servicio.Note: You can customize the service template. Obtenga más información.Learn more.

Implementar el servicio de puerta de enlaceDeploy the gateway service

En este ejemplo se usa la plantilla de segunda generación.This example uses the generation 2 template.

  1. Seleccione la plantilla de servicio EdgeServiceTemplate Generation2.xml y haga clic en Configurar implementación.Select the EdgeServiceTemplate Generation2.xml service template, and click Configure Deployment.
  2. Escriba un nombre y seleccione un destino para la instancia de servicio.Type a Name and choose a destination for the service instance. El destino se debe asignar a un grupo host que contenga los hosts configurados previamente para la implementación de la puerta de enlace.The destination must map to a host group that contains the hosts configured previously for gateway deployment.
  3. En Configuración de red, asigne la red de administración a la red de la máquina virtual de administración.In Network Settings, map the management network to the management VM network.

    Nota: Una vez completada la asignación, aparece el cuadro de diálogo Implementar servicio.Note: The Deploy Service dialog appears after mapping is complete. Es normal que las instancias de máquina virtual estén inicialmente en rojo.It's normal for the VM instances to be initially Red. Haga clic en Actualizar vista previa para buscar automáticamente hosts adecuados para la máquina virtual.Click Refresh Preview to automatically find suitable hosts for the VM.

  4. A la izquierda de la ventana Configurar implementación, configure las opciones siguientes:On the left of the Configure Deployment window, configure the following settings:

    • AdminAccount.AdminAccount. Necesario.Required. Seleccione una cuenta de ejecución que se usará como administrador local en las máquinas virtuales de puerta de enlace.Select a RunAs account that will be used as the local administrator on the gateway VMs.
    • ManagementNetwork.Management Network. Necesario.Required. Elija la red de máquina virtual de administración que creó para la administración del host.Choose the Management VM network that you created for host management.
    • Cuenta de administración.Management Account. Necesario.Required. Seleccione una cuenta de ejecución con permisos para agregar la puerta de enlace al dominio de Active Directory asociado con la controladora de red.Select a Run as account with permissions to add the gateway to the Active Directory domain associated with the network controller. Puede ser la misma cuenta que ha usado para MgmtDomainAccount mientras se implementaba la controladora de red.This can be the same account used for MgmtDomainAccount while deploying the network controller.
    • FQDN.FQDN. Necesario.Required. FQDN del dominio de Active Directory para la puerta de enlace.FQDN for the Active directory domain for the gateway.
  5. Haga clic en Implementar servicio para iniciar el trabajo de implementación del servicio.Click Deploy Service to begin the service deployment job.

    Nota:Note:

    • Los tiempos de implementación varían en función del hardware, pero suelen oscilar entre 30 y 60 minutos.Deployment times will vary depending on your hardware but are typically between 30 and 60 minutes. Si se produce un error en la implementación de la puerta de enlace, elimine la instancia de servicio con error en Todos los hosts > Servicios antes de volver a intentar la implementación.If gateway deployment fails, delete the failed service instance in All Hosts > Services before you retry the deployment.

    • Si no va a usar un VHDX de licencias por volumen (o si no se suministra la clave de producto mediante un archivo de respuesta), la implementación se detendrá en la página Clave del producto durante el aprovisionamiento de máquinas virtuales.If you aren't using a volume licensed VHDX (or the product key isn't supplied using an answer file), then deployment will stop at the Product Key page during VM provisioning. Debe acceder manualmente al escritorio de la máquina virtual y escribir la clave u omitirla.You need to manually access the VM desktop, and either enter the key, or skip it.

    • Si quiere reducir horizontalmente o escalar horizontalmente una instancia de SLB implementada, consulte este blog.If you want to scale-in or scale-out a deployed SLB instance, read this blog.

Límites de la puerta de enlaceGateway limits

Estos son los límites predeterminados de la puerta de enlace administrada de la controladora de red:The following are the default limits for NC managed gateway:

  • MaxVMNetworksSupported= 50MaxVMNetworksSupported= 50
  • MaxVPNConnectionsPerVMNetwork= 10MaxVPNConnectionsPerVMNetwork= 10
  • MaxVMSubnetsSupported= 550MaxVMSubnetsSupported= 550
  • MaxVPNConnectionsSupported= 250MaxVPNConnectionsSupported= 250

Reemplazo de los límites de la puerta de enlaceOverride the gateway limits

Para reemplazar los límites predeterminados, anexe la cadena de reemplazo a la cadena de conexión de servicio de la controladora de red y actualice en VMM.To override the default limits, append the override string to the network controller service connection string and update in VMM.

