Configuración de conexiones de ExpressRoute y de sitio a sitio coexistentes (modelo de implementación clásica)Configure ExpressRoute and Site-to-Site coexisting connections (classic)

En este artículo se le ayuda a configurar conexiones ExpressRoute y VPN de sitio a sitio que coexisten.This article helps you configure ExpressRoute and Site-to-Site VPN connections that coexist. Tener la posibilidad de configurar VPN de sitio a sitio y ExpressRoute tiene varias ventajas.Having the ability to configure Site-to-Site VPN and ExpressRoute has several advantages. Puede configurar una VPN de sitio a sitio como una ruta de acceso seguro de conmutación por error para ExpressRoute, o bien usar las VPN de sitio a sitio para conectarse a sitios que no están conectados mediante ExpressRoute.You can configure Site-to-Site VPN as a secure failover path for ExpressRoute, or use Site-to-Site VPNs to connect to sites that are not connected through ExpressRoute. En este artículo trataremos los pasos para configurar ambos escenarios.We will cover the steps to configure both scenarios in this article. Este artículo se aplica al modelo de implementación clásico.This article applies to the classic deployment model. Esta configuración no está disponible en el portal.This configuration is not available in the portal.

Importante

A partir del 1 de marzo de 2017, no se pueden crear circuitos ExpressRoute en el modelo de implementación clásica.As of March 1, 2017, you can't create new ExpressRoute circuits in the classic deployment model.

  • Puede mover un circuito ExpressRoute existente del modelo de implementación clásica al modelo de implementación de Resource Manager sin inactividad de la conectividad.You can move an existing ExpressRoute circuit from the classic deployment model to the Resource Manager deployment model without experiencing any connectivity down time. Para más información, consulte el artículo sobre cómo mover un circuito existente.For more information, see Move an existing circuit.
  • Puede conectarse a las redes virtuales del modelo de implementación clásica al establecer allowClassicOperations en TRUE.You can connect to virtual networks in the classic deployment model by setting allowClassicOperations to TRUE.

Use los vínculos siguientes para crear y administrar circuitos ExpressRoute en el modelo de implementación de Resource Manager:Use the following links to create and manage ExpressRoute circuits in the Resource Manager deployment model:

Información acerca de los modelos de implementación de AzureAbout Azure deployment models

Azure actualmente funciona con dos modelos de implementación: el de Resource Manager y el clásico.Azure currently works with two deployment models: Resource Manager and classic. Los dos modelos no son totalmente compatibles entre sí.The two models are not completely compatible with each other. Antes de empezar, es preciso saber el modelo en que se desea trabajar.Before you begin, you need to know which model that you want to work in. Para obtener información sobre los modelos de implementación, consulte Modelos de implementación de Azure.For information about the deployment models, see Understanding deployment models. Si es la primera vez que usa Azure, se recomienda usar el modelo de implementación de Resource Manager.If you are new to Azure, we recommend that you use the Resource Manager deployment model.

Importante

Los circuitos ExpressRoute deben configurarse previamente antes de seguir las instrucciones siguientes.ExpressRoute circuits must be pre-configured before you follow the instructions below. Asegúrese de que ha seguido las instrucciones para crear un circuito ExpressRoute y configurar el enrutamiento antes de seguir los pasos que se indican a continuación.Make sure that you have followed the guides to create an ExpressRoute circuit and configure routing before you follow the steps below.

