Arquitectura de implementación de puerta de enlace de RAS

Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016; Azure Stack HCI, versiones 21H2 y 20H2

Puede usar este tema para obtener información sobre la implementación del proveedor de servicios en la nube (CSP) de la puerta de enlace de RAS, incluidos los grupos de puertas de enlace de RAS, los reflectores de ruta y la implementación de varias puertas de enlace para inquilinos individuales.

En las siguientes secciones se proporcionan breves introducciones sobre algunas de las nuevas características de la puerta de enlace de RAS para que pueda comprender cómo usar estas características en el diseño de la implementación de la puerta de enlace.

Además, se proporciona una implementación de ejemplo, con información sobre el proceso de agregar nuevos inquilinos, la sincronización de rutas y el enrutamiento del plano de datos, la puerta de enlace y la conmutación por error del reflector de ruta, etc.

En este tema se incluyen las siguientes secciones.

• Uso de nuevas características de puerta de enlace de RAS para diseñar la implementación

• Implementación de ejemplo

• Adición de nuevos inquilinos y emparejamiento de eBGP del espacio de direcciones de cliente (CA)

• Sincronización de rutas y enrutamiento del plano de datos

• Cómo responde la controladora de red a la puerta de enlace de RAS y la conmutación por error del reflector de rutas

• Ventajas del uso de nuevas características de puerta de enlace de RAS

Uso de nuevas características de puerta de enlace de RAS para diseñar la implementación

La puerta de enlace de RAS incluye varias características nuevas que cambian y mejoran la forma en que se implementa la infraestructura de puerta de enlace en el centro de datos.

Reflector de ruta BGP

El reflector de rutas del Protocolo de puerta de enlace de borde (BGP) se incluye ahora con la puerta de enlace de RAS, y proporciona una alternativa a la topología de malla completa de BGP, que normalmente es necesaria para la sincronización de rutas entre los enrutadores. Con la sincronización de malla completa, todos los enrutadores de BGP deben conectarse con todos los demás enrutadores de la topología de enrutamiento. Sin embargo, cuando se usa el reflector de rutas, este es el único enrutador que se conecta con todos los demás enrutadores, denominados clientes del reflector de rutas de BGP, lo que simplifica la sincronización de rutas y reduce el tráfico de red. El reflector de rutas aprende todas las rutas, calcula las mejores rutas y redistribuye las mejores rutas a sus clientes de BGP.

Para obtener más información, consulte Novedades de puerta de enlace de RAS.

Grupos de puertas de enlace

En Windows Server 2016, puede crear muchos grupos de puertas de enlace de diferentes tipos. Los grupos de puertas de enlace contienen muchas instancias de puerta de enlace de RAS y enrutan el tráfico de red entre redes físicas y virtuales.

Para obtener más información, consulte Novedades de la puerta de enlace de RAS y Alta disponibilidad de puerta de enlace de RAS.

Escalabilidad del grupo de puertas de enlace

Puede escalar o reducir verticalmente un grupo de puertas de enlace fácilmente agregando o quitando máquinas virtuales de puerta de enlace del grupo. La eliminación o adición de puertas de enlace no interrumpe los servicios que proporciona un grupo. También puede agregar y quitar grupos de puertas de enlace completos.

Para obtener más información, consulte Novedades de la puerta de enlace de RAS y Alta disponibilidad de puerta de enlace de RAS.

Redundancia del grupo de puertas de enlace de M+N

Cada grupo de puertas de enlace es redundante con respecto a M+N. Esto significa que se realiza una copia de seguridad de "M" máquinas virtuales de puertas de enlace activas por "N" máquinas virtuales de puerta de enlace en espera. La redundancia M + N proporciona más flexibilidad a la hora de determinar el nivel de confiabilidad que necesita al implementar la puerta de enlace de RAS.

Para obtener más información, consulte Novedades de la puerta de enlace de RAS y Alta disponibilidad de puerta de enlace de RAS.

Implementación de ejemplo

En la siguiente ilustración se proporciona un ejemplo con el emparejamiento de eBGP a través de conexiones VPN de sitio a sitio configuradas entre dos inquilinos, Contoso y Woodgrove, y el centro de datos de CSP de Fabrikam.