  • MaxVMNetworksSupported= seguido del número de redes de VM que se pueden utilizar con esta puerta de enlace.MaxVMNetworksSupported= followed by the number of VM networks that can be used with this gateway.
  • MaxVPNConnectionsPerVMNetwork= seguido del número de conexiones VPN que se pueden crear por cada red de VM con esta puerta de enlace.MaxVPNConnectionsPerVMNetwork= followed by the number of VPN Connections that can be created per VM network with this gateway.
  • MaxVMSubnetsSupported= seguido del número de redes de VM que se pueden utilizar con esta puerta de enlace.MaxVMSubnetsSupported= followed by the number of VM network subnets that can be used with this gateway.
  • MaxVPNConnectionsSupported= seguido del número de conexiones VPN que se pueden utilizar con esta puerta de enlace.MaxVPNConnectionsSupported= followed by the number of VPN Connections that can be used with this gateway.

Ejemplo:Example:

Para reemplazar el número máximo de redes de VM que se pueden utilizar con la puerta de enlace por 100, actualice la cadena de conexión de la manera siguiente:To override the maximum number of VM networks that can be used with the gateway to 100, update the connection string as follows:

serverurl=https://NCCluster.contoso.com;servicename=NC_VMM_RTM; MaxVMNetworksSupported==100

Configurar el rol de administrador de puerta de enlaceConfigure the gateway manager role

Ahora que el servicio de puerta de enlace está implementado, puede configurar sus propiedades y asociarlas con el servicio de controladora de red.Now that the gateway service is deployed, you can configure the properties, and associate it with the network controller service.

  1. Haga clic en Tejido > Servicio de red para mostrar la lista de servicios de red instalados.Click Fabric > Network Service to display the list of network services installed. Haga clic con el botón derecho en el servicio de la controladora de red > Propiedades.Right-click the network controller service > Properties.
  2. Haga clic en la pestaña Servicios y seleccione Rol de administrador de puertas de enlace.Click the Services tab, and select the Gateway Manager Role.
  3. Busque el campo Servicio asociado en Información del servicio y haga clic en Examinar.Find the Associated Service field under Service information, and click Browse. Seleccione la instancia del servicio de puerta de enlace que creó anteriormente y haga clic en Aceptar.Select the gateway service instance you created earlier, and click OK.
  4. Seleccione la cuenta de ejecución que usará el controlador de red para acceder a las máquinas virtuales de puerta de enlace.Select the Run As account that will be used by network controller to access the gateway virtual machines.

    Nota: La cuenta de ejecución debe tener privilegios de administrador en las máquinas virtuales de puerta de enlace.Note: The Run as account must have Administrator privileges on the gateway VMs.

  5. En Subred VIP GRE, seleccione la subred VIP que creó anteriormente.In GRE VIP subnet, select the VIP subnet that you created previously.

  6. En Grupo IPv4 público, seleccione el grupo que configuró durante la implementación de SLB.In Public IPv4 pool, select the pool you configured during SLB deployment. En Dirección IPv4 pública, proporcione una dirección IP del grupo anterior y asegúrese de no seleccionar las tres primeras direcciones IP del intervalo.In Public IPv4 address, provide an IP address from the previous pool, and ensure you don't select the initial three IP addresses from the range.
  7. En Capacidad de puerta de enlace, configure los valores de capacidad.In Gateway Capacity, configure the capacity settings.

    La capacidad de puerta de enlace (Mbps) denota el ancho de banda TCP normal que se espera de la máquina virtual de puerta de enlace.The gateway capacity (Mbps) denotes the normal TCP bandwidth that is expected out of the gateway VM. Debe establecer este parámetro en función de la velocidad de red subyacente que use.You must set this parameter based on the underlying network speed you use.

    El ancho de banda de túnel IPsec se limita a (3/20) de la capacidad de puerta de enlace.IPsec tunnel bandwidth is limited to (3/20) of the gateway capacity. Esto significa que, si la capacidad de puerta de enlace está establecida en 1000 Mbps, la capacidad equivalente de túnel IPsec se limita a 150 Mbps.Which means, if the gateway capacity is set to 1000 Mbps, the equivalent IPsec tunnel capacity would be limited to 150 Mbps.