Límites y limitacionesLimits and limitations

  • No se admite el enrutamiento transitorio.Transit routing is not supported. No se puede realizar un enrutamiento (a través de Azure) entre una red local conectada a través de una VPN sitio a sitio y una red local conectada a través de ExpressRoute.You cannot route (via Azure) between your local network connected via Site-to-Site VPN and your local network connected via ExpressRoute.
  • No se admite el punto a sitio.Point-to-site is not supported. No se pueden habilitar conexiones VPN de punto a sitio a la misma red virtual que esté conectada a ExpressRoute.You can't enable point-to-site VPN connections to the same VNet that is connected to ExpressRoute. VPN de punto a sitio y ExpressRoute no pueden coexistir en la misma red virtual.Point-to-site VPN and ExpressRoute cannot coexist for the same VNet.
  • En VPN Gateway de sitio a sitio no se puede habilitar la tunelización forzada.Forced tunneling cannot be enabled on the Site-to-Site VPN gateway. Solo se puede "forzar" que todo el tráfico vinculado a Internet vuelva a la red local a través de ExpressRoute.You can only "force" all Internet-bound traffic back to your on-premises network via ExpressRoute.
  • No se admite la puerta de enlace de la SKU de nivel Básico.Basic SKU gateway is not supported. Debe utilizar una puerta de enlace de la SKU que no sea de nivel Básico tanto para la puerta de enlace de ExpressRoute como para la VPN Gateway.You must use a non-Basic SKU gateway for both the ExpressRoute gateway and the VPN gateway.
  • Solo se admite la VPN Gateway basada en rutas.Only route-based VPN gateway is supported. Debe usar una VPN Gateway basada en rutas.You must use a route-based VPN Gateway.
  • Se debe configurar una ruta estática para VPN Gateway.Static route should be configured for your VPN gateway. Si la red local está conectada tanto a ExpressRoute como a una VPN de sitio a sitio, debe tener configurada una ruta estática en la red local para enrutar la conexión VPN de sitio a sitio a la red pública de Internet.If your local network is connected to both ExpressRoute and a Site-to-Site VPN, you must have a static route configured in your local network to route the Site-to-Site VPN connection to the public Internet.
  • Primero debe configurarse la puerta de enlace de ExpressRoute.ExpressRoute gateway must be configured first. La puerta de enlace de ExpressRoute se debe crear antes de agregar la puerta de enlace de la VPN de sitio a sitio.You must create the ExpressRoute gateway first before you add the Site-to-Site VPN gateway.

Diseños de configuraciónConfiguration designs

Configuración de una VPN de sitio a sitio como una ruta de acceso de conmutación por error para ExpressRouteConfigure a Site-to-Site VPN as a failover path for ExpressRoute

Puede configurar una conexión VPN de sitio a sitio como una copia de seguridad para ExpressRoute.You can configure a Site-to-Site VPN connection as a backup for ExpressRoute. Esto se aplica únicamente a las redes virtuales vinculadas a la ruta de acceso de emparejamiento privada de Azure.This applies only to virtual networks linked to the Azure private peering path. No hay ninguna solución de conmutación por error basada en VPN para servicios accesibles a través de emparejamientos de Microsoft y públicos de Azure.There is no VPN-based failover solution for services accessible through Azure public and Microsoft peerings. El circuito ExpressRoute siempre es el vínculo principal.The ExpressRoute circuit is always the primary link. Los datos fluirán a través de la ruta de acceso de VPN de sitio a sitio solo si se produce un error en el circuito ExpressRoute.Data will flow through the Site-to-Site VPN path only if the ExpressRoute circuit fails.

Nota

Si bien se prefiere el circuito ExpressRoute a la VPN de sitio a sitio cuando ambas rutas son las mismas, Azure utilizará la coincidencia de prefijo más larga para elegir la ruta hacia el destino del paquete.While ExpressRoute circuit is preferred over Site-to-Site VPN when both routes are the same, Azure will use the longest prefix match to choose the route towards the packet's destination.

Coexistencia

Configuración de una VPN de sitio a sitio para conectarse a sitios no conectados mediante ExpressRouteConfigure a Site-to-Site VPN to connect to sites not connected through ExpressRoute

Puede configurar la red para sitios que se conectan directamente a Azure mediante una VPN de sitio a sitio y otros que se conectan a través de ExpressRoute.You can configure your network where some sites connect directly to Azure over Site-to-Site VPN, and some sites connect through ExpressRoute.

Coexistencia

Nota

No se puede configurar una red virtual como un enrutador de tránsito.You cannot a configure a virtual network as a transit router.

Selección de los pasos a seguirSelecting the steps to use

Hay dos conjuntos diferentes de los procedimientos entre los que elegir para configurar las conexiones que pueden coexistir.There are two different sets of procedures to choose from in order to configure connections that can coexist. El procedimiento de configuración que seleccione dependerá de si ya tiene una red virtual existente a la que quiere conectarse o si desea crear una nueva red virtual.The configuration procedure that you select will depend on whether you have an existing virtual network that you want to connect to, or you want to create a new virtual network.

  • No tengo una red virtual y necesito crear una.I don't have a VNet and need to create one.