En este ejemplo, Contoso requiere ancho de banda de puerta de enlace adicional, lo que conduce a la decisión de diseño de la infraestructura de puerta de enlace para finalizar el sitio de Contoso Los Ángeles en GW3 en lugar de GW2. Por este motivo, las conexiones VPN de Contoso de diferentes sitios finalizan en el centro de datos de CSP en dos puertas de enlace diferentes.

Ambas puertas de enlace, GW2 y GW3, fueron las primeras puertas de enlace de RAS configuradas por la controladora de red cuando el CSP agregó los inquilinos Contoso y Woodgrove a su infraestructura. Por este motivo, estas dos puertas de enlace están configuradas como reflectores de ruta para estos clientes correspondientes (o inquilinos). GW2 es el reflector de ruta de Contoso y GW3 es el reflector de ruta de Woodgrove, además de ser el punto de finalización de puerta de enlace de RAS de CSP para la conexión VPN con la sede de Contoso en Los Ángeles.

Nota

Una puerta de enlace de RAS puede enrutar el tráfico de red virtual y físico para un máximo de cien inquilinos diferentes, en función de los requisitos de ancho de banda de cada inquilino.

Como reflectores de ruta, GW2 envía rutas de espacio de CA de Contoso a la controladora de red y GW3 envía rutas de espacio de CA de Woodgrove a la controladora de red.

La controladora de red inserta directivas de virtualización de red de Hyper-V en las redes virtuales Contoso y Woodgrove, así como directivas de RAS en las puertas de enlace de RAS y las directivas de equilibrio de carga a los multiplexores (MUX) configurados como un grupo de equilibrio de carga de software.

Adición de nuevos inquilinos y emparejamiento de eBGP del espacio de direcciones de cliente (CA)

Al firmar un nuevo cliente y agregarlo como nuevo inquilino en el centro de datos, puede usar el siguiente proceso, gran parte del cual se realiza automáticamente mediante la controladora de red y los enrutadores eBGP de puerta de enlace de RAS.

1. Aprovisione una nueva red virtual y cargas de trabajo según los requisitos del inquilino.

2. Si es necesario, configure la conectividad remota entre el sitio empresarial del inquilino remoto y su red virtual en el centro de datos. Al implementar una conexión VPN de sitio a sitio para el inquilino, la controladora de red selecciona automáticamente una máquina virtual de puerta de enlace de RAS disponible en el grupo de puertas de enlace disponibles y configura la conexión.

3. Al configurar la máquina virtual de puerta de enlace de RAS para el nuevo inquilino, la controladora de red también configura la puerta de enlace de RAS como un enrutador BGP y la designa como reflector de ruta para el inquilino. Esto es cierto incluso en circunstancias en las que la puerta de enlace de RAS actúa como puerta de enlace, o como puerta de enlace y reflector de ruta, para otros inquilinos.

4. Dependiendo de si el enrutamiento de espacio de CA está configurado para usar redes configuradas estáticamente o enrutamiento BGP dinámico, la controladora de red configura las rutas estáticas correspondientes, vecinos de BGP o ambas en la máquina virtual de puerta de enlace de RAS y el reflector de ruta.

   Nota

   • Una vez que la controladora de red haya configurado una puerta de enlace de RAS y un reflector de ruta para el inquilino, siempre que el mismo inquilino requiera una nueva conexión VPN de sitio a sitio, la controladora de red comprobará la capacidad disponible en esta máquina virtual de puerta de enlace de RAS. Si la puerta de enlace original puede atender la capacidad necesaria, la nueva conexión de red también se configura en la misma máquina virtual de puerta de enlace de RAS. Si la máquina virtual de puerta de enlace de RAS no puede controlar la capacidad adicional, la controladora de red selecciona una nueva máquina virtual de puerta de enlace de RAS disponible y configura la nueva conexión en ella. Esta nueva máquina virtual de puerta de enlace de RAS asociada con el inquilino se convierte en el cliente del reflector de ruta de la puerta de enlace de RAS del inquilino original.