    Las proporciones equivalentes para túneles GRE y L3 son 1/5 y 1/2 respectivamente.The equivalent ratios For GRE, and L3 tunnels are 1/5 and 1/2 respectively.

  8. Configure el número de nodos reservados para la copia de seguridad en el campo Nodes for reserved for failures (Nodos reservados para errores).Configure the number of reserved nodes for back-up in Nodes for reserved for failures field.

  9. Para configurar máquinas virtuales de puerta de enlace individuales, haga clic en cada máquina virtual y seleccione la subred de front-end IPv4, especifique el ASN local y, opcionalmente, agregue la información del dispositivo de emparejamiento para BGP del mismo nivel.To configure individual gateway VMs, click each VM and select the IPv4 frontend subnet, specify the local ASN, and optionally add the peering device information for the BGP peer.

Nota: Debe configurar los pares BGP de puerta de enlace, si tiene previsto usar conexiones de GRE.Note: You must configure the gateway BGP peers, if you plan to use GRE connections.

La instancia de servicio que ha implementado ya está asociada al rol de administrador de puerta de enlace.The service instance you deployed is now associated with the gateway Manager role. Debería ver la instancia de máquina virtual de puerta de enlace indicada debajo.You should see the gateway VM instance listed under it.

Validar la implementaciónValidate the deployment

Después de implementar la puerta de enlace, puede configurar los tipos de conexión GRE S2S, IPsec S2S o L3 y validarlos.After you deploy the gateway, you can configure S2S GRE, S2S IPSec, or L3 connection types, and validate them.

Nota:Note:

  • Actualmente, la consola de SCVMM no admite cambios de ancho de banda para una conexión VPN.Currently, SCVMM console does not support bandwidth changes for a VPN connection. De forma predeterminada, el ancho de banda entrante y saliente está establecido en 500 Kbps.By default, the inbound and outbound bandwidth is set as 500 Kbps.

    Para cambiar la configuración de ancho de banda, debe usar el siguiente comando de PowerShell de la controladora de red:To change bandwidth settings, you must use the following network controller PowerShell command:

    New-NetworkControllerVirtualGatewayNetworkConnection con los parámetros OutboundKiloBitsPerSecond e InboundKiloBitsPerSecond.New-NetworkControllerVirtualGatewayNetworkConnection with the parameters OutboundKiloBitsPerSecond and InboundKiloBitsPerSecond.

    Después de cambiar el ancho de banda, en caso de cambios adicionales en la conexión VPN a través de SCVMM, la configuración de ancho de banda se restablecerá con el valor predeterminado (500 Kbps).After changing the bandwidth, in case of any further changes to the VPN connection through the SCVMM, the bandwidth settings will be reset to the default value (500 Kbps). Debe ejecutar el comando de PowerShell de la controladora de red una vez más para realizar cambios en la configuración de ancho de banda.You must run the NC PowerShell command once again, to make any changes to the bandwidth settings.

  • Cuando se usa BGP con una conexión de túnel, es necesario establecer el emparejamiento BGP entre la puerta de enlace (dirección IP de la interfaz VSID) y el dispositivo del mismo nivel de la red física.When you use BGP with a tunnel connection, BGP peering must be established between the gateway (VSID interface IP address) and the peer device on the physical network. En el caso de una configuración basada en scripts, es necesario conocer la dirección IP de la interfaz VSID para poder configurar el emparejamiento BGP.For script based configuration, you will need to know the VSID interface IP address to be able to setup BGP peering. Esta dirección IP está disponible en JSON.This IP is available in the JSON.

  • Para que el emparejamiento BGP funcione, debe haber una ruta en la red física que tenga como destino la dirección VSID de la puerta de enlace y como próximo salto la dirección IP de la interfaz L3.For BGP peering to work, there should be a route on the physical network with the destination as the GW VSID Address and the next hop as the L3 interface IP Address.

Para más información sobre los tipos de conexión, vea este artículo.For more information on connection types, see this article.

Crear y validar una conexión IPsec de sitio a sitioCreate and validate a site-to-site IPSec connection

Una conexión IPsec de sitio a sitio le permite acceder de forma segura a máquinas virtuales y servicios remotos desde el centro de datos.A site-to-site IPSec connection allows you to securely access remote virtual machines and services from your datacenter.