    Si aún no tiene una red virtual, este procedimiento le guiará en la creación de una nueva red virtual mediante el modelo de implementación clásica y la creación de nuevas conexiones VPN de sitio a sitio y ExpressRoute.If you don’t already have a virtual network, this procedure will walk you through creating a new virtual network using the classic deployment model and creating new ExpressRoute and Site-to-Site VPN connections. Para configurarla, siga los pasos que se describen en la sección del artículo Creación de una nueva red virtual y conexiones coexistentes.To configure, follow the steps in the article section To create a new virtual network and coexisting connections.

  • Ya tengo una red virtual con el modelo de implementación clásico.I already have a classic deployment model VNet.

    Puede que ya tenga una red virtual con una conexión VPN de sitio a sitio o una conexión ExpressRoute existentes.You may already have a virtual network in place with an existing Site-to-Site VPN connection or ExpressRoute connection. La sección Para configurar conexiones coexistentes para una red virtual ya existente le guiará en la eliminación de la puerta de enlace y la creación de nuevas conexiones VPN de sitio a sitio y ExpressRoute.The article section To configure coexisting connections for an already existing VNet will walk you through deleting the gateway, and then creating new ExpressRoute and Site-to-Site VPN connections. Tenga en cuenta que al crear las nuevas conexiones, se deben completar los pasos en un orden muy específico.Note that when creating the new connections, the steps must be completed in a very specific order. No utilice las instrucciones que aparecen en otros artículos para crear puertas de enlace y conexiones.Don't use the instructions in other articles to create your gateways and connections.

    En este procedimiento, para crear conexiones que puedan coexistir, tendrá que eliminar la puerta de enlace y luego configurar nuevas puertas de enlace.In this procedure, creating connections that can coexist will require you to delete your gateway, and then configure new gateways. Esto significa que tendrá tiempo de inactividad para las conexiones entre entornos mientras elimina y vuelve a crear la puerta de enlace y las conexiones, pero no necesitará migrar las máquinas virtuales o servicios a una nueva red virtual.This means you will have downtime for your cross-premises connections while you delete and recreate your gateway and connections, but you will not need to migrate any of your VMs or services to a new virtual network. Las máquinas virtuales y los servicios podrán seguir comunicándose con el exterior a través del equilibrador de carga mientras configura la puerta de enlace si están configurados para ello.Your VMs and services will still be able to communicate out through the load balancer while you configure your gateway if they are configured to do so.

Creación de una nueva red virtual y conexiones coexistentesTo create a new virtual network and coexisting connections

Este procedimiento le guiará en la creación de una red virtual y conexiones de sitio a sitio y ExpressRoute que coexistirán.This procedure will walk you through creating a VNet and create Site-to-Site and ExpressRoute connections that will coexist.

  1. Deberá instalar la versión más reciente de los cmdlets de Azure PowerShell.You'll need to install the latest version of the Azure PowerShell cmdlets. Consulte Cómo instalar y configurar Azure PowerShell para obtener más información sobre cómo instalar los cmdlets de PowerShell.See How to install and configure Azure PowerShell for more information about installing the PowerShell cmdlets. Tenga en cuenta que los cmdlets que se van a utilizar en esta configuración pueden ser ligeramente diferentes de aquellos con los que podría estar familiarizado.Note that the cmdlets that you'll use for this configuration may be slightly different than what you might be familiar with. Asegúrese de usar los cmdlets especificados en estas instrucciones.Be sure to use the cmdlets specified in these instructions.

  2. Cree un esquema para la red virtual.Create a schema for your virtual network. Para más información sobre el esquema de configuración, consulte Esquema de configuración de Azure Virtual Network.For more information about the configuration schema, see Azure Virtual Network configuration schema.

    Al crear el esquema, asegúrese de que usa los valores siguientes:When you create your schema, make sure you use the following values:

    • La subred de puerta de enlace para la red virtual debe ser /27 o un prefijo más corto (como /26 o /25).The gateway subnet for the virtual network must be /27 or a shorter prefix (such as /26 or /25).

    • El tipo de conexión de puerta de enlace es "Dedicado".The gateway connection type is "Dedicated".