   • Dado que los grupos de puertas de enlace de RAS están detrás de equilibradores de carga de software (SLA), las direcciones VPN de sitio a sitio de los inquilinos usan una única dirección IP pública, denominada dirección IP virtual (VIP), que los SLA convierten en una dirección IP interna del centro de datos, denominada dirección IP dinámica (DIP), para una puerta de enlace de RAS que enruta el tráfico para el inquilino de Enterprise. Esta asignación de dirección IP pública a privada por SLB garantiza que los túneles VPN de sitio a sitio se establezcan correctamente entre los sitios de Enterprise y las puertas de enlace de RAS de CSP y los reflectores de ruta.

     Para obtener más información sobre SLB, VIP y DIP, consulte Equilibrio de carga de software (SLB) para SDN.

5. Una vez establecido el túnel VPN de sitio a sitio entre el sitio de Enterprise y la puerta de enlace de RAS del centro de datos de CSP para el nuevo inquilino, las rutas estáticas asociadas a los túneles se aprovisionan automáticamente en los lados de Enterprise y CSP del túnel.

6. Con el enrutamiento BGP del espacio de CA, también se establece el emparejamiento de eBGP entre los sitios de Enterprise y el reflector de ruta de puerta de enlace de RAS de CSP.

Enrutamiento de sincronización de rutas y del plano de datos

Después de establecer el emparejamiento de eBGP entre los sitios de Enterprise y el reflector de ruta de puerta de enlace de RAS de CSP, el reflector de ruta aprende todas las rutas de Enterprise mediante el enrutamiento BGP dinámico. El reflector de ruta sincroniza estas rutas entre todos sus clientes para que todos estén configurados con el mismo conjunto de rutas.

El reflector de ruta también actualiza estas rutas consolidadas, mediante la sincronización de rutas, en la controladora de red. Después, la controladora de red convierte las rutas a las directivas de virtualización de red de Hyper-V y configura la red de tejido para asegurarse de que se aprovisiona el enrutamiento de ruta de acceso de datos de un extremo a otro. Este proceso hace que la red virtual del inquilino sea accesible desde los sitios de Enterprise del inquilino.

En el caso del enrutamiento del plano de datos, los paquetes que llegan a las máquinas virtuales de puerta de enlace de RAS se enrutan directamente a la red virtual del inquilino, ya que las rutas necesarias ahora están disponibles con todas las máquinas virtuales de puerta de enlace de RAS participantes.

De forma similar, con las directivas de virtualización de red de Hyper-V en vigor, la red virtual del inquilino enruta los paquetes directamente a las máquinas virtuales de puerta de enlace de RAS (sin necesidad de conocer el reflector de ruta) y, a continuación, a los sitios de Enterprise a través de los túneles VPN de sitio a sitio.

Permita los intervalos de direcciones IP para la región de Azure de su suscripción y para el oeste de EE. El tráfico devuelto desde la red virtual del inquilino al sitio de Enterprise del inquilino remoto omite los SLB, un proceso denominado Direct Server Return (DSR).

Cómo responde la controladora de red a la puerta de enlace de RAS y la conmutación por error del reflector de rutas

A continuación se muestran dos posibles escenarios de conmutación por error: uno para los clientes de reflector de ruta de puerta de enlace de RAS y otro para los reflectores de ruta de puerta de enlace de RAS, incluida la información sobre cómo la controladora de red controla la conmutación por error para las máquinas virtuales en cualquiera de las configuraciones.

Error de máquina virtual de un cliente de reflector de ruta BGP de puerta de enlace de RAS

La controladora de red realiza las siguientes acciones cuando se produce un error en un cliente reflector de ruta de puerta de enlace de RAS.

Nota

Cuando una puerta de enlace de RAS no es un reflector de ruta para la infraestructura BGP de un inquilino, es un cliente de reflector de ruta en la infraestructura BGP del inquilino.

• La controladora de red selecciona una máquina virtual de puerta de enlace de RAS en espera disponible y aprovisiona la nueva máquina virtual de puerta de enlace de RAS con la configuración de la máquina virtual de puerta de enlace de RAS con errores.