Cree la conexión IPsec de la manera siguiente:Create the IPSec connection as follows:

  1. Seleccione la red de máquina virtual en la que quiere configurar una conexión IPsec de sitio a sitio y haga clic en Conectividad.Select the VM Network that you want to configure a site-to-site IPSec connection, and click Connectivity.
  2. Seleccione Conectar con otra red a través de un túnel VPN.Select Connect to another network through a VPN tunnel. Opcionalmente, para habilitar el emparejamiento BGP en su centro de datos, seleccione Habilitar Border Gateway Protocol (BGP).Optionally, to enable BGP peering in your datacenter, select Enable Border Gateway Protocol (BGP).
  3. Seleccione el servicio de controladora de red para el dispositivo de puerta de enlace.Select the network controller service for the gateway device.
  4. Seleccione Conexiones VPN > Agregar > Add IPSec Tunnel (Agregar túnel IPsec).Select the VPN Connections > Add > Add IPSec Tunnel.
  5. Escriba una subred, como se muestra en el diagrama siguiente.Type a subnet as shown in the following diagram. Esta subred se usa para enrutar paquetes fuera de la red de máquina virtual.This subnet is used to route packets out of the VM Network. Esta subred no necesita estar configurada previamente en el centro de datos.This subnet need not be pre-configured in your datacenter.

    IPsec

  6. Escriba un nombre de conexión y la dirección IP del punto de conexión remoto.Type a connection Name, and the IP address of the remote endpoint. Opcionalmente, configure el ancho de banda.Optionally, configure the bandwidth.

  7. En Autenticación, seleccione el tipo de autenticación que quiere usar.In Authentication, select the type of authentication you want to use. Si decide autenticar con una cuenta de ejecución, cree una cuenta de usuario con un nombre de usuario y la clave IPsec como contraseña de la cuenta.If you choose to authenticate by using a Run as account, create a user account with a user name, and the IPSec key as the password for the account.
  8. En Rutas, escriba todas las subredes remotas a las que quiere conectarse.In Routes, type all the remote subnets that you want to connect to.
  9. Si seleccionó Habilitar Border Gateway Protocol (BGP), puede dejar en blanco esta pantalla y en su lugar rellenar su ASN, el IP de BGP del mismo nivel y su ASN en la pestaña Border Gateway Protocol, como se muestra a continuación:If you selected Enable Border Gateway Protocol (BGP), then you can leave this screen blank and instead fill out your ASN, peer BGP IP and its ASN on the Border Gateway Protocol tab as shown below:

    IPsec

  10. En la pestaña Avanzadas, acepte la configuración predeterminada.On the Advanced tab, accept the default settings.

  11. Para validar la conexión, intente hacer ping a la dirección IP de punto de conexión remota desde una de las máquinas virtuales de la red de máquina virtual.To validate the connection, try to ping the remote endpoint IP address from one of the virtual machines on your VM Network.

Crear y validar conexiones GRE de sitio a sitioCreate and validate site-to-site GRE connections

Una conexión GRE S2S permite acceder a las máquinas virtuales y los servicios remotos desde el centro de datos.A S2S GRE connection allows you to access remote virtual machines and services from your datacenter.

Configure la conexión de la manera siguiente:Configure the connection as follows:

  1. Seleccione la red de máquina virtual donde quiere configurar una conexión GRE S2S y haga clic en Conectividad.Select the VM network where you want to configure a S2S GRE connection, and click Connectivity.
  2. Seleccione Conectar con otra red a través de un túnel VPN.Select Connect to another network through a VPN tunnel. Opcionalmente, para habilitar el emparejamiento BGP en su centro de datos, seleccione Habilitar Border Gateway Protocol (BGP).Optionally, to enable BGP peering in your datacenter, select Enable Border Gateway Protocol (BGP).
  3. Seleccione el servicio de controladora de red para el dispositivo de puerta de enlace.Select the Network Controller Service for the Gateway Device.
  4. Seleccione Conexiones VPN > Agregar > Agregar túnel GRE.Select VPN Connections > Add > Add GRE Tunnel.
  5. Escriba una subred, como se muestra en el diagrama siguiente.Type a subnet as shown in the following diagram. Esta subred se usa para enrutar paquetes fuera de la red de máquina virtual.This subnet is used to route packets out of the VM network. No es necesario que esta subred esté configurada previamente en el centro de datos.This subnet doesn't need to be preconfigured in your datacenter.