          <VirtualNetworkSite name="MyAzureVNET" Location="Central US">
            <AddressSpace>
              <AddressPrefix>10.17.159.192/26</AddressPrefix>
            </AddressSpace>
            <Subnets>
              <Subnet name="Subnet-1">
                <AddressPrefix>10.17.159.192/27</AddressPrefix>
              </Subnet>
              <Subnet name="GatewaySubnet">
                <AddressPrefix>10.17.159.224/27</AddressPrefix>
              </Subnet>
            </Subnets>
            <Gateway>
              <ConnectionsToLocalNetwork>
                <LocalNetworkSiteRef name="MyLocalNetwork">
                  <Connection type="Dedicated" />
                </LocalNetworkSiteRef>
              </ConnectionsToLocalNetwork>
            </Gateway>
          </VirtualNetworkSite>
      
  3. Después de crear y configurar el archivo de esquema xml, cargue el archivo.After creating and configuring your xml schema file, upload the file. Esto creará la red virtual.This will create your virtual network.

    Use el cmdlet siguiente para cargar el archivo, reemplazando el valor por el suyo propio.Use the following cmdlet to upload your file, replacing the value with your own.

     Set-AzureVNetConfig -ConfigurationPath 'C:\NetworkConfig.xml'
    
  4. Cree una puerta de enlace de ExpressRoute.Create an ExpressRoute gateway. Asegúrese de especificar GatewaySKU como Standard, HighPerformance o UltraPerformance y GatewayType como DynamicRouting.Be sure to specify the GatewaySKU as Standard, HighPerformance, or UltraPerformance and the GatewayType as DynamicRouting.

    Use el ejemplo siguiente y sustituya los valores por los suyos propios.Use the following sample, substituting the values for your own.

     New-AzureVNetGateway -VNetName MyAzureVNET -GatewayType DynamicRouting -GatewaySKU HighPerformance
    
  5. Vincule la puerta de enlace de ExpressRoute al circuito ExpressRoute.Link the ExpressRoute gateway to the ExpressRoute circuit. Una vez completado este paso, se ha establecido la conexión entre su red local y Azure a través de ExpressRoute.After this step has been completed, the connection between your on-premises network and Azure, through ExpressRoute, is established.

     New-AzureDedicatedCircuitLink -ServiceKey <service-key> -VNetName MyAzureVNET
    
  6. A continuación, cree la puerta de enlace de la VPN de sitio a sitio.Next, create your Site-to-Site VPN gateway. Los valores de GatewaySKU deben ser Standard, HighPerformance o UltraPerformance y GatewayType debe ser DynamicRouting.The GatewaySKU must be Standard, HighPerformance, or UltraPerformance and the GatewayType must be DynamicRouting.

     New-AzureVirtualNetworkGateway -VNetName MyAzureVNET -GatewayName S2SVPN -GatewayType DynamicRouting -GatewaySKU  HighPerformance
    

    Para recuperar la configuración de la puerta de enlace de red virtual, lo que incluye el identificador de puerta de enlace y la dirección IP pública, use el cmdlet Get-AzureVirtualNetworkGateway.To retrieve the virtual network gateway settings, including the gateway ID and the public IP, use the Get-AzureVirtualNetworkGateway cmdlet.

     Get-AzureVirtualNetworkGateway
    
     GatewayId            : 348ae011-ffa9-4add-b530-7cb30010565e
     GatewayName          : S2SVPN
     LastEventData        :
     GatewayType          : DynamicRouting
     LastEventTimeStamp   : 5/29/2015 4:41:41 PM
     LastEventMessage     : Successfully created a gateway for the following virtual network: GNSDesMoines
     LastEventID          : 23002
     State                : Provisioned
     VIPAddress           : 104.43.x.y
     DefaultSite          :
     GatewaySKU           : HighPerformance
     Location             :
     VnetId               : 979aabcf-e47f-4136-ab9b-b4780c1e1bd5
     SubnetId             :
     EnableBgp            : False
     OperationDescription : Get-AzureVirtualNetworkGateway
     OperationId          : 42773656-85e1-a6b6-8705-35473f1e6f6a
     OperationStatus      : Succeeded
    
  7. Cree una entidad de puerta de enlace de VPN de sitio local.Create a local site VPN gateway entity. Este comando no configura la puerta de enlace de VPN local.This command doesn’t configure your on-premises VPN gateway. En su lugar, permite proporcionar la configuración de puerta de enlace local, como la dirección IP pública y el espacio de direcciones local, para que la puerta de enlace de VPN de Azure pueda conectarse a ella.Rather, it allows you to provide the local gateway settings, such as the public IP and the on-premises address space, so that the Azure VPN gateway can connect to it.