• La controladora de red actualiza la configuración de SLB correspondiente para asegurarse de que los túneles VPN de sitio a sitio de los sitios del inquilino a la puerta de enlace de RAS con errores se establecen correctamente con la nueva puerta de enlace de RAS.

• La controladora de red configura el cliente de reflector de ruta BGP en la nueva puerta de enlace.

• La controladora de red configura el cliente de reflector de ruta BGP de la nueva puerta de enlace de RAS como activa. La puerta de enlace de RAS inicia inmediatamente el emparejamiento con el reflector de ruta del inquilino para compartir información de enrutamiento y para habilitar el emparejamiento de eBGP para el sitio de Enterprise correspondiente.

Error de máquina virtual para un reflector de ruta BGP de puerta de enlace de RAS

La controladora de red realiza las siguientes acciones cuando se produce un error en un reflector de ruta de puerta de enlace de RAS.

• La controladora de red selecciona una máquina virtual de puerta de enlace de RAS en espera disponible y aprovisiona la nueva máquina virtual de puerta de enlace de RAS con la configuración de la máquina virtual de puerta de enlace de RAS con errores.

• La controladora de red configura el reflector de ruta en la nueva máquina virtual de puerta de enlace de RAS y asigna a la nueva máquina virtual la misma dirección IP que usó la máquina virtual con errores, lo que proporciona integridad de ruta a pesar del error de la máquina virtual.

• La controladora de red actualiza la configuración de SLB correspondiente para asegurarse de que los túneles VPN de sitio a sitio de los sitios del inquilino a la puerta de enlace de RAS con errores se establecen correctamente con la nueva puerta de enlace de RAS.

• La controladora de red configura el reflector de ruta BGP de la nueva puerta de enlace de RAS como activo.

• El reflector de ruta se activa inmediatamente. Se establece el túnel VPN de sitio a sitio a Enterprise y el reflector de ruta usa el emparejamiento eBGP e intercambia rutas con los enrutadores del sitio de Enterprise.

• Después de la selección de rutas BGP, el reflector de ruta BGP de puerta de enlace de RAS actualiza los clientes del reflector de ruta de inquilino en el centro de datos y sincroniza las rutas con la controladora de red, lo que hace que la ruta de acceso de datos de un extremo a otro esté disponible para el tráfico del inquilino.

Ventajas del uso de nuevas características de puerta de enlace de RAS

A continuación se muestran algunas de las ventajas de usar estas nuevas características de puerta de enlace de RAS al diseñar la implementación de puerta de enlace de RAS.

Escalabilidad de puerta de enlace de RAS

Dado que puede agregar tantas máquinas virtuales de puerta de enlace de RAS como necesite a los grupos de puertas de enlace de RAS, puede escalar fácilmente la implementación de puerta de enlace de RAS para optimizar el rendimiento y la capacidad. Al agregar máquinas virtuales a un grupo, puede configurar estas puertas de enlace de RAS con conexiones VPN de sitio a sitio de cualquier tipo (IKEv2, L3, GRE), lo que elimina los cuellos de botella de capacidad sin tiempo de ingestión.

Administración simplificada de la puerta de enlace del sitio de Enterprise

Cuando el inquilino tiene varios sitios de Enterprise, puede configurar todos los sitios con una dirección IP de VPN de sitio a sitio remota y una única dirección IP de vecino remoto: el reflector de ruta VIP BGP de la puerta de enlace de RAS para ese inquilino. Esto simplifica la administración de puertas de enlace para los inquilinos.

Corrección rápida del error de puerta de enlace

Para garantizar una respuesta de conmutación por error rápida, puede configurar el tiempo de parámetro Keepalive de BGP entre las rutas perimetrales y el enrutador de control a un intervalo de tiempo corto, como menor o igual que diez segundos. Con este breve intervalo de mantenimiento activo, si se produce un error en un enrutador perimetral BGP de puerta de enlace de RAS, el error se detecta rápidamente y la controladora de red sigue los pasos proporcionados en las secciones anteriores. Esta ventaja podría reducir la necesidad de un protocolo de detección de errores independiente, como el protocolo de detección de reenvío bidireccional (BFD).