    GRE

  6. Escriba un nombre de conexión y especifique la dirección IP del punto de conexión remoto.Type a connection Name, and specify the IP address of the remote endpoint.

  7. Escriba la clave de GRE.Type the GRE key.
  8. Si quiere, puede completar los demás campos de esta pantalla, pero estos valores no son necesarios para configurar una conexión.Optionally, you can complete the other fields on this screen but these values aren't needed to set up a connection.
  9. En Rutas, agregue todas las subredes remotas a las que quiere conectarse.In Routes, add all the remote subnets that you want to connect to. Si seleccionó Habilitar Border Gateway Protocol (BGP) en Conectividad, puede dejar en blanco esta pantalla y en su lugar rellenar los campos de ASN, IP de BGP del mismo nivel y ASN en la pestaña Border Gateway Protocol.If you selected Enable Border Gateway Protocol (BGP) in Connectivity, you can leave this screen blank and instead complete your ASN, peer BGP IP and ASN fields on the Border Gateway Protocol tab.
  10. Puede usar los valores predeterminados en el resto de la configuración.You can use the defaults for the remaining settings.
  11. Para validar la conexión, intente hacer ping a la dirección IP de punto de conexión remoto desde una de las máquinas virtuales de la red de máquina virtual.To validate the connection, try to ping the remote endpoint IP address from one of the virtual machines on the VM network.

Nota:Note:

En el dispositivo del mismo nivel remoto, debe especificar la dirección VIP GRE que se ha asignado a la puerta de enlace donde reside su conexión GRE.On the remote peer device, you must specify the GRE VIP address that was assigned to the gateway where your GRE connection is residing. Para obtener la dirección VIP GRE, ejecute el siguiente comando de PowerShell en una VM de controladora de red:To get the GRE VIP, run the following PowerShell command on a network controller VM:

Get-NetworkControllerVirtualGateway -ConnectionUri <Connection uri of your deployment> | Convertto-Json -Depth 10

En el recurso, encontrará un recurso NetworkConnection con connectionType como GRE.In the resource, you will find a NetworkConnection resource with connectionType as GRE. En este recurso, compruebe el campo sourceIPAddress.In this resource, check the sourceIPAddress field. Esta es la dirección VIP que ha usado el túnel GRE.This is the VIP used by the GRE tunnel. Si tiene varias conexiones GRE, puede identificar la pertinente comprobando el campo destinationIPaddress.If you have multiple GRE connections, you can identify the relevant one by checking the destinationIPaddress field.

Validar una conexión L3Validate an L3 connection

Una puerta de enlace L3 actúa como puente entre la infraestructura física del centro de datos y la infraestructura virtualizada de la nube de Virtualización de red de Hyper-V.An L3 gateway acts as a bridge between the physical infrastructure in the datacenter and the virtualized infrastructure in the Hyper-V Network Virtualization cloud. Para más información, vea estos artículos: Puerta de enlace de Windows Server como puerta de enlace de reenvío y RAS gateway high availability (Alta disponibilidad de puerta de enlace RAS).To learn more, check these articles: Windows server gateway as a forwarding gateway and RAS gateway high availability.

  1. Asegúrese de que ha iniciado sesión como administrador en el servidor VMM.Ensure you're logged on as an administrator on the VMM server.
  2. Ejecute el siguiente script:Run the following script:

Nota: En una conexión L3, no puede usar la misma subred VLAN para dos inquilinos distintos.Note: In an L3 connection, you can’t use the same VLAN subnet for two different tenants.

param (
    [Parameter(Mandatory=$true)]
    # Name of the L3 VPN connection
    $L3VPNConnectionName,
    [Parameter(Mandatory=$true)]
    # Name of the VM network to create gateway
    $VmNetworkName,
    [Parameter(Mandatory=$true)]
    # Name of the Next Hop one connected VM network
    # used for forwarding
    $NextHopVmNetworkName,
    [Parameter(Mandatory=$true)]
    # IPAddresses on the local side that will be used
    # for forwarding
    # Format should be @("10.10.10.100/24")
    $LocalIPAddresses,
    [Parameter(Mandatory=$true)]
    # IPAddresses on the remote side that will be used
    # for forwarding
    # Format should be @("10.10.10.200")
    $PeerIPAddresses,
    [Parameter(Mandatory=$false)]
    # Subnet for the L3 gateway
    # default value 10.254.254.0/29
    $GatewaySubnet = "10.254.254.0/29",
    [Parameter(Mandatory=$false)]
    # List of subnets for remote tenants to add routes for static routing
    # Format should be @("14.1.20.0/24","14.1.20.0/24");
    $RoutingSubnets = @(),
    [Parameter(Mandatory=$false)]
    # Enable BGP in the tenant space
    $EnableBGP = $false,
    [Parameter(Mandatory=$false)]
    # ASN number for the tenant gateway
    # Only applicable when EnableBGP is true
    $TenantASN = "0"
)