    Importante

    El sitio local de la VPN de sitio a sitio no está definido en netcfg.The local site for the Site-to-Site VPN is not defined in the netcfg. En su lugar, es preciso usar este cmdlet para especificar los parámetros del sitio local.Instead, you must use this cmdlet to specify the local site parameters. No puede definirlos ni con el portal ni con el archivo netcfg.You cannot define it using either portal, or the netcfg file.

    Use el ejemplo siguiente y reemplace los valores por los suyos propios:Use the following sample, replacing the values with your own.

     New-AzureLocalNetworkGateway -GatewayName MyLocalNetwork -IpAddress <MyLocalGatewayIp> -AddressSpace <MyLocalNetworkAddress>
    

    Nota

    Si la red local tiene varias rutas, puede pasar todas ellas en una matriz.If your local network has multiple routes, you can pass them all in as an array. $MyLocalNetworkAddress = @("10.1.2.0/24","10.1.3.0/24","10.2.1.0/24")$MyLocalNetworkAddress = @("10.1.2.0/24","10.1.3.0/24","10.2.1.0/24")

    Para recuperar la configuración de la puerta de enlace de red virtual, lo que incluye el identificador de puerta de enlace y la dirección IP pública, use el cmdlet Get-AzureVirtualNetworkGateway.To retrieve the virtual network gateway settings, including the gateway ID and the public IP, use the Get-AzureVirtualNetworkGateway cmdlet. Consulte el ejemplo siguiente.See the following example.

     Get-AzureLocalNetworkGateway
    
     GatewayId            : 532cb428-8c8c-4596-9a4f-7ae3a9fcd01b
     GatewayName          : MyLocalNetwork
     IpAddress            : 23.39.x.y
     AddressSpace         : {10.1.2.0/24}
     OperationDescription : Get-AzureLocalNetworkGateway
     OperationId          : ddc4bfae-502c-adc7-bd7d-1efbc00b3fe5
     OperationStatus      : Succeeded
    
  8. Configure el dispositivo VPN local para que se conecte a la nueva puerta de enlace.Configure your local VPN device to connect to the new gateway. Al configurar el dispositivo VPN, use la información que recuperó en el paso 6.Use the information that you retrieved in step 6 when configuring your VPN device. Para obtener más información acerca de la configuración del dispositivo VPN, consulte Configuración de dispositivos VPN.For more information about VPN device configuration, see VPN Device Configuration.

  9. Vincule la puerta de enlace de VPN sitio a sitio en Azure a la puerta de enlace local.Link the Site-to-Site VPN gateway on Azure to the local gateway.

    En este ejemplo, connectedEntityId es el identificador de puerta de enlace local. Para encontrarlo, es preciso ejecutar Get-AzureLocalNetworkGateway.In this example, connectedEntityId is the local gateway ID, which you can find by running Get-AzureLocalNetworkGateway. Para encontrar virtualNetworkGatewayId, use el cmdlet Get-AzureVirtualNetworkGateway.You can find virtualNetworkGatewayId by using the Get-AzureVirtualNetworkGateway cmdlet. Después de este paso, se establece la conexión entre la red local y Azure a través de la conexión VPN sitio a sitio.After this step, the connection between your local network and Azure via the Site-to-Site VPN connection is established.

     New-AzureVirtualNetworkGatewayConnection -connectedEntityId <local-network-gateway-id> -gatewayConnectionName Azure2Local -gatewayConnectionType IPsec -sharedKey abc123 -virtualNetworkGatewayId <azure-s2s-vpn-gateway-id>
    

Para configurar conexiones coexistentes para una red virtual ya existenteTo configure coexisting connections for an already existing VNet

Si ya tiene una red virtual, compruebe el tamaño de la subred de puerta de enlace.If you have an existing virtual network, check the gateway subnet size. Si la subred de puerta de enlace es /28 o /29, primero debe eliminar la puerta de enlace de red virtual y aumentar el tamaño de la subred de puerta de enlace.If the gateway subnet is /28 or /29, you must first delete the virtual network gateway and increase the gateway subnet size. Los pasos de esta sección le mostrarán cómo hacerlo.The steps in this section will show you how to do that.

Si la puerta de enlace es /27 o mayor y la red virtual está conectada a través de ExpressRoute, puede omitir los pasos siguientes y continuar con "Paso 6: Creación una puerta de enlace VPN de sitio a sitio" en la sección anterior.If the gateway subnet is /27 or larger and the virtual network is connected via ExpressRoute, you can skip the steps below and proceed to "Step 6 - Create a Site-to-Site VPN gateway" in the previous section.

Nota

Cuando elimine la puerta de enlace existente, las instalaciones locales perderán la conexión con la red virtual mientras trabaja en esta configuración.When you delete the existing gateway, your local premises will lose the connection to your virtual network while you are working on this configuration.

  1. Necesitará instalar la versión más reciente de los cmdlets de PowerShell del Administrador de recursos de Azure.You'll need to install the latest version of the Azure Resource Manager PowerShell cmdlets. Consulte Cómo instalar y configurar Azure PowerShell para obtener más información sobre cómo instalar los cmdlets de PowerShell.See How to install and configure Azure PowerShell for more information about installing the PowerShell cmdlets. Tenga en cuenta que los cmdlets que se van a utilizar en esta configuración pueden ser ligeramente diferentes de aquellos con los que podría estar familiarizado.Note that the cmdlets that you'll use for this configuration may be slightly different than what you might be familiar with. Asegúrese de usar los cmdlets especificados en estas instrucciones.Be sure to use the cmdlets specified in these instructions.

  2. Elimine la puerta de enlace de la VPN de ExpressRoute o de sitio a sitio.Delete the existing ExpressRoute or Site-to-Site VPN gateway. Use el siguiente cmdlet, reemplazando los valores por los suyos propios.Use the following cmdlet, replacing the values with your own.

     Remove-AzureVNetGateway –VnetName MyAzureVNET
    
  3. Exporte el esquema de red virtual.Export the virtual network schema. Use el siguiente cmdlet de PowerShell, reemplazando los valores por los suyos propios.Use the following PowerShell cmdlet, replacing the values with your own.

     Get-AzureVNetConfig –ExportToFile "C:\NetworkConfig.xml"
    
  4. Edite el esquema del archivo de configuración de red para que la subred de puerta de enlace sea /27 o un prefijo más corto (como /26 o /25).Edit the network configuration file schema so that the gateway subnet is /27 or a shorter prefix (such as /26 or /25). Consulte el ejemplo siguiente.See the following example.

    Nota

    Si no quedan suficientes direcciones IP en la red virtual para aumentar el tamaño de la subred de puerta de enlace, debe agregar más espacio de direcciones IP.If you don't have enough IP addresses left in your virtual network to increase the gateway subnet size, you need to add more IP address space. Para más información sobre el esquema de configuración, consulte Esquema de configuración de Azure Virtual Network.For more information about the configuration schema, see Azure Virtual Network configuration schema.

       <Subnet name="GatewaySubnet">
         <AddressPrefix>10.17.159.224/27</AddressPrefix>
       </Subnet>
    
  5. Si la puerta de enlace anterior era una VPN de sitio a sitio, debe cambiar también el tipo de conexión a Dedicado.If your previous gateway was a Site-to-Site VPN, you must also change the connection type to Dedicated.

              <Gateway>
               <ConnectionsToLocalNetwork>
                 <LocalNetworkSiteRef name="MyLocalNetwork">
                   <Connection type="Dedicated" />
                 </LocalNetworkSiteRef>
               </ConnectionsToLocalNetwork>
             </Gateway>
    
  6. Ya tiene una red virtual sin puertas de enlace.At this point, you'll have a VNet with no gateways. Para crear puertas de enlace y completar las conexiones, puede continuar con el paso 4 para crear una puerta de enlace de ExpressRoute, del conjunto de pasos anterior.To create new gateways and complete your connections, you can proceed with Step 4 - Create an ExpressRoute gateway, found in the preceding set of steps.

Pasos siguientesNext steps

Para más información sobre ExpressRoute, consulte P+F de ExpressRouteFor more information about ExpressRoute, see the ExpressRoute FAQ