# Import SC-VMM PowerShell module
Import-Module virtualmachinemanager

# Retrieve Tenant VNET info and exit if VM Network not available
$vmNetwork = Get-SCVMNetwork -Name $VmNetworkName;
if ($vmNetwork -eq $null)
{
    Write-Verbose "VM Network $VmNetworkName not found, quitting"
    return
}

# Retrieve L3 Network info and exit if VM Network not available
$nextHopVmNetwork = Get-SCVMNetwork -Name $NextHopVmNetworkName;
if ($nextHopVmNetwork -eq $null)
{
    Write-Verbose "Next Hop L3 VM Network $NextHopVmNetworkName not found, quitting"
    return
}

# Retrieve gateway Service and exit if not available
$gatewayDevice = Get-SCNetworkGateway | Where {$_.Model -Match "Microsoft Network Controller"};
if ($gatewayDevice -eq $null)
{
    Write-Verbose "Gateway Service not found, quitting"
    return
}

# Retrieve Tenant Virtual Gateway info
$vmNetworkGatewayName = $VmNetwork.Name + "_Gateway";
$VmNetworkGateway = Get-SCVMNetworkGateway -Name $vmNetworkGatewayName -VMNetwork $vmNetwork

# Create a new Tenant Virtual Gateway if not configured
if($VmNetworkGateway -eq $null)
{
    if($EnableBGP -eq $false)
    {
        # Create a new Virtual Gateway for tenant
        $VmNetworkGateway = Add-SCVMNetworkGateway -Name $vmNetworkGatewayName -EnableBGP $false -NetworkGateway $gatewayDevice -VMNetwork $vmNetwork -RoutingIPSubnet $GatewaySubnet;
    }
    else
    {
        if($TenantASN -eq "0")
        {
            Write-Verbose "Please specify valid ASN when using BGP"
            return
        }

        # Create a new Virtual Gateway for tenant
        $VmNetworkGateway = Add-SCVMNetworkGateway -Name $vmNetworkGatewayName -EnableBGP $true -NetworkGateway $gatewayDevice -VMNetwork $vmNetwork -RoutingIPSubnet $GatewaySubnet -AutonomousSystemNumber $TenantASN;
    }

}

if ($VmNetworkGateway -eq $null)
{
    Write-Verbose "Could not Find / Create Virtual Gateway for $($VmNetwork.Name), quitting"
    return
}

# Check if the network connection already exists
$vpnConnection = Get-SCVPNConnection -VMNetworkGateway $VmNetworkGateway -Name $L3VPNConnectionName
if ($vpnConnection -ne $null)
{
    Write-Verbose "L3 Network Connection for $($VmNetwork.Name) already configured, skipping"
}
else
{
    # Create a new L3 Network connection for tenant
    $vpnConnection = Add-SCVPNConnection  -NextHopNetwork $nexthopvmNetwork  -Name $L3VPNConnectionName -IPAddresses $LocalIPAddresses -PeerIPAddresses $PeerIPAddresses -VMNetworkGateway $VmNetworkGateway -protocol L3;

    if ($vpnConnection -eq $null)
    {
        Write-Verbose "Could not add network connection for $($VmNetwork.Name), quitting"
        return
    }
    Write-Output "Created VPN Connection " $vpnConnection;
}

# Add all the required static routes to the newly created network connection interface
foreach($route in $RoutingSubnets)
{
    Add-SCNetworkRoute -IPSubnet $route -RunAsynchronously -VPNConnection $vpnConnection -VMNetworkGateway $VmNetworkGateway
}

Después de configurar la conexión VPN L3 mediante el script anterior, si habilitó BGP, agregue los pares BGP mediante el cmdlet Add-SCBGPPeer.After configuring the L3 VPN connection using the above script, if you enabled BGP, add the BGP peers using the Add-SCBGPPeer cmdlet.

Ejemplo:Example:

Add-SCBGPPeer -Name "peer1" -PeerIPAddress "12.13.14.15" -PeerASN 15 -VMNetworkGateway $VmNetworkGatewayAdd-SCBGPPeer -Name "peer1" -PeerIPAddress "12.13.14.15" -PeerASN 15 -VMNetworkGateway $VmNetworkGateway

En la tabla siguiente se proporcionan ejemplos de conexiones L3 estáticas y dinámicas.The table below provides examples of dynamic and static L3 connections.

ParámetroParameter DetallesDetails Valor de ejemploExample value
L3VPNConnectionNameL3VPNConnectionName Nombre definido por el usuario para la conexión de red de reenvío L3.User-defined name for the L3 forwarding network connection. "Contoso_L3_GW""Contoso_L3_GW"
VmNetworkNameVmNetworkName Nombre de la red virtual de inquilino accesible a través de la conexión de red L3.Name of the tenant virtual network that's reachable over L3 network connection. "ContosoVMNetwork""ContosoVMNetwork"
NextHopVMNetworkNameNextHopVMNetworkName Nombre definido por el usuario para la conexión de red de reenvío L3.User-defined name for the L3 forwarding network connection. Nombre de la red de máquina virtual L3 etiquetada VLAN que ha creado.Name of VLAN tagged L3 VM network you created. "Contoso_L3_Network""Contoso_L3_Network"
LocalIPAddressesLocalIPAddresses Direcciones IP que se configurarán en la interfaz de red L3 de la puerta de enlace de HNV.IP addresses to be configured on the HNV gateway L3 network interface.

Dirección IP de la red lógica que ha creado.IP address from the logical network you created.
"10.127.134.55/25""10.127.134.55/25"
PeerIPAddressesPeerIPAddresses Dirección IP de la puerta de enlace de red física, accesible a través de la red lógica L3.IP address of the physical network gateway, reachable over L3 logical network.

Dirección IP de la red lógica que ha creado.IP address from the logical network you created.
"10.127.134.65""10.127.134.65"
GatewaySubnetGatewaySubnet Subred que se usará para el enrutamiento entre la red virtual de inquilino y la puerta de enlace de HVN.Subnet to be used for routing between HVN gateway and tenant virtual network. "192.168.2.0/24""192.168.2.0/24"
RoutingSubnetsRoutingSubnets Rutas estáticas que deben estar en la interfaz L3 en la puerta de enlace de HNV.Static routes that need to be on the L3 interface on the HNV gateway.
EnableBGPEnableBGP Opción para habilitar BGP.Option to enable BGP. El valor predeterminado es False.Default is false.
TenantASNRoutingSubnetsTenantASNRoutingSubnets Número ASN de puerta de enlace de inquilino.ASN number of tenant gateway. Solo si está habilitado BGP.Only if BGP is enabled.

Configurar el selector de tráfico de PowerShellSet up the traffic selector from PowerShell

Este es el procedimiento para configurar el selector de tráfico mediante PowerShell para VMM.Here is the procedure to setup the traffic selector by using the VMM PowerShell.

  1. Cree el selector de tráfico con los parámetros siguientes.Create the traffic selector by using the following parameters.

    Nota: Los valores que se usan son solo ejemplos.Note: Values used are examples only.

    $t= new-object Microsoft.VirtualManager.Remoting.TrafficSelector
    
    $t.Type=7 // IPV4=7, IPV6=8
    
    $t.ProtocolId=6 // TCP =6, reference: https://en.wikipedia.org/wiki/List_of_IP_protocol_numbers
    
    $t.PortEnd=5090
    
    $t.PortStart=5080
    
    $t.IpAddressStart=10.100.101.10
    
    $t.IpAddressEnd=10.100.101.100
    
  2. Configure el selector de tráfico anterior mediante el parámetro -LocalTrafficSelectors de Add-SCVPNConnection o Set-SCVPNConnection.Configure the above traffic selector by using -LocalTrafficSelectors parameter of Add-SCVPNConnection or Set-SCVPNConnection.

Quitar la puerta de enlace del tejido de SDNRemove the gateway from the SDN fabric

Siga estos pasos para quitar la puerta de enlace del tejido de SDN.Use these steps to remove the gateway from the SDN fabric.